（计算机应用技术专业论文）多重监控代理服务器研究及实现.pdf

多重监控代理服务器研究及实现 摘要 随着网络的发展和普及，特别是互联网应用的飞速发展和普及，网络安全越 来越受到人们的普遍关注。人们在享受信息化带来的众多好处的同时，也面临着 日益突出的信息安全问题。 本文介绍了主要几种网络安全技术，重点对防火墙技术，包括传统防火墙技 术，分布式防火墙技术进行了详细的论述，最后提出具有多重监控代理服务器的设 计思想并在校园网环境下予以实现。本代理服务器在代理h t t p 协议基础上具有如 下特点：能对网页信息进行不同级别动态监控，监控级别不同，对网页扫描范围则不 同，从而能动态调整代理服务器的负载，提高系统运行效能；能对代理防火墙进行 远程监控，如及时了解代理服务器工作状态和对其某些重要配置信息进行修改； 能够进行多种形式报警，当发现有客户机访问非法站点或者所访问的网页内容包 含特定的关键词时，则将客户机的i p 地址和访问时间记录下来并辅以声音报警和 向客户机返回一警告网页。 r e s e a r c ha n dr e a l i z a t i o no nm u l t i p l em o n i t o r i n gp r o x ys e r v e r a b s 仃a r c t 舢o n gw i m t h en e t w o r kd e v e l o p m e n ta n dn l ep o p u l a r i z a t i o n ，e s p e c i a l l yn l er 印i d d e v e l o p m e n t 眦dt h ep o p u l a r i 盟t i o no ft h ei n t e m e ta p p l i c a t i o 玛p e o p l ep a ym o r e 叫v e r s 址a t t e m i o nt ot h e o r ks e c u r i 够p e o p l ea r ea l s of a c 血gd a yb yd a y 血e p r o m i n e ti o r m a t i o ns e c l 】r i t yq u e s t i o n ，w l i l ee r l j o y i n g m u m t u d i n o u sa d v 锄g e 砌c hm ei n f o 肌a t i o nb r i i 唱s t t l i st h e s i si m d u c e sm a i ns e v e r a lh n d so fn e t w o r ks c c u r i t yt e c h n o l o g y ，棚“ f o c l l s e so n 血ed i s c u s s i o no nf i r e w a l l t e c h n o l o 鼢i n c i u d i n gt l e 廿a d m o n a lf i r c w a l l t e c 】1 1 1 0 1 0 9 ) ，髓dt 1 1 ed i 矧b u n o n a l 血e w a l lt e c h l l o l o g ) r f i n a l l y ，m ed e s 咖也o u g h to f m u l t i p l e 1 0 n i t o r i n gp r o x ys e r v e ri sp r o p o s e da 1 1 d r e a l i z e du n d e rt 1 1 ec a m p u sn e t e n v 的啪e n t sp m x ys e e r b 船e do n 也eh 1 v r pa f e e m e n t h a st 1 1 ef 0 1 l o w i n g c h a r a c t e r i s t i c s ：a ) i tc a nc a r r yo nt h ed i f f 矗e mr a r l l ( d y l l 锄i cm o l l i t o r i n gt ot h ew e b p a g e i n j 0 r m a t i o na 1 1 dm ew e b p a g es c 砌n gs c o p ei sc l l a n g i n g 埘mt h em o 由t o r i n gr a r 止 t h u si tc a na d j u s t1 0 a do fp r o x ys e e r b ) i tc a nc a r r yo n 也el o n g - d i s t a n c em o n i t o r i n g t o 廿1 ep r o x yf i r e w a l l ，p r o m p t l yu n d e r s t o o d i i l gt l l ep r o x ys e r v e ra c t i v es t a t u sa n dc a r r i n g o nt 1 1 er e v i s i o nt oi t sc e r t a i ni m p o r t a n td i s p o s i t i o l l si 耐b n n a t i o