资源预览内容
第1页 / 共13页
第2页 / 共13页
第3页 / 共13页
第4页 / 共13页
第5页 / 共13页
第6页 / 共13页
第7页 / 共13页
第8页 / 共13页
第9页 / 共13页
第10页 / 共13页
亲,该文档总共13页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
网络安全技术论文在了解网络面临来自哪些方面的威胁后,更应该了解针对不同网络威胁的一些应对技术和措施,掌握它们的工作原理以及对应的安全产品的使用方法,并能结合不同的网络环境和网络安全需求,制定一套科学合理的网络系统安全解决方案。 本章将结合目前常见的网络安全技术,较为详细地分别介绍这些安全技术的工作原理,并结合一些实际网络安全产品的配置过程实例,更为直观地介绍安全产品的使用方法。 7.1防火墙 7.1.1防火墙的概念 7.1.2防火墙的主要功能 7.1.3 防火墙技术 7.1.4 防火墙的选购 7.1.1防火墙的概念 现在通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它是指隔离在内部(本地)网络与外界网络之间的一道防御系统,是这一类防范措施的总称。 通过它可以隔离风险区域(如Internet或有一定风险的网络)与安全区域(如局域网,也就是内部网络)的连接,同时不会妨碍人们对风险区域的访问。 它是一种设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。一般由计算机硬件和软件组成的一个或一组系统,用于增强内部网络和外部网之间的访问控制。 7.1.3 防火墙的主要功能 1防火墙是网络安全的屏障 2防火墙能控制对特殊站点的访问 3对网络存取访问进行记录和统计 4防止内部网络信息的外泄 5地址转换(NAT) 7.1.4 防火墙技术 目前在实际应用中所使用的防火墙产品有很多,但从其采用的技术来看主要包括两类:包过滤技术和应用代理技术,实际的防火墙产品往往由这两种技术的演变扩充或复合而形成的。 具体来说主要包括:简单包过滤防火墙、状态检测包过滤防火墙、应用代理防火墙和复合型防火墙。 1简单包过滤防火墙 包过滤防火墙工作在网络层,对数据包的源及目的 IP 具有识别和控制作用,对于传输层,只能识别数据包是 TCP 还是 UDP 及所用的端口信息。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与网络管理员预先设置的访问控制表进行比较,确定是否符合预定义的安全策略,并决定数据包的通过或丢弃。 比如:如果防火墙已设置拒绝telnet连接,这时当数据包的目的端口是23时,则该数据包就会被丢弃;如果允许进行Web访问,这时目的端口为80时则数据包就会被放行。由于这类防火墙只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析,因此它的处理速度较快,并且易于配置。 简单包过滤是对单个包的检查,目前绝大多数路由器产品都提供这样的功能,所以如果内部网络已经配有边界路由器,那么完全没有必要购买一个简单包过滤的防火墙产品。 由于这类技术不能跟踪TCP的状态,所以对TCP层的控制是有漏洞的。 单纯简单包过滤的产品由于其保护的不完善,在1999年以前国外的网络防火墙市场上就已经不存在了。 2应用代理防火墙 应用代理防火墙,也叫应用代理网关防火墙。 所谓网关是指在两个设备之间提供转发服务的系统。 这种防火墙能彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,外网的访问应答先由防火墙处理,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的 TCP 连接,应用层的协议会话过程必须符合代理的安全策略要求。 由于针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力,使应用代理型防火墙具有了极高的安全性。但是代理型防火墙是利用操作系统本身的socket接口传递数据,从而导致性能比较差,不能支持大规模的并发连接; 另外对于代理型防火墙要求防火墙核心预先内置一些已知应用程序的代理后防火墙才能正常工作,这样的后果是一些新出现的应用在代理型防火墙上往往不能使用,出现了防火墙不支持很多新型应用的局面。在IT领域中,新的应用和新的技术不断出现,甚至每一天都有新的应用方式和新的协议出现,代理型防火墙很难适应这种局面,使得在一些重要的领域和行业的核心业务应用中,代理型防火墙被渐渐地被抛弃。 3状态检测包过滤防火墙 状态检测包过滤防火墙是在简单包过滤上的功能扩展,最早是Check Point公司提出的,现在已经成为防火墙的主流技术。 状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用,状态检测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的大型网络上。 前面介绍的简单包过滤只是一种静态包过滤,静态包过滤将每个数据包单独分析,固定根据其包头信息(如源地址、目的地址、端口号等)进行匹配,这种方法在遇到利用动态端口应用协议时会发生困难。 可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。 目前业界很多优秀的防火墙产品采用了状态检测型的体系结构,比如Check Point的Firewall-1,Cisco的PIX防火墙,NetScreen防火墙等等。 4复合型防火墙 复合型防火墙是指综合了状态检测与透明代理的新一代防火墙,它基于专用集成电路(ASIC,Application Specific Integrated Circuit)架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。 常规的防火墙并不能防止隐蔽在网络流量里的攻击。复合型防火墙在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘部署病毒防护、内容过滤等应用层服务措施,体现出网络与信息安全的新思路。 