（计算机系统结构专业论文）分布式网络安全研究及关键模块设计与实现.pdf

东北大学硕士论文 摘要 分布式网络安全研究及关键模块设计与实现 摘要 随着网络经济和网络时代的发展，计算机网络的安全已经引起了世界各国的共同关 注，计算机网络蓬勃发展的同时，也面临着巨大的挑战。面对网络安全的严峻挑战，如 何在深入研究问题实质的同时进行一定程度的实践，对于网络安全研究的意义是显而易 见的。 本课题研究网络安全的内涵与相关技术，并给出了一个分布式的网络安全体系结 构，设计和实现了基于l i n u x 的n e t f i l t e r 框架的包过滤模块以及基于a c e 的策略解析平 台。本课题对网络安全这一课题进行了深入的研究与拓展，对一些领域进行了较为深入 的研究，并进行了有针对性的实践，为今后的研究奠定了良好的基础并具有一定的创新 性和可操作性。 本文首先阐述了网络安全的定义，分析了网络安全的威胁、目标，介绍了网络安全 的体系结构和主要的网络安全技术，综述了防火墙技术和入侵检测技术，包括体系结构， 内部分类，主要优势与不足以及未来的发展方向。在深入研究网络安全的基础之上，提 出了一种分布式的网络安全的体系结构，并提出了基于a c e 实现分布式策略解析平台 的思想。深入分析了构建多平台包过滤技术的基础。在此基础上，介绍了基于l i n u x 的 n e t f i l t e r 框架的包过滤模块和基于a c e 的策略解析平台的设计与实现，前者内容包括包 截获平台，包静态策略匹配模块和包动态策略匹配模块的设计与实现，后者内容包括了 基于a c e 反应器框架的策略解析。本文对所实现的模块进行了测试，并得出结论。最 后，在总结全文的同时对进一步的研究进行了分析和展望。 关键词：分布式安全；防火墙：n e t f i l t e r ；包分类；a c e 东北大学硕士学位论文 a b s t r a c t r e s e a r c ho fd i s t r i b u t e dn e t w o r ks e c u r i t ya n dd e s i g na n d i m p l e m e n t a t i o no fk e ym o d u l e a b s t r a c t a l o n g w i t hd e v e l o p m e n to fn e t w o r ka n dn e t w o r ke c o n o m y ，n e t w o r ks e c u r i t yh a sb e e np a i da j o to fa t t e n t i o n sf r o ma l lt h ec o u n t r i e s w h e nf a c i n gt h i sm o r ea n dm o r es e r i o u sc h a l l e n g e i t i so b v i o u s l ys i g n i f i c a n tt or e s e a r c ht h i s f i e l dd e e p l ya n dd oa c t u a le x p e r i m e n ta tt h es a m e t i m e i nt h i st h e s i s ，as u m m a r i z a t i o no fn e t w o r ks e c u r i t yi se x p a t i a t e d ，an e wa r c h i t e c t u r eo f d i s t r i b u t e dn e t w o r ks e c u r i t yi sp r o p o s e d ，ap a c k e tf i l t e r i n gm o d e lb a s e do nl i n u xn e t f l i t e r f r a m e w o r ka n dar u l e a n a l y s i sp l a t f o r mb a s e do na c ea r ed e s i g n e da n di m p l e m e n t e da l s o t h er e s e a r c hi nt h i st h e s i sa n dt h ek e yp r a c t i c ew h i c ha r ec r e a t i v ea n do p e r a b l ew i l la b s o l u t e l y p r o m o t e t h ef u r t h e rr e s e a r c h f i r s t ，t h en e t w o r ks e c u r i t yi sd e e p l ya n a l y z e di n c l u d i n gc o n c e p t i o n ，t a r g e t ，a r c h i t e c t u r e a n dt e c h n o l o g y , t h e nf i r e w a l la n di d sa r ei n t r o d u c e di nd e t a i l ，f r o mt h