发布时间:2023-04-06 18:39:41
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的防火墙技术论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
本文通过了解防火墙四种基本类型:包过滤型、网络地址转换—NAT、型和监测型的不同特点、重要性,进一步分析了网络安全防火墙技术。
【关键词】网络防火墙服务器
绪论
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、型和监测型。
一、包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
二、网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
三、型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到内部网络系统。
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
四、监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
关键词:计算机 信息系统 安全
一、面临的主要威胁
1、内部窃密和破坏。内部人员可能对网络系统形成下列威胁:内部人员有意或无意泄密、更改记录信息;内部非授权人员有意无意偷窃机密信息、更改网络配置和记录信息;内部人员破坏网络系统。
2、截收。攻击者可能通过搭线或在电磁波辐射的范围内安装截收装置等方式,截获机密信息,或通过对信息流和流向、通信频度和长度等参数的分析,推出有用信息。它不破坏传输信息的内容,不易被查觉。
3、非法访问。非法访问指的是未经授权使用网络资源或以未授权的方式使用网络资源,它包括非法用户如黑客进入网络或系统进行违法操作,合法用户以未授权的方式进行操作。
4、破坏信息的完整性。攻击可能从三个方面破坏信息的完整性:改变信息流的次序、时序,更改信息的内容、形式;删除某个消息或消息的某些部分;在消息中插入一些信息,让收方读不懂或接收错误的信息。
5、冒充。攻击者可能进行下列冒充:冒充领导命令、调阅文件;冒充主机欺骗合法主机及合法用户;冒充网络控制程序套取或修改使用权限、口令、密钥等信息,越权使用网络设备和资源;接管合法用户、欺骗系统、占用合法用户的资源。
6、破坏系统的可用性。攻击者可能从下列几个方面破坏网络系统的可用性:使合法用户不能正常访问网络资源;使有严格时间要求的服务不能及时得到响应;摧毁系统。
7、重演。重演指的是攻击者截获并录制信息,然后在必要的时候重发或反复发送这些信息。
8、抵赖。可能出现下列抵赖行为:发信者事后否认曾经发送过某条消息;发信者事后否认曾经发送过某条消息的内容;发信者事后否认曾经接收过某条消息;发信者事后否认曾经接收过某条消息的内容。
9、其它威胁。对网络系统的威胁还包括计算机病毒、电磁泄漏、各种灾害、操作失误等。
二、防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
三、入侵检测技术
IETF将一个入侵检测系统分为四个组件:事件产生器(Event Generators);事件分析器(Event An-alyzers);响应单元(Response Units)和事件数据库(Event Data Bases)。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
四、数据加密技术
数据加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障其安全性。加密是一种限制对网络上传输数据的访问权的技术。原始数据(也称为明文,plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文(ciphertext)。将密文还原为原始明文的过程称为解密,它是加密的反向处理,但解密者必须利用相同类型的加密设备和密钥,才能对密文进行解密。数据加密类型可以简单地分为三种:一是根本不考虑解密问题;二是私用密钥加密技术;三是公开密钥加密技术。
五、安全协议
安全协议的建立和完善,是计算机网络信息安全保密走上规范化、标准化道路的基本因素.目前已开发应用的安全协议有以下5种:(1)加密协议.一能用于把保密数据转换成公开数据,在公用网中自由发送:二能用于授权控制,无关人员无法解读。(2)密钥管理协议。包括密钥的生成、分类、存储、保护、公证等协议.(3)数据验证协议。包括数据解压、数据验证、数字签名。(4)安全审计协议。包括与安全有关的事件,如数据事件的探测、收集、控制。(5)防护协议。除防病毒卡、千扰仪、防泄露等物理性防护措施外,还用于对信息系统自身保护的数据(审计表等)和各种秘密参数(用户口令、密钥等)进行保护,以增强反网络入侵功能。
参考文献:
[1]丁霞军.基于ASP的管理信息系统开发及其安全性研究(学位论文).安徽:安徽理工大学,2005
论文摘要:随着当代信息技术的发展,互联网的共享性、开放性以及互联程度也在不断扩大。internet的广泛普及,商业数字货币、网络银行等一部分网络新业务的迅速兴起,使得计算机网络的安全问题越来越显得重要,通过归纳总结,提出网络信息中的一些安全防护策略。
1.引言
网络环境的复杂性、多变性以及信息系统的脆弱性,决定了网络安全威胁的客观存在。当前,随着计算机技术的飞速发展,利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了,因此,如何采用更加安全的数据保护及加密技术,成为当前计算机工作者的研究热点与重点。网络安全技术,尤其是网络信息的安全,关系到网民、企业甚至是国家的信息安全。因此,发展更加安全的网络安全技术,是关系到社会经济稳定繁荣发展的关键,成为当前计算机安全工作的重点。
2.网络信息安全的风险来源
影响计算机网络安全的因索很多,既有自然因素,也有人为因素,其中人为因素危害较大,归结起来丰要以下几个方面:
(1)病毒感染
从“蠕虫”病毒开始到cih、爱虫病毒,病毒一直是计算机系统安全最直接的威胁。病毒依靠网络迅速传播,它很容易地通过服务器以软件下载、邮件接收等方式进入网络,窃取网络信息,造成很人的损失。
(2)来自网络外部的攻击
这是指来自局域网外部的恶意攻击,例如:有选择地破坏网络信息的有效性和完整性;伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。
(3)来自网络内部的攻击
