1、第第9章计算机网络安全与网络管理章计算机网络安全与网络管理 9.1网络安全的基本概念9.2网络安全策略9.3数据加密技术9.4防火墙技术9.5入侵检测技术9.6网络管理9.7 本章小结9.1网络安全的基本概念网络安全的基本概念 9.1.1 造成网络不安全的因素造成网络不安全的因素要提高网络的安全,就要了解网络系统的薄弱环节,根据具体情况加以防范。客观地说,一个绝对安全的系统是不存在的,因此,系统的安全要靠完善的监视、分析、管理手段,及时发现安全隐患,采取安全防范措施,避免系统遭到攻击,提高系统的安全系数。网络的不安全因素主要来自于两个方面:系统本身存在安全缺陷和各种人为因素和自然因素造成的破坏
2、。自然因素包括如设备突然断电或地震等带来的意外事故,这种情况虽然有时难以避免,但可以通过事先的一些预防措施来尽量减少这种破坏带来的损失。人为因素是一些别有用心的用户利用网络中的一些漏洞或缺陷蓄意地破坏网络,干扰网络的正常运行。归结起来造成网络不安全的因素如下:(1)环境。自然环境和社会环境都会对计算机网络产生巨大的影响。自然环境中的天气、地震、洪水、海啸、火灾等都会对网络造成严重的破坏;社会环境中人的网络安全意识淡薄和不良社会风气也会对网络造成重大的影响。(2)数据通信。计算机网络通过数据通信来传输各种信息,而信息在通信介质中传输的时候很容易遭到外界因素的干扰,如电磁窃听等,这样会造成网络中非
3、法的数据泄露,给网络造成危害。(3)计算机软件系统的漏洞。当前操作系统的最大缺陷是不能判断运行的进程是否有害,因此无法制约或禁止有害进程(如病毒)的运行,从而也无法判断系统中的软件是否被篡改;操作系统的公布带来了不可估量的后果,如IBM公司为迅速占领微机市场,公布了IBM-PC的DOS操作系统,以利于世界各地开发各种功能软件及外部设备与之配套,但也为有害的功能开发大开了方便之门,这是计算机病毒在微机领域内数量剧增、泛滥成灾的原因之一;计算机网络系统与数据库管理系统的宗旨是系统开放、资源共享、降低系统开发成本、提高信息处理效率,但也为信息的窃取和盗用,非法增、删、改及各种扰乱破坏,造成了极为方便
4、且难以控制的可乘之机;无错软件一直是软件开发中的一项重要指标和追求,软件自身的错误有可能对计算机系统造成危害;软件运行时,往往需要从外界获取一些基本数据,但又很难判断输入的数据是否合法,一旦接收到非法的数据或假数据,后果难以估量。(4)计算机硬件系统。计算机硬件系统对运行环境的特定要求。计算机硬件系统是一种精密仪器型的电子设备,其中有的部位电磁信号强度很弱,抗电磁干扰能力很差,当电场强度E5 V/m时,小信号电路就不易正常工作。磁头与磁盘之间需要始终保持数微米的间隙,灰尘、温度、振动、冲击等均会影响它读写数据的正常进行甚至损坏;元部件间的接插方式,易受灰尘、湿度、有害气体的锈蚀,或因振动、冲击
5、而松动,影响牢靠的电气连接;温度、湿度的偏高以及灰尘会使元器件的电特性变差甚至不能工作;密封防尘、防湿与改善机内温升难以两全等;不少元部件和系统要求供电电源的电压、频率稳定,供电不能突然中断,否则,元器件不损即坏,或者系统遭受无法挽回的损失。主机系统是非法入侵者的主要攻击目标。由于计算机本身存在着一些固有的弱点和脆弱性,可能使系统信息的完整性受到威胁,也可能使信息遭到破坏而不能继续使用。更为严重的是非授权用户利用计算机的弱点可以对系统进行非法访问,窃取有价值的信息而不留任何痕迹。(5)网络安全漏洞。网络传输时对协议的过分信任会形成网络传输的漏洞。如IP欺骗就是利用网络传输时对IP和DNS的信任
6、来破坏网络正常运行的。(6)安全管理。在网络的管理以及人员的管理方面也会存在一些漏洞,给不法分子提供了可乘之机。9.1.2 网络安全所面临的威胁网络安全所面临的威胁影响网络安全的因素很多,有自然的因素,也有人为的因素。其中人为因素危害较大,归纳起来,主要表现为:(1)非授权访问。没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。(2)计算机病毒。病毒是附着于程序或文件中的一段计算机代码,可以在计
7、算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件系统。计算机病毒有轻重之分,轻者仅产生一些干扰,重者则会彻底摧毁硬件系统。随着网络应用的不断深入,病毒的传播也越来越广泛。早期,当电子邮件得到普遍应用时,滋生了大量的邮件病毒;以QQ为代表的即时通信系统得到了大力发展,与此同时也出现了盗用QQ号码和聊天信息的病毒;网络银行日益普及,可同时也出现了专偷网上银行用户信息的网银病毒。(3)蠕虫。蠕虫类似于病毒,能从一台计算机复制到另一台计算机,但是它是自动运行的。蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。蠕