n c ) i tc a nc a r r yo nm a n y l 【i n d so ff o r m st oa l e r t w h e nm ec l i e n t “s i ti 1 1 e g a lu r lo rv i s “sm ew e b p a g e c o n t a m i n g 也es p e c i f i ck e yw o r d ，也e nt h ec i i e n ti p 缸l d r e s sa n dt h ev i s i tt i m e a r e r e c o r d e da n dr e t l 脚e da w a m i n g 、e b p a g e k e y w o r d s ：f 沁w a l lp r o x ys e e rl o n 争d i s t a l l c em o n i t o r 插图清单 图1 _ 1 数字签名过程5 图1 2 入侵检测系统分布图6 图1 3 安全扫描系统结构图7 图2 1 防火墙工作示意图9 图2 2 包过滤防火墙示意图9 图2 3 代理服务器工作示意图1 l 图2 4 状态包过滤型防火墙示意图1 2 图2 5 分布式防火墙工作示意图1 5 图3 1 代理过程示意图2 6 图3 2 网页监控流程图2 7 图3 3 网页监控示意图2 9 图3 4 远程监控流程图3 0 图3 5 远程监控工作示意图3 1 图3 6 记录日志工作示意图3 2 图3 7 多种形式报警工作示意图3 2 图4 1 代理实际过程解析图3 6 图4 2 远程监控实际运行图1 3 8 图4 3 远程监控实际运行图2 3 9 图4 4 警告网页4 2 图4 5 记录日志和报警实际运行过程图4 3 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据 我所知，除了文中特别加以标志和致谢的地方外，论文中不包含其他人已经发表或撰写过的 研究成果，也不包含为获得金目墨王些盍堂 或其他教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示谢 意。 ) 学位论文作者签字：鸟舅留两签字日期：瓣月。日 学位论文版权使用授权书 本学位论文作者完全了解金l 王些盔堂有关保留、使用学位论文的规定，有权保留 并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅或借阅。本人授权盒 目里兰些盍堂可以将学位论文的全部或部分论文内容编入有关数据库进行检索，可以采用影 印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文储二；之素缘刁 签字日期：3 。簿q 月f 胡 学位论文作者毕业后去向： 工作单位： 通讯地址： = 盥溉签字日期：舜月f 。3 日 电话 邮编 致谢 本人在撰写论文过程中，无论从论文的选题上、论文初稿的修改等等方面， 侯老师都不厌其烦多次指正，使本人感觉到自己在科研上有诸多欠缺，这样对我 来说是一次难得提高自己科研水平的机会。在此，我衷心感谢侯老师对我的悉心 指导。感谢我的同事们，是他们提供了一个良好的实验环境。感谢所有帮助我的 人l 门。 作者：高勇钢 2 0 0 5 年6 月2 0 日 第一章网络安全及其防范 随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由 于计算机网络具有多样性和开放性、互连性等特征，致使网络易受黑客、恶意 软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。 1 1 网络面临的安全威胁 计算机网络所面l 临的威胁主要有对网络中信息的威胁和对网络中设备的威 胁两种。影响计算机网络的因素有很多，其所面临的威胁也就来自多个方面， 主要有：人为的失误：如操作员安全配置不当造成的安全漏洞，用户安全意 识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享都 会对网络安全带来威胁；信息截取：通过信道进行信息的截取，获取机密信 息，或通过信息的流量分析，通信频度、长度分析，推出有用信息，这种方式 不破坏信息的内容，不易被发现。内部窃密和破坏：是指内部或本系统的人 员通过网络窃取机密、泄漏或更改信息以及破坏信息系统。黑客攻击；技 术缺陷：由于认识能力和技术发展的局限性，在硬件和软件设计过程中，难免 留下技术缺陷，由此可造成网络的安全隐患。病毒：计算机病毒感染方式已从 单机的被动传播变成了利用网络的主动传播，不仅带来网络的破坏，而且造成 网上信息的泄漏，特别是在专用网络上，病毒感染已成为网络安全的严重威胁。 另外，对网络安全的威胁还包括自然灾害等不可抗力因素。 以上对计算机网络的安全威胁归纳起来常表现为以下特征：窃听：攻击 者通过监视网络数据获得敏感信息；重传：攻击者先获得部分或全部信息，而 以后将此信息发送给接受者；伪造：攻击者将伪造的信息发送给接受者； 篡改：攻击者对合法用户之间的通讯信息进行修改、删除、插入，再发送给接受 者：拒绝服务攻击：通过某种方法使系统响应减慢甚至瘫痪，拒绝合法用 户获得服务；行为否认：通讯实体否认已经发生的行为；非授权访问：没 有预先经过同意，就使用网络或计算机资源；传播病毒：通过网络传播计算 机病毒，其破坏性非常高，而且用户很难防范。 