（计算机应用技术专业论文）支持隧道代理的主动防御型防火墙——主动防御机制的研究.pdf

湖北工业大学硕士学位论文 摘要 随着网络和信息技术的发展，各种网络应用不断普及。网络在给人们 带来巨大便利的同时，也不可避免地遭受来自内、外网络的各种安全威 胁。“如何应对网络中新出现的、未知的瞬时攻击引起的潜在威胁和 破坏，更好地保证网络的安全”成为当前网络安全研究的重点。在网络 安全防护中，主动防御的思想日l 起了人们的高度重视。 本文在对网络边界安全技术一防火墙技术进行深入调研的基础上， 将主动防御的思想引入到防火墙的设计中，讨论了三种主动防御型防火 墙系统模型：与被动型安全工具的协同模型、主动型安全防护的应用模 型和基于关键资源的主动防御体系模型。在介绍了完整的安全，网络安 全模型设计后，重点讨论了基于关键资源的主动防御体系防火墙系统中 的关键技术，并对系统进行了功能设汁。 文章从基于关键资源的主机主动防御h a p ( h o s t s a c t iv e p r e v e n t i o n ) 、分布在各安全域边界的简单包过滤、集中的安全总控中心 s c c ( s e c u r i t yc o m m a n dc e n t f a l ) 和类似s n m pv 3 的专有、带外、安全通 讯协议四个方面，详细设计了基于关键资源的主动防御体系防火墙系统 提出了基于关键资源的主动防御体系防火墙实体( 即a p f k r 实体) 和a p f k r 引擎的概念。在研究了w i n d o w s 的n d i s 网络架构、l if l u x 的n e t f ih e r 架构、主机防护关键资源、操作系统加固和s n m p 铷议之后，重点实现了 简单包过滤和基于关键资源的主机主动防御并对集中的安全总控中- t l , 和安全通讯协议进行了详细设计。 最后，本文对所做的相关研究和已解决的问题进行了总结，提出了下 一阶段需重点解决和研究的内容。 关键词：安全防火墙瞬时攻击主动防御关键资源 湖北工业大学硕士学位论文 a b s t r a c t w i t ht h e d e v e l o p m e n to ft h e n e t w o r ka n dt h ei n f o r m a t i o nt e c h n o l o g y ，v a r i o u s n e t w o r ka p p l i c a t i o n sa r ep u t t e dt ob ep o p u l a r i z a t i o n h o w e v e r ，i ti sf a c i n gd i v e r s i f i e d s e c u r i t vt h r e a tf r o mi n t e r n a la n de x t e r n a ln e t w o r ki n e v i t a b l yn o w a d a y s ，i ns p i t eo fi t s c o n v e n i e n c et op e o p l e h o wt od e a lw i t ht h ep o t e n t i a lt h r e a ta n dd e s t r o ya r o u s e df r o m t h eu n p r e c e d e n t e da n du n k n o w nz e r o - d a ya t t a c k ，a s s u r i n gt h en e t w o r ks e c u r i t yb e t t e r t u r n si n t om a g n i t u d en e t w o r ks e c u r i t yr e s e a r c hp r o j e c tr e c e n t l y a c t i v ep r e v e n t i o n i n n e t w o r ks e c u r i t yp r e v e n t i o na t t r a c t sp e o p l ei nh i g hd e g r e e b a s e do ne m b e d d e d i n v e s t i g a t i o n i nn e t w o r kv e r g es e c u r i t yt e c h n o l o g y ，t h e f i r e w a l lt e c h n o l o g y ，t h i sp a p e ri n d u c t st h ei d e ao fa c t i v ep r e v e n t i o ni n t ot h ed e s i g no f f i r e w a l l ，a n d d i s c u s s e st h r e e t y p e s o fa c t i v e p r e v e n t i o n f i r e w a l l s y s t e m m o d e l ： c o o p e r a t i v em o d e l f o rp a s s i v es e c u