（光学专业论文）基于策略的网络资源安全管理平台.pdf

基于策略的网络资源安全管理平台 摘要 基于策略的管理是网络和分布式系统管理技术中的一项最新的 进展。学院派、商业机构和标准化组织把注意力集中在基于策略的管 理上，一致认为它是管理大规模分布式系统的一个非常有希望的解决 方案。基于策略的管理在安全领域的运用尤其引人注目。新技术的引 入( 例如活跃网络和移动代理) 和使用i n t e m e t 向用户提供服务，增 强了人们和目前网络环境的联系，于是对安全更加关注。安全管理包 含了访问控制策略的规范制定和部署，同时也包含了诸如用户注册或 者处理访问关键资源或与安全违背的事件的日志和审计行为。事件发 生时所执行的管理动作取决于企事业单位所制定的策略。 策略语言为分布式对象系统制定安全和管理策略，是断言式的面 向对象语言。策略语言是灵活的、富有表现力和可扩展的，覆盖了当 前分布式系统范例中隐含的大范围的需求。它包括了支持访问控制的 策略。策略语言同时也支持以事件触发规则形式表示的管理活动，叫 做响应策略。域的使用方便了与数百万对象的大型系统相关联的策略 规范的制定：策略为存储在域里的对象集而不是个别对象而制定，于 是允许了可量测性和灵活性。策略语言包含的复合策略允许把与角 色、机构组织单位和特殊的应用相关的一组基础安全和管理策略聚合 i 起来。复合策略是满足大型企事业单位信息系统策略管理复杂度所必 需的。可以用元策略来制定一组策略的特殊应用约束条件。策略语言 对于策略的用户来说是简单使用的，我们用结构操作语义的方法来制 定策略正式的语义。 本文在介绍网络管理和网络安全现状和发展趋势的基础上，阐述 了基于策略的网络资源安全管理的原理。并着重论述了基于策略的网 络资源安全管理平台的设计思路及其实现方案，接着讨论了策略服务 子系统的详细设计和驱动模型。本平台结合了网络管理软件对网络资 源的实时监控和网络安全软件对网络资源的防御措施，经实际调试取 得了良好的运行效果。 关键词策略域事件安全管理c o r b a p o l i c y - b a s edn e t w o r k r e s o u c e s s e c u r i t ym a n a g e m e n t p l a t f o r m a b s t r a c t p o l i c y 。b a s e da n a n a g e m e n t i so n eo ft h el a t e s td e v e l o p m e n t si n n e t w o r ka n dd i s t r i b u t e ds y s t e m sm a n a g e m e n t a c a d e m i ca n dc o m m e r c i a l s e t c i n g s ，a sw e l ta ss t a n d a r d i s a t i o nb o d i e sa g ec o n c e n t r a t i n go n p o l i c y b a s e dm a n a g e m e n t a sav e r y p r o m i s i n g s o l u t i o nf o rm a n a g i n g l a r g e - s c a l ed i s t r i b u t e ds y s t e m s t h el 1 s eo f p o l i c y - b a s e dm a n a g e m e n t i n a r e a ss u c ha ss e c u r i t yi sp a r t i c u t a r l ya t t r a c t i v e t h ei n t r o d u c t i o no fn e w t e c h n o l o g i e s ( e g ，a c t i v en e t w o r k s ，m o b i l ea g e n t s ) a n d t h eu s eo f t h e i n t e r n e tf o rp r o v i d i n gs e r v i c e st oc u s t o m e r s ，i n c r e a s et h e s e c u r i t y c o n c e r n sa s s o c i a t e dw i t ht o d a y sn e t w o r k e d e n v i r o n m e n t s s e c u r i t y m a n a g e m e n t i n v o l v e ss p e c i f i c a t i o na n d d e p l o y m e n to f a c c e s sc o n t r o l p o l i c i e sa sw e l la sa c t i v i t i e ss u c h a sr e g i s t r a t i o no f u s e r so r l o g g i n g a n d a u d i t i n ge v e n t sf o rd e a l i n g w i t ha c c e s st oc r i t i c a lr e s o u r c e so r s e c u r i t y v i o l a t i o n