8、虫控制计算机具备传输文件或信息的功能。它的传播不必通过“宿主”程序或文件,因此它可潜入你的系统并允许其他人远程控制你的计算机。最危险的是,蠕虫可以大量复制。2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。(4)木马。木马是利用计算机程序漏洞侵入后窃取文件的程序。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危
9、害,而是以控制为主。木马的传播方式主要有两种:一种是通过email,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。(5)系统的漏洞及“后门”。操作系统和软件都或多或少的存在一定的缺陷和漏洞,一旦“漏洞”、“后门”为外人所知,就很有可能成为网络系统受攻击的首选目标。我们今天看到的很多黑客入侵事件就是由系统的“漏洞”和“后门”所造成的。(6)拒绝服务攻击(Denial of Service,DoS)。网络服务系统受到干扰,系统响应减
10、慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。(7)信息泄漏或丢失。敏感数据在有意或无意中被泄漏出去或丢失。9.2网络安全策略网络安全策略9.2.1 网络安全策略的一般性原则网络安全策略的一般性原则1.综合分析网络风险原则综合分析网络风险原则对任何一个网络来说,绝对安全难以达到,那么就应该结合该网络实际情况,对网络所面临的各种风险、威胁等进行定性及定量的结合分析,根据分析结果制定相关的措施和规范,确定本系统的安全策略。2.综合性、整体性原则综合性、整体性原则运用系统工程的方法分析网络的安全问题,并制定相应措施。一个好的安全措施应该是多种方法综
11、合运用的结果。计算机网络是一个极其庞大和复杂的系统,包括了多个环节,它们在网络安全中的影响和作用,只有从系统综合的整体的角度去把握和分析,才可能获得有效、可行的措施。3.适应性原则适应性原则安全策略是在一定条件下采取的安全措施,必须是和网络的实际应用环境相结合的。通常,在一种情况下实施的安全策略到另一环境下就未必适合,因此安全策略的制定应充分考虑当前环境的实际需求。4.易操作性原则易操作性原则制定网络安全措施时,应尽量保证安全措施的易操作性,如果措施过于复杂,对操作人员要求太高,反而会因此降低网络的安全性。其次,使用的措施不能影响系统正常运行。5.灵活性原则灵活性原则任何一个网络都不可能是一成
12、不变的,它必然随着外部和内部各种因素的影响而改变,这就要求安全措施必须能随着网络性能及安全需求的变化而变化,要具有一定的适应性,易于修改。6.一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络安全需求相一致,在网络系统设计及实施计划、网络验证、验收、运行等网络生命周期的各个阶段,都要制定相应的安全策略。7.管理与制度相结合原则管理与制度相结合原则除了采用技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。8.统筹规划,分步实施原则统筹规划,分步实施原则由于网络安全服务需求会随着
13、环境、条件、时间的变化而变化,攻击手段的不断进步,安全防护策略不可能一步到位,可以在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全框架,保证基本的、必须的安全性。随着今后网络规模的扩大及应用的增加,不断调整和增强网络安全的防护力度,更全面地保证整个网络的安全性。9.2.2 网络安全策略的技术实现网络安全策略的技术实现1.物理安全策略物理安全策略物理安全策略的目的是保护计算机系统、网络服务器等硬件和通信链路免受自然灾害和人为破坏;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发
14、生。抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为采用各种电磁屏蔽和干扰的防护措施。2.访问控制策略访问控制策略访问控制是网络安全保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。常用的访问控制策略包括:入网访问控制、网络权限控制、网络服务器安
15、全控制、网络监测和锁定控制、网络端口和结点的安全控制、防火墙控制。3.信息加密策略信息加密策略信息加密技术是网络安全体系中的核心技术。通过信息加密,可以保护网内的数据、文件和控制信息,保护网上传输的数据。网络中常用的信息加密方法有链路加密、结点加密和端到端加密三种。链路加密是指所有信息在被传输之前进行加密,在每一个结点对接收到的信息进行解密,然后再使用下一个链路的密钥对信息进行加密,再进行传输。在到达目的地之前,一条消息可能要经过许多通信链路的传输。结点加密在操作方式上与链路加密相似,不同的是结点加密不允许信息在网络结点以明文形式存在,它先把收到的信息进行解密,然后采用另一个不同的密钥进行加密