r i t yf a c i l i t y ，a p p l i c a t i o nm o d e lf o ra c t i v es e c u r i t y p r e v e n t i o n a n da c t i v e p r e v e n t i o n s t r u c t u r em o d e lb a s e do nk e yr e s o u r c e a f t e r i n t r o d u c i n gt h ei n t e g r a t e dd e s i g n o fs e c u r i t ya n dn e t w o r ks e c u r i t ym o d e l ，t h ek e y t e c h n o l o g yo fa c t i v ep r e v e n t i o ni n f r a s t r u c t u r ef i r e w a l ls y s t e mb a s e d o nk e yr e s o u r c ei s e m p h a s i z e dd i s c u s s e di nt h i sp a p e ra n d t h es y s t e mf u n c t i o ni sd e v i s e da sw e l l o nf o u ra s p e c t ，h a p ( h o s t sa c t i v ep r e v e n t i o n ) b a s e do nk e yr e s o u r c e s ，s i m p l e p a c k e t - f i l t e r d i s t r i b u t e do na l l s e c u r i t y f i e l d b o u n d a r y ，c e n t r a l i z e ds c c ( s e c u r i t y c o m m a n dc e n t r a l ) a n dt h ep r o p r i e t a r ys e c u r i t yc o m m u n i c a t i o np r o t o c o ll i k es n m p v 3 t h i sp a p e rd e v i s e ss y s t e mo f a c t i v ep r e v e n t i o nf i r e w a t lb a s e do nk e yr e s o u r c e s ，a n dp u t t s f o r w a r dt h e c o n c e p t o fa c t i v ep r e v e n t i o nf i r e w a l lb a s e do n k e yr e s o u r c e se n t i t y ( c a l l e da p f k re n t i t y ) a n da p f k re n g i n e a f t e r i n v e s t i g a t i o n o fw i n d o w sn d i sn e t w o r kf r a m e w o r k ，l i n u xn e t f i l t e r f r a m e w o r k ，h o s tp r e v e n t i o nk e yr e s o u f c e s ，o p e r a t i n gs y s t e mr e i n f o r c i n ga n ds n m p p r o t o c o l ，t h i sp a p e ri m p l e m e n t st h es i m p l ep a c k e t f i l t e r a n dh o s t sa c t i v ep r e v e n t i o n b a s e do nk e yr e s o u r c e s ，a n dc o n t r i v e st h ec e n t r a l i z e ds e c u r i t yc o m m a n dc e n t r a la n d s e c u r i t yc o m m u n i c a t i o np r o t o c o lp a r t i c u l a r l y f i n a l l y ，t h i sp a p e rs u m m a r i z e st h er e l e v a n tr e s e a r c ha n dt h er e s o l v e dp r o b l e m ，a n d r e f e r si ni s s u c st ob ea c c o u n t e df o ra n ds t u d i e di nl a t e rm o m e n t k e y w o r d s ：s e c u r i t y ；f i r e w a l l ：z e r o d a y a t t a c k ；a c t i v ep r e v e n t i o n k e yr e s o u r c e n 湖北工业大学硕士学位论文 学位论文版权使用授权书 本人完全了解湖北工业大学关于收集、保存、使用学位论文的规定，同意 如下各项内容：按照学校要求提交学位论文的印刷本和电子版本：学校有权保 存学位论文的印刷本和电子版，并采用影印、缩印、扫描、数字化或其它手段 保存论文；学校有权提供目录检索以及提供本学位论文全文或者部分的阅览服 务；学校有权按有关规定向国家有关部门或者机构送交论文的复印件和电子版： 在不以赢利为目的的前提下，学校可以适当复制论文的部分或全部内容用于学 术活动。 