为实现网络安全目标，必须解决以下几个方面的问题：身份真实性：能 对通讯实体身份的真实性进行鉴别；信息机密性：保证机密信息不会泄露给 非授权的人或实体；信息完整性：保证数据的一致性，能够防止数据被非授 权用户或实体建立、修改、破坏；服务可用性：保证合法用户对信息和资源 的使用不会被不正当的拒绝；不可否认型：建立有效的责任机制，防止实体 否认其行为；系统可控性：能够控制使用资源的人或实体的使用方式；在 满足安全要求的条件下，系统应当操作简单、缨护方便；可审查性：对出现 的网络安全问题提供调查的依据和手段 3 7 。 的网络安全问题提供调查的依据和手段c 3 7 。 1 2 主要网络安全技术 为了确保网络信息的安全，在实际应用中通常采用的安全技术有：病毒防 范技术、加密型技术、入侵检测技术、网络安全扫描技术、防火墙技术以及还 有一些被广泛应用的安全技术，如身份验证、存取控制、安全协议等。本节将 就病毒防范技术、加密型技术、入侵检测技术、网络安全扫描等技术进行概要 阐述。 1 2 1 病毒防范技术 计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害 计算机系统的功能程序。病毒经过系统穿透或违反授权攻击成功后，攻击者通 常要在系统中植入木马或逻辑炸弹等程序，为以后攻击系统、网络提供方便条 件。当前的杀毒软件正面临着互联网的挑战。病毒的种类有：引导区病毒、文 件型、复合型、脚本病毒、宏病毒、特洛伊木马病毒、蠕虫病毒等。病毒的特 征有：传染性、隐蔽性、潜伏性、破坏性、不可预见性。 一对蠕虫的检测和防范 蠕虫是另一种能自行复制和经由网络扩散的程序。它跟电脑病毒有些不 同，电脑病毒通常会专注感染其它程序，但蠕虫是专注于利用网络去扩散。随 着互联网的普及，蠕虫利用电子邮件系统去复制，例如把自己隐藏于附件并于 短时间内电子邮件予多个用户。有些蠕虫更会利用软件上的漏洞去扩散和进 行。它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己 的一些特征，如不利用文件寄生( 有的只存在于内存中) ，对网络造成拒绝服 务，以及和黑客技术相结合等等。在产生的破坏性上，蠕虫病毒也不是普通病 毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成 网络瘫痪! 蠕虫病毒特征：( 1 ) 自我繁殖( 2 ) 利用软件漏洞( 3 ) 造成网络 拥塞( 4 ) 消耗系统资源( 5 ) 留下安全隐患。对蠕虫在网络中产生的异常，有多 种的的方法可以对未知的蠕虫进行检测，比较通用的方法有对流量异常的统计 分析，对t c p 连接异常的分析，也可在这两种分析的基础上，使用了对i c 卯 数据异常分析的方法，可以更全面的检测网络中的未知蠕虫。在以上的检测步 骤中都会产生相关的报警，从而采取相应的措施，防止蠕虫的进一步传播。 二 对木马检测及防范 一般的木马程序都包括客户端和服务端两个程序，其中客户端是用于攻击 者远程控制植入木马的机器，服务器端程序即是木马程序。当服务端程序在被 感染的机器上成功运行以后，攻击者就可以使用客户端与服务端建立连接，并 进一步控制被感染的机器。在客户端和服务端通信协议的选择上，绝大多数木 2 马使用的是t c p 协议，但是也有一些木马由于特殊的原因，使用u d p 协议进行 通讯。当服务端在被感染机器上运行以后，它一方面尽量把自己隐藏在计算机 的某个角落里面。以防被用户发现；同时监听某个特定的端口，等待客户端与 其取得连接：另外为了下次重启计算机时仍然能正常工作。木马程序一般会通过 修改注册表或者其他的方法让自己成为自启动程序。木马的隐藏方式有在任 务栏里隐藏、在任务管理器里隐藏、隐藏通讯、隐藏加载方式等。木马的种类 有：( 1 ) 破坏型( 2 ) 密码发送型( 3 ) 远程访问型( 4 ) 键盘记录木马( 5 ) d o s 攻 击木马( 6 ) 代理木马( 7 ) f t p 木马( 8 ) 程序杀手木马( 9 ) 反弹端口型木马。 意识到系统正在被控制后，就应该采取相应的措旌。重新启动计算机是第一 步；控制都是由网络作为载体，切断网络是第二步；因为每种木马程序彻底清 除的方法有所区别，一般的步骤是：r 1 ) 系统进入后不执行任何e x e 程序，进 行扫描杀毒：( 2 ) 修改( 修补) 注册表被修改的部分，促使木马的客户端不被重 新启动；( 3 ) 使用防火墙，监视所有的u d p 控制数据包，再查看日志是否 有非法的i p 进行连接，由此确定木马的清除是否成功。 三脚本病毒原理分析及防范 v b s 病毒是用v b s c r i p t 编写而成，该脚本语言功能非常强大，它们利用 w i n d o w s 系统的开放性特点，通过调用一些现成的w i n d o w s 对象、组件，可以 直接对文件系统、注册表等进行控制，功能非常强大。应该说病毒就是一种思 想，但是这种思想在用v b s 实现时变得极其容易。脚本病毒通过网络传擂的几 种方式及获得控制权：通过e m a i l 附件传播、通过局域网共享传播、通过感染 h t m 、a sp 、j sp 、p h p 等网页文件传播、通过i r c 聊天通道传播。