（计算机应用技术专业论文）基于opsec框架的网络内容安全模型的研究与设计.pdf

摘要 摘要 内容安全已经成为当前互联网网络安全中最重要的议题之一，而 i n t e r n e t 网络内容安全的研究重点主要集中在最为流行的e m a i l 和w e b 服务上。o p s e c ( o p e np l a t f o r mf o rs e c u r i t y ) 是经c h e c kp o i n t 公司提议 并成立的一个组织，它提供的集成和互操作开放平台，通过一个开放的、 可扩展的框架集成和管理网络安全的各个方面，从而实现统一的全面的 网络安全管理。o p s e cc v pa p i 定义了异步接口将数据包转发到c v p 服 务器应用程序去执行内容验证。在开放的o p s e c 安全平台上利用c v p a p i 对网络内容安全进行分析与研究具有重要意义。 本文在以c h e c kp o i n t 公司的f i r e w a l l 一1 防火墙为中心的o p s e c 框 架的基础上，通过o p s e cc v p a p i 对网络内容安全方面进行扩展与完善， 提出了一个的基于o p s e c 框架的网络内容安全框架模型，设计并实现 个基于o p s e c 的w e b 和e m a i l 内容安全原型系统。并在此原型系统基 础上，提出安全事件集中管理的概念，汇集来自多个分布式安全产品发 出的报警信息，并将这些信息联系起来综合考虑，借助有效的规则帮助 用户分辨真正的入侵行为。 本文针对日益严重的网络内容安全问题而提出在网络安全开放式平 台事实上的标准一o p s e c 框架基础上研究网络内容安全模型，设计完成 了o p s e cc v p 服务器，并对病毒入侵后如何寻找病源、进行补救工作问 题进行研究，提出安全事件集中管理概念，通过设计有效的规则初步实 现此概念。 本课题为进一步将内容安全技术与传统的防火墙、v p n 等技术融合 集成，提供最全面的网络安全解决方案打下一个很好的基础。 关键词o p s e c ：内容引导协议( c v p ) ；内容安全；规则 华南理工大学工学硕士学位论文 a b s tr a c t c o n t e n ts e c u r i t yh a sb e c o m eo n eo ft h em o s t i m p o r t a n tt o p i c f o r d i s c u s s i o no fc u r r e n ti n t e r n e tn e t w o r ks e c u r i t y ，a n dt h er e s e a r c he m p h a s is o fi n t e r n e t s e c u r i t ym o s t l y f o c u so nt h em o s t p o l u l a re - m a i la nw e b s e r v i c e s o p s e c ( o p e np l a t f o r mf o rs e c u r i t y ) a l l i a n c ei sa no r g a n i z a t i o n p r o p o s e db yc h e c kp o i n t o p s e cp r o v i d e si n t e g r a t e da n di n t e r o p e r a t e d o p e ns e c u r i t yp l a t f o r m ，i n t e g r a t i n g a n dm a n a g g i n ga l l p a r t o fn e t w o r k s e c u r i t yb ya no p e ne x t e n s i b l ef r a m e w o r k ，s ot h a ti tc a ni m p l e m e n tu n i f o r m a n da l l s i d e dn e t w o r ks e c u r i t ym a n a g e m e n t o p s e cc v p ( c o n t e n tv e c t o r i n g p r o t o c 0 1 ) a p id e f i n e sa s y n c h r o n o u si n t e r f a c et ot r a n s m i td a t ap a c k a g et o c v ps e r v e rt op e r f o r mc o n t e n tv a l i d a t i n g s ou s i n gc v pa p it oa n a l y s ea n d r e s e a