16、,这一过程是在结点上的一个安全模块中进行的。端到端加密是为数据从一端到另一端提供的加密方式。数据在发送端被加密,在接收端解密,中间结点处不以明文的形式出现。4.安全管理策略安全管理策略首先,要进行安全管理队伍的建设。在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减少一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前
17、一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络安全、可靠地运行,将起到十分有效的作用。9.2.3 网络安全服务与安全标准网络安全服务与安全标准1.网络安全服务的内容网络安全服务的内容网络安全包含三个方面的内容:(1)安全攻击(security attack):是指有损于网络信息安全的操作。(2)安全机制(security
18、mechanism):是指检测、预防或从安全攻击中恢复的机制。(3)安全服务(security service):是指提高数据处理安全系统中信息安全性的服务。2.网络安全服务的基本功能网络安全服务的基本功能(1)数据保密(data confidentiality):数据保密服务是指保证数据信息的安全性,防止数据信息在网络传输过程被非授权用户获取。(2)身份认证(authentication):认证是指证实主体身份与其所声称的身份是否相符的过程,用于识别主体的身份和对主体身份的证实。这种服务是在两个开放系统同等层中的实体建立连接和数据传送期间,为提供连接实体身份的鉴别而规定的一种服务。这种服务防
19、止冒充类型的攻击,它不提供防止数据中途被修改的功能。(3)访问控制(access control):访问控制是指控制与限定网络用户对主机系统、网络服务与网络信息资源的访问和使用,防止非授权用户读取、写入、删除和执行文件。如果攻击者攻击网络,它首先要绕过网络访问控制机制。常用的访问控制服务是通过对用户的身份确认与设置访问控制权限来确定用户身份的合法性,以及用户对主机、网络服务与网络信息资源使用的合法性。更高安全级别的访问控制服务可以通过用户口令的加密存储和传输,以及使用一次性智能卡、个人特殊性标识等方法提高身份认证的可靠性。(4)数据完整性(data integrity):数据完整性用来防止非法
20、实体对用户的主动攻击,以保证数据接收方收到的信息与发送方发送的信息完全一致。确定单个数据单元的完整性设计及两个处理,一个在发送实体进行,一个在接收实体进行。发送实体给数据单元附加一个由数据自己决定的量,这个量可以是分组校验码或密码校验值之类的补充信息,而且它本身可以被加密。接收实体产生一个相当的量,把它与收到的量进行比较,确定该数据在传输过程中是否被篡改。(5)防抵赖(non-repudiation):防抵赖是用来保证通信的双方不能对已发送或已接收的信息予以否认。一旦发送方对其发送的数据予以否认,或接收方对已接收的数据进行否认,防抵赖可以提供记录,说明否认方是错误的。防抵赖对电子商务、电子政务
21、是非常有用的。(6)审计管理(audit management):审计管理是采用数据挖掘和数据仓库技术,实现在不同网络环境中终端对终端的监控和管理,必要时通过多种途径向管理员发出警告或自动采取措施,对用户和程序使用资源的使用情况进行记录和审查,可以尽早发现入侵活动,以保证系统安全,并帮助查清事故原因。3.网络安全评估标准网络安全评估标准人们经常需要了解一个网络信息系统的安全状况,衡量和评价一个网络信息系统安全性的一个重要准则是安全评估标准。各国和相关的国际标准化组织纷纷制定了一系列的评估标准,下面我们将简单的介绍其中几种主要的标准。1)美国的彩虹系列1985年美国国防部计算机安全中心开发出计算
22、机安全标准:可信任计算机标准评估准则(Trusted Computer Standards Evaluation Criteria Orange Book,TCSEC),即通常所说的橘皮书。它描述了不同类型的物理安全、操作系统软件的可信度,说明了如何创建不同系统的安全需求等。它是第一个信息安全评估标准,且一直是评估多用户主机和小型操作系统的主要方法。其缺点是由于出现的时间较早,对网络系统和数据库方面的安全需求没有考虑。后来美国国防部计算机安全中心更名为国家计算机安全中心(National Computer Security Center,NCSC),将计算机安全方面的有关文件汇编成册,形成彩虹