v b s 脚本病毒 通过修改注册表项、通过映射文件执行方式欺骗用户，让用户自己执行以及 d e s k t o p i n i 和f o l d e r h t t 互相配合来进行。 可采取以下措旌预防和解除v b s 脚本病毒：禁用文件系统对象 f i l e s y s t e m o b j e c t ；卸载w i n d o w ss c r i p t i n gh o s t ：删除v b s 、v b e 、j s 、j s e 文件后缀名与应用程序的映射：在w i n d o w s 目录中，找到w s c r i p t e x e ，更改 名称或者删除；禁止0 e 的自动收发邮件功能；要彻底防治v b s 网络蠕虫病毒， 还需设置一下浏览器，把“a c t i v e x 控件及插件”的一切设为禁用 4 。 1 2 2 加密技术 加密技术是网络采取的主要安全措簏，是最常用的安全保密手段。加密技 术包括两个要素：算法和密钥。欲加密的数据称为明文，明文经某种加密算法 的作用后转换为密文，加密算法中使用的参数称为加密密钥；密文经解密算法 作用后形成明文输出，解密算法也有一个密钥，它和加密密钥可以相同也可以 不同。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信 息通讯安全。以数据加密为基础的网络安全系统的特征是：通过对网络数据的 可靠加密来保护网络系统中( 包括用户数据在内) 的所有数据流，从而在不对 网络环境作任何特殊要求的前提下，从根本上解决了网络安全的两大要求( 即 网络服务的可用性和信息的完整性) 。采用加密技术网络系统的优点在于：不仅 不需要特殊网络拓扑结构的支持，而且在数据传输过程中也不会对所经过网络 路径的安全程度作出要求，从而真正实现了网络通信过程端到端的安全保障。 加密技术按加密密钥与解密密钥的对称性可分为对称型加密、不对称型加密。 l 、加密的优势 加密提供以下四种服务，见表 服务解释 数据保密这是使用加密的通常的原因。通过使用数学方程式，可以保 性证只有打算接收的人才能查看它。 数据完整 对需要更安全来说数据保密是不够的，数据仍能够被非法破 解并修改。一种叫h a s h 的运算方法能确定数据是否被修改 性 过。 认证数字签名提供认证服务。 不可否定数字签名允许用户证明一条信息交换确实发生过，金融组织 性尤其依赖于这种方式的加密，用于电子货币交易。 2 、加密强度 加密文件一个常被讨论但又经常被误解的方面是加密强度。什么构成了加 密的强度? 哪种级别的加密是被不同的安全需要所要求的? 如何确定加密的有 效强度? 加密强度取决于三个主要因素：首先是算法的强度，包括几个因素， 例如，除了尝试所有可能的密钥组合之外的任何方法都不能使信息被解密。第 二个因素是密钥的保密性，数据的保密程度直接与密钥的保密程度相关，注意 区分密钥和算法，算法不需要保密，被加密的数据是先与密钥共同使用，然后 再通过加密算法。第三个因素是密钥长度，这是最为人所知的一个方面，根 据加密和解密的应用程序，密钥的长度是由”位”为单位，在密钥的长度上加 上一位则相当于把可能的密钥的总数乘以二倍，简单的说构成一个任意给定长 度的密钥的位的可能组合的个数可以被表示为2 的n 次方，这儿的n 是一个密 钥长度。 3 、对称加密 在对称加密( 或叫单密钥加密) 中，只有一个密钥用来加密和解密信息。尽 管单密钥加密是一个简单的过程，但是双方都必须完全的相信对方，并都持有 这个密钥的备份。但要达到这种信任的级别并不是想像中的那么简单。当双方 试图建立信任关系时可能一个安全破坏已经发生了。首先密钥的传输就是一个 重要问题，如果它被截取，那么这个密钥以及相关的重要信息就没有什么安全 可言了。 4 、非对称加密 非对称加密在加密的过程中使用一对密钥，而不像对称加密只使用一个单 独的密钥。一对密钥中一个用于加密，另一个用来解密。如用a 加密，则用b 解密；如果用b 加密，则要用a 解密。重要的概念是在这对密钥中一个密钥用 来公用，另一个作为私有的密钥；用来向外公布的叫做公钥，另一半需要安全 保护的是私钥。非对称加密的一个缺点就是加密的速度非常慢，因为需要复杂 的数学运算程序。如果一个用户需要使用非对称加密，那么即使比较少量的信 息可以也要花上几个小时的时间。尽管私钥和公钥都有与数学相关的，但从公 钥中确定私钥的值是非常困难的并且也是非常耗时的。在互联网上通信，非对 称加密的密钥管理是容易的因为公钥可以任易的传播，私钥必须在用户手中小 心保护。 5 数字签名 数字签名在i s 0 7 4 9 8 2 标准中定义为：“联寸加在数据单元上的一些数据， 或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用 以确认数据单元来源和数据单元的完整性，并保护数据，防止被人( 例如接 收者) 进行伪造”。它是对电子形式的消息进行签名的一种方法，一个签名消 息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得 数字签名，目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特 殊数字签名。