在局域网内部,一些非法用户冒用合法用户的口令以合法身份登陆网站后。窃取机密信息,破坏信息内容,造成应用系统无法运行。
(4)系统的漏洞及“后门”
操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。编程人员有时会在软件中留有漏洞。一旦这个疏漏被不法分子所知,就会借这个薄弱环节对整个网络系统进行攻击,大部分的黑客入侵网络事件就是由系统的“漏洞” 和“后门”所造成的。
3.网络信息安全的防护策略
现在网络信息安全的防护措施必不可少。从技术上来说,计算机网络安全主要由防病毒、入侵检测等多个安全组件组成,就此对我们常用的几项防护技术分别进行分析。
3.1防火墙技术
防火墙(ifrewal1)是指设置在不同网络或网络安全域之间的系列部件的组合,它越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入internet网络为甚。不同网络或网络安拿域之间信息都会经过它的过滤,防火墙就会根据自身的安全政策控制(允许、拒绝、监测)出入网络的信息流,而且它本身也具有较强的抗攻击能力,不会被病毒控制。防火墙可以阻j网络中的黑客来访问你的机器,防止他们篡改、拷贝、毁坏你的重要信息。它为网络信息的安全提供了很好的服务,为我们更安全地使用网络提供了很好的保障。
“防火墙”技术是指假设被保护网络具有明确定义的边界和服务而采取的一种安全保障技术,它通过监测、限制和更改通过“防火墙”的数据流,一方面尽可能地对外部网络屏蔽被保护网络的信息、结构,实现对内部网络的保护,以防“人放火”;另一方面对内屏蔽外部某些危险站点,防止“引火烧身”。因而,比较适合于相对独立、与外部网络互联单一、明确并且网络服务种类相对集中的统一互联网络系统。防火墙可对网络存取和访问进行监控审计,如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有internet服务特性的企业内部网络技术体系vpn。vpn,可以将分部在世界各地的lan或专用电子网有机地联成一个整体。这样一方面省去了专用通信线路,也达到了信息共享的目的。
3.2数据加密技术
数据加密技术是网络中最荩木的安伞技术,主要是通过对网络传输的信息进行数据加密来保障其安全性。加密是对网络上传输数据的访问权加强限制的一种技术。原始数据(也称为明文,plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文(ciphertext)。解密是加密的反向处理,是将密文还原为原始明文,但解秘者必须利用相同类型的加密设备和密钥,才能对密文进行解密。
3.3入侵检测技术
入侵检测系统(intrusiondetectionsystem,ids)是从多种计算机系统及网络系统中收集信息,再通过这些信息分析,对计算机和网络资源的恶意使用行为进行识别的网络信息安全系统。入侵检测系统具有多方面的功能:威慑、检测、响应、损失情况评估、攻击预测和起诉支持等。入侵检测技术是为保证计算机信息系统安全而设计与配置的一种能够及时发现并报告系统中朱授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
3.4病毒防护
可采用如下的方法或措施:
(1)合理设置杀毒软什,如果安装的杀毒软什具备扫描电邮件的功能,尽量将这些功能伞部打开;
(2)定期检查敏感文件;
(3)采取必要的病毒检测和监控措施;
(4)对新购的硬盘、软盘、软件等资源,使用前应先用病毒测试软件检查已知病毒,硬盘可以使用低级格式化(dos中的format格式化可以去抻软盘中的病毒,但不能清除硬盘引导的病毒);
(5)慎重对待邮件附件,如果收到邮件中有可执行文件(如.exe、.com等)或者带有“宏”的文杀一遍,确认没有病毒后再打开;
(6)及时升级邮件程序和操作系统,以修补所有已知的安全漏洞。
3.5身份认证技术
身份认证(authentication)是系统核查用户身份证明的过程,其实质是查明用户是否具仃它所请求资源的存储使用权。身份识别(identificaiion)是指用户向系统出示自己的身份证明的过程。这两项上作通常被称为身份认证。
身份认证至少应包括验证协议和授权协议。网络中的各种应用和计算机系统都需要通过身份认证来确认合法性,然后确定它的个人数据和特定权限。对于身份认证系统来说,合法用户的身份是否易于被别人冒充足它最重要的技术指标。用户身份被冒充不仪可能损害用户自身的利益,也可能损害其他用户的利益或整个系统。因此,身份认证是授权控制的基础。只有有效的身份认证,才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。
安装必要的安全软件,杀毒软件和防火墙这些都是必备的,而且还要安装并使用必要的防黑软件。我们一定要把这些安全防护措施及时应在电脑中,在上网时一定要打开它们。最后要及时给系统打补丁,建议人家下载自己的操作系统对应的补丁程序,这是我们网络安全的恭础。
关键词:流过滤技术;IPv6;IPSec;防火墙
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 07-0000-01
IPv6 Firewall Study Based on Flow Filtering Technology
Wang Wei,Liu DiHua
(Changchun University,Computer Science&Engineering College,Changchun130012,China)
Abstract:The most effective and simplest network security tool is firewall,one flow filtering technology as shirt-sleeve the state detection packet-filtering technology and applications of the technology,acting as the latest firewall technology growing more and more concern,IPv6 as the next generation of network address replaced IPv4 is inevitable,so the filtration technology based on the study of IPv6 firewall is also a research hotspot.