s t h em a n a g e m e n ta c t i o n st ob e p e r f o r m e d w h e na ne v e n t o c c u r sd e p e n do nt h ee n t e r p r i s ep o l i c y t h e p o l i c yl a n g u a g ei sad e c l a r a t i v e ，o b j e c t - o r i e n t e dl a n g u a g ef o r s p e c i 鸟i n gs e c u r i t ya n dm a n a g e m e n tp o l i c i e sf o rd i s 臼i b u t e do b j e c t j i l s y s t e m s t h el a n g u a g ei sf l e x i b l e ，e x p r e s s i v ea n de x t e n s i b l et oc o v e rt h e w i d e r a n g eo fr e q u i r e m e n t si m p l i e db y t h ec u r r e n td i s t r i b u t e ds y s t e m s p a r a d i g m s i ti n c l u d e ss u p p o r t f o ra c c e s sc o n t r o l p o l i c i e s t h el a n g u a g e a l s os u p p o r t sp o l i c i e st oe x p r e s sm a n a g e m e n t a c t i v i t y ，w h i c ht a k e t h e f o r mo f e v e n t - t r i g g e r e d r u l e sc a l l e do b l i g a t i o n p o l i c i e s d o m a i n sa r eu s e d t of a c i l i t a t et h es p e c i f i c a t i o no fp o l i c i e sr e l a t i n gt ol a r g es y s t e m sw i t h m i l l i o n so f o b j e c t s ；p o l i c i e sa r es p e c i f i e df o rc o l l e c t i o n s o f o b j e c t ss t o r e d i nd o m a i n si n s t e a do fi n d i v i d u a lo b j e c t s ，t h u sa l l o w i n gf o rs c a l a b i l i t ya n d f l e x i b i l i t y c o m p o s i t ep o l i c i e sa r ei n c l u d e d t oa l l o wt h eb a s i cs e c u r i t y a n dm a n a g e m e n t p o l i c i e sr e l a t i n g t or o l e s ，o r g a n i s a t i o n a lu n i t sa n d s p e c i f i ca p p l i c a t i o n st ob eg r o u p e dt o g e t h e r c o m p o s i t ep o l i c i e s a r e e s s e n t i a lt oc a t e rf o rt h ec o m p l e x i t yo f p o l i c y a d m i n i s t r a t i o ni nl a r g e e n t e r p r i s ei n f o r m a t i o ns y s t e m s a p p l i c a t i o ns p e c i f i cc o n s t r a i n t s o n g r o u p so f p o l i c i e s c a nb es p e c i f i e du s i n g m e t a p o l i c i e s t h el a n g u a g e i s e a s y t ou s e b yp o l i c yu s e r s ，a n dw e u s eas t r u c t u r a lo p e r a t i o n a ls e m a n t i c s a p p r o a c h t os p e c i f yi t sf o r m a ls e m a n t i c s i nt h i s p a p e r a c t u a l i t y a n d d e v e l o p m e n t t r e n d so fn e t w o r k m a n a g e m e n t a n dn e t w o r k s e c u r i t y i s r e s p