普通数字签名算法有r s a 、e l g a m a l 、f i a t s h a m i r 、g u i l l o u q u i s q u a r t e r 、s c h n o r r 、0 n g s c h n o r r s h a m i r 数字签名算法、d e s ，d s a ，椭圆曲线 数字签名算法和有限自动机数字签名算法等。数字签名的过程如图所示【1 2 】。 篓豺始 叶 疆簸 蠢菇 组 倒 穗抽 赣鞋 藩j - 由叶一一二一- 一 瞳l l 葫尊整名瑚 5 1 2 3 入侵检铡技术 入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙 的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的 安全管理能力( 包括安全审计、监视、攻击识别和响应) ，提高了信息安全基础 结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信 息。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙 的延续。它们可以和防火墙和路由器配合工作。例如，i d s 可以重新配置来禁 止从防火墙外部进入的恶意流量。n e t i d s 的系统由以下几部分构成：p r o b e ( 探测器) 、n e t i d se n a g i n e ( 探测引擎) 、n i m sm a n a g e r ( 管理器) 、n i m sc o n s 0 1 e ( 控制台) 2 3 。其系统分布如图所示。 入侵检测系统( i d s ) 是一个典型的4 窥探设备”。它不跨接多个物理网段， 无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文 即可。对收集来的报文，入侵检测系统提取相应的流量统计特征值，并利用内 置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值， 匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置 进行报警或进行有限度的反击。入侵检测系统的原理模型如图所示可见，i d s 的工作实际上是网络干道的旁路措施，所获取的信息包也无须经过检测再通过。 常用检测方法有特征检测、统计检测与专家系统。入侵检测技术发展方向是： 分布式入侵检测和智能化入侵检测。其中分布式入侵检测的第一层含义，即 针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布 式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提 取。智能化入侵检测是指使用智能化的方法与手段来进行入侵检测。所谓的智 能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法， 这些方法常用于入侵特征的辨识与泛化。 1 2 4 网络安全扫描技术 网络安全扫描技术是一种基于i n t e r n e t 远程检测目标网络或本地主机安全 性脆弱点的技术。通过网络安全扫描，系统管理员能够发现所维护的w e b 服务 器的各种t c p i p 端口的分配、开放的服务、w e b 服务软件版本和这些服务及软 件呈现在i n t e r n e t 上的安全漏洞。网络安全扫描技术也是采用积极的、非破坏 性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系 统进行攻击的行为，并对结果进行分析。这种技术通常被用来进行模拟攻击实 验和安全审计。网络安全扫描技术与防火墙、安全监控系统互相配合就能够为 网络提供很高的安全性 3 8 。安全扫描系统构成如图所示。 盈l 0 翌全扫瞄漂霸贳鹊固 网络安全扫描技术主要包含：端口扫描技术：端口扫描向目标主机的 t e p i p 服务端口发送探测数据包，并记录目标主机的响应。通过分析响应来判 断服务端口是打开还是关闭，就可以得知端口提供的服务或信息。端口扫描也 可以通过捕获本地主机或服务器的流入流出i p 数据包来监视本地主机的运行 情况，它仅能对接收到的数据进行分析，帮助我们发现目标主机的某些内在的 弱点，而不会提供进入一个系统的详细步骤：漏洞扫描技术：漏洞扫描主要 通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机 开启的端口以及端口上的网络服务，垮这些相关信息与网络漏洞扫描系统提供 的漏洞库进行匹配，查看是否有满足匹配条 牛的漏洞存在；通过模拟黑客的攻 击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若 模拟攻击成功，则表明目标主机系统存在安全漏洞。 1 2 5 防火墙技术 防火墙是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。它通过允许、拒绝或重新定向经过防 火墙的数据流，防止不希望的、未授权的通信，并对进、出内部网络的服务和 访问进行审计和控制，本身具有较强盼抗攻击能力，对网络用户基本上是“透明” 的，并且只有授权的管理员方可对防火墙进行管理【5 】。 防火墙技术有多种，其中代理型防火墙是一种广泛使用的网络应用程序。 