ea r c h i t e c t u r e ， c l a s s i f i c a t i o nt ot h ea d v a n t a g e ，d i s a d v a n t a g ea n df u t u r ed i r e c t i o n w i t ht h i su n d e r s t a n d i n g ，a n e wa r c h i t e c t u r eo fd i s t r i b u t e dn e t w o r ks e c u r i t yw i t har u l e - a n a l y s i sp l a t f o r mb a s e do na c e i sp r o p o s e d a f t e rt h ed i f f e r e n tp a c k e tf i l t e r i n gm e c h a n i s mo nd i f f e r e n to si si n t r o d u c e d ，t h e d e s i g na n di m p l e m e n t a t i o no fap a c k e tf i l t e r i n gm o d e lb a s e do nl i n u xn e t f l i t e rf r a m e w o r k a n dar u l e a n a l y s i sp l a t f o r mb a s e do na c ea r ee x p a t i a t e d t h ef o r m e ro n ei n c l u d e sp a c k e t c a p t u r e ，s t a t i cr u l em a t c h i n ga n dd y n a m i cr u l em a t c h i n g t h el a t t e ro n ef o c u s e so nt h eu s i n g o fa c er e a c t o rf r a m e w o r k t h et e s tr e s u l to ft h e s et w op a r t si si n t r o d u c e da f t e rt h et e s tp l a n i sm a d e a tl a s t ，t h ee v a l u a t i o na n dt h ep r o s p e c to f f u t u r ew o r ka r eg i v e n k e y w o r d s ：d i s t r i b u t e ds e c u r i t y ；f i r e w a l l ；n e t f i l t e r ；p a c k e tc l a s s i f a c a t i o n ；a c e i l - 东北大学硕士学位论文 第一章引言 第一章引言 随着计算机的网络化和全球化，人类生活的方方面面与网络的联系也日益紧密。随 着网络经济和网络时代的到来，越来越多的人类活动，包括经济，文化，军事和社会活 动的方方面面，都越来越强烈的依赖于计算机网络，作为如此重要的载体，计算机网络 的安全和可靠性问题已经引起了世界各国的共同关注【lj ，同时，i n t e m e t 本身的跨国性， 无主管性，不设防和缺乏法律约束性，都为网络发展带来了机遇的同时，也带来了相当 巨大的挑战。本章首先从当前网络安全的整体现状出发，阐述本课题提出的背景，进而 论述本课题的意义并介绍了本文的结构组织与安排。 1 1 网络安全的现状与课题研究的背景 计算机网络是信息社会的基础，已经进入了社会的各个角落，经济，文化，军事和 社会生活越来越多的依赖计算机网络。然而，i n t e r n e t 在给人们带来巨大便利的同时， 也带来了不可忽视的问题，网络安全就是其中最著名的问题之一。许多计算机网络中存 储、传输和处理的信息是政府宏观调控决策，商业经济信息，银行资金帐单或者科研数 据等等重要的资源，其中很多是敏感信息甚至是国家的机密，由于网络安全的漏洞，导 致敏感信息的泄漏，数据的破坏，恶意信息的发布以及计算机病毒的发作，给经济以及 社会带来的负面影响难以估计。全世界的计算机犯罪每年在以接近1 0 0 的速度在增长， i n t e r n e t 上的黑客攻击事件更是以每年1 0 倍的速度在增长【2 】。根据美国审计总署的资料 显示，世界上1 2 0 多个国家已经或者正在进行研究进入计算机网络的手段，美国防务 新闻2 0 0 3 年的报告表明，2 0 0 2 年入侵国防部网络的企图约为4 5 0 0 0 次，国防部安全 事故为1 8 9 0 次，美国的商务和学术界的网络信息安全事故为8 2 0 9 4 次，预计2 0 0 3 年将 达到1 8 万次以上，欧美等国家的金融机构的计算机网络被入侵的比例高到7 7 。我国 近年来计算机犯罪的数量也是以3 0 的速度在增长，根据有关部门统计，国内9 0 以 上的电子商务网站存在严重的安全漏洞，网络的安全问题正面临的日益严重的威胁。 本课题的提出，正是立足于网络安全日益成为计算机领域的焦点的背景，通过广泛 的调研与实践，总结当前网络安全所面临的主要问题，综述网络安全的主流技术以及各 种技术的发展。