1.1 数据加密技术
　　数据加密技术是最基本的网络安全技术，被誉为信息安全的核心。数据加密技术的作用就是防止有价值信息在网络上被拦截和窃取。
　　数据加密的基本过程包括对称为明文的原来可读信息进行翻译，译成称为密文或密码的代码形式。该过程的逆过程为解密，即将该编码信息转化为其原来的形式的过程。加密算法分为对称加密算法和非对称加密算法。对称式密码是指收发双方使用相同密钥的密码，传统的密码都属对称式密码。非对称式密码是指收发双方使用不同密钥的密码，现代密码中的公共密钥密码就属非对称式密码。
　　对称加密算法的主要优点是加密和解密速度快，加密强度高，且算法公开，但其最大的缺点是实现密钥的秘密分发困难，在大量用户的情况下密钥管理复杂，而且无法完成身份认证等功能，不便于应用在网络开放的环境中。目前最著名的对称加密算法有数据加密标准DES和欧洲数据加密标准IDEA等。
　　非对称加密算法的优点是能适应网络的开放性要求，密钥管理简单，并且可方便地实现数字签名和身份认证等功能，是目前电子商务等技术的核心基础。其缺点是算法复杂，加密数据的速度和效率较低。因此在实际应用中，通常将对称加密算法和非对称加密算法结合使用，利用DES或者IDEA等对称加密算法来进行大容量数据的加密，而采用RSA等非对称加密算法来传递对称加密算法所使用的密钥，通过这种方法可以有效地提高加密的效率并能简化对密钥的管理。


1.2 访问控制技术
　　访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。
　　防火墙是目前在Internet上被广泛使用的主要网络访问控制安全设备。防火墙可以是硬件，也可以是软件，也可能是硬件和软件的结合，这种安全设备处于被保护网络和其它网络的边界，接收进出被保护网络的数据流，并根据防火墙所配置的访问控制策略进行过滤或作出其它操作，防火墙系统不仅能够保护网络资源不受外部的侵入，而且还能够拦截从被保护网络向外传送有价值的信息。目前的防火墙系统根据其实现的方式大致可分为两种：包过滤防火墙和应用层网关。
　　包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包，根据防火墙的访问控制策略对数据包进行过滤，只准许授权的数据包通行。防火墙管理员在配置防火墙时根据安全控制策略建立包过滤的准则，也可以在建立防火墙之后，根据安全策略的变化对这些准则进行相应的修改、增加或者删除。每条包过滤的准则包括两个部分：执行动作和选择准则，执行动作包括拒绝和准许，分别表示拒绝或者允许数据包通行；选择准则包括数据包的源地址和目的地址、源端口和目的端口、协议和传输方向等。建立包过滤准则之后，防火墙在接收到一个数据包之后，就根据所建立的准则，决定丢弃或者继续传送该数据包。这样就通过包过滤实现了防火墙的安全访问控制策略。
　　应用层网关位于TCP/IP协议的应用层，实现对用户身份的验证，接收被保护网络和外部之间的数据流并对之进行检查。在防火墙技术中，应用层网关通常由代理服务器来实现。通过代理服务器访问Internet网络服务的内部网络用户时，在访问Internet之前首先应登录到代理服务器，代理服务器对该用户进行身份验证检查，决定其是否允许访问Internet，如果验证通过，用户就可以登录到Internet上的远程服务器。同样，从Internet到内部网络的数据流也由代理服务器代为接收，在检查之后再发送到相应的用户。由于代理服务器工作于Internet应用层，因此对不同的Internet服务应有相应的代理服务器，常见的代理服务器有Web、Ftp、Telnet代理等。除代理服务器外，Socks服务器也是一种应用层网关，通过定制客户端软件的方法来提供代理服务。
　　防火墙通过上述方法，实现内部网络的访问控制及其它安全策略，从而降低内部网络的安全风险，保护内部网络的安全。但防火墙自身的特点，使其无法避免某些安全风险，例如网络内部的攻击，内部网络与Internet的直接连接等。
　　访问控制技术还包括登录控制、权限控制等。登录控制用于控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。登录控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能登录该网络。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。