r c hn e t w o r kc o n t e n ts e c u r i t yo nt h eo p s e cs e c u r i t yp l a t f o r mi sv e r y i m p o r t a n ta n ds i g n i f i c a t i v e o nt h e b a s iso fo p s e cf r a m e w o r kw i t hc h e c kp o i n t sf i r e w a l l la s c e n t e r ，t h ep a p e re x t e n d sa n dc o n s u m m a t e sn e t w o r kc o n t e n t s e c u r i t y t h r o u g ho p s e cc v pa p i ，b r i n g su pan e t w o r kc o n t e n ts e c u r i t ym o d e lb a s e d o p s e cf r a m e w o r k ，d e s i g n sa n dr e a l i z e saw e ba n de - m a i ln e t w o r kc o n t e n t s e c u r i t yp r o t o t y p es y s t e mb a s e do p s e cf r a m e w o r k o nt h eb a s i so ft h is p r o t o t y p es y s t e m ，w e r a is ea c o n c e p t o f s e c u r i t y e v e n t s i n t e g r a t e d m a n a g e m e n t ，c o l l e c t i n gw a r n i n gi n f o r m a t i o n f r o ms e v e r a l d i s t r i b u t i n g s e c u r i t yp r o d u c t s ，a n ds y n t h e t i c a l l yc o n s i d e rt h e mr e l a t i n gt o g e t h e r ，h e l ps us e r sd is t i n g u i s h i n gr e a li n t r u s i o nb yd i n to fe f f e c t i v er u l e s i nt h i s p a p e r ，w ea i ma tt h ei n c r e a s i n g l ys e r i o usn e t w o r kc o n t e n t s e c u r i t yp r o b l e m sa n db r i n gu pr e s e a r c h i n gn e t w o r kc o n t e n ts e c u r i t ym o d e l b a s e do nt h ei nf a c ts t a n d a r do fn e t w o r ks e c u r i t y o p e np l a t f o r m - - o p s e c f r a m e w o r k ，d e s i g na n da c c o m p l is ha no p s e cc v ps e r v e r ，a n dr a is ec o n c e p t o fs e c u r i t ye v e n ti n t e g r a t e dm a n a g e m e n to nh o wt of i n di n t r u s i o ns o u r c e a n dh o wt o r e m e d y ，a n de l e m e n t a r i l yf u l f i l lt h i sc o n c e p tb yd e s i g n i n g e f f e c t i v er u l e s o u rr es e a r c hw o r kl a y st h ef o u n d a t i o nf o rf u r t h e rr e s e a r c ho ns y n c r e t i c i n t e g r a t i o nb e t w e e nc o n t e n ts e c u r i t yt e c h n o l o g ya n dt r a d i t i o n a lf i r e w a l lo r i i a b s t r a c t v p n t e