Keywords:Flow Filtering technology;IPv6;IPSec;Firewall
一、引言
随着计算机网络的迅猛发展,网络安全问题变得日趋严重。而防火墙作为最简单、最有效的网络安全工具显得尤为重要。传统防火墙包括简单包过滤防火墙、状态检测包过滤防火墙、应用防火墙等,它们都有各自的优点,但也存在着不容忽视的缺点。而“流过滤”技术融合了包过滤和应用的安全性和优点,克服了包过滤和应用的诸多缺陷,代表了一种全新的防火墙技术结构。在大家纷纷开始关注应用层安全的今天,“流过滤”技术架构更加显示了其前瞻性和先进性。
目前我们使用的是第二代互联网IPv4技术,核心技术属于美国。它的最大问题是网络地址资源有限,从理论上讲,我们都知道IPv4地址用32位二进制表示,编址1600万个网络、40亿台主机。其中北美占有3/4,约30亿个,而人口最多的亚洲只有不到4亿个,中国只有3千多万个。而对于互联网飞速发展的今天,占全球网民大多数的亚洲来说,IP地址紧缺已经是一个破在眉睫的问题,IPv4地址确实是要用光了,而这件事很快就要发生了。那么扩充资源的最直接的办法就是扩大IP地址的空间,另一方面,Ipv4在实际的使用中也暴露了一些问题。在这样的环境下,Ipv6应运而生,Ipv6取代Ipv4是必然的。
可见,针对基于流过滤技术的Ipv6防火墙的研究是一个新的研究热点。
二、流过滤的研究
流过滤技术工作在链路层或IP层,是融合了包过滤技术和应用技术安全性的一种全新的防火墙技术,不但克服了包过滤和应用的诸多缺陷,而且融合了它们的优点。其基本原理是以状态包过滤的形态实现对应用层的保护,通过内嵌专门实现的TCP协议栈,在状态检测包过滤的技术上实现了透明的应用信息过滤机制。具体来说,就是客户端在规则允许下,两端可以直接访问,但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话,数据以“流”的方式从一个会话流向另一个会话,有防火墙应用层策略位于流的中间,因此可以在任何时候代替服务器或客户机端参与应用层的会话,从而起到了与应用防火墙相同的控制能力,产生了防火墙的功效。
流过滤的结构继承了包过滤防火墙和应用的特点,因而非常容易部署,消耗资源少、效率高且抗攻击能力也高。并且由于应用层安全策略与网络层安全策略是紧密的,所以在任何一种部署下都能够起到相同的保护作用。
三、IPv6防火墙的研究
IPv6的采用,为我们设计防火墙系统提供了一个新思路,即能否把保密和认证机制融入到防火墙中,并形成统一的标准,这将使得防火墙更加完善和安全。RCF1825定义了IPSec,它提供了IP的安全性体系结构。它对于目前使用最广泛的IPv4协议和各国政府大力发展的下一代的IP版本IPv6协议都能提供良好的支持,IPSec协议可以给运行于IP层的任何一个协议提供安全保护。IPSec是IPv4可选的功能,在IPV6里则是一个必选安全子集。在IPSec出现之前,一般是采用在HTTP下加入SSL层为WEB访问和其他应用程序提供安全保护,SSL只能作用于使用它的程序,不能提供全面的安全保护。而一般的机构则是一直采用链路层加密,即对每个通信一对一加密设备进行保护,尽管这种系统提供良好的数据安全机制,但不能保证链路两端以及其通信节点都是安全的,所以链路层保护基本上不能获得更好更广泛的应用。IPSec在IPv6中更容易实现,它为IP提供访问控制、数据源的身份验证、数据完整性检查、机密性保证以及抗重播攻击等安全机制。
IPSec由认证头头协议(AH)、封装安全载荷协议(ESP)、密匙管理协议(IKE)和一些认证及加密算法等组成,主要采用了8个RFC文档进行定义。
其中IKE是一种混合协议,负责密匙的产生、分发与交换,它由SA和密钥管理协议(ISAKMP)以及两种密钥交换协议OAKLEY与SKEME组成用于协商信源节点和信宿节点间保护IP报文的AH和ESP的相关参数,如加密、认证的算法和密钥、密钥生存期等,称之为安全联盟。其中AH和ESP是网络层协议,IKE是应用层协议,使用的是UDP数据报格式。AH字段为IP数据报提供了完整、身份验证,并且防止重放攻击。ESP头提供了数据报的机密,通过使用公共密钥加密对数据来源进行身份验证,防止重放攻击和通过使用安全网关来提供有限的业务料机密性。IKE协议用于协商AH和ESP协议所使用的密码算法,并将算法所需的必备密钥放在合适的位置。
IPSec具有两种操作模式:传输模式和隧道模式,在传输模式下,IPSec对数据进行加密,原始的IP帧头不发生改变,这样的优点是每个IP分组只增加几个字节,但网络中的中间节点能看到源地址和目标地址,通过一些特殊的手段可以对数据包进行分析,传输模式无法阻止入侵者对数据进行分析,但可以保证IP数据的保密性。隧道模式下对整个IP包进行加密重新生成新的IP帧头和IPSec标头,这样的好处是由发送端路由器进行加密,接受端路由进行解密,终端设备不用因为使用IPSec协议而发生改变,减少了应用成本,而且入侵者无法获得实际的目标地址和源地址,也无法对数据进行分析。
IPSec传输模式只有在源系统和目标系统都具有IPSec功能时才可以采用,所以在很多情况下一般采用隧道模式,可样可以在不改变服务器或主机的操作系统和应用软件的情况下使用IPSec。
四、基于流过技术的IPv6防火墙的研究
(一)基于流过技术的IPv6防火墙的设计策略
本文设计的防火墙将采用屏蔽子网的防火墙系统结构,在这个基础上解决IPSec与防火墙的兼容问题;并且在堡垒主机中添加了流过滤模块,对应用层进行了更好的保护。
屏蔽子网的IPv6防火墙体系结构图:
屏蔽子网防火墙系统层次结构示意图:
在IPv6网络通信中,网络传输的IPv6报文都是密文,防火墙无法获得端口等信息进行过滤。为解决这一问题,本文在采用屏蔽子网防火墙系统结构的基础上,提出了解决方案。
两个分组过滤路由器和一个堡垒主机,它们单独构成一个子网,位于内部子网和Internet之间,称之为屏蔽子网。外部路由器介于Internet与屏蔽子网之间,而内部路由器介于屏蔽子网与内部可信子网之间,两个路由器可进行不同级别的过滤,屏蔽子网只允许Internet和内部子网接入到堡垒主机中,但试图绕过它的流量都将被阻塞掉。
下面我们介绍其实现:
1.外部路由器只需对不加密的报文部分进行过滤。如:由于IPv6采用了IPSec机制,所以外部路由器只需对外部数据报头中的源地址及网关地址等明文信息进行过滤;对于IPv4报文中IPSec是可选部分,而且大多用在VPN中,所以外部路由器也可对没加密的IPv4报文进行过滤;这样大大减轻了堡垒主机的负荷。
2.堡垒主机接收到外部路由器转发的数据包后,去掉外部IP头,通过SPI(安全参数索引)计算密钥,对实际的数据包进行解密或对AH数据报头校验,没有通过认证的丢弃;通过认证的再通过过滤规则对其进行过滤:如果为允许通过的包,若为关键报文,交由传输层,由传输层将报文交给应用层。堡垒主机通过流过滤模块对关键报文进行数据包重组之后通过流过滤规则过滤掉系统认为不安全的业务,从而实现了对应用层的保护。如果为非关键报文就直接交给包过滤进行过滤,如为允许包就通过,否则就阻塞。堡垒主机将通过以上过滤的分组进行重新打包,发向内部路由器,并根据规则对丢弃的分组进行处理。
3.内部路由器接受到来自堡垒主机的流量,首先根据源地址、源端口等信息以及内网各主机的安全级别进行再次过滤,然后根据该分组的内网实际地址,对该分组进行ESP封装加密(密钥的来源可取自堡垒主机),然后转发该分组至目的端。而内部路由器在处理由内网通往外网的流量时,首先对该分组解密,然后根据各主机的不同权限和该系统的安全策略进行过滤,通过的流量由堡垒主机进行封装加密后转发。若内网各主机有不同的安全级别(如:一些保密单位主机要求限制对其的访问),可强制所有通往保密主机的流量都由内部路由器路由,进而可由内部路由器解密后实现接入控制。
以上方案的实现,需要存在一套独立的密钥分配协议,这可以考虑在安装防火墙系统时,由客户端软件实现,在此,就不多做讨论了。
(二)系统设计
本文设计的系统,包括数据包捕获模块、数据包分流模块、包过滤模块、流过滤模块、报警信息记录模块、日志数据库的设计、过滤规则数据库、控制规则模块、客户端模块等。
1.数据包捕获模块:数据包捕获模块,与一般的数据包捕获模块功能基本相同,对网络链接的侦听并收集数据包。
2.数据包分流模块:对捕获的数据包进行类型分析。判断其是否为关键报文,以确定是经过包过滤模块或是流过滤模块。
数据包捕获模块和分流模块工作流程:首先把堡垒主机的网卡设为混杂模式-》启用SONKET函数-》数据包捕获模块利用数据包嗅探器原理接收到数据包-》数据包分流模块分析数据包头的信息-》如果关键报文。那么就交给流过滤模块对这类数据包进行处理;但是如果不是关键报文,那么就交给包过滤模块处理-》如此循环。
3.包过滤模块:本文设计的包过滤模块只对非关键报文进行过滤。根据过滤规则:允许传输的,通过;阻塞传输的,丢弃,并将非法报文相关信息交给报警信息记录模块处理。
包过滤工作流程:利用数据包捕获模块获得报文,并分析报头信息-》应用一个过滤规则进行判断-》如果允许传输,则为允许包(合法报文);如果阻塞传输,则为阻塞包(非法报文),并将非法报文相关信息交给报警信息记录模块处理;如果经过本条规则过滤既不是允许传输的报文,也不是阻塞传输的报文,则进行下一个过滤规则的判断-》如果所有的规则都没有符合的,则默认为非法报文,阻塞传输-》如此循环。
4.流过滤模块:接收来自数据包分流模块的关键报文,实现对关键报文的截取、检查、合法转发。
流过滤工作流程:捕获模块接收到数据包,对数据包的包头进行分析,判断是否为关键报文-》如果不是关键报文,则交给包过滤模块进行过滤;如果是关键报文,则交给流过滤模块进行过滤-》判断为关键报文之后,发送应答报文-》判断同一会话关键报文是否传输完毕:如果同一会话的关键报文没有传输完毕,则继续接收下一个数据包;如果同一会话的关键报文传输完毕,则去掉重复报文,根据序号字段排列报文顺序判-》判断每一报文序号字段检查数据是否完整:如果不完整,则继续接收数据包;如果完整,则组合所有报文应用层-》取得httpurl链接中的一条规则,比较报文首部相关信息与规则对应字段,并在重组数据匹配规则中过滤内容项判-》判断数据是否合法:如果比较完毕合法,则按报文正确顺序发送原始报,之后继续接收下一个数据包,继续下一个循环;如果不合法,则根据规则中action字段值处理数据。
5.报警信息记录模块:报警信息记录模块负责将报警信息记录进日志数据库,同时将报警信息交给客户端。
6.日志数据库的设计:对系统运行情况的实时监控。
7.过滤规则数据库:用来存放过滤规则。本文把设计的包过滤规则和流过滤规则都要存放到这个过滤规则数据库中。可以说这是个大的容器,用来存放本文的规则,当然如后期用户自己设置一些合适自己的规则,也要放到过滤规则库中。
8.控制规则模块:实现的是用户根据自己的要求设置规则。必须考虑用户自己设计过滤规则时可能出现的问题,把重复的规则要删掉;不重复的写入过滤规则数据库中。
9.客户端模块:负责将报警信息传送给防火墙客户端,同时接受防火墙客户的各种操作。