1.3 漏洞扫描技术
　　漏洞扫描技术是检测远程或本地系统安全脆弱性的一种安全技术。通过与目标主机TCP/IP端口建立连接并请求某些服务（如TELNET、FTP等），记录目标主机的应答，搜集目标主机相关信息（如匿名用户是否可以登录等），从而发现目标主机某些内在的安全弱点。漏洞扫描技术的重要性在于把极为烦琐的安全检测，通过程序来自动完成，这不仅减轻管理者的工作，而且缩短了检测时间，使问题发现更快。当然，也可以认为扫描技术是一种网络安全性评估技术。一般而言，扫描技术可以快速、深入地对网络或目标主机进行评估。漏洞扫描是对系统脆弱性的分析评估，能够检查、分析网络范围内的设备、网络服务、操作系统、数据库系统等系统的安全性，从而为提高网络安全的等级提供决策的支持。
　　系统管理员利用漏洞扫描技术对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可能导致黑客攻击的安全漏洞，还可以检测主机系统中是否被安装了窃听程序，防火墙系统是否存在安全漏洞和配置错误等等。网络管理员可以利用安全扫描软件这把"双刃剑"，及时发现网络漏洞并在网络攻击者扫描和利用之前予以修补，从而提高网络的安全性。


1.4 入侵检测技术
　　入侵检测技术实际上就是一种信息识别与检测技术，具体而言，就是在计算机网络系统中设置若干关键点来收集信息，并将信息输入到检测系统之中来分析判断这些信息，看看网络中是否存在违反安全策略的行为或遭到袭击的迹象，从而帮助系统管理人员对付网络攻击的安全管理能力（包括安全审计、监视、进攻识别和响应）。
　　入侵检测系统可分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。前者是在服务器的审计日志文件中寻找攻击特征，然后给出统计分析报告。后者是在网络通信中寻找符合网络入侵模板的数据包，并立即作出相应反应。它们各有优缺点，互相作为补充。
　　入侵检测技术虽然能对网络攻击进行识别并做出反应，但其侧重点还是在于发现，而不能代替防火墙系统执行整个网络的访问控制策略。防火墙系统能够将一些预期的网络攻击阻挡于网络外面，而入侵检测技术除了减小网络系统的安全风险之外，还对一些非预期的攻击进行识别并做出反应，切断攻击连接或通知防火墙系统修改控制准则，将下一次的类似攻击阻挡于网络外部。因此通过网络安全检测技术和防火墙系统结合，可以实现了一个完整的网络安全解决方案。


1.5 黑客诱骗技术
　　黑客诱骗技术是近期发展起来的一种网络安全技术，通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐（Honeypot）系统，其最重要的功能是特殊设置的对于系统中所有操作的监视和记录，网络安全专家通过精心的伪装使得黑客在进入到目标系统后，仍不知晓自己所有的行为已处于系统的监视之中。为了吸引黑客，网络安全专家通常还在蜜罐系统上故意留下一些安全后门来吸引黑客上钩，或者放置一些网络攻击者希望得到的敏感信息，当然这些信息都是虚假信息。这样，当黑客正为攻入目标系统而沾沾自喜的时候，他在目标系统中的所有行为，包括输入的字符、执行的操作都已经为蜜罐系统所记录。有些蜜罐系统甚至可以对黑客网上聊天的内容进行记录。蜜罐系统管理人员通过研究和分析这些记录，可以知道黑客采用的攻击工具、攻击手段、攻击目的和攻击水平，通过分析黑客的网上聊天内容还可以获得黑客的活动范围以及下一步的攻击目标，根据这些信息，管理人员可以提前对系统进行保护。同时在蜜罐系统中记录下的信息还可以作为对黑客进行起诉的证据。