学位论文作者签名：张己尊 z ，年5 月四日 湖北工业大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，进行研究工作 所取得的成果。除文中已经注明引用的内容外，本学位论文的研究成果不包含 任何他人创作的、已公开发表或者没有公开发表的作品的内容。对本论文所涉 及的研究工作做出贡献的其他个人和集体，均己在文中以明确方式标明。本学 位论文原创性声明的法律责任由本人承担。 学位论文作者签名：莱乏、罄 2 西r 年 月磬f 湖北5 - 业大学硕士学位论文 _ - _ _ - _ - l _ _ _ _ _ l _ - _ _ _ _ _ _ _ _ _ - _ - - - _ - _ l _ _ _ _ _ 一i ii _ _ _ - _ _ i _ _ _ - - _ l - l _ _ _ _ - _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ l 一 第1 章引言 1 1 网络安全威胁 随着t n t e r n e t 的迅速发展，政治、经济、军事、文化和人民生活等 各方面都越来越依赖于网络，计算柳信息行业、网站、企事业单位、教 育科研行业、政府机构、金融证券行业等大部分行业，纷纷组建了自己 的内部网络，并利用i n t e r n e t 的共享性和开放性进行网络互连，由于 i n t e r n e c 赖以生存的t g p i p 协议缺乏相应的安全机制，一旦内部网络接 入外部网络，网络安全问题就变得至关重要”i 。 网络中的主机随时可能会受到非法入侵者的攻击，网络中的敏感数据 有叮能泄露或被修改，从内部网向外网传送的信息可能被他人窃听或篡 改。造成网络安全威胁的原因可能是多方面的，有来自外部网络，也有 来自企业内部网络的。攻击者主要是利用通信协议和操作系统的安全漏 洞进j j ：攻击。归纳起来，系统的安全威胁主要表现为以下特征【2 - 3 i ： 窃听：攻击者通过监听网络数据获得敏感信息。 重传：攻击者事先获得部分或全部信息，以后将此信息发送给接收 者。 伪造：攻击者将伪造的信息发送给接收者。 篡改：攻击者对合法用户之间的通讯信息进行修改、删除、插入，再 发送给接收者。 拒绝服务攻击：攻击者通过某种方法使系统响应减慢甚至瘫痪，阻止 合法用户获得服务。 行为否认：通信实体否认已经发生的行为。 非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非 授权访问。它主要有以下几种形式：假冒、身份攻击、非法用户进入网 络系统进行违法操作、合法用户以未授权方式进行操作等。 传播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很 湖北工业大学硕士学位论文 _ _ _ - _ - _ _ _ - _ - _ _ l - - l _ _ _ 一i _ - _ - _ _ - _ - - 二；- i - _ _ _ _ _ _ _ _ l - l - _ _ _ - _ - _ - l - _ - _ _ i - _ _ _ _ l - - l _ _ _ _ 一 难防范。 对网络用户来说，面临的安全性威胁主要表现为以下几个方面【4 - 5 】： 病毒问题 黑客攻击 管理的困难 网络的缺陷及软件的漏洞 网络的安全问题已成为电子信息化建设最大的拦路虎。是疏于安全防 范，还是没有购买安全设备? 答案是否定的，很多企业在组建网络时都 把网络安全作为重中之重，购买了很多的安全产品。那到底症结何在? 关键在于网络的安全是一个完整的体系，同时现有的安全体系还存在着 诸多的缺陷。 1 2 网络边界安全一防火墙技术 网络安全问题主要是由网路的开放性、无边界性、自由性造成的。如 何将被保护的网络从开放性、无边界的网络环境中独立出来，成为可管 理、可控制的、安全的内部网络? 最基本的隔离和访问控制手段就是防 火墙技术。 作为网络边界的安全技术一防火墙技术的引入，将有效地减少或避 免网络安全威胁。 l 。2 1 什么是防火墙技术 防火墙技术是指通过一组设备介入被保护对象和可能的攻击者之间， 对被保护者和可能的攻击者之问的网络通讯进行主动的限制，达到对被 保护者的保护作用。这里可能的攻击者一方面包含现实的或潜在的蓄意 攻击者，另一方面也包含被保护者的合作者陋”。 2 湖北工业大学硕士学位论文 图1 1防火墙的基本原理图 构成防火墙的可能有软件、也可能有硬件或两者都有，但是应该说， 防火墙最基本的构件是构造防火墙的思想。最初的防火墙不是一种产品， 是构造者的一种想法，即谁和什么能被允许访问本网络，这也是传统意 义上防火墙概念的出发点。 