在此基础上，提出一种分布式的网络安全的体系结构，并详细论证了基 于多平台的分布式设计的关键技术，提出了基于a c e 中间件的分布式策略解析平台的 设计，并结合l i n u x 的n e t f i l t e r 框架，给出了l i n u x 平台的包过滤模块的设计与实现， 为进一步的研究与实践，打下坚实的基础。 1 2 课题研究的意义 本课题紧密结合网络安全领域的主要问题，综述了网络安全的定义与主要技术，分 析了各种技术以及其发展过程，在此基础上本课题提出了一种分布式的网络安全的体系 东北大学硕士学位论文第一章引 言 界结构，它具备一下显著的优势。 ( 1 ) 更加深入全面的安全保障 基于i p v 4 的传统安全体系结构由于自身的以及网络协议的缺陷，很难或者根本无 法实现对某些攻击的防范以及对网络的保护。分布式安全体系结构能够对网络提供更加 全面和有效的安全保障。 ( 2 ) 部署的灵活性 不同的网络应用对网络安全的侧重也不尽相同，分布式安全体系结构能够根据不同 的安全要求，灵活便捷的实现部署，以适应不同的要求。 ( 3 ) 对新型网络应用的支持 新型的网络应用层出不穷，分布式网络安全体系结构除了全面支持现有网络应用以 外，还充分考虑了对可能出现的新型网络应用的可扩展性。 ( 4 ) 自适应性 分布式网络安全体系结构摆脱传统安全体系结构对网络物理拓扑的过分依赖，以适 应未来可能出现的复杂网络部署和网络应用。 ( 5 ) 高效合理的集中管理 分布式网络安全体系结构加强了对安全策略的集中管理功能以及对日志的集中审 计功能，以保证整个体系结构安全性和自适应能力的实现。在这种体系结构的基础上， 详细论证了基于多平台的分布式设计的关键技术，提出了基于a c e 中间件的分布式部 署策略，并结合l i n u x 的n e t f i l t e r 框架，给出了基于l i n u x 平台的包过滤模块的设计与 实现。 其中，基于n e t f i l t e r 框架的内核过滤模块，完全可以作为进一步的研究与实践的几 本组件，以此为基础，为基于l i n u x 平台的安全产品提供有力的支持。同时，由于模块 设计的合理性，讲包的过滤技术分成了有机结合的几个部分，每个部分都进行了定程 度的研究，其中包括包分类算法的研究，网络安全策略的表示等等。都可以在不同的方 向上继续深入的进行相应的深入研究，因此，本课题的该部分研究，对后继研究有着提 纲挈领的意义。同时，这些模块组件的划分，也可以对今后的研究起到非常好的借鉴与 启发作用。 同时，本课题提出了基于a c e 中间件的策略解析平台，大大提高了分布式多平台 的部署效率与能力，对加快系统的开发与集成能力，提高网络体系结构的运行效率与稳 定性，都有着非常显著的意义。 1 3 论文的组织与安排 第一章：介绍课题研究的背景、现实意义以及本文的结构安排。 第二章：介绍网络安全的详细定义与主要的网络安全技术，尤其是防火墙技术与入 侵检测技术的体系结构和发展现状。 第三章：介绍课题设计的分布式网络安全的体系结构，以及构造分布式网络安全的 东北走学硕士学位论文 第一章引言 关键技术，主要是w i n d o w s 平台的，u n i x 平台与l i n u x 平台的技术，介绍了分布式部 署的工具：a c e 中间件。 第四章：介绍了基于l i n u x 的n e t f i l t e r 框架的网络安全系统的设计与实现，内容包 括系统的全部模块：包的截获模块，静态策略过滤模块，动态策略过滤模块。 第五章：介绍了基于a c e 的策略解析平台的设计与实现。 第六章：对第三章和第四章介绍的包过滤模块和策略解析平台进行了测试，内容包 括测试的环境，测试的步骤、结果和结论。 第七章：对本文进行总结，并展望了进一步的研究方向。 东北大学硕士学住论文第二章网络安全的概奄以及主量技术 第二章网络安全的概念以及主要技术 在本章中，首先阐述网络安全的准确定义以及网络安全前标准，进而讨论网络安全 的主要技术，特别是防火墙技术以及入侵检测技术，并综述这些技术的体系结构与发展 方向。 2 1 网络安全综述 2 1 1 网络安全的定义 网络安全泛指网络系统的硬件、软件及其系统中的数据收到保护不受偶然的或者 恶意的原因遭到的破坏、更改以及泄塥，系统可以连续可靠的正常运行，网络服务不被 中断。网络安全的内容包括了系统安全和信息安全两个部分，系统安全主要是指网络设 备的硬件、操作系统以及应用软件的安仝：信息安全主要是指各种信息的存储、传输的 安全，具体体现在保密性、完整_ | 生和不可抵赖性上。 从内容上看，网络安全大致上包括四个方面。 ( ”网络实体安全：如计算机机房的物理条件、物理环境及设施的安全标准，计算 机硬件、附属设备及网络传输线路的安装与配置等。 ( 2 ) 软件安全：如保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、 篡改，不受病毒的侵害等。 ( 3 ) 数据安全；保护数据不被非法的存取，保证其完整性、一致性、机密性等。 ( 4 ) 安全管理：运行时突发事件的安全处理等，包括采取计算机安全技术。安全管 理制度，开展安全审计，进行风险分析等等。 从特性上看，网络安全包括如下的五个基本的要素。 ( 1 ) 机密性：确保内容不暴露给未授权的实体。 2 ) 完整性二只有得到允许的实体，才能够修改数据，并能判蹦数据是否已经被篡 改。 ( 3 ) 可用性：得到授权的实体在需要时可以访问数据，即攻击者不能占用所有的资 源阻碍授权者的工作。 ( 4 ) 可控悻：可以控制授权范围内的信息流向和行为方式。 ( 5 ) 町审查性：可对出现的网络安全问题提供审查的依据和手段。 2 j 2 刚络安全的威胁 网络安全而f 临的威胁并不局限于黑客，它来自很多方面，并且随着时间的变化而变 化。总得况来，影响网络安全的因素有以下的方面。 ( 】) 网络系统自身的脆弱性。网络系统本身具备一定的脆弱性，体现存硬件系统上， ( i ) 阿络系统自身的脆弱性。网络系统本身具备一定的脆弱性，体现在硬件系统上， 东北大学硕士学位论文 第二章网络安全的概念以及主要技术 第二章网络安全的概念以及主要技术 在本章中，首先阐述网络安全的准确定义以及网络安全的标准。进而讨论网络安全 的主要技术，特别是防火墙技术以及入侵检测技术，并综述这些技术的体系结构与发展 方向。 2 1 网络安全综述 2 1 1 网络安全的定义 网络安全泛指网络系统的硬件、软件及其系统中的数据收到保护，不受偶然的或者 恶意的原因遭到的破坏、更改以及泄漏，系统可以连续可靠的正常运行，网络服务不被 中断。网络安全的内容包括了系统安全和信息安全两个部分，系统安全主要是指网络设 备的硬件、操作系统以及应用软件的安全；信息安全主要是指各种信息的存储、传输的 安全，具体体现在保密性、完整性和不可抵赖性上。 从内容上看，网络安全大致上包括四个方面。 ( 1 ) 网络实体安全：如计算机机房的物理条件、物理环境及设施的安全标准，计算 机硬件、附属设备及网络传输线路的安装与配置等。 ( 2 ) 软件安全：如保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、 篡改，不受病毒的侵害等。 ( 3 ) 数据安全：保护数据不被非法的存取，保证其完整性、一致性、机密性等。 ( 4 ) 安全管理：运行时突发事件的安全处理等，包括采取计算机安全技术，安全管 理制度，开展安全审计，进行风险分析等等。 从特性上看，网络安全包括如下的五个基本的要素。 ( 1 ) 机密性：确保内容不暴露给未授权的实体。 ( 2 ) 完攘性：只有得到允许的实体，才能够修改数据，并能判别数据是否已经被篡 改。 ( 3 ) 可用性：得到授权的实体在需要时可以访问数据，即攻击者不能占用所有的资 源阻碍授权者的工作。 ( 4 ) 可控性：可以控制授权范围内的信息流向和行为方式。 ( 5 ) 可审查性：可对出现的网络安全问题提供审查的依据和手段。 2 1 2 网络安全的威胁 网络安全面临的威胁并不局限于黑客，它来自很多方面，并且随着时间的变化而变 化。总得说来，影响网络安全的因素有以下的方面。 ( 1 ) 网络系统自身的脆弱性。网络系统本身具备一定的脆弱性，体现在硬件系统上， 东北大学硕士学位论文第二章网络安全的概念以及主要技术 表现为物理安全方面的问题，体现在软件系统上，表现为软件设计与软件工程的问题， 比如“冲击波”就是针对操作系统的漏洞而实旌攻击。体现在网络的通信协议上，表现 为t c p i p 协议自身的缺陷，比如缺乏身份验证机制，缺乏保密性，网络服务的脆弱性 等等。 ( 2 ) 外部的安全威胁。外部的安全威胁又体现在四点上，即信息泄漏、完整性破坏、 服务拒绝和未授权访问。 2 1 3 网络安全的目标 网络信息安全的目标主要表现在系统的可靠性、可用性、保密性、完整性、不可抵 赖性和可控性等方面p j 。 可靠性：可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定功能的 特性。可靠性是系统安全的最基本要求之一，是所有网络信心、系统的建设和运行目标。 可用性：可用性是网络信息可被授权实体访问并按需求使用的特性。即网络信息服 务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时， 仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。 保密性：保密性是网络信息不被泄露给非授权的用户、实体或过程，或被它们利用 的特性。即，防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。保密 性是在可靠性和可用性基础之上，保障网络信息安全的重要手段。 完整性：完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传 输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的 特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成和 正确存储和传输。 不可抵赖性：不可抵赖性在网络信息系统的信息、交互过程中，确信参与者的真实 同一性。即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可 以防止发信方不真实地否认己发送信息，利用递交接收证据可以防止收信方事后否认已 经接收的信息。 