基于流过滤技术的IPv6防火墙的系统设计图:
(三)系统的实现
本文采用的是Linux开发平台。硬件环境:PC机,10/100M自适应网卡,路由器,局域网和外网环境。软件环境:Linux操作系统,GCC开发平台,开源防火墙。
五、总结
本文设计的防火墙系统实现了IPv6数据包的过滤功能,能够保护内网主机的安全,基本符合了防火墙的行业标准,基本达到了预期的目标。当然,本设计也存在很多的不足,有待进一步的充实和改进。
参考文献:
[1]东软软件股份有限公司,NetEye Firewall3.2 技术白皮书
[2]孙为.纯IPv6网络中IPSec的研究与应用:[硕士学位论文],西安:西安电子科技大学
[3]NetEye防火墙3.2.计算机安全[J].2003
关键词入侵检测异常检测误用检测
在网络技术日新月异的今天,论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(IntrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2入侵检测
2.1入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结根据不同的检测方法,将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。
3.1异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。
4.4入侵检测的评测方法
用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。
4.5全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
4张慧敏,何军,黄厚宽.入侵检测系统.计算机应用研究,2001;18(9):38—4l
论文摘要:在介绍网络安全概念及其产生原因的基础上,介绍了各种信息技术及其在局域网信息安全中的作用和地位。
随着现代网络通信技术的应用和发展,互联网迅速发展起来,国家逐步进入到网络化、共享化,我国已经进入到信息化的新世纪。在整个互联网体系巾,局域网是其巾最重要的部分,公司网、企业网、银行金融机构网、政府、学校、社区网都属于局域网的范畴。局域网实现了信息的传输和共享,为用户方便访问互联网、提升业务效率和效益提供了有效途径。但是由于网络的开放性,黑客攻击、病毒肆虐、木马猖狂都给局域网的信息安全带来了严重威胁。
信息技术是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论诸多学科的技术。信息技术的应用就是确保信息安全,使网络信息免遭黑客破坏、病毒入侵、数据被盗或更改。网络已经成为现代人生活的一部分,局域网的安全问题也闲此变得更为重要,信息技术的应用必不可少。
1网络安全的概念及产生的原因
1.1网络安全的概念
计算机网络安全是指保护计算机、网络系统硬件、软件以及系统中的数据不因偶然的或恶意的原因而遭到破坏、更改和泄密,确保系统能连续和可靠地运行,使网络服务不巾断。从本质上来讲,网络安全就是网络上的信息安全。网络系统的安全威胁主要表现在主机可能会受到非法入侵者的攻击,网络中的敏感信息有可能泄露或被修改。从内部网向公共网传送的信息可能被他人窃听或篡改等等。典型的网络安全威胁主要有窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。
网络安全包括安全的操作系统、应用系统以及防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复和完全扫描等。它涉及的领域相当广泛,这是因为目前的各种通信网络中存在着各种各样的安全漏洞和威胁。从广义上讲,凡是涉及网络上信息的保密性、完整性、可性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。网络安全归纳起来就是信息的存储安全和传输安全。
1.2网络安全产生的原因
1.2.1操作系统存在安全漏洞
任何操作系统都不是无法摧毁的“馒垒”。操作系统设计者留下的微小破绽都给网络安全留下了许多隐患,网络攻击者以这些“后门”作为通道对网络实施攻击。局域网中使用的操作系统虽然都经过大量的测试与改进,但仍有漏洞与缺陷存在,入侵者利用各种工具扫描网络及系统巾的安全漏洞,通过一些攻击程序对网络进行恶意攻击,严重时造成网络的瘫痪、系统的拒绝服务、信息的被窃取或篡改等。
1.2.2 TCP/lP协议的脆弱性
当前特网部是基于TCP/IP协议,但是陔协议对于网络的安全性考虑得并不多。且,南于TCtVIP协议在网络上公布于众,如果人们对TCP/IP很熟悉,就可以利川它的安全缺陷来实施网络攻击。
1.2.3网络的开放性和广域性设计
网络的开放性和广域性设计加大了信息的保密难度.这其巾还包括网络身的布线以及通信质量而引起的安全问题。互联网的全开放性使网络可能面临来自物理传输线路或者对网络通信协议以及对软件和硬件实施的攻击;互联网的同际性给网络攻击者在世界上任何一个角落利州互联网上的任何一个机器对网络发起攻击提供机会,这也使得网络信息保护更加难。
1.2.4计算机病毒的存在
计算机病毒是编制或者存计箅机程序巾插入的一组旨在破坏计箅机功能或数据,严重影响汁算机软件、硬件的正常运行,并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点。大量涌现的病毒在网上传播极快,给全球地嗣的网络安全带来了巨大灾难。