传统意义上的防火墙是基于网关的。主要是解决企业内部网i n t r a n e t ( 被认为是可信任的) 与i n t e r n e t ( 不可信的) 互联时的i p 地址和端口 的过滤、i p 地址翻译、应用服务代理和i p 包的加解密问题。 1 2 2 防火墙的实现方法 目前，防火墙有三种实现方式：一是软硬结合的专用防火墙，这种防 火墙速度快，安全性高，但往往不易直接登录进行维护，而且造价高、 附加功能有限、升级不方便：另一种就是纯软件防火墙，这种防火墙使 用范围广、成本低，而且实现的功能较多，但效率低。防火墙所要完成 的主要功能是对进出内部网络的数据包进行过滤。还有一种就是纯硬件 防火墙，硬件产品更迎合中小企业用户的需求。因为它们没有专门的安 全管理人员，硬件产品比软件产品要更容易设置和管理。 从0 s 1 分层模式来考察防火墙，目前主要的防火墙可以分为三类，它 湖北工业大学硕士学位论文 们分别是：包过滤防火墙、基于状态的包过滤防火墙、应用代理( 网关) 防火墙。 简单的包过滤 包过滤防火墙提供了在网络层的访问控制，对数据包进行过滤，主要 是根据源地址、目的地址、端口等信息来决定是否允许该数据包通过。 这类防火墙对应用是透明的，速度和对协议的支持能力较好，但是安全 性相当较低。这是因为它只能检查网络层的信息，如网络地址和协议端 口等，无法对应用层的数据进行过滤，所以对高层次的攻击无法防范。 包过滤可知道每一个数据包的源地址，但不知道使用者是谁。同样地 它会检测网络层的封包，而不去管是什么应用程序，所以包过滤安全性 不高。 应用层代理( p r o x y ) 这是传统的防火墙技术。任何进出i n t e r n e t 的应用服务部必须经过 防火墙的代理后，再转送到目的地；藉由代理的过程，检测各层次的应 用服务，但是这样做破坏了主从颦构模式。此外，该技术只支持有限的 应用程序，每一个服务或应用程序都须要专门的代理程序，因此如果有 新的应用服务，使用者必须等待厂商开发新的应用代理程序才能使用； 由于每一种代理( p r o x y ) 需要不同的应用程序或域来执行，会因为过多 的资料复制和内容交换会造成执行效率较低。 状态检测 对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规 则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态 表。对该连接的后续数据包，只要是符合状态表，就可以通过。这种方 式的好处在于：出于不需要对每个数据包进行规则检查，而是一个连接 的后续数据包( 通常是大量的数据包) 通过散列算法，直接进行状态检 查，只要符合状态表，就可以通过，从而使性能得到较大的提高；而且， 它根据从所有应用层中提取的与状态相关信息来做出安全决策，使得安 全性也得到进一步的提高。 4 湖北3 - 业大学硕士学位论文 1 2 3 防火墙技术在网络安全中的地位 防火墙是网络上使用最多的安全设备，图1 2 为2 0 0 4 年网络安全技 术使用情况统计图【。它是网络安全的重要基石，是内部网络与外部网络 之间的“门户”，是处于内部网和外部网之间，保护内部网及其自身安 全运行的一组软硬件的有机组合，是网络安全体系中的一个重要组成部 分。它用来管理进出网络的各种信息和行为，对内部网络与外部网络之 间的信息交换进行全面管理，具有过滤进出网络的数据包、管理进出网 络的访问行为、拒绝某些禁止的访问行：勾、记录通过防火墙的信息内容 和活动、对网络攻击进行监测和报警五：赶基本功能。防止外部网络不安 全的信息流入内部网络和限制内部网络的重要信息流到外部网络，以保 障网络信息交换安全、通畅地进行。 ( 请列举) 物理性安全 反病毒软件 数字签名和证书 虚拟专用网络 加密注册、会话 加密文件系统 八侵检测系统 舫火墙 安全审计技术 生物识别技术 智能卡、一次性记号 可鬣复使垌用户名密码 访问控制 3 04 05 06 07 08 0 比例 图1 22 0 0 4 年网络安全技术使用情况 湖北工业大学硕士学位论文 1 3 网络安全模型 在信息安全领域，人们早已意识到：仅靠单一技术手段构成的安全体 系往往是脆弱的，因为根据“木桶原理”攻击者只要攻破一点就可对整 个系统构成威胁。为了对企业网络的重要信息进行有效地保护，必须综 合采用多种技术手段，构建多层面、复合式的立体安全防护体系。在此 简要地介绍两种信息安全模型】。 1 3 1p 2 d r 2 模型 p 2 d r 2 模型( 如图1 3 ) 是由中国计算机软件与服务总公司信息安全 实验室提出的，它源于美国i s s 公司提出的p d r 动态的安全管理模型， 主要针对技术防护，更加强调管理在网络安全中的作用，充分体现了“三 分技术，七分管理”的安全理念。 图i 。3p 2 d r 2 模型 6 湖北工业大学硕士学位论文 1 3 23 l 模型 信息产业部数据通信科学技术研究所通过多年来对i p 网络安全问题 的深入研究，提出了i p 网络安全保密体系，并根据用户网络可能遭受的 攻击类型及其对用户系统安全可能造成的影响，将i p 网络安全分为接入 安全、传输安全、业务安全三个层面，其安全模型如图1 4 所示，称为 3 l 模型。 