可控性：可控性是对网络信息的传播及内容具有控制能力的特性。 2 1 4 网络安全的体系结构 建立安全体系结构主要是根据所需要保护的系统资源，对资源攻击者的假设攻击的 目的、技术手段以及造成的后果来分析该系统所受的已知的、可能的和该系统有关的威 胁。并且考虑到构成系统的各个部件的缺陷和隐患共同形成的风险，然后建立起的系统 的安余需求。 i s o ( 国际标准化组织) 1 9 8 9 年制定的国际标准给出了i s o o s i 参考模型的安全体 系结构，对具体网络环境的安全体系结构具有指导意义【2 1 。其核心内容是保证异构计算 机系统之间的远距离交换信息的安全。i s o 安全体系结构是在对开放系统面临的威胁和 东北大学硕士学位论文 第二章网络安全的概念以及主要技术 其脆弱性进行分析的基础之上提出来的，在o s i 参考模型中，增设了安全服务( s e c u r i t y s e r v i c e ) ，安全机制( s e c u r i t y m e c h a n i s m ) 和安全管理( s e c u r i t ym a n a g e m e n t ) ，并给出 了o s l 网络层次、安全服务和安全机制之间的逻辑关系。定义了五大类的安全服务，提 供了这些服务的8 大类安全机制以及相应的开放系统互连的安全管理。并可根据具体系 统适当配置于o s i 模型的7 层协议中【4 】。图2 1 给出了这个体系机构。 图2 1i s o 安全体系结构 f i g 2 1a r c h i t e c t u r eo f l s os e c u r i t y 该体系结构提供的内容包括： ( 1 ) 提供安全体系结构所配备的安全服务和有关安全机制在体系结构下的一般描 述。 ( 2 ) 确定体系结构内部可以提供的相关安全服务的位置。 ( 3 ) 确保完全准确的配置安全服务，并且一直维持于信息系统安全的生命周期中， 安全功能必须满足一定强度的要求。 ( 4 ) 一种安全服务可以通过某种的单独机制提供，也可以通过多种安全机制联合提 供。一种安全机制可用于提供一种或多种安全服务。在o s i 中除第五层( 会话层) 外， 每一层都能够提供相应的安全服务。 实际上，最适合配置安全服务的是在物理层、网络层、传输层以及应用层上，其它 层不适合配置安全服务。参考i s o 的安全体系结构，i n t e r n e t 的t c p i p 协议与o s l 的安 全服务的对应关系如表2 1 所示。 东北大学硕士学位论文第二章网络安全的概念以及主要技术 表2 ，1t c p h p 与i s o o s i 安全体系的对应关系 t a b l e2 1c o r r e s p o n d i n gr e l a t i o n s h i pb e t w e e n t c p i pa n da r c h i t e c t u r e o f i s o o s ls e c u r i t y 层次安全协议鉴别访问控制桃密性完整性 抗抵赖性 网络层 【p s e cyyy 传输层 s s lyyy p e m y yy m o s syyy y p g pyyyy s ，m i m eyyyy 应用屡 s h t t p y yyy s s h y yy k e r b e m s y yyyy s n m p y yy 2 1 5 网络安全的主要技术 传统的网络安全基本技术主要有：访问控制、加密技术、数据完整性机制、认证机 制、系统脆弱性检测、安全协议和防火墙技术与入侵检测技术等等。下面对上述的几种 技术加以简单介绍。 访问控制：按照事先确定的规则决定主体对客体的访问是否合法。它一般与身份认 证技术一起使用，赋予不同身份的用户以不同的操作权限，以实现不同安全级别的信息 分级管理。 加密技术：加密是一种最基本的安全技术。加密算法大致分为对称加密和非对称加 密两种，代表算法为d e s 算法和r s a 算法。数据加密是保护数据的基本方法。 数据完整性机制：数据完整性技术可以发现网络上传输的数据已经被非法修改，从 而使用户不会被欺骗。校验和的计算是该技术验证数据完整性的常用方法，由于实现简 单，目前仍然在网络传输数据中广泛地得到应用。 认证机制：认证是检查确认用户身份和使用系统资源的资格。主要有口令机制、 k e r b e r o s 认证、数字签名等。 系统脆弱性检测：系统中脆弱性的存在是系统受到攻击的根源。因此要保护系统安 全，首先因该消除系统中存在的各种脆弱性。欲消除系统脆弱性，首先要检测系统内是 否存在各种脆弱性，然后再去修补或消除。 东北大学硕士学位论文 第二章网络安全的概念以及主要技术 安全协议：在i p v 4 中没有考虑安全性，在i p v 6 中增加了许多安全机制与措施。 i n t e r n e t 层的安全协议有：s p 3 ， p s e c 【5 】等；传输层安全协议有：s s l 【6 】，p c t 等；应用 层安全协议有s h t t p ，s s h 等。 在简要的介绍了以上的安全技术的基础上，详细的介绍防火墙技术与入侵检测技 术，包括两种技术的体系结构，发展阶段以及未来的发展方向。 2 2 防火墙技术及发展 传统的防火墙是置于内部网和外部网之间执行访问控制或安全策略的系统1 7 】。