1.2.5网络结构的不安全性
特网是一个南无数个局域网连成的大网络,它是一种网问网技术。当l主机与另一局域网的主机进行通信时,它们之间互相传送的数据流要经过很多机器重重转发,这样攻击者只要利用l台处于用户的数据流传输路径上的主机就有可能劫持用户的数据包。
2信息技术在互联网中的应用
2.1信息技术的发展现状和研究背景
信息网络安全研究在经历了通信保密、数据保护后进入网络信息安全研究阶段,当前已经…现了一些比较成熟的软件和技术,如:防火墙、安全路由器、安全网关、黑客人侵检测、系统脆弱性扫描软件等。信息网络安全是一个综合、交叉的学科,应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统等方面综合开展研究,使各部分相互协同,共同维护网络安全。
国外的信息安全研究起步较早,早在20世纪70年代美国就在网络安全技术基础理论研究成果“计算机保密模型(Beu&Lapaduh模型)”的基础上,提出了“可信计箅机系统安全评估准则(TESEC)”以及后来的关于网络系统数据库方面的相关解释,彤成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,处于发展提高阶段,仍存在局限性和漏洞。密码学作为信息安全的关键技术,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。自从美国学者于1976年提出了公开密钥密码体制后,成为当前研究的热点,克服了网络信息系统密钥管理的闲舴,同时解决了数字签名问题。另外南于计箅机运算速度的不断提高和网络安全要求的不断提升,各种安全技术不断发展,网络安全技术存21世纪将成为信息安全的关键技术。
2.2信息技术的应用
2.2.1网络防病毒软件
存网络环境下,病毒的传播扩散越来越快,必须有适合于局域网的全方位防病毒产品。针对局域网的渚多特性,应该有一个基于服务器操作系统平的防病毒软件和针对各种桌面操作系统的防病毒软件。如果局域网和互联网相连,则川到网大防病毒软件来加强上网计算机的安全。如果使用邮件存网络内部进行信息交换.则需要安装基于邮件服务器平的邮件防病毒软件,用于识别出隐藏在电子邮件和附件巾的病毒最好的策略是使川全方位的防病毒产品,针对网络巾所有可能的病毒攻击点设置对应的防病毒软件。通过全方位、多层次的防病毒系统的配置,定期或不定期地动升级,保护局域网免受病毒的侵袭。
2.2.2防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础;上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境巾,尤其以接入lnlernel网络的局域网为典型。防火墙是网络安全的屏障:一个防火墙能檄大地提高一个内部网络的安全性,通过过滤不安全的服务而降低风险。南于只有经过精心选择的应州协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件如口令、加密、身份认证、审计等配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
防火墙技术是企业内外部网络问非常有效的一种实施访问控制的手段,逻辑上处于内外部网之问,确保内部网络正常安全运行的一组软硬件的有机组合,川来提供存取控制和保密服务。存引人防火墙之后,局域网内网和外部网之问的通信必须经过防火墙进行,某局域网根据网络决策者及网络擘家共同决定的局域网的安全策略来设置防火墙,确定什么类型的信息可以通过防火墙。可见防火墙的职责就是根据规定的安全策略,对通过外部网络与内部网络的信息进行检企,符合安全策略的予以放行,不符合的不予通过。
防火墙是一种有效的安全工具,它对外屏蔽内部网络结构,限制外部网络到内部网络的访问。但是它仍有身的缺陷,对于内部网络之问的入侵行为和内外勾结的入侵行为很难发觉和防范,对于内部网络之间的访问和侵害,防火墙则得无能为力。
2.2.3漏洞扫描技术
漏洞扫描技术是要弄清楚网络巾存在哪些安全隐患、脆弱点,解决网络层安全问题。各种大型网络不仅复杂而且不断变化,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估得很不现实。要解决这一问题,必须寻找一种能金找网络安全漏洞、评估并提…修改建议的网络安全扫描工具,利刖优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。存网络安全程度要水不高的情况下,可以利用各种黑客工具对网络实施模拟攻击,暴露出:网络的漏洞,冉通过相关技术进行改善。
2.2.4密码技术
密码技术是信息安全的核心与关键。密码体制按密钥可以分为对称密码、非对称密码、混合密码3种体制。另外采用加密技术的网络系统不仅不需要特殊网络拓扑结构的支持,而且在数据传输过程巾也不会对所经过网络路径的安全程度做出要求,真正实现了网络通信过程端到端的安全保障。非对称密码和混合密码是当前网络信息加密使川的主要技术。
信息加密技术的功能主要是保护计算机网络系统内的数据、文件、口令和控制信息等网络资源的安全。信息加密的方法有3种,一是网络链路加密方法:目的是保护网络系统节点之间的链路信息安全;二是网络端点加密方法:目的是保护网络源端川户到口的川户的数据安全;二是网络节点加密方法:目的是对源节点到目的节点之间的传输链路提供保护川户可以根据实际要求采川不同的加密技术。
2.2.5入侵检测技术。