23、系列文集(Rainbow Series),橘皮书是其中的一份重要文件。在彩虹系列文集中,共有三种形式的文件:标准文件、解释性文件和指导性文件。标准文件是其中的核心,如橘皮书,其他文件都是围绕标准文件进行标准要求的解释和安全原则的建议指导。其中红皮书(Trusted Network Interpretation of TCSEC)说明了在网络环境下橘皮书的各项要求。蓝皮书(Vendor Guide of Trusted Product Evaluation)给出了产品评估的要求和基本步骤。该标准将安全分为4个方面:安全政策、可说明性、安全保障和文档,从以上4个方面划分为7个安全级别,从低到高依次
24、为D、C1、C2、B1、B2、B3和A级。其中A级代表着绝对可信网络安全,B级代表完全可信网络安全(B1、B2、B3),C级代表可信网络安全(C1、C2),而D级意味着不可信的网络安全。2)加拿大可信任计算标准加拿大政府制定的可信任计算标准(Canadian Trusted Computing Standard,CTCS),该标准由两部分组成:加拿大可信任计算机产品评估标准(Canadian Trusted Computing Product Evaluation Criteria,CTCPEC)和普通标准(Common Criteria)。CTCPEC将安全需求分为四个层次:保密性、可用性、
25、可靠性和可说明性。对产品和评估过程强调功能和保证,其中功能包括保密性、可用性和可说明性,而保证意味着产品用以实现组织的安全策略的可信度。普通标准包含了选择安全措施的要求。该标准也划分了7个保证级,由低到高分别称为EAL-1到EAL-7。3)欧洲信息技术安全评估规则欧洲信息技术安全评估规则(Information Technology Security Evaluation Criteria,简称ITSEC),由英、法、德、荷4国在20世纪90年代联合提出,ITSEC除吸收TCSEC的成功经验外,首次提出信息安全的保密性、完整性、可用性的概念,把可信计算机的概念提高到可信信息技术的高度。ITSE
26、C叙述技术安全的要求,把保密作为安全增强功能。ITSEC定义了从E0级到E6级的7个安全等级,对于每个系统,安全功能可分别定义。它还定义了10种功能,其中前5种与TCSEC的橘皮书的C级要求相似。4)信息技术安全评价通用准则1993年6月,美国、加拿大及欧洲四国经协商同意,起草单一的通用准则CC(Common Criteria)并将其推进到国际标准。CC的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评价准则,国家与国家之间可以通过签订互认协议,决定相互接受的认可级别,这样能使大部分的基础性安全机制,在任何一个地方通过了CC准则评价并得到许可进入国际市场时,就不需要再作评价,使用
27、国只需测试与国家主权和安全相关的安全功能,从而大幅节省评价支出并迅速推向市场。CC强调将安全的功能与保障分离,并将功能需求分为11类63族,将保障分为7类29族。5)信息保障技术框架1998年美国国家安全局(NSA)制定了信息保障技术框架(IATF)的1.1版本,提出了“深度防御策略”,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标。IATF发展到现在已经是4.0版本了。9.3数据加密技术数据加密技术9.3.1 数据加密概述数据加密概述1.基本概念基本概念数据加密又称密码学,它是一门历史悠久的技术,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过
28、解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。在密码体制中,把能够正常阅读的普通信息称为明文(plaintext)。对明文进行某种变换使其内容无法被别人读懂的过程称为加密(encryption)。加密后的信息称为密文(ciphertext),将密文恢复为明文的过程称为解密(decryption)。控制或参与加密、解密过程中的参数称为密钥(key)。2.加密与解密的一般模型加密与解密的一般模型密码技术分为加密和解密两大部分。加密是把明文变换成密文的过程。解密是把密文还原成明
29、文的过程。数据加密与解密的一般模型如图9.1所示。图9.1 数据加密与解密的一般模型在加密阶段,明文M用加密算法E和加密密钥Ke得到密文C=E(M,Ke);在解密阶段,利用解密算法D和解密密钥Kd,还原出明文M=D(C,Kd)。在保密阶段,密文截取者有可能盗取密文,但由于没有解密密钥Kd而无法将其还原成明文,从而保证数据的安全性。9.3.2 对称加密系统对称加密系统对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行