e c t i v e l y i n t r o d u c e d t h e p r i n c i p l e s o f p o l i c y , w h i c h i sb a s e dn e t w o r kr e s o u r c e s s e c u d t y m a n a g e m e n t t h e n p r e s e n t e d i ti sd i s c u s s e d h o wt od e s i g na n dr e a l i z et h e m a n a g e m e n tp l a t f o r m o fp o l i c y i nd e t a i l s t h e nt h ed r i v e nm o d e lo f p o l i c y s e r v i c e s u b s y s t e m a n di t sr e a l i z a t i o n a r e g i v e n o u rp l a t f o r m c o m b i n e sr e a lt i m es u r v e i l l a n c ea n dc o n t r o lo fn e t w o r km a n a g e m e n t s o f t w a r ew i t h s e c u r i t y s o l u t i o n st h a tn e t w o r k s e c u f t y s o f t w a r ea n d f a c i l i t i e sa r es u p p l i e d e x p e r i m e n t a lr e s u l t sd e m o n s t r a t et h ee f f i c i e n c yo f t h i sp l a t f o r m k e yw o r d s p o l i c y , e v e n t ，d o m a i n ，s e c u r i t ym a n a g e m e n t ， c o r b a v 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均己在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处， 本人签名：受竖盘 本人承担一切相关责任。 日期：兰! ! ：! ：! 关于c ：仑文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期i 剧论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阗；学校可以公布学位论文的全部或部分内容可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不n - - t ：保密范围，适用本授权书。 本人签名：墨里堡堑盘 日期：竺兰：! ：! 导师签名l 盆塑亟 1 日期：一卫! 堕兰丛 基于策略的同络资源安全管理平台 第一章网络管理的发展现状 随着计算极及通信技术的飞速发展，计算机网络已经渗透到社会经济的各个 领域，人类开始进入了信息社会。信息社会对计算机网络的依赖，使得计算机网络 本身运行的可靠性交得至关重要，因而计算机网络的网络管理系统变得越来越重 要。 1 1 分布式网络的发展 当网络的规模比较小时，一般采用集中式的管理者一代理模式来进行管理。在 这种情况下，全网只需设置一个网络管理系统( 管理者) ，该管理系统完成所有的 管理功能，即收集网络中的各种信息，如拓朴信息、性能数据、事件，并对这些信息 进行必要的处理，如果必要还需作出适当的反应，如报警、网络控制等。但是，随着 网络规模的增大，网络的复杂性也大大增加，管理系统的负载也将急剧增加，由于 网络管理而引入的通信开销也大大增加，使得集中式的管理模式不能满足管理的 要求。虽然可以通过提高网络管理系统的硬件配置来提高网络管理系统的处理能 力，或者将网络管理系统安装在网络中合适的地方，以降低因管理增加的通信开销 但是系统升级的能力总是有限的。另一方面，企业的组织结构对网络管理系统安装 的位置也有直接的影响。 随着网络规模的增大以及复杂性的增加，分布式网络管理是一种必然选择。 下面讲述分布式网管要解决的问题： 1 1 i数据的分布与提交 在分布式的网络管理方案中有2 种数据存储方式。一种方式是，全网只有管 理站配置了网管数据库，各分布式的单元管理站采集到的所有数据( 配置、性能、 事件) 立即送至中央管理站，由中央管理站处理后写入数据库中或由单元管理站 直接写入中央管理站的数据库中。这种方式在流量控制上并不比集中式优越，因而 没有充分利用分布式的优越性。另一种方式是，除了中央管理站配置了网管数据库 外，各单元管理站也配置了自己的数据库，单元管理站将拓朴发现、数据采集、轮 询的结果写入自己的数据库中，然后在网络非高峰期内，采取某种方式将数据传送 给中央管理站。对于这种分布式体系结构而言：数据库的复制技术是非常关键的， 需要解决下列问题：管理站与单元管理站的数据库间的同步时机：控制台访问管理 北京u 人学毕业论立 站中还没有的但存放在单元管理站中的数据的方式：数据是从单元管理站主动传 送至中央管理站的数据库，还是在中央管理站自动或由管理员通过提供的实用工 具来获取单元管理站中的数据并同步。 