c h n o l o g y ，p r o v i d i n ga l l s i z e dn e t w o r ks e c u r i t ys o l u t i o n k e yw o r d s o p s e c ，c v p ，c o n t e n ts e c u r i t y ，r u l e s i i i 华南理工大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体己经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名：张蚴 日期：沙) 年6 月p 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权华南理工大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。 保密耐，在三年解密后适用本授权书。 本学位论文属于 不保密口。 ( 请在以上相应方框内打“4 ”) 作者签名：刮久锯力每 别醛轹国节 c 叫岬 日期：加d 3 年6 月j2 日 日期：年月日 第一章绪论 1 1 本课题的学术背景 第一章绪论 i n t e r n e t 安全包括网络通信安全与网络内容安全两大部分。对于前 者，目前具有丰富的网络安全技术和设备储备，各类信息安全企业的强 项也集中在此，所以，这方面的进展很顺利。真正的难点在于后者，即 内容安全，尤其是随着w e b 和e m a i l 的日益流行，反动、色情内容、垃 圾邮件以及内嵌在w e b 页面中的恶意移动代码和e m a i l 病毒给网络安全 带来了全新的挑战，网络内容安全的重要性日渐突出。2 0 0 1 年全球内容 安全软件收入达到3 亿4 千万美元，对比2 0 0 0 年增长3 0 f 1 1 。内容安全 已经成为当前互联网网络安全中最重要的议题之一。 根据美国著名咨询公司i d c 的报告，企业员工产生的网络流量中的 大约3 0 4 0 是与其工作无关的。c o m p u t e rw e e k 的报道则显示，仅1 9 9 9 年前两个季度，全美由于计算机病毒、蠕虫和其他恶意代码的攻击带来 的经济损失就达7 6 亿美元! 根据i d c 统计，垃圾邮件的数量正在飞速增 长，预计今年的垃圾邮件数量将是去年的1 0 倍，前年的1 6 倍。各种新 型的e m a i l 病毒层出不穷，通过i n t e r n e t 传播，造成巨大经济损失。此 外，美国工业安全协会的研究报告也披露，与e ，m a i l 相关的知识产权泄 密使美国企业每年损失高达2 4 0 亿美元【2 】。以上统计数字充分说明了当 前企业面临的网络内容安全挑战。目前流行的防火墙和虚拟私有网( v p n l 等网络安全产品虽然能够在一定程度上提高网络的安全性，但令人遗憾 的是，它们对传输内容的监控和过滤基本无能为力。 o p s e c 口i ( o p e np l a t f o r mf o rs e c u r i t y ，安全开放平台) 的出现使得 这个问题的解决有了良好的前景。o p s e c 是经c h e c kp o i n t 公司提议并成 立的一个组织，它提供的集成和互操作开放平台，扩展了c h e c kp o i n t s v n 【4 】( s e c u r ev i r t u a ln e t w o r k ，安全虚拟网络) 的体系结构。该平台通 过一个开放的、可扩展的框架集成和管理网络安全的各个方面，第三方 厂家的应用程序可以通过公开的a p i 、工业标准协议、i n s p e c t 和高层 脚本语言而插入o p s e c 框架，这样，就可以通过一个中心控制点，利用 统一的安全策略来配置和管理这些应用程序，从而实现统一的网络安全 华南理工大学工学硕士学位论文 管理。o p s e c 支持最广泛的操作系统和网络构架，具有比任何其他安全 平台多得多的第三方合作伙伴。它已经成为网络安全开放式平台事实上 的标准。 目前，i n t e r n e t 网络内容安全的研究重点主要集中在最为流行的e m a i l 和w e b 服务上。任何一个比较完整的网络内容安全解决方案都应该较好 地保证所保护的网络中的传输的e m a i l 和w e b 数据的内容安全性。与内 容安全密切相关的现实风险包括： 1 ) 日益猖獗的通过e m a i l 快速传播的网络病毒： 2 ) 嵌在w e b 页面中的恶意移动代码，诸如恶意的j a v aa p p l e t ， j a v a s c r i p t v b s c r i p t ，a c t i v e x ，c o o k i e ，等； 3 ) 企业员工访问包含不适当内容如反动、色情的外部网站； 4 ) 浪费带宽的垃圾邮件和可能发生的通过e m a i l 泄漏商业秘密的情 况。