内部 网具有以下特点：内部组成结构一般比较复杂，各节点通常自主管理，信任边界复杂并 且缺乏有效的管理，有显著的内外区别，机构有整体的安全需求。一般说来，设置防火 墙是基于网络的以下安全需求：它将内部网和i n t e r n e t 进行有效的隔离，以保护内部网 不受到来自i n t e r n e t 的攻击。为了创建安全域和增强机构安全策略，为了能使防火墙充 分发挥其功效，应满足以下条件：内部和外部之问的所有网络数据流必须经过防火墙； 只有符合安全策略的数据流才能通过防火墙；防火墙自身应具有抵抗攻击的能力。防火 墙的任务就是要确保内部网的安全以及确保内部网同外部网的连通。通过部署防火墙可 以强化机构的安全策略，能够有效的记录i n t e m e t 上的活动，能够隔离不同网络，以限 制安全问题的扩散。 2 2 1 防火墙中的策略 网络安全中的“策略”的概念指网络系统管理员根据本部门的安全管理特点，制定 一些安全措施，如设置防火墙的过滤规则等来对网络的安全访问进行控制。近年来，随 着网络服务质量的发展，策略也开始应用于对服务质量方面的控制，不仅判断是否给予 用户某种服务，而且还可以验证用户的身份、服务时间等。 “策略”是一个抽象的概念，网络管理中的策略代表了管理员既定的管理目标。根 据抽象程度的不同可以做出不同层次的定义，可以非常复杂，只能从理论上说明；也可 以有很多具体的实施。 从广义上讲，策略就是在具有相同属性的被管理对象上实施全局管理的操作。具体 到网络管理范畴，策略是一套指导和确定如何管理、分配和控制网络资源的业务规则。 策略的执行确保业务规则总是得到遵循。业务规则构成指导行动的条件。如果想更进一 步、具体地表达策略的概念，或利用计算机将这种概念映射到通俗易懂的概念上去，就 需要对策略进行格式化，使其适应计算机应用【8 】。 具体的说，策略是一组规则的集合，每条规则由一组条件和动作组成。其中条件定 义了规则中所使用的参数；动作定义了当所需条件满足时所执行的相关操作。在设置网 络防火墙中的安全策略时，有两种截然相反的运行模式【9 】。 ( 1 ) 缺省允许策略 允许所有的业务流进出于一个边界出入点，一些指定的服务可被阻断，但所有其它 东北大学硕士学位论文第二章网络安全的概念以及主要技术 的服务可自由地通过。即：没有明确禁止的行为都是允许的。 ( 2 ) 缺省拒绝策略 阻断所有进出于一个边界出入点的业务流( 虽然一般情况下它们仅仅阻断入站，而 不是出站的业务流) ，仅有指定的服务被允许通过防火墙。即：没有明确允许的行为都 是禁止的。为保证最大安全，通常建议运行缺省拒绝模式。对于运行缺省允许策略防火 墙来说，这可以提高网络的性能，但它的问题是当新的安全攻击出现时，防火墙管理员 将不得不化费很多时间来应付攻击者，这将加大安全风险。 2 2 2 传统防火墙技术分类 防火墙的主要作用是过滤出入内部网的包，以达到访问控制的目的。对包的过滤或 屏蔽的方法主要有以下两种1 7 】， 第一种方法是在出入口处设置包过滤器来过滤包，其示意图参见图2 2 。包过滤器 既可以用硬件实现，也可以用软件实现，一般工作在网络层。它根据一系列的过滤规则 来做出是否允许i p 协议包在网络问通过的判定。通信主机的i p 连接依赖于一个唯一的 源和目标i p 地址。对于网络层防火墙来说，传输层端口号也是常常用到的。基于i p 协 议和端口号等属性，防火墙能够做出过滤的判定。包过滤器具有成本较低，比较灵活且 对用户透明的优点。因此，它可以设置比较复杂的过滤策略。 图2 2 包过滤不意图 f i g 2 2s k e t c hm a po f p a c k e tf i l t e r 第二种是应用层代理服务器，其示意图见图2 3 所示。它是目前安全性较高的网络 安全机制。应用层代理服务器也称为应用层网关，代理服务器可以理解为一种应用协议， 可以实施更细粒度的访问控制，如内容过滤等。它为每一种服务需求实现一个代理服务 器，如：h t t p ，f t p 和t e l n e t 代理服务器。对于不同的网络服务，代理服务器要启动 相应的服务程序。代理服务器体系结构中共有三种角色：客户，服务器，代理服务器。 客户不能直接与服务器进行通信，只能利用代理服务器作为中介与服务器进行对话。代 理服务器为网络间直接通过的业务流提供保护，并且由于代理服务器常常是为某一指定 的协议而设置的，它们能够为通过它们的数据执行严密复杂的日志和审计。应用层防火 东北欠学硕士学位论文第二章网络安全的概念以及主要技术 墙的缺点是对希望通过防火墙的每一种协议必需要有一个代理。如果没有相应协议的代 理，那么这种协议将不能使用。有些协议，如用于m a i l 的s m t p 协议有固有的代理。 但是其他一些协议，如用于文件传输的f t p 则不是。 图2 3 代理防火墙示意图 f i g 2 3s k e t c hm a po f p r o x y 2 2 3 防火墙的体系结构 s t e v e n 等在其著作【7j 中认为，常见的边界防火墙系统体系结构有以下几种。 2 2 3 1 屏蔽主机防火墙 屏蔽主机防火墙由包过虑路由器和堡垒主机组成，参见图2 4 所示。这种防火墙系 统提供的安全等级比包过滤防火墙系统要高，因为它不仅实现了网络层安全而且还实现 了应用层安全。通常，堡垒主机部署在内部网络，包过滤路由器部署在内部网和外部网 之间。