1 1 2分布式阈值监控和事件提交 对于所有管理站感兴趣的事件( 一般事件，如拓朴改变，和阈值事件) ，各单 元管理站均要立即传送给中央管理站。不同单元管理站采集到的事件之间的关联 性。如果单元管理站的采集域有重叠，该如何处理，即使不重叠，事件可能也有关联 性，如何实现有效的事件关联也是需要解决的问题。 1 。1 3单元管理站的配置与管理 在个分布式解决方案中，需要解决单元管理站的配置与管理问题，包括单元 管理站的各种配置文件、过滤器( 搜索过滤、拓朴过滤、图过滤、事件过滤、轮 询过滤) 、提交事件列表等的配黄与修改、单元管理站的状态查询、单元管理站 故障后的任务重分配、管理站与单元管理站之间的通信方式等。 1 1 4采集域的重叠问题 分布式需要解决采集域的重叠问题，即一个被管理对象同时在2 个以上的单 元管理站的被管理对象域中，如一个路由器的拓朴数据来自于2 个单元管理站。 当个管理站从不同的单元管理站收到一个对象的多种形式时，需要根据某种规 则来作出选择：选用其中的一种作为主要形式，而其它的作为次要形式。 1 1 5异构平台间的通信问题 网管系统的不同模块的分布式配置( 单元管理站的分布以及单元管理站内各 功能模块的分布) ，使得不同模块可以在不同的系统平台上运行。因此，在开发网 络系统的各功能模块时，要考虑异构环境下的网络通信问题，如资源表示的不同、 字节顺序、字长等。很多分布式开发平台，如m p i 、p w 、j a v a 已很好地解决了这 些问题。 基于撤略的州络资源安全管理平台 1 2 网管软件介绍 目前网络管理软件种类繁多，各个公司提供了形形色色的网络管理的解决方 案。比较著名的有h p0 p e n v i e w 网管系统、c i s c o 嗣管方案等。 h p0 p e n v i e w 网管系统集成了网络管理和系统管理各自的优点，形成一个单 而完整的管理系统。0 p e n v i e w 解决方案实现了网络运作从被动无序到主动控制的 过渡，使i t 部门及时了解整个网络当前的真实状况，实现主动控制，而且o p e n v i e 解决方案的预防式管理工具一临界值设定与趋势分析报表，可以让i t 部门采取趸 具预防性的措施，管理网络的健全状态。在e - s e r v i c e s 的大主题下，0 p e n v i e w 系列产品包括了统一管理平台、全面的服务和资产管理、网络安全、服务质量保 障、故障自动监测和处理、设备搜索、网络存储、智能代理、i n t e r n e t 环境的开 放式服务等功能特性。 c i s c o 网管方案基于i n t e r n e t 的体系结构，有向用户提供较高的可访问性， 简化网络管理任务和进程， c i s c o 提出了网络管理策略一a s s u r e dn e t w o r k s e r v i c e s ( 保证网络服务) ，与网络管理系统( n m s ) 平台和一般管理产品的w e b 级集成：能够为管理路由器、交换机和访问服务器提供端到端解决方案；通过将 发现的设备与第三方应用集成，创建一个内部管理网。c i s c o 的系列网络管理产 品还包括了针对各种网络设备性能的管理、集成化的网络管理、远程网络监控和 管理等功能。 这些网管软件解决了问题吗? 为了使网络、服务器、存储库和软件的混乱状态缛到改善，许多公司已经花 了数百万从i b m 、h p 和c o m p u t e ra s s o c i a t e s 等大公司买来管理软件和设备。但 是常常，这些软件和设备收集的是灰尘而不是数据，变成最昂贵的摆设。这是因 为现有网络管理软件简单的基础下部组织给了管理员太少的控制而留给商业用户 太多的技术问题，新的虚拟基础下部组织资源一从网络到存储库到软件一正变 得越来越难以管理。 1 3网管软件的发展的新趋势 由于目前各种体系结构一虚拟网络、存储介质、服务器群和w e b 服务的发展 已经超越了现有网管软件的管理范围。1 。 图l l 未来5 年的网络管理结构图 为了克服当前管理工具复杂性问题，厂商和用户必须理出一个清楚的清单。 他们需赛什么? 下面是未来网管软件发展的三个主要方面。 1 3 1 联合的，不是层次结构的 目前管理体系结构像军队编制一样是分层次的有着数百个迟钝的代理和一 个聪明相关性分析引擎。与此相反，有组织的管理将智能化各个堆栈而只集中重 要的决定。事实上，目前的两层管理结构不能满足有组织的信息技术的挑战。为 什么? 因为用迟钝的代理，事实上所用的分析都发生在超负荷、过分复杂的中央 相关性日 擎上，反过来，有组织的管理按逻辑层组织起来，它允许在“最小增加” 的原则下作本地决定。 网络信息资源变得智能化而且能自治。目前的网络信息资源比如路由器和磁 盘阵列，一般是用代理向管理控制台报告状态，然后等待下一步行动的指示。但 是这种高空管理常常是有很大破坏力的，比如，当一个存储盘上存储空间耗光了， 存储阵列应当从本地其它磁盘上分配更多的空间而不仅仅是绘主系统送一个警 告。 管理中间件使得整个资源信息传递智能化。虽然在资源级本地可以作许多管 理的决定，但是有些却不能，举个例子，如果全部c i s c o 的交换机和i b m 服务器 都不工作了。因此，有组织的管理需要中间件自动发现资源，维护这些资源的对 象模型和解决它们之间的冲突。 随着许多功能下放到资源级和管理中间件相关性引擎发展成为担当最后付 诸实施的商务决定者。