t 5 1 因此，要保证网上内容的安全，就必须很好地解决上述问题。到目 前为止，网络内容安全方面的研究取得了定的成果，市场上也出现了 不少相关的产品。但是现有的技术和产品大都局限于某种或某些具体的 协议，很难提供一个整体的全网方式的内容安全解决方案。如何将内容 安全技术和传统的包过滤防火墙、v p n 等融合集成，提供全面的网络安 全解决方案是研究的热点之一。 作为o p s e c 框架基础的c h e c kp o i n tf i r e w a l l l 已经包含一些内容安 全性检查，包括计算机病毒扫描、恶意j a v a 与a c t i v e x 、 a p p l e t s 过滤 等，经由图形的接口( g u i ) 集中管理。而且还提供开放平台的安全企业 连接( o p s e c ) 架构的a p i 接口，可很方便地整合其他厂商的内容安全 应用。 因此，在开放的o p s e c 安全平台上对网络内容安全进行扩展和完善 研究具有重要意义。 1 2 需要解决的问题 ( 1 ) 现有的网络内容安全技术和产品大都局限于某种或某些具体的协 议，很难提供一个整体的全网方式的内容安全解决方案。 ( 2 ) 目前流行的防火墙和虚拟私有网( v p n ) 等网络安全产品虽然能够在 一定程度上提高网络的安全性，但令人遗憾的是，它们对传输内容 的监控和过滤基本无能为力。 第一章绪论 ( 3 ) 难以将内容安全技术和传统的防火墙、v p n 等融合集成，提供全面 的网络安全解决方案。 1 3 课题来源和研究内容 本课题是广州市科委重点攻关项目“企业信息系统集成开发平台的 研究”的一个子课题。作为该项目中的一个分支内容，我重点对网络内 容安全做了相应的研究。 本课题的研究内容是：在以c h e c kp o i n t 公司的f ir e w a l l 1 防火墙 为中心的o p s e c 框架的基础上，通过o p s e cc v pa p l 对网络内容安全 方面进行扩展与完善，提出了一个的基于o p s e c 框架的网络内容安全框 架模型，设计并实现一个基于o p s e c 的w e b 和e - m a i l 内容安全原型系 统。并在此原型系统基础上，设计并初步实现一个基于o p s e c 的安全事 件集中管理系统，借助有效的规则帮助用户分辨真正的入侵行为。 本课题研究的目的是将内容安全技术和传统的防火墙、v p n 等融合 集成，以提供全面的网络安全解决方案。 1 4 论文结构 本文第二章简要介绍了o p s e c 联盟的由来，分析了o p s e c 环境的 体系结构，和介绍了o p s e cs d k 中应用于网络安全各方面的a p i 集成接 口。 第三章介绍了网络内容安全的现状和存在问题，简要介绍了新型的 内容过滤防火墙的功能、原理及策略，详细分析了c h e c kp o i n tf i r e w a l l 一1 v 5 0 提供的内容安全机制。 第四章则对0 p s e cc v p 协议规范进行研究分析，介绍了如何配置 0 7 s e cc v p 模型进行网络内容安全检查，分析了c v p 信息交换的流程及内 容，最后分析了c v p 模型的不足。 第五章对o p s e cc v p 模型进行改进，并在此改进模型基础上设计实 现了一个c v p 服务器应用，重点是c v p 服务器的内容过滤规则库的设计。 第六章设计实现了基于o p s e c 的安全事件集中管理系统，借助有效 的规则帮助用户分辨真正的入侵行为。 最后给出论文的结论。 华南理工大学工学硕士学位论文 2 10 p s e c 简介 第二章0 p s e c 综述 网络安全是一个牵扯方方面面的，不是一两个厂商就能解决的问题， 它需要我们共同来维护和创造。网络安全技术也在飞速地革新和发展。 用户当前的选择，是否能代表网络安全技术的发展，是否能很容易地进 行扩展以满足将来对新的应用程序的支持，是否能集成更先进的网络安 全方面的技术产品，是否能支持更多更广泛的操作系统平台这些都 是用户在选择厂商时越来越多考虑的因素。开放的平台，开放的技术， 是i t 厂商成功的非常关键的因素之一，它意味着用户将来能随着i t 技 术的飞速发展一起成长，一起进步。 o p s e c ( o p e np l a t f o r mf o rs e c u r i t y ) ，顾名思义，它代表了在网络安 全方面的一种开放式平台。那么o p s e c 究竟是什么样的一种技术或是一 种什么样的组织呢? o p s e c 联盟是1 9 9 7 年由c h e c kp o i n t 公司基于上述 思想( 开放性) 倡导和发起的一个组织，是当今全球网络安全方面最权 威、代表最广泛的组织。它支持最广泛的操作系统和网络构架，有比任 何其他安全平台多得多的第三方合作伙伴采纳这样一个i n t e r n e t 安全集 成的接口。