30、解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是,交易双方都使用同样钥匙,安全性得不到保证。此外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的唯一钥匙,这会使得发收信双方所拥有的钥匙数量成几何级数增长,密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难,主要是因为密钥管理困难,使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES、IDEA和AES。传统的DES由于只有56位密钥,因此
31、已经不适应当今分布式开放网络对数据加密安全性的要求。1997年RSA数据安全公司发起了一项“DES挑战赛”的活动,志愿者四次分别用四个月、41天、56个小时和22个小时破解了其用56位密钥DES算法加密的密文。即DES加密算法在计算机速度提升后的今天被认为是不安全的。AES是美国联邦政府采用的商业及政府数据加密标准,预计将在未来几十年里代替DES在各个领域中得到广泛应用。AES提供128位密钥,因此,128位AES的加密强度是56位DES加密强度的1021倍还多。假设可以制造一部可以在1秒内破解DES密码的机器,那么使用这台机器破解一个128位AES密码需要大约149亿万年的时间。(更深一步比
32、较而言,宇宙一般被认为存在了还不到200亿年)因此可以预计,美国国家标准局倡导的AES即将作为新标准取代DES。9.3.3 非对称加密系统非对称加密系统非对称加密算法使用两把完全不同但又是完全匹配的一对钥匙公钥和私钥。在使用非对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是唯一知道自己私钥的人。非对称加密算法的基本原理是,如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文;收信方收到加密
33、密文后,使用自己的私钥才能解密密文。显然,采用非对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。由于非对称算法拥有两个密钥,因而特别适用于分布式系统中的数据加密。广泛应用的非对称加密算法有RSA算法和美国国家标准局提出的DSA。以非对称加密算法为基础的加密技术应用非常广泛。非对称加密系统使用对方的公开密钥进行加密,只有对应的私密密钥才能够破解加密后的密文。9.4防防火火墙墙技技术术防火墙技术起源于中世纪的城堡防卫,那时人们为了保护城堡的安全,在城堡的周围挖一条护城河,每一个进入城堡的人都要经过吊桥,接受城门守卫的检查。人们就是借鉴了这种方法,设
34、计了网络安全的防御系统,即“防火墙”(firewall),防火墙在网络中的地位如图9.2所示。图9.2 防火墙在网络中的地位9.4.1 防火墙的基本概念防火墙的基本概念“防火墙”是一种很形象的说法,其实它是指设置在不同网络或网络安全域之间的计算机硬件和软件的组合,用于增强内部网络和Internet之间的访问控制。它是不同网络或网络安全域之间信息的唯一出入口,能根据网络的安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,也是一个分析器,有效地监控了内网和Internet之间的任何活动,保证了内网的安全。防火
35、墙具有以下优点:(1)广泛的服务支持。通过将动态的、应用层的过滤能力和认证相结合,可实现WWW、HTTP和FTP服务等。(2)保护那些易受攻击的服务。防火墙能过滤那些不安全的服务。只有预先被允许的服务才能通过防火墙,这样就降低了网络受到非法攻击的危险,提高了网络的安全性。(3)对私有数据的加密支持。保证通过Internet进行虚拟私人网络和商务活动不受破坏。(4)控制对特殊站点的访问。防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问,而有些则要被保护起来。防火墙能很好的实现这一访问需求。(5)对网络存取访问进行记录和统计。如果所有对Internet的访问都经过防火墙,那么防火墙就能记录
36、下这些访问,并能提供网络使用情况的统计数据。当发生可疑行动时,防火墙会提出警告,并提供网络是否受到监测和攻击的详细情况。9.4.2 传统的防火墙技术及其特点传统的防火墙技术及其特点传统的防火墙包括两大类:“包过滤型”和“应用代理型”。1.包过滤型包过滤型包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包的源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应目的地,其余数据包则从数据流中丢弃。其工作原理如图9.3所示。图9.3 包过滤防火墙工作原理包过滤方式是一种通用、廉价的有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服