例如，如果管理中间件在几个服务器不能工作时不能立刻 做出扶定，它会同决策者商量，决策者可能就会发布命令关闭一些闲置的w e b 服 务器而不是关闭e r p ( 企业资源规划) 订单管理系统模块 4 基于策略的m 络资源安全督理平台 1 3 2 响应的，不是只作监视 这一代管理工具像汽车中的检查引擎灯，它们告诉你出现故障但是经常不是 帮助你修复这些故障。有组织的管理工具将发现并且修复这些故障，随后通知你。 在2 0 0 2 年一2 0 0 5 年，警告管理员紧急和行将发生的问题。用户抱怨传统管理 工具浪费他们的太多时间在无用的干扰信息上使得他们错过了发现明显警告标 记，比如m i c r o s o f te x c h a n g e 服务器的磁盘正迅速的被塞满。像c o v a l e m t e c h n o l o g i e s 和g e n s y m 这样的卖方已经抢先一步，充分利用服务器和网络错误趋 势强壮了他们的趋势分析能力。2 0 0 3 年2 0 0 8 年，建议管理员向减低问题迈进。 2 0 0 4 年开始，h p 和s i l a st e c h n o l o g i e s 等厂商使有组织的管理工具具有上下文敏 感、事情优先意识建议来修复错误。当数据处理中心需要更多处理能力时，决策 者将建议从文件打印机里面移出一些服务器，征求管理员的同意。2 0 0 7 年以后： 自动修复问题。那时，管理员只需给予每个从管理控制台来的建议按o k ，因为 有自动执行许多决定的建议，比如，增加磁盘容量或者让闲置服务器下线。 1 3 3综合的，不是单独的 想象一下你的汽车里有分离的速度计、燃油表和转速计工具仪表板，而没有 一个仪表板把这些数据集中起来。这也是当前网络、服务器、存储库和软件管理 存在的问题。有组织的网络资源管理将替代它们，提供统一的视图。 不同网络资源体系结构的资讯库已经发展成为它们自己的管理体系结构，所 以今天的这些工具只是工作在特定的资讯库里面而不是贯穿整个堆栈。与此相反， 有组织的管理将开发决策部分，快速发现和修理联合体的故障。当网络资源系统 启动失败，互相指责就开始了，网络组开始责怪应用程序组，而应用程序组则把 矛头指向了服务器的同事们。结果呢? 浪费了管理员数小时的时间，同时非生产 性的用户对系统的关闭感到灰心。但是， 的管理决策部分将很快接近错误的根源， 有了鸟瞰整个体系结构的视图，有组织 加速问题的解决。 型垄塑! 点兰兰些笙兰一 第二章 网络和信息安全相关技术 2 1 网络安全存在的隐患 2 1 1病毒侵袭 几乎有计算机的地方，就有出现计算机病毒的可能性。计算机病毒通常隐藏 在文件或程序代码内，伺机进行自我复制，并能够通过网络、磁盘、光盘等诸多 手段进行传播。正因为计算机病毒传播速度相当快、影响面大，所以它的危害最 能引起关注。病毒的“毒性”不同，轻者只会玩笑性地在受害机器上显示几个警 告信息，重则有可能破坏或危及个人计算机乃至整个企业网络的安全。 2 2 2黑客入侵 随着越来越多黑客案件的报道，企业不得不意识到黑客的存在。一般来说， 黑客常用的入侵动机和形式可以分为两种。 拒绝服务( d o s ) 攻击 这类攻击一般能使单个计算机或整个网络瘫痪，黑客使用这种攻击方式的意图 很明显，就是要阻碍合法网络用户使用该服务或破坏正常的商务活动。例如，通 过破坏两台计算机之间的连接而阻止用户访问服务；通过向企业的网络发送大量 信息而堵塞合法的网络通信，最后不仅摧毁网络架构本身，也破坏整个企业运作。 非法入侵 非法入侵是指黑客利用企业网络的安全漏洞访问企业内部网络或数据资源， 从事删除、复制甚至毁坏数据的活动。无论入侵的人是谁，和企业有着怎样的关 系，这种入侵行为都可能致使公司停工、增加清除成本或数据被窃而造成无法挽 回的损失。除此之外，非法入侵对于企业的品牌形象、客户信赖度、市场占有率 甚至股价都有潜在性的影响。在未来，黑客入侵将具备企业杀手的潜力，企业不 得不加以谨慎预防。从技术层次分析，试图非法入侵的黑客，或者通过猜测程序 对截获的用户账号和口令进行破译，以便进入系统后做更进一步的操作；或者利 用服务器对外提供的某些服务进程的漏洞获取有用信息从而进入系统；或者利 用网络和系统本身存在的或设置错误引起的薄弱环节和安全漏洞实施电子引诱， 以荻耿进一步的有用信息；或者通过系统应用程序的漏洞获得用户口令，侵入系 6 基十策略的嘲络资源安全管理平台 统。 2 2 网络安全的主要技术 2 2 1 防火墙技术 防火墙是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或 网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯 一出入口，能根据企业的安全政策控制( 允许、拒绝、监测) 出入网络的信息流， 且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的 基础设施。 2 2 1 1防火墙的作用 防火墙是网络安全的屏障： 一个防火墙( 作为阻塞点、控制点) 能极大地提高一个内部网络的安全性， 并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通 过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全 的n f s 协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来 攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如i p 选项中的源 路由攻击和i c m p 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击 的报文并通知防火墙管理员。 