接入安全是指用户通过p s t n 、i s d n 、x d s l 等方式动态地接入安全保 密系统时，在数据链路层提供的强身份认证机制。 不安全的外部 图1 43 l 模型 传输安全是指在i p 层为甩户r 士呈供的数据传输的保密性、完整性及可 靠性服务。 业务安全是指在业务应用层为安全保密系统内部用户提供的基于个 人角色的、进一步的安全保密服务，包括：用户身份认证、个人终端安 全、个人信息保密等。 1 4 课题来源、目的及意义 1 4 1 课题来源 本课题“支持隧道代理的主动防御型防火墙的研究”来源：2 0 0 4 年 湖北工业大学硕士学位论文 的湖北省科技攻关项目( 项目编号为2 0 0 - 4 a a i o l c 6 7 ) 。 1 4 2 国内外发展现状 防火墙经历了从早期的简单包过滤，到今天的状态包过滤技术和应用 代理的发展。 从防火墙的功能来说，当前研究主要针对以下几个方面；访问控制、 攻击防范、n a t 、v p n 、路由、认证、审计和支持s n m p 网络管理协议等。 从用户需求的角度来看，防火墙正逐步呈现出多功能、高性能、专业 化、高质量的特点。一方面，希望防火墙功能大而全。另一方面，又希 望防火墙能满足专业化、个性化的组网和功能需求，以适应不同的安全 级别。防火墙也渐渐成了整个网络安全的解决方案，它集各种各样的网 络安全技术于一身，而随之带来的则是多功能所带来的效率低下以及自 身的安全性问题。 目前的防火墙产品大部分只限于简单规则的过滤，只能被动地防御， 很少对柬自内部网络的攻击行为进行处理，很少考虑内部用户的泄密， 对用户也缺乏有效的认证及授权管理，更无法应对当前网络中新出现的、 未知的“瞬时攻击”引起的潜在威胁和破：坏。 最近几年，随着网络安全技术的不断发展，网络安全业界特别地从战 略高度上提出了如何建立使入侵者感到有威慑的主动防御思想。基于主 动防御的网络安全技术将改变以往仅仅依靠防火墙、扫描、检测这些传 统的网络安全工具，主动进行入侵取证和信息监控等从而构建更加安 全的网络防护体系。 i 4 3 本课题的目的及意义 本课题是针对防火墙的局限性，为构建支持v p n 的隧道代理，具有主 动防御思想和模式匹配技术的专业级高性能防火墙而进行的实现研究。 本论文主要针对防火墙中的主动防御机制进行研究。 由于网络安全的脆弱性，黑客在网上的攻击活动每年都以几何级数的 速度增 乏。据统计，全球平均每2 0 秒就有一个刚站遭到黑客攻击。随着 网络的不断发展，网络入侵的肆虐日趋频繁。目前，l 址界上有2 0 多力- 个 湖北工业大学硕士学位论文 黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统漏 洞，因而使网络安全工作交得更加错综复杂i i j 。 与此同时，入侵者的攻击方式也发生了很大的变化：攻击工具的自动 化程度继续不断增强，图1 5 就显示了攻击者所采用的网络攻击手段与 攻击者自身知识之间的关系“：攻击工具的编写者采用了比以往更加先 进的技术，攻击工具的特征码越来越难以通过分析来得到，并且，越来 越难以被基于特征码的安全检测系统所发现。 h i g h l o w “s t e a l t h a d v a n c e d p a s s w o r d g u e s s i n g 1 0 8 01 9 8 51 驰0 l n l r u d e tk n o w l e d g e 1 9 蟠2 0 0 0 a t t a c ks o p h i s l i c a t i o n 图1 5 攻击者所采用的网络攻击手段与攻击者自身知识之间的关系 迄今为止，在黑客攻击与网络安全防护的对抗过程( 如图i 6 ) 中， 黑客攻击仍占据了上风。这其中的一个主要原因就是：我们基本上都足 在被动防护，都是在遭受攻击之后才发现问题然后有针对性地解决问 题、提高网络的安全防护水平，而后茫然地等待下一次攻击的到来。也 9 湖北工业大学硕士学位论文 就是说，目前的网络安全防御行为是一种被动式的反应行为，而等待新 的特征码的开发将成为安全防御系统中最大的漏洞。 图1 6 入侵与入侵检测系统的对抗 显然，在面对网络中新出现的、未知的，通常称作“瞬时攻击”引起 的潜在威胁和破坏时，我们都无法容忍系统中继续存在安全漏洞。时间 和信息对于一个内部网络在与“瞬时攻击”的整体对抗中保持不败是非 常重要的。因为黑客不断地开发新的攻击，逃避现有的安全防护体系， 所以最有效的防御系统将直接瞄准潜在的、新的攻击，找出延迟其破坏 的方法。这就提出了主动防御的需求1 “j j 。 主动防御机制的运用将使得网络安全防护系统在攻击与防护的对抗 中- 与据主动地位，更好地保障网络的安全。 0 湖北工业大学硕士学位论文 第2 章主动防御型防火墙系统 2 1 主动防御的概念 主动1 1 4 l ir l i t i a t i v e ：能够造成有利局面，使事情按照自己的意图进行 ( 与“被动”相对) 如：争取主动、采取主动 o no n e so w r li n i t i a t i v e ：o fo n e s o w na c c o r d ：自愿地： 自动地如：主动帮助别人 a c t i v e ：积极的：能起作用的；现行的：活动的；活跃的；活 性的 指动词语态 说明语法上的主语所指示的人或物是执行动词所指 示的动作的如：主动语态 有功的；有源的如：主动自动制导、主动跟踪系统 被动 1 4 i p a s s i r e ：消极的；温驯的，静的( 动物) ；不抵抗的；唯命是 从的；缺乏精力的；被动语态的 受外力推动而动 受他人的影响或牵制而发生行动 主动防御( a c t i v ep r e v e r l t i o d ) 主动防御是相对于传统的被动式保护而言的。