代理程序的种类非常多，根据协议不同可以分成h t t p 代理服务程序、f t p 代 理服务程序等，而运行代理服务程序的服务器也就相应称为h t t p 代理服务器 和f t p 代理服务器。 代理服务所起的是一个桥的作用，它是网络信息的中转站。在网络中应用 代理服务一般是基于以下几个原因： ( 1 ) 充分利用i p 地址资源。在局域网中，一般对外的i p 地址都是非常 有限的，为了保证局域网内部的主机都能够访问互联网资源， 通过网络代理就可以实现。 ( 2 ) 能够保证网络安全。网络代理可以充当内部网和互联网之间的防火 墙，通过过滤i p 地址，限定某些i p 地址对外部资源的访问。 ( 3 )能够有效地隐藏自己的i p 地址和主机名。由于所有对外网的请求都 是通过代理服务器实现的，所以目的主机只能知道代理服务器的i p 地址。 ( 4 )提高网络速度。通常代理服务器都设有一个较大的硬盘缓冲区，它 存储界数据，当你再访问相同的数据时，则可以直接从缓冲区中取出信息， 从而提高访问速度。 网络代理服务根据工作层次，一般可分为应用层代理、传输层代理和 s o c k s 代理。应用层代理是工作在t c p i p 参考模型的应用层之上，它支持对 应用层协议( 如h t t p 、f t p ) 的代理。它提供的控制最多，但是不灵活，必 须要有相应的协议支持。如果协议不支持代理( 如s m t p 和p o p ) ，那就只能 在应用层以下代理，也即传输层代理。传输层代理直接与t c p 层交互，更加 灵活。要求代理服务器具有部分真正服务器的功能：监听特定t c p 或u d p 端 口，接收客户端的请求同时向客户端发出相应的响应。另一种代理需要改变客 户端的i p 栈，即s o c k s 代理。它是可用的虽强大、最灵活的代理标准协议。 s o c kv 4 允许代理服务器内部的客户端完全地连接到外部的服务器，s o c k v 5 增加了对客户端的授权和认证，因此它是一种安全性较高的代理。 第二章防火墙技术 防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可 以被外界访问，外界的哪些人可以访问内部的服务以及哪些外部服务可以被内 部人员访问。本章阐述了防火墙的工作原理，防火墙的类型，传统的防火墙技 术，分布式防火墙技术，以及新一代防火墙技术的发展趋势等 1 。 2 1 防火墙概念 网络防火墙是一种用来加强网络之间访问控制的特殊网络设备，它对两个 或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查， 来决定网络之间的通信是否被允许，其中被保护的网络称为内部网络或私有网 络，另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外 部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权 用户的访问和过滤不良信息的目的。以下是防火墙工作示意图： 一。 一 围z _ 1 防火墙工作示意囝 2 2 传统防火墙技术 一提到网络安全人们首先想到的是防火墙，防火墙系统针对的是来自系统 外部的攻击，一旦外部入侵者进入了系统，他们便不受任何阻挡。传统防火墙 的基本类型有：包过滤型、代理服务型和状态包过滤型。 2 2 1 包过滤型防火墙 包过滤型防火墙工作示意图： 圉2 - 2 包过谵防火墙工作示意围 包过滤( p a c k e tf i l t e r ) 通常安装在路由器上，并且大多数商用路由器 都提供了包过滤的功能。包过滤是一种保安机制，它控制哪些数据包可以进出 网络而哪些数据包应被网络所拒绝。 网络中的应用虽然很多，但其最终的传输单位都是以数据包的形式出现， 这种做法主要是因为网络要为多个系统提供共享服务。例如，文件传输时，必 须将文件分割为小的数据包，每个数据包单独传输。每个数据包中除了包含所 要传输的数据( 内容) ，还包括源地址、目标地址等。数据包是通过互联网络 中的路由器，从源网络到达目的网络的。路由器接收到的数据包就知道了该包 要去往何处，然后路由器查询自身的路由表，若有去往目的的路由，则将该包 发送到下一个路由器或直接发往下一个网段；否则，将该包丢掉。与路由器不 同的是，包过滤防火墙，除了判断是否有到达目的网段的路由之外，还要根据 一组包过滤规则决定是否将包转发出去。 1 、工作机制 包过滤技术可以允许或禁止某些包在网络上传递，它依据的是以下的判 断： 对包的目的地址作出判断、对包的源地址作出判断、对包的传送协议( 端口号) 作出判断。一般地，在进行包过滤判断时不关心包的具体内容。包过滤只能让 我们进行类似以下情况的操作，比如：不让任何工作站从外部网用t e l n e t 登录、 允许任何工作站使用s m t p 往内部网发电子邮件。但包过滤不能允许我们进行如 下的操作，如：允许用户使用f t p ，同时还限制用户只可读取文件不可写入文 件、允许某个用户使用t e l n e t 登录而不允许其他用户进行这种操作。包过滤系 统处于网络的i p 层和t c p 层，而不是应用层，所以它无法在应用层的具体操作 进行任何过滤。以f t p 为例，f t p 文件传输协议应用中包含许多具体的操作， 如读取操作、写入操作、删除操作等。再有，包过滤系统不能识别数据包中的 甩户信息。 