防火墙可以强化网络安全策略： 通过以防火墙为中心的安全方案配置，能将所有安全软件( 如口令、加密、 身份认证、审计等) 配置在防火墙上。与将网络安全问题分散到各个主机上相比， 防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的 身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 对网络存取和访问进行监控审计： 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日 志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能 进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个 网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够 抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对 网络需求分析和威胁分析等而言也是非常重要的。 防止内部信息的外泄： 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限 北京邮i b 人学毕业论文 制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网 络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线 索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用 防火墙就可以隐蔽那些透漏内部细节如f i n g e r ，d n s 等服务。f i n g e r 显示了主机 的所有用户的注册名、真名，最后登录时间和使用s h e l l 类型等。但是f i n g e r 显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度， 这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防 火墙可以同样阻塞有关内部网络中的d n s 信息，这样一台主机的域名和i p 地址就 不会被外界所了解。 除了安全作用，防火墙还支持具有i n t e r n e t 服务特陛的企业内部网络技术体 系v p n 。通过v p n ，将企事业单位在地域上分布在全世界各地的l a n 或专用子网， 有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保 障。 2 2 1 2防火墙的分类 包过滤防火墙 第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或 者放行，取决于所建立的一套规则。这称为包过滤防火墙。本质上，包过滤防火 墙是多址的，表明它有两个或两个以上网络适配器或接口。例如，作为防火墙的 设备可能有两块网卡( n i c ) ，一块连到内部网络，一块连到公共的i n t e r n e t 。防 火墙的任务，就是作为“通信警察”，指引包和截住那些有危害的包。包过滤防火 墙检查每一个传入包，查看包中可用的基本信息( 源地址和目的地址、端口号、 协议等) 。然后，将这些信息与设立的规则相比较。如果已经设立了阻断t e l n e t 连接规则，检查目的端口是2 3 的包时，这些包就会被丢弃。如果允许传入w e b 连接，而目的端口为8 0 ，则包就会被放行。多个复杂规则的组合也是可行的。如 果允许w e b 连接，但只针对特定的服务器，目的端口和目的地址二者必须与规则 相匹配，才可以让该包通过。最后，可以确定当个包到达时，如果对该包没有 规则被定义，接下来将会发生什么事情了。通常，为了安全起见，与传入规则不 匹配的包就被丢弃了。如果有理由让该包通过，就要建立规则来处理它。 状态动态检测防火墙 状态动态检测防火墙，试图跟踪通过防火墙的网络连接和包，这样防火墙就 可以使用一组附加的标准，以确定是否允许和拒绝通信。它是在使用了基本包过 滤防火墙的通信上应用一些技术来做到这点的。 当包过滤防火墙见到一个网络包，包是孤立存在的。它没有防火墙所关心的 历里或禾来。允许和拒绝包的决定完全取决于包自身所包含的信息，如源地址、 基于繁略的刚络资源安全管理平台 目的地址、端口号等。包中没有包含任何描述它在信息流中的位置的信息，则该 包被认为是无状态的：它仅是存在而已。 一个有状态包检查防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态， 防火墙还记录有用的信息以帮助识别包例如已有的网络连接、数据的传出请求 等。例如，如果传入的包包含视频数据流，而防火墙可能已经记录了有关信息， 是关于位于特定i p 地址的应用程序最近向发出包的源地址请求视频信号的信息。 如果传入的包是要传给发出请求的相同系统，防火墙进行匹配，包就可以被允许 通过。