传统的保护措施( 如： 传统的防火墙、入侵检测系统等) 都是采用预先设定好的策略对网络安 全性进行保护。传统的基于策略的防火墙决定了它仅仅能够作为网络边 界的屏障，而不能代替整个安全系统的作用：传统的基于入侵特征库的 检测系统，仅仅能够被动地检测已知的安全入侵方式对于未知的入侵 方式的效果微乎其微，即使具备了一定的所谓异常模式判断的入侵检测 系统，对于新的攻击模式的实际应用效果也是不太明显的。 湖北工业大学硕士学位论文 主动防御对关键资源进行主动防护，直接瞄准潜在的、新的攻击，找 出延迟其破坏的方法。在面对网络中新出现的、未知的，通常称作“瞬 时攻击( z e r o - d a ya t t a c k ) ”引起的潜在威胁和破坏时，占据主动。 2 2 防火墙系统中的主动防御 那么如何使得防火墙系统在攻击与防护的对抗中占据主动地位，以及 如何更好地保障网络的安全? 从广义上讲，网络安全技术主要包括：主机安全技术、身份认证技术、 访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、 系统漏洞检测技术和黑客跟踪技术；网络安全机制主要包括：加密机制、 数字签名机制、访问控制机制、数据完整性机制、认证机制、信息流填 充机制、路由控制机制和公i f 机制“。 网络安全包含多个层面，既有层次、结构上的划分，也有防范目标上 的差别。一个完整的安全体系应该是一个结合安全技术、安全机制与安 全管理，由具有分布式多层次的多种安全技术或产品构成的网络安全管 理体系，她结合网络、系统、用户、应用及数据方面的安全措施，对网 络系统的使用实旌统一的安全规划。 防火墙系统的主动防御可从以下五个层次来进行：网络的完整性、系 统的完整性、用户账号的完整性、应用数据的完整性和数据的保密性。 2 3 主动防御型防火墙系统模型 任何一种单一的网络安全技术都不足以维护一个网络的安全。要在最 大程度上保护网络，就需要多种安全成员相互协作。共同作用。根据主 动性体现程度不同，将防火墙系统主动防御机制的实施模型分为三类【l “。 2 3 1 与被动型安全工具协同模型 被动型安全工具：网络安全扫描、系统漏洞扫描、入侵检测、安全审 计等。 网络扫描包括很多不同类型的扫描，例如网络安全隐患扫描、病 毒扫描等。网络安全隐患扫描技术就是一种允许网络管理员定期测试网 湖北工业大学硕士学位论文 络中的弱点和安全漏洞的技术，也就是用来定期扫描是否有违反安全策 略或网络弱点存在。相同的是，病毒扫描就是用来定期测试恶意代码的。 在每个i n t e r n e t 网关处添加病毒和内容的扫描以检测恶意代码。当一个 携带病毒的邮件经过这些网关时，病毒将被清除，只允许邮件原文安全 的进入。采用这些技术实现的工具还产生报告来确定任何潜在的隐患， 按照这些隐患的熏要性排序，并提供如何解决这些隐患的建议。由于网 络是经常变化的，每天都会产生新的隐患，定期有规律的提前扫描这些 隐患对于一个网络安全解决方案来说是非常重要核心的组成部分“。 利用系统漏洞扫描对系统进行风险评估，检查出系统的安全漏洞。 在系统配置和应用不断改变的情况下，系统管理员需要定期地对系统、 数据库和系统应用进行安全评估，及时地采取必要的安全措施，与防火 墙系统阱作，对系统实施有效的安全防范i j “。 非法入侵的检测通过实时的监视和主动的漏洞检测堵住”黑客” 入侵的途径；一旦发现入侵就与防火墙系统协作，及时报警、切断或采 取必要措施。它从各种各样的系统和网络资源中采集信息，对这些信息 进行分析和判断，及时发现入侵和异常的信号，为做出响应赢得宝贵时 间，必要时还可直接对攻击行为做出响应，将攻击行为带来的破坏和影 响降至最低。入侵检测技术主要包括：数据收集技术、攻击检测技术、 响应技术1 1 引。 入侵检测技术按照检测器的实现技术可分为误用捡测和异常检测两 种，误用检测用已知的入侵方法匹配并谚：! 别攻击。异常检测将那些已经 明显偏离用户正常使用系统方式的行为表示为异常行为。按照入侵检测 系统输入数据的来源，又可分为基于主机和基于网络的入侵检测系统。 入侵检测系统是用来检测网络系统中发生的攻击行为或异常行为的 系统，用于及时发现攻击或异常行为并进行阻断、记录、报警等响应的 安全防护工具。入侵检测系统可用于监控分析用户和系统的行为( 通过 采集系统和网络中的信息数据，并对其进行还原分析和过程回放) 、审计 系统配置和漏洞、识别异常行为和攻击行为( 通过异常检测和模式匹配 等技术) 、对攻击行为或异常行为进行响应、审计和跟踪等。 湖北工业大学硕士学位论文 n e l w o r kl l o ws e n s o rd a l a a 竺唑r e s u l t s 图2 1 防火墙系统与入侵检测系统的协作模型【1 1 】 安全审计定期地对分布的系统进行检查并对所产生的安全报告 进行综合审计。 