37、务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能在很大程度上满足绝大多数企业的安全要求。在整个防火墙技术的发展过程中,包过滤技术出现了两种不同的版本,称为“第一代静态包过滤”和“第二代动态包过滤”。1)第一代静态包过滤型防火墙这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址,IP目标地址,传输协议(TCP,UDP,ICMP等等),TCP/UDP目标端口,ICMP消息
38、类型等,其工作原理如图9.4所示。图9.4 静态包过滤型防火墙工作原理2)第二代动态包过滤型防火墙 这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题,这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。包过滤方式的优点是不用改动客户机和主机上的应用程序,因为其工作在网络层和传输层,与应用层无关,但其弱点也是明显的,过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限的,且随着规则数目增加
39、,性能会受到很大的影响;由于缺少上下文关联信息,不可能有效地过滤如UDP,RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能根据包头信息,而不能对用户身份进行验证,很容易受到“抵制欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统,其工作原理如图9.5所示。图9.5 动态包过滤型防火墙工作原理2.应用代理型应用代理型应用代理型防火墙工作在OSI的最高层,即应用层。其特点是安全“隔离”了网络通信流,通过对其中应用服务编制专门的代理程序,实现监视和控制
40、应用层通信流的作用。其典型网络结构如图9.6所示。图9.6 代理防火墙网络结构示意图代理防火墙技术也经历了两个不同的版本,即第一代应用网关型代理防火墙与第二代自适应代理防火墙。第一代应用网关(application gateway)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网络结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。第二代自适应代理(adaptive proxy)型防火墙是近几年才得到广泛应用的一种新型防火墙类型。它可以结合代理类型防火墙的安全性
41、和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(adaptive proxy server)与动态包过滤器(dynamic packet filter),其工作原理如图9.7所示。图9.7 自适应代理防火墙工作原理在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应的Proxy的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动
42、态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。代理类型防火墙的最突出优点就是安全,由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是包过滤那样,只是对网络层的数据进行过滤。另外代理型防火墙采取的是一种代理机制,它可以为每一种应用服务建立一个专门的代理,内外部网络之间的通信不是直接的,而是先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接对话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。代理防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间