目前为止，o p s e c 联盟包括3 5 0 多家经过严格授权的、致力 于网络安全各方面研究的软件和硬件合作厂商( 如：i b m 、h p 、s u n 、c i s c o 、 m i c r o s o f t 、i n t e l 、o r a c l e 、n o k i a 等) f 7 】。o p s e c 已经成为网络安全开放 式平台事实上的标准。i 引 o p s e c 联盟分为两大部分厂商：一部分提供集成的应用程序，另一 部分提供基于c h e c kp o i n t 平台的安全服务。 ( 1 ) 集成的应用程序 这些i t 厂商提供o p s e c 认可的并且与o p s e c 构架兼容的产品，这 些产品根据功能不同分为四大类： 实施安全的产品：这些i n t e r n e t 安全产品是c h e c kp o i n t 安全解决 方案的补充。包括授权、内容安全管理、u r l 资源管理、p k i 和入侵检 测等网络安全解决方案。 管理和报表：通过与c h e c kp o i n t 产生的事件和报警发生关联，向 用户提供全面的报表功能和管理功能。包括了企业级目录服务、企业级 第二章o p s e c 综述 管理、事件监视和分析、及报表工具。 性能和可用性：它们可以保证在网关切换中所有用户连接不会丢 失。包括了加速设备、双机热备份和双机群集系统负载平衡的解决方案。 e b us i n e s s 的应用安全：在b 2 b 电子商务运营环境中，通过c h e c k p o i n t 安全技术和这些应用的集成来保证用户访问数据内容和网络资源 的安全性。 ( 2 ) 基于c h e c kp o i n t 平台的安全服务 这部分厂商向用户提供基于c h e c kp o i n t 解决方案的市场领先的硬件 产品。 a p p l i a n c e ( 硬盒子) ：即插即用的安全平台，集成了预装的、配置 好的c h e c kp o i n t 安全软件。 互联网设备：嵌入了c h e c kp o i n t 安全技术的路由器和交换机产 品。 服务器：提供c h e c kp o i n t 技术和支持的市场领先的服务器。【9 1 2 20 p s e c 体系结构 今天的电子商务世界要求客户、商业合作伙伴、服务提供商之间更 多的信息交流。任何基于i n t e r f l e t 的商业运作需要很高的安全措施来保 护其顺利进行，否则企业面临的是由于安全隐患带来的巨大损失。保护 信息和网络安全的关键在于建立一个完整的i n t e r n e t 安全架构。我们需 要的是集成不同安全厂商的最优秀的产品来满足用户对多层次安全性的 需求。集成和管理性是架构这样一个平台的关键。集成和互操作性是 0 p s e c 的基本，而管理则是0 p s e c 实施和将安全变为现实的重要因素。安 全管理不仅要求我们能够提供网络整体的安全策略，并且能够将这些安 全策略应用到多种安全技术中去，例如：防火墙、v p n 、0 0 s 服务、报表 管理甚至合理的系统配置。i c h e c kp o i n t 的虚拟安全网络( s e c u r ev i r t u a ln e t w o r k ) 体系和 0 p s e c 提供了业界领先的in t e r l q e t 安全解决方案，真正地实现了客户网 络安全需求，解决了客户网络安全中面临的各种挑战。o p s e c 提供的集 成和互操作开放平台，扩展了c h e c kp o i n ts v n ( s e c u r ev i r t u a ln e t w o r k ) 的体系结构。该平台通过一个开放的、可扩展的框架集成和管理网络安 全的各个方面，第三方厂家的应用程序可以通过公开的a p i 、工业标准协 议、i n s p e c t 和高层脚本语言而插入o p s e c 框架，这样，就可以通过一 华南理工大学工学硕士学位论文 个中心控制点，利用统一的安全策略来配置和管理这些应用程序，从而 实现统一的网络安全管理。 o p s e c 框架的物理结构图如图2 1 所示。 图2 1o p s e c 框架：集成的i n t e r n e t 安全体系 1 0 l f i g2 1o p s e cf r a m e w o r k ：i n t e g e r a t e di n t e r n e ts e c u r i t ys y s t e m 对o p s e c 合作伙伴来说，与s v n 的集成无疑为市场提供了最具竞 争力的解决方案；对客户来说，o p s e c 集成意味着选择最好的产品和服 务( b e s t o f b r e e d ) ，而不用去考虑它们之间的互操作性。