一个状态动态检测防火墙可截断所有传入的通信，而允许所有传出的通信。 因为防火墙跟踪内部出去的请求，所有按要求传入的数据被允许通过，直到连接 被关闭为止。只有未被请求的传入通信被截断。如果在防火墙内正运行一台服务 器，配置就会变得稍微复杂一些，但状态包检查是很有力和适应性的技术。例如， 可以将防火墙配景成只允许从特定端口进入的通信，只可传到特定服务器。如果 正在运彳了并e b 服务器，防火墙只将8 u 端口传入的通信发到指定的w e b 服务器。 应用程序代理防火墙 应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反， 它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单 独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访 问内部网的任何一部分。 另外，如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持 的，不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接，从而提供 了额外的安全性和控制性。例如，一个用户的w e b 浏览器可能在8 0 端口，但也经 常可能是在1 0 8 0 端口，连接到了内部网络的h t t p 代理防火墙。防火墙然后会接 受这个连接请求，并把它转到所请求的w e b 服务器。这种连接和转移对该用户来 说是透明的，因为它完全是由代理防火墙自动处理的。 代理防火墙通常支持的一些常见的应用程序有：h t t p 、h t t p s s s l 、s m t p 、 p o p 3 、i l a p 、n n t p 、t e l n e t 、f t p 、i r c 等。 应用程序代理防火墙可以配置成允许来自内部网络的任何连接，它也可以配 置成要求用户认证后才建立连接。要求认证的方式由只为已知的用户建立连接的 这种限制，、为安全性提供了额外的保证。如果网络受到危害，这个特征使得从内 部发动攻击的可能性大大减少。 个人防火墙 现在网络上流传着很多的个人防火墙软件，它是应用程序级的。个人防火墙 是一种能够保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行， 使用与状态动态检测防火墙相同的方式，保护一台计算机免受攻击。通常，这些 9 北京lj f | f l 乜人学毕业论文 防火墙是安装在计算机网络接口的较低级别上使得它们可以监视传入传出网卡 的所有网络通信。 基本上，你可以将个人防火墙想象成在用户计算机上建立了一个虚拟网络接 e l 。不再是计算机的操作系统直接通过网卡进行通信，而是以操作系统通过和个 人防火墙对话，仔细检查网络通信，然后再通过网卡通信。 2 2 1 3防火墙的局限性 存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的 攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与 i n t e r n e t 的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的 威胁等。 2 2 2 入侵检测系统 2 2 2 1 入侵行为 入侵行为主要指对系统资源的非授权使用，它可以造成系统数据的丢失和破 坏，甚至会造成系统拒绝提供对合法用户的服务等后果。入侵者可以分为两类： 外部入侵者( 般指系统中的非法用户，如常说的黑客) 和内部入侵事件( 有越 权使用系统资源行为的合法用户) 。 2 2 2 2 入侵检测 入侵检测的目标就是通过检查操作系统的审计数据或网络数据包信息来检测 系统中违背安全策略或危及系统安全的行为或活动从而保护信息系统的资源不 受拒绝服务攻击，防止系统数据的泄漏、篡改或破坏。美国国际计算机安全协会 ( i c s a ) 对入侵检测技术的定义是：通过从计算机网络或计算机系统中的若干关 键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行 为和遭到袭击迹象的一种安全技术。 2 + 2 2 3入侵检测系统 入侵检测系统是一种能够通过分析系统安全相关数据来检测入侵活动的系 统。一般来说，入侵检测系统在功能结构上基本一致，均由数据采集、数据分析 以及用户界面等几个功能模块组成，只是具体的入侵检测系统在分析数据的方法、 采集数据以及采集数据的类型等方面有所不同。面对入侵攻击的技术、手段持续 变坏的状况，入侵检测系统( i d s ) 必须能够维护一些与检测系统的分析技术相关 的信息以使检测系统能够确保检测出对系统具有威胁的恶意事件。这类信息一 般包括： 系统、用户以及进程行为的正常或异常的特征轮廓： 标识可以事件的字符串，包括关于已知攻击和入侵的特征签名： 0 基十策略的刚络资源安全管理平台 激活针对各种系统异常情况以及攻击行为采取响应所需的信息。 这些信息以安全的方法提供给用户的i d s 系统，有些信息还要定期地升级 2 2 2 4 入侵检测系统的结构 入侵检测系统至少应该包括三个功能模块：提供事件记录流的信息源、发现 入侵迹象的分析引擎和基于分析引擎的响应部件。一下介绍参照美国国防部高级 计划局( d a r p a ) 提出的公共入侵检测框架( c i d f ) 的一个入侵检测系统的通用模 型。