通过在路由器上设置适当的过滤规则，就可使得外部系统只能访问堡垒主机，直 接发往内部网络其它主机的包将全部被阻挡：由于内部主机与堡垒主机处于同一个网 络，内部系统是否允许直接访问外部网，或者是要求使用堡垒主机上的代理服务来访问 外部网则由机构的安全策略来决定。 图2 4 屏蔽主机防火墙体系结构 f i g 2 4a r c h i t e c t u r eo fs c r e e n e dh o s tf i r e w a l l 2 2 3 2 屏蔽子网防火墙 屏蔽子网防火墙见图2 5 所示。两个包过滤器之间部分为非军事区d m z ( d e m i l i t a r i z e dz o n e ) 。通常情况下，堡垒主机、信息服务器、其它服务器被部署在d m z 中。对流入的包，外部路由器用于防范通常的外部攻击，并负责管理和维护外部网到 d m z 网络的访问。它只允许外部系统访问堡垒主机。内部路由器一般只接受来自堡垒 东北走学硕士学位论文 第二章网络安全的概念以及主要技术 主机的包，并负责管理和维护d m z 到内部网的访问。对于发往外部网的包，内部路由 器管理内部网络到d m z 网络的访问，同时，它只允许内部系统访问堡垒主机。 图2 5 屏蔽子网防火墙体系结构 f i g 2 5a r c h i t e c t u r eo fs c r e e n e ds u b n e t 2 2 3 3 双宿堡垒主机结构 双宿堡垒主机体系结构示意图见图2 , 6 ，其通常有两个网络接口，般具有封闭两 个端口之间直接转发信息的功能。双宿堡垒主机结构强制所有去往内部网络的信息必须 经过堡垒主机，当外部网用户具有直接访问内部服务器的权力时，将需要附加其它的安 全措施。由于堡垒主机是唯能从外部网直接访问的内部系统，因此，往往受到攻击的 主机就只有堡垒主机本身。牢固可靠，避免被渗透和不允许用户注册对堡垒主机来说是 至关重要的。用双宿堡垒主机可以构造安全的防火墙系统。 圈2 6 双宿堡垒体系结构 f i g 2 6a r c h i t e c t u r eo f d u a l - h o m e dh o s t 2 2 4 边界防火墙的缺点 传统的边界防火墙要求网络对外的所有流量都经过防火墙，而且它依赖于一个基本 假设：防火墙把一端的用户看成是可信任的，而另一端的用户则都被作为潜在的攻击者 来对待。很长一段时间以来，边界防火墙在拓扑结构简单的中小型网络上工作得很好， 但是，s o t i r i sl o a r m i d i s 等指出【l ”，网络发展的儿个新趋势使得它很难适应。 ( 1 ) 网络传输速度正迅速的增长，加上高计算强度协议( 特别是i p s e e ) 的使用，使 得防火墙越来越成为速度瓶颈。在不减少或转移安全策略设置的前提下，尽管防火墙的 东北大学硕士学位论文 第二章网络安全的概念以及主要技术 处理速度也在随着硬件的改进在加快，仍然很难应付同益膨胀的网络数据流量。 ( 2 ) 有部分己存在的协议和正在被设计的协议在防火墙逻辑中很难处理，因为防火 墙缺乏在端点处随手可得的相应知识。f t p 就是一个例子。尽管有解决这类协泌问题的 应用代理，但那样的解决方案被认为在结构上不清晰而且太容易被入侵。 ( 3 ) 所有内部网用户都是可信的这个假设不再适用。特定的个人或远程网络需要获 得许可访问部分或全部被保护网络( 包括外部连接、远程办公等) ，而远程办公者的系 统也应该服从公司的安全策略。 ( 4 ) 更坏的是，连没有网络管理的知识的人都能很容易地在网络上设置一个未经授 权的入口点。各种隧道、无线或拨号访问方法允许某些人安置后门来绕过传统防火墙提 供的安全机制。防火墙很难防范内部网中的不端行为，而且集中的防火墙对满足内部更 多的连接请求也遇到了很大困难。 ( 5 ) 今天，大型( 甚至不是很大的) 网络都趋向于有很多入口点( 为了执行、失败 恢复或其他原因) 。另外一些站点配置内部防火墙来提供一定形式的内部分割。不论从 实践方面还是策略一致性考虑，因为不存在统一全面的管理机制，维护管理变的特别困 难。 ( 6 ) 端到端加密也是防火墙的一个威胁，因为它阻止了防火墙查看需要过滤的包体。 允许端到端加密通过防火墙意味着代表管理员给用户相当程度的信任。 综上所述，标准的防火墙若不能大幅度提高其复杂性和处理速度就无法马上提供迅 速增长的更小粒度的( 甚至是基于特定应用的) 存取控制需要。 2 2 5 分布式防火墙 为了应对2 2 4 节提出的诸多问题，产生了分布式防火墙的概念【l 们。从狭义上讲， 对比边界防火墙，分布式防火墙是指那些驻留在网络中主机( 如服务器或个人机) 并对 主机系统自身提供安全防护的软件系统；从广义来讲，分布式防火墙是一种新的防火墙 体系结构。在分布式防火墙中，仍然由中心定义策略，但由各个分布在网络中的端点( 网 络中的主机、路由器等) 实施这些策略。 系统将安全策略传播到所有端点。可以通过各种方法来分发策略，比如可以直接发 送给端点系统，可以以信任证书的形式提供给用户让他们在与主机通讯时使用它，也可 以将两种形式结合起来。端点间互相信任的程度可以由策略定义。 从安全策略管理的角度来看，s o t i f i si o a n n i d i s 等认为一个分布式防火墙】有以下几 个部分：一个用于描述安全策略和信任关系的策略语言；一种特定的策略管理和分发机 制：一套加密认证机制：策略执行机制。 