入侵检测系统对计算机和网络资源上的恶意使川行为进行识别和响应。入侵检测技术同时监测来自内部和外部的人侵行为和内部刚户的未授权活动,并且对网络入侵事件及其过程做fIj实时响应,是维护网络动态安全的核心技术。入侵检测技术根据不同的分类标准分为基于行为的入侵检测和基于知识的人侵检测两类。根据使用者的行为或资源使状况的正常程度来判断是否发生入侵的称为基于行为的入侵检测,运用已知的攻击方法通过分析入侵迹象来加以判断是否发生入侵行为称为基于知识的入侵检测。通过对迹象的分析能对已发生的入侵行为有帮助,并对即将发生的入侵产生警戒作用
3结语
关键词入侵检测异常检测误用检测
在网络技术日新月异的今天,基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1 防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文 而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(Intrusion Detection System)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2 入侵检测
2.1 入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文 已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3 分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结 根据不同的检测方法,将入侵检测分为异常入侵检测(Anomaly Detection)和误用人侵检测(Misuse Detection)。
3.1 异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。
(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
3.2 误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,留学生论文 对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。
3.2.1 不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。
3.2.2 与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。
4 入侵检测的发展方向
随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:
4.1 分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。
4.2应用层入侵检测
许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理Lotus Notes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
4.3 智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。
4.4 入侵检测的评测方法
用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。
4.5 全面的安全防御方案
结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。
参考文献
l 吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183
2 罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31
3 李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428
4 张慧敏,何军,黄厚宽.入侵检测系统.计算机应用研究,2001;18(9):38—4l
[关键词] 安全模型 电子商务 网络 局域网
一、引言
一个电子商务系统的性能如何,可以通过网络的吞吐量、主机的运算速度、数据库的TPC等量化指标来衡量,用户可根据自己的业务情况、资金条件来选择系统性能。而一个电子商务系统的安全如何,则是个难以量化的指标,“什么事情也没有”实际上就是安全的最高境界,而“什么事情也没有”最容易产生忽视安全问题。因此很好地解决系统的安全问题是非常重要的。
二、动态安全模型P2DR
由于网络技术的发展和入侵技术的不断提高,传统的安全模式已经不能满足当今的网络安全需要。要达到理想的安全目标,它更应该是一个灵活可适应的过程,它必须对你的网络提供安全状态反馈,迅速分清攻击和误操作,并能够提供适当的重新配置和响应能力。
面对不可避免的各种攻击,系统安全的重点应放在如何在安全策略的指导下及时发现问题,然后迅速响应,P2DR模型就是这样的一个动态安全模型,它对传统安全模型作了很大改进,引进了时间的概念,对实现系统的安全、评价安全状态给出了可操作性的描述。所谓动态的,是指安全随着网络环境的变化和技术的不断发展进行不断的策略调整;所谓基于时间的,是指一个黑客在到达攻击目标之前需要攻破很多的设备(路由器,交换机)、系统(NT, UNIX)和防火墙的障碍,在黑客达到目标之前的时间,被称之为防护时间Pt;在黑客攻击过程中,检测到他的活动的所用时间称之为Dt;检测到黑客的行为后,需要做出响应,这段时间称之为Rt。