o p s e c 回答了 当前多厂商解决方案面临的最大难题一一互操作性和管理的复杂性，避 免了选择单个厂商带来的最大问题一一集成和灵活性的限制。】 o p s e c 框架以c h e c kp o i n t 公司的f i r e w a l l 一1 防火墙为中心，o p s e c 通过把f i r e w a l l 一1 嵌入到已有的网络平台( 如u n i x 、n t 服务器、路由器、 交换机以及防火墙产品) ，或把其他安全产品无缝集成到f i r e w a l l 一1 中， 为用户提供一个开放的、可扩展的安全框架。o p s e c 的逻辑框架结构如 图2 2 所示。其中主要有： ( 1 ) o p s e c 环境：o p s e c 应用程序进行通信的框架，每个o p s e c 过程仅 创建一个o p s e c 环境： f 2 ) o p s e c 实体：一个实体通过为接收到的每种类型的事件指定处理函数 来定义一个行为，一个o p s e c 环境可以同时包含任意数量的o p s e c 第二章o p s e c 练述 实体。具体来讲，实体可以是c v pc l i e n t 、c v ps e r v e r 、s a mc l i e n t 、 s a ms e r v e r 等； r 3 1o p s e c 会话：是两个o p s e c 实体间的会话，对于每个o p s e c 服务来 说，建立o p s e c 会话的函数是不同的。一个o p s e c 实体能够同时 控制任意数量的o p s e c 会话。图2 2 中带箭头的线表示两个o p s e c 实体间的会话； f 4 ) o p s e c 传递层：连接o p s e cc l i e n t 和o p s e cs e r v e r ，其连接机制主 要有：t c p ( 如不同机器的两个实体间) 、内存( 如同一机器的两个 实体间) 以及其他机制。 1 2 1 v p n - 1 f i r e w a l l 1 0 p s e c 过程 0 p s e c j e t 程 d p s e c 妇1 墟o p s e c 环境 0 p s e c 实体f | 0 p s e c 实体1 | 。r s e c 实体1 1 。r s z ：实体1 土上上 0 p s e c 传递层 t c p内存其他机制 tt tt 一 t 0 p s e c 实体i io p s e c 实体i l陌p s e c 实体l| o p s e c 实体l f l 1 p p r 环墙0 p s e c 环境 0 p s e c 过程 o p s e c 过程 安全应用程序安全应用程序 2 30 p s e c 集成 图2 2o p s e c 框架 f i g2 - 2 t h em a i n f r a m eo fo p s e c 通过公开的a p i 、工业标准的协议和高级编程语言，可以轻松实现 o p s e c 集成。c h e c k1 3 0 ir t l ：与o p s e c 合作伙伴之间的互操作性和集成性 是通过严格的认证过程来保证的。图2 一l 就是通过0 p s e c 接口集成多种 安全技术的框架。 华南理工大学工学硕士学位论文 图2 1 集成多种安全技术所需框架 1 3 1 f i g 2 1t h en e e d e df r a m eo fm u l t i p l es e c u r i t yt e c h n o l o g yi n t e g r a t e d 篇三方厂商可以通过以下途径来获得o p s e c 的认证： o p s e cs d k ( s o f t w a r ed e v e l o p m e n tk i t ) ：提供非常清楚的接口定义 帮助您轻松地实现同c h e c kp o i n t 的v p n i f i r e w a l l i ，f l o o d g a t e 一1 和m e t ai p 的集成。 工业标准接口和协议：利用r a d i us t a c a c s + ( 认证协议) 、s n m p ( 简 单网络管理协议) 、l d a p ( 轻量目录访问协议) ，提供详细的规范保 证多厂商产品之间的互操作性和认证标准。 c h e c kp o i n ti n s p e c t 语言：利用v p n 1 f i r e w a l l l 和f l o o d g a t e 一1 ， 增加应用来支持从通信到应用层的所有信息的截取、分析和控制。 嵌入的c b e c kp o i n ti n s p e c t 虚拟机或完整的v p n - l f i r e w a l l l 代 码集：允许第三方厂商将c h e c kp o i n t 技术嵌入到其系统或硬件设备 ( a p p l i a n c e ) 中。