2 3 2 主动型安全防护应用模型 主动型安全防护措旌：网络陷阱、入侵取证、自动恢复等。 网络陷阱技术【1 9 】 一个成功的防护措施，可以拖延攻击者，同时能给防御者提供足够的 信息来了解敌人，将攻击造成的损失降至最低。灵活地使用欺骗技术， 就可咀达到上述目标。网络安全防御者通过提供虚假信息，迫使攻击者 浪费时日j 做无益的进攻，以减弱后续的攻击力量，同时，还可获得攻击 者手法和动机等相关信息。这些信息可用来强化现有的安全措施，如： 防火墙规则和入侵检测系统配置等。网络陷阱技术就是基于这一思路设 计和丌发的。 网络陷阱技术主要包括：伪装技术( 系统伪装、服务伪装等) 、诱骗 技术、引入技术、信息控制技术( 防止攻击者通过陷阱实现跳转攻击) 、 湖北工业大学硕士学位论文 数据捕获技术( 用于获取并记录相关攻击信息) 及数据统计和分析技术 等。 网络陷阱由放置在网络中的多个陷阱机和一个远程管理控制台组成。 其中，陷阱机是一个能够完成牵制和控制网络攻击的子系统。每个陷阱 机就是一台欺骗主机，是一种专门设计的让人攻陷。的网络或主机，一 旦被入侵者攻破，陷阱机将对入侵过程进行记录和监视。自动记录入侵 者的行为和使用的工具等信息。这些信息将被用于分析学习，并有可能 作为证据起诉入侵者。从而，间接起到保护真实系统的作用，也为将要 发生的攻击行为提供了预警功能。网络陷阱系统可将黑客的攻击行为引 诱到一个可控的范围中，消耗其资源，记录下他的所有动作，研究其行 为了解其使用的攻击方法和技术，并提醒他的下一个攻击目标，以便 及时做出防范，从而保护真正的服务器的安全，提高网络的安全防护性 能。网络陷阱使攻击者不知何以为攻，消耗其资源，研究其行为，保护 主要服务器。 入侵取证已成为国际上网络安全最重要的课题之一，一方面设置 伪装的安全陷阱，诱惑黑客来攻击，保护自身网络的重要资源：另一方 面捕捉黑客对系统入侵的手法及其相关证据，来寻求法律保护。 图2 2 典型网络陷阱的应用 湖北工业大学硕士学位论文 2 3 3 基于关键资源的主动防御体系模型 考察目前所有网络攻击，可以发现其攻击的最终目的都是对系统关键 资源的获取或破坏。一个有效的安奎解决方案应该首先满足对关键的资 源实现重点保护的需要。 网络中常见的需要提供安全保护的关键资源主要有【1 9 1 ： 网络资源包括限制网络系统的非授权访问和保证网络数据传输 的安全性等： 数据资源包括应用系统的数据结构、业务原始数据、主机与网络 系统的配置和维护数据等； 文件系统指主机系统文件、网络系统配置文件和服务系统软件； 合法用户指在整个系统中具有合法身份的用户的权限不被盗用， 或者合法的权限被任意的放大或缩小甚至删除。 而需要提供安全保护的最关键的系统资源实际上就是驻留在主机和 服务器上的数据以及服务进程等i l “。即主机上的关键文件、关键设备、 关键进程等。 如果我们对这些关键文件、设备和服务进程进行了强制性、全面地防 护，并且对操作系统进行加固对问题最多的超级用户的超级权力进行 适当的限制，就可以达到主机主动防护的效果。这样不管攻击者采用 什么样的攻击方法，我们的防范方式总是能够主动识别攻击者的企图 对于不合适的访问予以拒绝，并将访问企图记录下来。例如，如果一个 入侵者利用一个新的漏洞获取了操作系统超级用户的口令，那么下一步 他希望采用这个账户和密码对服务器上的数据进行删除和篡改。这时， 如果利用主动防护的方式首先限制了超级用户的权限，而且又通过访问 地点、访问时问以及访问采用的应用程序等几方面的因素予以了限制， 入侵者的攻击企图就很难得逞。 这就是基于关键资源的主机防护系统，它主要运用了主机安全技术、 身份认证技术、访问控制技术和安全管理技术等。 我们将被动型安全工具、主动型安全防护措施以及基于关键资源的主 1 6 湖北工业大学硕士学位论文 机防护系统，进行统一的安全规划，构建一个基于关键资源的主动防御 体系，来与作为边界安全网关的防火墙系统进行协作，达到对未知攻击 方式的成功防范，更好地保障网络的安全和网络关键资源的安全。同时 对入侵企图进行取证，生成安全事件，最终在防火墙的作用下，在网络 安全域边界阻断攻击源。 7 湖北工业大学硕士学位论文 第3 章基于关键资源的主动防御体系防火墙的设计 基于关键资源的主动防御体系防火墙系统是一个完整的网络安全体 系。本章将对完整的安全、网络安全的模型设计及系统中的主要关键技 术进行介绍。并对基于关键资源的主动防御体系防火墙进行功能设计。 3 1 完整的安全【2 i j 完整的安全除了安全规范、物理安全和人员安全外，主要包括： 数据库系统褰全 ；+ 应用零筑寡全 桌面系统寒蠢、 0 ，1 “- 2 ? ：。 。j 。、。篓一服务器安全。js 。囊。誓、缨i ：7 。 。一 网络交垒 1” ，i 0 篡j 警j ：嚣。i 朔蓐受奎0 。j “”、o | 、曩：。嚣 1 一：hj + * ，u ，? ” 、 、 c ：j o u - 用户安全：身份验证；账号管理：用户集中管理 网络安全：保障网络运行的稳定性；防火墙系统：网络攻击防范、 网络访问控制、信息传输安全：网络设备的安全 服务器安全：明确需要保护的资源：服务器连接访问控制；登录 控制：超级用户权限控制；整体安全评估：跟踪审计 应用系统安全：保护应用进程；定期备份；安全漏洞检测；安全 审计 数据库系统安全：保护关键的进程：数据库用户管理；增强审计 管理：安全漏洞检测：定期备份数据 桌面系统安全：病毒防范；恶意代码防范：i n t e r n e t 访问控制 3 2 网络安全模型设计1 2 2 | 湖北工业大学硕士学位论文 网络安全就是网络上的信息安全。