上图为P2DR模型,它包含4个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应),防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。即:传统的防护模式+静态漏洞的检测+动态威胁的及时检测+快速的响应。
在整体的安全策略的控制和指导下,P2DR模型在综合运用防护工具(如:防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(如:漏洞评估、入侵检测等系统)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。P2DR模型可用简单的数学公式来描述:
1. Pt>Dt+Rt
公式中Pt表示系统为了保护安全目标设置各种保护后的防护时间,也可认为是黑客攻击系统所花的时间。Dt表示从攻击开始,系统能够检测到攻击行为所花的时间。Pt为发现攻击后,系统能做出足够响应将系统调整到正常状态的时间。
如果系统能满足上述公式,即:防护时间Pt大于检测时间Dt加上响应时间Rt,则认为该系统为安全的,因为它在攻击危害系统之前就能够检测到并及时处理。
2.Et=Dt+Rt,IF Pt=0
公式中 表示系统的暴露时间。假定系统的防护时间Rt为0,对Web Server系统就是这样,系统突然遭到破坏,则希望系统能快速检测到并迅速调整到正常状态,系统的检测时间Dt和响应时间Rt之和就是系统的暴露时间Et,该时间越小,系统安全性越好。
由此,可得出安全的新概念:及时的检测、响应和恢复就是安全。这样难于量化的安全可通过指标:防护时间Rt、检测时间Dt和响应时间Rt来衡量,延长这些指标可提高系统的安全性。
三、基于P2DR模型的安全解决方案
不同的安全应用和安全需求,会形成不同的安全解决方案,以下三种模型为典型的P2DR模型方案。
1.动态安全模型
动态安全模型(见表1)将传统的静态防火墙和最新的入侵检测技术结合起来,形成动态的防御体系。
为了保护一个网络的安全,很多企业都安装了防火墙。防火墙在一定程度上保护我们的网络系统不受到入侵,但一方面它只起到网关和包过滤的作用,有些固有的服务端口必须打开,比如www服务必须要把80端口打开,那么它无法阻止黑客通过80端口对内部的网络或系统进行的攻击,另一方面,防火墙无法阻止内部人员对内部网络的攻击,所以要采用实时入侵检测系统对网络进行实时的监控。防火墙好比一个企业的防盗门,实时入侵检测系统好比24小时执守的保安,假如一个人员非法取得钥匙或破门而入,防盗门无法判断进入企业的人是坏人还是好人,而执守的保安会及时判断这个人可不可以通过。一旦发现透过防火墙的信息包具有攻击特征,马上重新调整防火墙,阻止入黑客的进一步入侵。
2.主页安全模型
主页安全模型(见表2)将传统的、简单的备份和恢复机制,通过P2DR模型给予全新的描述。例如,有一个ICP的网站,为了保护主页和一些重要的页面被篡改,或者是被入侵者篡改后能及时恢复,首先要对这些主页进行备份。在Web服务器在运做过程中,还需要对这些重要页面进行监控,比如定时检查页面的内容是否发生改变,页面文件的字节数是否发生变化等,一旦这些变化发生,即可判断很可能是页面被入侵者修改。一旦发现页面被修改,立即把原来备份的页面恢复(Restore)。
3.系统配置安全模型
系统配置安全模型使得用户对自身系统的安全状态和配置有比较准确的认识(见表3)。当我们在机器上安装了某个系统,在正式生产(运行)之前需要对系统进行配置(Security Configuration),比如添加用户,授权,应用软件的安装及配置等等。系统经过一系列的调整及配置后,需要对它进行全面的安全评估,也就是对它进行漏洞的扫描(Vulnerability Scan)。最后根据扫描结果,对漏洞进行修补,并对系统进行重新的配置(Reconfig)。
在实际应用中,可以将这些安全模型进行有机结合,形成完整的系统安全解决方案。
四、小结
随着Internet技术和规模的不断发展,其应用的范围和领域也迅速扩展,安全问题日益突出,特别是在与金融相关的领域。在满足系统所有需求的基础上,用传统的方法解决安全问题,存在很多弊病。无论从时间,还是从现有的知识水平来看,我们都不可能从一开始就能将安全问题及相应的解决方案考虑得滴水不漏。安全是动态的,它随着新技术的不断发展而发展,它集技术、管理和法规综合作用为一体,因此对安全问题的解决要有一个整体框架,并体现其动态性。
安全是一项系统工程,除在网络设计、硬件和软件配置及使用中要高度重视外,还必须建立和完善网络安全管理制度,使管理人员和网络用户牢固树立安全和法律意识,做到网络安全管理的法制化和规范化,有效的落实安全管理制度是实现安全的关键。从理论上讲,绝对安全的网络是没有的,但通过各方面的努力,可以将网络潜在的危险性降到最低限度。
参考文献:
[1]周松华:基于资源的电子商务自动协商模型研究[D].广州:华南师范大学硕士学位论文,2005
[2]Frank Teuteberg, Karl Kurbel, Anticipating Agents’ Negotiation Strategies in an E-marketplace Using Belief Models. Business Informatics, 2002