2 、性能特点 因为包过滤防火墙工作在i p 和t c p 层，所以处理包的速度要比代理服务 型防火墙快；提供透明的服务，用户不用改变客户端程序，因为只涉及到t c p j 层，所以与代理服务型防火墙相比，它提供的安全级别很低；不支持用户认证， 包中只有来自哪台机器的信息却不包含来自哪个用户的信息；不提供日志功能 2 7 。 2 2 2 代理服务型防火墙 代理服务型防火墙工作示意图： 圈2 3 代理服务器工作示意囝 代理服务( p r o x ys e r v i c e ) 系统一般安装并运行在双宿主机上。双宿主 机是一个被取消路由功能的主机，与双宿主机相连的外部网络与内部网络之间 在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。 这与包过滤防火墙明显不同，就逻辑拓扑而言，代理服务型防火墙要比包过滤 型更安全。 由于内部网络和外部网络在网络层是断开的，所以要实现内外网络之间的 应用通讯就必须在网络层之上。代理系统是工作在应用层，代理系统是客户机 和真实服务器之间的中介，代理系统完全控制客户机和真实服务器之问的流量， 并对流量情况加以记录。目前，代理服务型防火墙产品一般还都包括有包过滤 功能。 l 、工作机制 代理服务型防火墙按如下标准步骤对接收的数据包进行处理： 接收数据包、检查源地址和目标地址、检查请求类型、调用相应的程序、 对 请求进行处理。 ( 1 ) 接收数据包： 外部网络的路由器将外部网络主机对内部网络资源的请求路由至防火墙 的外部网卡。同样，内部网络中的主机通过内部网络中的路由选择信息将对外 部网络资源的请求路由至防火墙的内部网卡。 ( 2 ) 检查源地址和目标地址： 一旦防火墙接收到数据包，它必须确定如何处理该数据包。首先，防火墙 检查数据包中的源地址并确定该包是由哪块网卡接收的。这样做是为了确定数 据包是否有i p 地址欺骗的行为，例如，如果发现从外部网卡接收的一个数据包 中的源地址属于内部网络的地址范围，则表明这是地址欺骗行为，防火墙将拒 绝继续对该包进行处理并将此事件记录到日志中。接下来，防火墙对包中的目 标地址进行检查并确定是否需要对该包做进一步处理。这一点与包过滤类似， 即检查是否允许对目标地址进行访问。+ ( 3 ) 检查请求类型： 防火墙检查数据包的内容( 请求的服务端口号) 并对照防火墙中已配置好 的各种规则，以便确定是否向数据包提供相应时服务，如果防火墙对所请求的 端口号不提供服务，则将这一企图作为潜在的威胁记录下来并拒绝该请求a ( 4 ) 调用相应的程序 由于防火墙对所请求的服务提供支持，所以防火墙利用其他配置信息将该 服务请求传送至相应的代理服务。 ( 5 ) 对请求进行处理 现在代理服务以目的主机的身份并采用与应用请求相同的协议对请求进 行响应。应用请求方认为它是与目标主机进行对话。 然后，代理服务通过另一块网卡以自己真实的身份代替客户方，向目标主 机发送应用请求。如果应用请求成功，则表明客户端至目标主机之间的应用连 接成功地建立了。与包过滤防火墙不同，代理服务型防火墙是通过两次连接实 现客户机至目标主机之间的连接的，即客户机至防火墙、防火墙至目标主机。 另外，通过对防火墙进行适当的配置，可以在防火墙替客户机向目标主机 发送应用请求之前对客户方进行身份验证。 2 、性能特点 提供的安全级别高于包过滤型防火墙，代理服务型防火墙可以配置成唯一 的可被外部看见的主机以保护内部主机免受外部攻击、可以强制执行用户认证、 代理工作在客户机和真实服务器之问，完全控制会话，所以能提供较详细的审 计日志、代理的速度比包过滤慢。 随着因特网络技术的发展，不论在速度上还是在安全上都要求防火墙技术 也要更新发展，基于上下文的动态包过滤防火墙就是对传统的包过滤型和代理 服务型防火墙进行了技术更新 2 9 。 2 2 3 状态包过滤型防火墙 状态包过滤型防火墙工作示意图： 为了克服包过滤模式明显的安全性不足的问题，推出了状态包过滤的概念。 在包过滤技术的基础上，通过基于上下文的动态包过滤模块检查，增强了安全 性检查。它不再只是分别对每个进来的包简单埴就地址进行检查，状态包过滤 型防火墙在网络层截获进来的包，直到足够的数量，以便能够确定此试图连接 的有关“状态”。然后用防火墙系统内核中“专用的检查模块”对这些包进行 检查。安全决策所需的相关状态信息经过这个“专用的检查模块”检查之后， 记录在动态状态表中，以便对其后的数据包通讯进行安全评估。经过检查的包 穿过防火墙，在内部与外部系统之间建立直接的联系 2 9 。 2 3 传统防火墙的特点 一防火墙的优点 1 、防火墙能够强化安全策略 因为网络上每天都有上百万人在收集信息、交换信息，不可避免地会出现 个别品德不良，或违反规则的人，防火墙就是为了防止不良现象发生的“交通 警察”，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。 2 、防火墙能有效地记录网络上的活动 因为所有进出信息都必须通过防火墙，所以防火墙非常适用于收集关于系 统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和 外部网络之间进行记录。 3 、防火墙限制暴露用户点 防火墙能够用来隔开网络中的两个网段，这样就能够防止影响个网段的 信息通过整个网络进行传播。 