【“1 其中，o p s e cs d k 是使用最多的o p s e c 集成方式，因此我们只讨论 这种方式。o p s e cs d k 早在1 9 9 7 年就已发布。它提供的o p s e ca p i 可 以用来配置第三方厂商和最终用户开发的o p s e c 组件与c h e c kp o i n t 的 v p n 一1 f i r e w a l l 一1 、f i o o d g a t e 一1 和m e t ai p 之间的交互。由于这些a p i 隐 藏了协议和网络中的复杂技术，使得编程工作变得较为简单。而且为了 提供额外的安全性，使用o p s e cs d k 创建的应用能够利用s s l 对客户 和服务器之间的所有o p s e c 通信实施加密。主要包括以下各个方面的 a p i ： ( 1 ) 内容安全使用c v p ( c o n t e n tv e c t o r i n gp r o t o c 0 1 ) 内容安全允许用户扫描经过网络的所有数据包内容。例如：病毒、恶 第二苹o p s e c 综述 意j a v a 或a c i t v e x 程序等。c h e c kp o i n t 提供的c v pa p i 定义了异步接口 将数据包转发到服务器应用程序去执行内容验证。用户可以根据多种标 准来验证内容的安全。 ( 2 ) w e b 资源管理使用u f p ( u r lf i l t e r i n gp r o t o c 0 1 ) u f p 定义了c l i e n t s e r v e r 异步接口来分类和控制基于特定u r l 地址 的通信。防火墙上的u f p 客户端将u r l 传送到u f p 服务器上，u f p 服 务器使用动态分类技术将u r l 进行分类，防火墙则根据安全规则的定义 对分类进行处理。对客户来说，通过中央的安全策略管理即可实现高效 的w e b 资源管理。 ( 3 ) 入侵检测采用s a m p ( s u s p i c i o u sa c t i v i t ym o n i t o r i n gp r o t o c 0 1 ) s a m pa p i 定义了入侵检测应用同v p n 一1 f i r e w a l l 一1 通信的接口。入 侵检测引擎使用s a m p 来识别网络中的可疑行为，并通知防火墙处理。 另外s a m p 应用可以使用其他o p s e c 接口和a p i 来发送日志、告警和状 态信息到v p n l f i r e w a l l 1 管理服务器。 ( 4 ) 事件集成 提供两个a p i ：l e a ( l o ge x p o r ta p i ) 和e l a ( e v e n tl o g g i n ga p i ) 允许第三方来访问日志数据。报表和事件分析采用l e aa p i ，而安全与 事件整合采用e l aa p i 。 ( 5 ) 管理和分析采用o m i ( o p s e cm a n a g e m e n ti n t e r f a c e ) o m i 提供到c h e c kp o i n t 中央策略数据库的接口，允许第三方应用安 全地访问存储在管理服务器上的安全策略。o m i 能够访问以下资源： 存储在管理服务器上的安全策略 管理服务器上定义的网络、服务、资源和服务器对象 用户、摸板和用户组 允许登录到管理服务器的管理员列表 ( 6 ) 认证采用o p s e cp k i 集成 c h e c kp o i n t 提供了一个开放式集成环境，第三方的p k i ( p u b l i ck e v i n f r a s t r u c t u r e ) 能紧密的与c h e c kp o i n t ( v p n l g a t e w a y 、v p n 一1 s e c u r e c l l e n t ) 集成在一起。v p n 一1g a t e w a y 能同时处理多个不同的c a 。 开放的p k i 使得管理员能够选择最大限度满足要求的p k i 解决方案。 ( 7 ) 带负载平衡的高可用性( h a l b ) 和双机热备份( h a h s ) ： o p s e ch a l b 允许第三方利用v p n 1 f i r e w a l l 1 状态表同步的特性 来实现群集系统。状态表同步保证了h a l b 中每个v p n 1 f i r e w a l l 。1 上 所有连接的通信状态的一致性，并且允许o p s e c 认证的h a l b 产品能 够在群集系统中无缝地切换v p n l f i r e w a l l l 。 