是指网络系统的硬件、软件及其系 统中的数据受到保护，不因偶然的或恶意的原因而遭到破坏、更新、泄 密，系统连续可靠正常地运行，网络服务不中断。广义上说，凡是涉及 到网络一k 信息的保密性、完整性、可用性、真实性和可控性的相关技术 和理论都是网络安全所要研究的领域。所涉及的内容既有技术方面的问 题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要 侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管 理。 网络安全模型的建立，可以使复杂的安全问题简化，更好地解决与安 全策略有关的问题。安全模型包括网络安全系统的各个子系统。网络安 全系统的设计与实现可以分为安全体制、网络安全连接和网络安全传输 三个部分。 3 2 1 安全体制 安全体制包括安全算法库、安全信息库和用户接口界面。 安全算法库包括私钥算法库、公钥算法库、h a s h 函数库、密钥生成 程序、随机数生成程序等安全处理算法。 安全信息库包括用户口令和密钥、安全管理参数及权限、系统当前运 行状态等安全信息。 用户接口界面包括安全服务操作界面和安全信息管理界面等。 3 2 2 网络安全连接 网络安全连接包括安全协议和网络通信接口模块。 安全协议包括安全连接协议、身份验证协议、密钥分配协议等。 - 网络通信接口模块根据安全协议实现安全连接。一般有两种方法实 现：第一，安全服务与安全体制在应用层实现经过安全处理后的加密 信息送到网络层和数据链路层进行透明的网络传输和交换，这种方式 的优点是实现简单，不需要对现有系统做任何修改：第二，对现有的网 络通信协议进行修改，在应用层和网络层之日j 加一个安全子层，实现安 全处理和操作的自动性和透明性。 湖北工业大学硕士学位论文 3 2 3 网络安全传输 网络安全传输包括网络安全管理系统、网络安全支撑系统和网络安全 传输系统。 网络安全管理系统安装于用户终端和网络结点上，是由若干可执行程 序所组成的软件包，提供窗口化、交互化的“安全管理器”界面，由用 户或网管人员配置、控制和管理数据信息的安全传输，兼容现有通信网 络管理标准，实现安全功能。 网络安全支撑系统：整个网络安全系统的可信方是由网络安全管理人 员维护和管理的安全设备和安全信息的总和。包括密钥管理分配中心， 负责身份密钥、公钥和私钥等密钥的生成、分发、管理和销毁；认证鉴 别中心负责对数字签名等信息进行鉴别和裁决。 网络安全传输系统包括防火墙、安全控制、流量控制、路由选择和审 计报警等。 3 3 基于关键资源的主动防御体系防火墙的关键技术 3 3 1 简单的包过滤与应用代理 包过滤是第一代防火墙技术，它按照安全规则，检查所有进来的数据 包，而这些安全规则大都是基于低层协议的。如果一个数据包满足所有 舰则过滤路由器把数据向上层提交，或转发此数据包，否则就丢弃m 】。 包过滤的优缺点： 优点：一个过滤路由器能协助保护整个网络：数据包过滤对用户透明： 过滤路由器速度快、效率高。 缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤； 正常的数据包过滤路由器无法执行某些安全策略。 代理是一种较新型的防火墙技术，这种防火墙有时也被称为应用层嘲 关，这种防火墙的工作方式和过滤数据包的防火墙、以路由器为基础的 防火墙的工作方式稍有不同。它是基于软件的。图3 1 就是基于代理机 制的防火墙模型图。 2 0 湖北_ 3 2 业大学硕士学位论文 - - - - _ - - _ _ _ _ l _ _ _ - _ l - _ _ _ 一i _ _ - - _ _ _ - _ - l _ _ l _ - - _ _ _ - _ _ l - _ _ _ _ 。! 。_ - - - _ _ _ i _ o o _ _ _ 。_ _ _ 。一 图3 i应用代理服务模式防火墙结构逻辑框图 代理技术的优缺点： 优点：代理易于配置；代理能生成各项记录：代理能灵活、完全地控 制进出的流量、内容：代理能过滤数据内容：代理能为用户提供透明的 加密机制；代理可以方便地与其他安全手段集成。 缺点：代理速度较路由嚣慢；代理对用户不透明；对于每项服务代理 可能要求不同的服务器；代理服务不能保证你免受所有协议弱点的限制； 代理不能改进底层协议的安全性。 防火墙的性能及特点主要由其工作的层次和采用的机制两个方面决 定。包过滤工作的层次较低，因而工作效率较高，但安全性较低。应用 代理工作的层次较高，具有内部信息隐藏的特点，相对而言，安全性高， 效率低。 3 3 2 透明的防火墙与非透明的防火墙 目前而言，为了添加防火墙，重新部署网络结构主要有如下方法1 ： 防火墙两端分别使用真实地址和私有地址，用n a t 或者端口转发 实现对外服务，缺点是不能支持所有协议。 把现有从i s p 得到的i p 地址分段成两个子网在防火墙两端使用， 湖北工业大学硕士学位论文