2.3 网络穿透关键技术分析。根据网络穿透的工作原理，分析国内外当前的网络穿透技术，主要的关键技术有如下：

　　2.3.1 代理服务技术。代理服务技术是常见的进行间接访问网络信息资源的中转技术，它能够实现代理服务器和访问目标之间的信息转发和控制，实现网络穿透，常见的代理有：SOCKS4代理、SOCKS5代理和HTTP代理等，其中SOCKS4代理只支持TCP，SOCKS5代理支持TCP和UDP协议。通过代理服务技术，可以实现突破IP地址的封锁、隐藏自己的身份和访问限制资源，进行网络穿透的行为。

　　2.3.2 网页和端口转向技术。网页转向技术是指很多网站有提供网页的自动转向功能，那么在内网用户可以利用该网页重定位技术，通过这些合法网站，进行网络穿透。端口转向技术是指针对防火墙的设置，将要访问的端口转向防火墙开放的端口，实现网络穿透，如可以将端口转向防火墙常开放的80和443端口。网页和端口转向技术主要利用了数据包的修改和转发，实现利用正常的网络通信行为承载非法的通信，从而实现网络穿透。

　　2.3.3 反弹连接技术。该技术源于木马通信的发展，从开始的主动连接通信，通过木马控制端主动去连接植入目标的木马服务端，该方法容易被防火墙封阻，因此，发展了反弹连接方法，木马程序的服务端通过访问代理服务器或域名解析获取控制端IP地址，从而主动发起对指定IP的连接，连接方面与主动边接相反是从内向外的，容易实现网络穿透。当前大多数木马都采用了该技术，进行网络穿透，如：灰鸽子、Poison IVY和PcShare等。

　　2.3.4 隧道穿透技术。隧道穿透技术是一种较常见网络穿透技术，它使用一些常用服务接入端口如WEB服务、邮件、即时聊天工具端口，或者使用动态扫描获得的开放端口，通过变化通信端口来出避免防火墙和入侵检测系统的检测。例如：利用HTTP隧道技术，将要通信的数据用HTTP协议进行封装，伪装成正常的WEB访问数据，从而实现网络穿透，当然也可以封装成邮件或即时聊天数据。该隧道穿透技术还可以结合加密技术，实现对数据内容的加密，如匿名HTTPS隧道木马[5]，其实现了用户数据伪装成HTTPS数据包加密传输，达到网络穿透的目的。

　　2.3.5 基于P2P的穿透技术。结合网络探测技术和拓扑发现等技术，穿越和绕过NAT代理和防火墙，使得NAT代理和防火墙如同虚设。其中有基于TCP协议和UDP协议的P2P穿透技术，该穿透技术可以实现对通信双方或单方的隐藏。如：SKYPE即时通讯工具，它采用P2P技术，运用STUN和TURN的协议演变出的类似协议来探测网络拓扑结构，并实现UDP连接方式下的穿透NAT，或者寻找出绕出防火墙等安全设备的路径[7]。

　　2.3.6 匿名通信技术。匿名通信技术是通过信息隐藏的方法，将信息流中的通信关系加以隐藏，使得窃听者无法直接获知或推知双方的通信关系或者通信的某一方。匿名通信的重要目的就是隐藏通信双方的身份或者通信关系，从而实现对网络用户的个人通信隐私以及通信内容的更好保护，使监管更为困难。如：以MIX、洋葱路由器、TOR技术为代表的匿名通信技术发展快速，为穿透技术提供了新的平台[8]。

　　3 防范对策

　　当前网络穿透技术的不断发展，而且各种网络穿透技术被综合运用，对网络安全监控和管理提出巨大的考验，针对该情况，本文尝试给出几点建议。

　　3.1 从技术研究上，要不断紧跟新的网络穿透技术，深入研究，寻找对策。当前新的网络穿透技术不断呈现，信息安全人员要不断紧跟新的网络穿透技术的研究，结合防火墙技术和入侵检测技术，不断寻找应对网络穿透的方法。技术的对策，是最直接有效的，而且也是需要大力投入人力和经费的。网络穿透技术当前已经呈观出通信特征正常化、数据传输加密化和通信身体隐蔽化的特点，从技术上加强对网络穿透技术的研究，并寻找相应的措施是十分有必要。