4 、防火墙是一个安全策略的检查站 所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使 可疑的访问被拒绝于门外。 二防火墙的不足 防火墙的缺点主要表现在以下几个方面： 1 、不能防范恶意的知情者 防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数 据复制到磁盘。磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部， 防火墙是无能为力的。内部用户可以偷窃数据，破坏硬件和软件，并且巧妙地 修改程序丽不接近防火墙。对于来自知情者的威胁，只能要求加强内部管理， 如主机安全和用户教育等。 2 、不能防范不通过它的连接 防火墙能够有效地防止通过它的传输信息，然而它却不能防止不通过它而 传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那 么防火墙绝对没有办法阻止入侵者进行拨号入侵。 3 、不能防备全部的威胁 防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，就可 以防备新的威胁，但没有一扇防火墙能自动防御所有新的威胁。 4 、防火墙不能防范病毒 防火墙一般不能消除网络上的病毒。 2 4 分布式放火墙 2 4 1 分布式防火墙与边界式防火墙比较 ( 1 )分布式防火墙的产生 因为传统的防火墙设置在网络边界，在内部企业网和外部互联网之间构成 一个屏障，进行网络存取控制，所以称为边界防火墙( p e r i m e t e rf i r e w a l l ) 。 随着计算机安全技术的发展和用户对防火墙功能要求的提高，目前出现一种新 型防火墙，那就是”分布式防火墙”，英文名为”d i s t r i b u t e df i r e w a l l s ”。它是 在目前传统的边界式防火墙基础上开发的。因为是将分布式防火墙技术集成在 硬件上，所以通常称之为”嵌入式防火墙”。 传统意义上的边界防火墙用于限制被保护企业内部网络与外部网络( 通常 是互联网) 之间相互进行信息存取、传递操作，它所处的位置在内部网络与外 部网络之间。实际上，所有以前出现的各种不同类型的防火墙，从简单的包过 滤在应用层代理以至自适应代理，都是基于一个共同的假设，那就是防火墙把 内部网络一端的用户看成是可信任的，而外部网络一端的用户则都被作为潜在 的攻击者来对待。 分布式防火墙是一种主机驻留式的安全系统，用以保护企业网络中的关键 结点服务器、数据及工作站免受非法入侵的破坏。分布式防火墙通常是内核模 式应用，它位于操作系统o s i 栈的底部，直接面对网卡，它们对所有的信息流 进行过滤与限制，无论是来自i n t e r n e t ，还是来自内部网络。 分布式防火墙把i n t e r n e t 和内部网络均视为4 不友好的”。它们对个人计算机 进行保护的方式如同边界防火墙对整个网络进行保护一样。对于w e b 服务器来 说，分布式防火墙进行配置后能够阻止一些非必要的协议，如h t t p 和h t t p s 之外的协议通过，从而阻止了非法入侵的发生，同时还具有入侵检测及防护功 能。 分布式防火墙克服了操作系统所具有的己知及未知韵安全漏洞，如d o s ( 拒绝 服务) 、应用及口令攻击。从而使操作系统得到强化。分布式防火墙对每个服务 器都能进行专门的保护。系统管理员能够将访问权限只赋予服务器上的应用所 使用的必要的端口及协议。如h t t 已h t t p s ，p o r t8 0 ，p o r t4 4 3 等 3 3 。 分布式防火墙工作示意图： 1 4 u t 盯 母2 _ s 分期式秘火墙工馆录童囝 随着像v p n 这样网络技术的应用和普及，企业网边界逐步成为一个逻辑的 边界，物理的边界日趋模糊，传统边界防火墙在此类网络环境的应用受到了结 构性限制。因为传统的边界式防火墙依赖于物理上的拓扑结构，它从物理上将 网络划分为内部网络和外部网络，这一点影响了防火墙在虚拟专用网( v p n ) 上 的应用，因为今天的企业电子商务要求员工、远程办公人员、设备供应商、临 时雇员以及商业合作伙伴都能够自由访问企业网络，而重要的客户数据与财务 记录往往也存储在这些网络上。根据v p n 的概念，它对内部网络和外部网络的 划分是基于逻辑上的，而逻辑上同处内部网络的主机可能在物理上分处内部和 外部两面个网络。 基于以上原因，所以这种传统防火墙不能在有在两个内部网络之间通信需 求的v p n 网络中使用，否则v p n 通信将被中断。虽然目前有一种s s lv p n 技术 可以绕过企业边界的防火墙进入内部网络v p n 通信，但是应用更广泛的传统 i p s e cv p n 通信中还是不能使用，除非是专门的v p n 防火墙。 ( 2 ) 内部安全隐患仍在 传统的边缘防火墙只对企业网络的周边提供保护。这些边缘防| 火墙会在从 外部网络进入企业内部局域网的流量进行过滤和审查，但是，他们并不能确保 企业内部网络内部用户之间的安全访问。这就好比给一座办公楼的大门加上一 把锁，但办公楼内的每个房间却四门大开一样，一旦有人通过了办公楼的大门， 便可以随意出入办公楼内任何一个房间。改进这种安全性隐患的最简单办法便 是为楼内每个房间都配置一把钥匙和一把锁。边