它将入侵检测系统分为四个组件：事件产生器、事件分析器、响应单元和事 件数据库。 1 c i d f 将需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从 系统日志等其他途径得到的信息。入侵检测系统的四个组件的作用是： 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分 提供此事件： 事件分析器分析得到的数据，并产生分析结果： 响应单元则是对分析结果作出反应的功能单元，它可以作出切断连接、 改变文件属性等强烈反应，也可以只是简单的报警： 事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的 数据库，也可以是简单的文本文件。 在这个模型中，前三者以程序的形式出现，而最后一个则往往是文件或数据 流的形式。它们在入侵检测系统中的位罱和相互关系如图4 2 所示。 i n 一 ；来源于网络上的数据包： 图2 1 入侵检测系统的通用模型 以上的通用模型是为了解决不同入侵检测系统的互操作性和共存问题而提出 的，主要有三个目的： ( 1 ) i d s 构件共享，即一个i d s 系统的构件可以被另一个i d s 系统的构件使用： ( 2 ) 数据共事，通过提供标准的数据格式，使得i d s 中的各类数据可以在不同 的系统之间传递并共享： ( 3 ) 完善互用性标准并建立一套开发接口和支持工具，以提供独立开发部分构 件的能力 北京| | | | j i u 大学毕业论文 2 2 2 5 入侵检测系统分类 当前人们研究入侵检测系统的方法和思路都十分丰富，现有的入侵检测系统 也已经有很多种。为了对整个入侵检测领域有个比较全面的了解，下面将综述 现有的入侵检测系统的分类。根据不同的分类标准，可以从不同的几个角度对入 侵检测系统进行分类： ( 1 )根据检测方法可划分为：基于行为的入侵检测系统( 也称异常性检测) 和基于入侵知识的入侵检测系统( 也称滥用检测) 。前者利用被监控系 统正常行为的信息作为检测系统中入侵、异常活动的依据：后者则根 据已知入侵攻击的信息( 知识、模式等) 来检测系统中的入侵和攻击。 ( 2 )根据目标系统的类型可分为：基于主机的入侵检测系统和基于网络的 入侵检测系统。前者适用于主机环境，而后者适用于网络环境。 ( 3 )根据入侵检测系统的分析数据来源划分：入侵检测系统的分析数据可 以是主机系统的审计迹( 系统日志) 、网络数据报、应用程序的日志以 及其他入侵检测系统的报警信息等。据此可分为基于不同分析数据源 的入侵检测系统。 【4 )根据检测系统对入侵攻击的响应方式可分为：主动的入侵检测系统( 又 称为实时入侵检测系统) 和被动的入侵检测系统( 又称为事后入侵检 测系统) 。主动的入侵检测系统在检测出入侵后，可制动地对目标系统 中的漏洞采取修补、强制可以用户( 可能的入侵者) 退出系统以及关 闭相关服务等对策和响应措施；而被动的入侵检测系统在检测出对系 统的入侵攻击后只是产生报警信息通知系统安全管理员，至于之后的 处理工作则由系统管理员完成。 2 2 3虚拟专用网 虚拟专用网( v p n ) 被定义为通过一个公用网络( 通常是因特网) 建立一个临 时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用 网是对企业内部网的扩展。 虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的 内部网建立可信的安全连接。并保证数据的安全传输。通过将数据流转移到低成 本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域 网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的 用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服 务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上， 而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实 基于策略的网络资源安全管理平台 现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效 地连接到商业伙伴和用户的安全外联网虚拟专用网。 2 2 3 1 虚拟专用网提供如下功能： 加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。 信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。 提供访问控制，不同的用户有不同的访问权限。 2 2 3 2 v p n 的分类 根据v p n 所起的作用，可以将v p n 分为三类：v p d n 、i n t r a n e tv p n 和e x t r a n e t v p n 。 v p d n ( v i r t u a lp r i v a t ed i a ln e t w o r k ) 在远程用户或移动雇员和公司内部网之间的v p n ，称为v p d n 。实现过程如下： 用户拨号n s p ( 网络服务提供商) 的网络访问服务器n a s ( n e t w o r ka c c e s ss e r v e