7.1.6 防火墙的选购 目前国内外防火墙产品品种繁多、特点各异,有硬件的防火墙,也有软件防火墙。硬件防火墙采用专用的硬件设备,然后集成生产厂商的专用防火墙软件。从功能上看,硬件防火墙内建安全软件,使用专属或强化的操作系统,管理方便,更换容易,软硬件搭配较固定。硬件防火墙效率高,解决了防火墙效率、性能之间的矛盾,基本上可以达到线性。而软件防火墙一般是基于某个操作系统平台开发的,直接在计算机上进行软件的安装和配置。由于用户平台的多样性,使得软件防火墙需支持多操作系统,如:Unix、Linux、SCO-Unix、Windows等,代码庞大、安装维护成本高、效率低,同时还受到操作系统平台稳定性的影响。显然,硬件防火墙总体性能上来说是优于软件防火墙的,但其价格也要高些。 1关系到防火墙性能的几个指标和概念 (1)防火墙端口数 (2)防火墙吞吐量 (3)防火墙会话数 (4)防火墙策略 (5)DMZ区 (6)防火墙的通信模式 2防火墙的选购 下面从几个方面探讨选购防火墙时应该注意的问题。 (1)防火墙自身是否安全 (2)系统是否稳定 (3)是否高效 (4)是否可靠 (5)功能是否灵活 (6)配置是否方便 (7)管理是否简便 (8)是否可以抵抗拒绝服务攻击 (9)是否可以针对用户身份进行过滤 (10)是否具有可扩展、可升级性 7.2 入侵检测系统 7.2.1 入侵检测系统概述 7.2.2 入侵检测系统技术 7.2.3入侵检测系统的工作流程 7.2.4 IDS与防火墙对比 入侵检测系统:Intrusion Detection System, 简称IDS。 入侵检测是指:“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图” 。 入侵检测系统是一个典型的“窥探设备”。 入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,可以与防火墙联动,可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。 7.2.2 入侵检测系统技术 入侵检测技术通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应。 入侵检测系统从分析方式上主要可分为两种: (1)模式发现技术(模式匹配) (2)异常发现技术(异常检测) 模式发现技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确的报告出攻击类型,而且知识库必须不断更新。对所有已知入侵行为和手段(及其变种)都能够表达为一种模式或特征,所有已知的入侵方法都可以用匹配的方法发现,把真正的入侵与正常行为区分开来。模式发现的优点是误报少,局限是它只能发现已知的攻击,对未知的攻击无能为力。 异常发现技术先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。 异常发现技术的局限是并非所有的入侵都表现为异常,而且系统的“正常”标准难于计算和更新,并无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。 目前,国际顶尖的入侵检测系统IDS主要以模式发现技术为主,并结合异常发现技术。 IDS一般从实现方式上分为两种: (1)基于主机的IDS (2)基于网络的IDS 基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用网络适配器(探测器)来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,IDS应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。 基于网络的入侵检测系统的主要优点有: (1)成本低。 (2)攻击者消除证据很困难。 (3)实时检测和应答一旦发生恶意访问或攻击,基于网络的IDS检测可以随时发现它们,因此能够更快地做出反应。从而将入侵活动对系统的破坏减到最低。 (4)能够检测未成功的攻击企图。 (5)操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源,而基于主机的系统需要特定的操作系统才能发挥作用。 基于主机的IDS一般监视Windows NT上的系统、事件、安全日志以及UNIX环境中的syslog文件。一旦发现这些文件发生任何变化,IDS将比较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话,检测系统就向管理员发出入侵报警并且发出采取相应的行动。 基于主机的IDS的主要优势有: (1)非常适用于加密和交换环境。 (2)近实时的检测和应答。 (3)不需要额外的硬件。 (4)确定攻击是否成功。 (5)监测特定主机系统活动。 以上两种实现方式的集成化是IDS的发展趋势。基于网络和基于主机的IDS都有各自的优势,两者可以相互补充。这两种方式都能发现对方无法检测到的一些入侵行为。 基于网络的IDS可以研究负载的内容,查找特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列的IDS迅速识别。 而基于主机的IDS无法看到负载,因此也无法识别嵌入式的负载攻击。联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。 7.2.3入侵检测系统的工作流程 1信息收集 2信号分析 3实时记录、报警或有限度反击 7.3 虚拟专用网(VPN)技术 VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密通信协议为连接在Internet上位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路,如图所示。这就好比去电信局申
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号