43、的瓶颈。由于防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序内,外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。9.4.3 新一代防火墙技术及其应用新一代防火墙技术及其应用新一代防火墙克服了传统防火墙的缺陷,对网络进行更全面更细致的保护。新一代防火墙不仅覆盖了传统包过滤防火墙的全部功能,而且在对抗IP欺骗、ICMP、ARP等攻击手段方面有显著优势,使防火墙的安全性提升到了新的高度。1.新一代防火墙的类型新一代防火墙的类型1)分布式防火墙针对传统防火墙的缺陷,提出了“分布式防火墙的概念”。分布式防火墙是指那些驻留在网络中主机如服务器或桌面机并对主
44、机系统自身提供安全防护的软件产品。传统的防火墙只是网络中的单一设备,它的管理是局部的。对分布式防火墙来说,每个防火墙作为安全监测机制可以根据安全性的不同需求布置在网络中的任何需要的位置上,但总体安全策略又是统一策划和管理的。分布式防火墙主要应用于企业网络的服务器主机,可堵住内部网的漏洞,解决来自企业内部网的攻击,支持基于加密和认证的网络应用。分布式防火墙的优势在于增强了网络内部的安全性,与网络拓扑无关,支持移动计算模式。2)嵌入式防火墙嵌入式防火墙是内嵌于路由器或交换机的防火墙产品。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块,安装到已有的路由器或交换机中。嵌入式防火墙弥补并改
45、善了各类安全能力不足的边缘防火墙、入侵检测系统以及网络代理程序的设计,它确保内网与外网具有以下功能:不管局域网的拓扑结构如何变更,防护措施都能延伸到网络边缘为网络提供保护;基于硬件、能够防范入侵的安全特性能独立于主机操作系统与其他安全性程序运行,甚至在安全性较差的宽带链路上都能实现安全移动与远程接入。嵌入式防火墙安全性解决方案能够为那些在家访问公司局域网的远程办公用户提供保护,帮助企业确保网络最薄弱和未保护领域的安全,如笔记本电脑和远程PC,实行集中式管理的嵌入式客户机方案,并实现了跨越企业边缘防火墙的可靠网络连接,为企业和政府站点提供高级别的安全性。3)智能防火墙智能防火墙利用统计、记忆、概
46、率和决策的智能方法来对数据进行识别,并达到访问控制的目的,由于这些方法多是人工智能学科采用的方法,因此称其为智能防火墙。智能防火墙成功地解决了普遍存在的分布式拒绝服务攻击(Distributed Denial of Service,DoS)的问题、病毒传播问题和高级应用入侵问题,代表着防火墙的主流发展方向。新一代智能防火墙自身的安全性较传统的防火墙有很大的提高,在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面,与传统防火墙相比有着质的飞跃。智能防火墙在保护网络和站点免受黑客的攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强大的身份认证授权
47、和审计管理等方面,都有广泛的应用价值。2防火墙的体系结构发展趋势防火墙的体系结构发展趋势 随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。与基于ASIC
48、的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比起其他类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。3.典型防火墙产品典型防火墙产品1)3Com Office Connect Firewall新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全。Office Connect Internet Firewall
49、 25使用全静态数据包检验技术来防止非法的网络接入和防止来自Internet的“拒绝服务”攻击,它还可以限制局域网用户对Internet的不恰当使用。2)Cisco PIX防火墙Cisco PIX防火墙具有以下特点:(1)实时嵌入式操作系统。(2)保护方案基于自适应安全算法(Adaptive Security Algorithm,ASA),可以确保最高的安全性。(3)用于验证和授权的“直通代理”技术。(4)最多支持250 000个同时连接。(5)URL过滤。9.5入侵检测技术入侵检测技术9.5.1 入侵检测的概念入侵检测的概念入侵检测(Intrusion Detection Systems,I
50、DS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:(1)监视、分析用户及系统活动;(2)系统构造和弱点的审计;(3)识别反映已知进攻的活动模式并向相关人士报警;(4)异常行为模式的统计分析;(5)评估重要系统和数据文件的完整性;(6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系