从物理系统的结构角度来看，一个分布式防火墙系统主要包含如下部件【l0 1 ： ( 1 ) 主机防火墙。对于网络中的服务器和桌面机进行防护，这些主机的物理位置可 能在内部网中，也可能在内部网外，如托管服务器或移动办公的便携机。 ( 2 ) 网络防火墙。用于内部网与外部网之间( 即传统的边界防火墙) 和内部网子网 东北大学硕士学位论文第二章网络安全的概念以及主要技术 之间的防护产品。 ( 3 ) 簸略控制中心。边界防火墙只是网络中的单一设备，管理是局部的。对分布式 防火墙来说，每个防火墙作为安全监测机制可以根据安全性的不同要求布景在网络中的 任何需要的位茕上，但总体安全策略又是统一策划和管理的，安全策略的分发及同志的 汇总都是策略中心应具备的功能。策略中心是分布式防火墙系统的核心和重要特征之 一。图2 7 是分布式防火墙的一个部署实例，从中可以得到策略控制中心在分布式防火 墙中的核心地位。 图2 7 分布式防火墙的一个应用举例 f i g 2 7a ne x a m p l eo f d i s t r i b u t e df i r e w a l l 2 3 入侵检测技术及发展 2 3 1 入侵检测的定义 由2 1 3 节介绍，系统的安全特性主要包括：机密性、完整性和可用性等等。而入 侵就是指任何危及资源的完整性、机密性和可用性的活动。入侵检测( i n t r u s i o n d e t e c t i o n ) ，顾名思义，是指对入侵行为的发现，它通过在计算机网络或计算机系统中 的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或者系统中是否有违 反安全策略的行为和被攻击的迹象，如果在特定的网络环境中发现和识别未经授权的或 恶意的攻击和入侵，并对此做出反应的过程【”1 。 入侵检测系统主要通过监控网络、系统的状态、行为以及系统的使用情况，来检测 系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企 图。 2 , 3 2 入侵检测系统的组成 入侵检测系统的组成结构因网络环境和安全策略而不同。尽管在实现上有所不同， 但它至少要包括三个基本组成部分：数据提取、入侵分析和响应处理。另外还可能包括 安全知识库、数据存储等模块，如图2 8 所示。其中，数据提取是入侵检测系统的数据 东北大学硕士学位论文 第二章网络安全的概念蹦及主要技术 采集器，它是入侵检测中的基础工作，提供受保护系统的运行状态特征，是安全审计的 原始数据。入侵分析是入侵检测的核心，它的功能是对原始数据进行分类，判断状态是 正常运行或是入侵。响应处理是发现入侵者的攻击之后，进行的反应和处理。 响应处理 l r 一 三晕巨 由|数据提取卜j l 1 _ 一 星熊鎏塑鎏 图2 8 入侵检测系统的结构 f i g 2 8a r c h i t e c t u r eo f i d s 2 3 3 入侵检测的分类 入侵检测根据检测的对象可分为基于主机的入侵检测h i d s ( h o s ti n t r u s i o n d e t e c t i o n ) 和基于网络的入侵检测n i d s ( n e t w o r ki n t r u s i o nd e t e c t i o n ) 。另外，入侵检 测根据检测方法的不同，可以将入侵检测分为异常( a n o m a l y ) 入侵检测和误用( m i s u s e ) 入侵检测。 2 3 3 1 基于主机的入侵检测 基于主机的入侵检测系统 1 4 1 机系统的系统日志和审计记录来进行检测分析，通常在 要受保护的主机上有专门的检测代理，通过对系统日志和审计记录不问断地监视和分析 来发现攻击。从技术历程上来看，入侵检测是从主机审计的基础上开始发展起来的，因 而早期的入侵检测系统都是基于主机的入侵检测技术的。 它主要的目的是在事件发生后提供足够的分析来阻止进一步的攻击。 其缺点是：会占用主机的资源，在服务器上产生额外的负担：缺乏平台的支持，可 移植性差，因而应用范围会受到严重限制。 2 3 3 2 基于网络的入侵检测 基于网络的入侵检测系统【1 4 1 用于实时监控网络关键路径的信息，侦听网络上的所有 分组，分析可疑现象。基于网络的入侵检测系统使用原始网络包作为数据源。它通常利 用一个运行在混杂模式下的网卡来实现监视并分析通过网络的所有通信业务，当然也可 能采用其他特殊硬件来获得原始网络包。 通常，将基于网络的入侵检测系统放置在防火墙或网关后，就像网络窥探器一样捕 获所有内传或者外传的包。但是它不延误包的传送，因为它对包来说仅仅是监视。通过 在共享网段上侦听采集通信数据、分析可疑现象，因此它对主机资源消耗少。并且由于 网络协议是标准的，可以对网络提供通用的保护而无需顾及异构主机的不同架构。 东北大学硕士学位论文第二章网络安全的概念以及主要技术 基于网络的入侵检测系统的主要缺点是：只能监视它直接连接网段的通信，不能检 测在不同网段的网络包；在交换环境下难以配置；防入侵欺骗的能力较差；难以定位入 侵者。 2 _ 3 3 3 异常入侵检测 也称为基于行为的检测u 叫的检测是根据使用者的行为或资源使用状况来判断是