　　3.2 从设备部署上，要在重点的网络关口，骨干网络加强部署防火墙和入侵检测系统等防护设备。应用行之有效的网络防护设备才能够在一定程度上阻止网络穿透行为的发生，要研究企业或政府网络的关键节点，部署防火墙或入侵检测设备进行监视。在各个骨干节点上部署防火墙和入侵检测设备，可以强化防护设备之间的联动作用，进行分布式监管，形成有效的监视网。还有就是要对企业和政府等网络的关键数据设备如：文件服务器、WEB服务器等加强监控，部署防护设备。

　　3.3 从规章制度上，要建立一套完善的、合理的互联网上网规范，形成良好的监管制度。企业或政府部分可以建立一套相对完善的上网规范，规范用户的上网行为规范，从而形成良好的监管制度。攻击者之所以能够进行网络穿透行为，他们利用了互联网上大量的资源，如：代理服务器、匿名网络和肉鸡等，通过完善的上网规范，可以从一定程度上遏制这些资源的存在，以进化整个网络的环境，形成良好的秩序。

　　3.4 从教育引导上，要强化宣传教育，引导网民树立良好的互联网纪律意识，从思想上遏制网络穿透行为的发生。当前有人利用网络穿透技术，进行一些非法行为，如：传播非法言论、盗版软件和色情暴力电影等，对该非法行为的违法之处还认识不深，警示不够。要从网民的思想教育上抓起，树立在互联网上什么能做，什么不能做的意识，并警示如果违反，将受到制度和法律的惩罚。养成良好的思想意识，这样才能减少网络穿透非法行为的发生，从而保证企业和政府的网络安全。

　　4 结束语

　　随着计算机技术的普及，在互联网中网络穿透不断发生，通过网络穿透，不法分子可以达到大肆造谣、非法传播和数据窃取等目的，直接危害网络信息安全。本文简介了当前主要防护设备，即：防火墙和入侵检测系统，接着从网络穿透的通信模型、工作原理和关键技术分析了网络穿透技术，给出了网络穿透的通信模型，从欺骗、加密和隐蔽分析网络穿透的工作原理，从六个方面分析网络穿透的关键技术，最后从技术、设备、制度和教育四个方面给出网络穿透技术的防范对策。网络穿透技术与反穿透技术，必将是一个不断对抗和发展的过程，我们应该不断紧盯网络穿透技术的新发展，及时给出反穿透技术，从而保证网络信息安全。

　　参考文献：

　　[1]彭乐.网络穿透技术的研究[D].北京：北京邮电大学，2008.

　　[2]王鲁达，曾凡仔，张澎等.信息共享系统的防火墙穿透技术的研究与实现[J].计算机工程与科学，2008（01）：38-40，44.

　　[3]肖竞华，胡华.入侵检测技术的分析与研究[J].计算机安全，2009（08）.

　　[4]RichardTibbs等.防火墙与VPN原理与实践[M].李展等，译.北京：清华大学出版社，2008.

　　[5]刘超，王轶骏，施勇等.匿名HTTPS隧道木马的研究[J].信息安全与通信保密，2011（12）：78-80.

　　[6]刘静，裘国永.基于反向连接?HTTP隧道和共享DNS的防火墙穿透技术[J].郑州轻工业学院学报（自然科学版），2007（05）：57-59.

　　[7]Salman A. Baset and Henning Schulzrinne.An Analysis of the Skpe Peer-to-Peer Internet Telephony Protocol.September 15，2004.

　　[8]Dogan Kesdogan，Mark Borning，and Michael Schmeink.Unobservable Surfing on the World Wide Web：Is Private Information Retrieval an alternative to the MIX[C].//In the Proceedings of Privacy Enhancing Technologies workshop（PET 2002），April 2002.

　　

---

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

---

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。