华南理工大学工学硕士学位论文 ( 8 )用户到地址的映射采用u a m ( u s e ra d d r e ssm a p p i n g ) u a ma p i 是c h e c kp o i n tm e t ai p ( 企业级i p 地址管理软件) 中的技 术，它提供了用户与i p 地址之间的关联。通过第三方产品与u a m 的合 作，可以轻松地实现基于网络操作系统登录用户的认证，使得基于用户 的安全策略管理得以真正实现。 ( 9 ) 安全的电子商务采用u a a ( u s e r a u t h o r i t ya p i ) 电子商务环境需要更多的应用来保证所有通信的安全、可靠和可管理 性。u a a 是一种c l i e n t s e r v e r 的异步接口，它能够同多种应用、多种c h e c k p o i n t 产品来共享网络授权信息，包括所有连接信息和v p n 1 f i r e w a l l 一1 管理信息。例如：当电子商务应用接受到来自v p n 一1 用户的授权访问请 求时，该应用需要从网关那里获得该用户的认证信息来作出智能的授权 决定。us e r a u t h o r i t y 能实现这种智能授权。 2 4o p s e ca pi 的使用 o p s e c 应用程序的核心是一个无限的循环，它等待事件出现并处理它 们，事件由o p s e ca p i 函数来处理，也可以调用用户定义的函数进行进 一步的处理。o p s e c 应用程序的结构如图2 3 所示。 楗犀t 赣 蜘化 臣丑 图2 - 3o p s e c 应用程序结构 f i g2 - 3s t r u c t u r eo fo p s e ca p p l i c a t i o n 第二章o p s e c 综述 2 4 1o p s e c 数据结构和函数 关于o p s e c 环境、实体、会话的信息存储在相应的数据结构中，可 以使用o p s e ca p i 函数从这些数据结构中管理和获取，这些数据结构和 函数对所有的o p s e c 应用程序都适用。 ( 1 )环境结构和函数：结构o ps e c e n v 包括一些配置信息。函数：初始 化、删除o p s e c e n v 结构，从该结构中获取信息等； ( 2 )实体结构和函数：结构o p s e c e n t i t y 是关于实体的信息，如名字、 类型。函数：在o p s e c 环境中定义实体、删除实体： ( 3 )会话结构和函数：结构o p s e c s e ss i o n 是关于当前会话的信息。函 数：启动、挂起o p s e cs e r v e r ，终止会话，返回会话终止原因，获 取s d k 版本号、i p 地址、端口号： ( 4 )用于传递信息的结构和函数：结构o p s e c i n f o 用于在o p s e c 实体 间传递信息。函数：初始化、删除该结构，在该结构中设置、获取 值； ( 5 ) m a i nl o o p 、s c h e d u l i n g 和s o c k e te v e n t 函数：启动主循环，调度 函数执行，为给定的s o c k e te v e n t 定义处理函数； ( 6 ) 事件处理器：o p s e cc 1 i e n t 或s e r v e r 实体对以下四种事件进行响 应：o p s e c s e s s i o n s t a r t 、o p s e c s e s s i o n e n d 、特殊服务事 件和用户定义事件。 2 4 2 环境变量 ( 1 )o p s e c d i r ：指定o p s e c 应用程序存放配置文件的路径。 ( 2 )o p s e c d e b u g l e v e l ：要在运行期间获取o p s e cd e b u g g i n g 信 息，需将此变量在应用程序开始前设为0 ( n od e b u g g i n gi n f o ) 到3 ( a l ld e b u g g i n gi n f o ) 之间。 ( 3 ) o p s e c e r r n o ：全局变量。要判定错误方式，可用函数o p s e c e r r n o s t r 将错误号转为相应字符串。 华南理工大学工学硕士学位论文 2 4 3c iie n t - s er v e r 连接 o p s e c 应用程序和v p n 1 f i r e w a l l 一1 之间的连接可以有以下4 种类 型： ( 1 ) 使用s s l ( s e c u r es o c k e tl a y e r ) 的认证和加密连接：使用3 d e sk e y 加密： ( 2 )使用s s l 的认证连接； ( 3 )认证连接( c h e c kp o i n t 专有) ：为了与v p n 1 f i r e w a l l 1 的早期 版本兼容； ( 4 )畅通连接( c l e a rc o n n e c t i o n ) ：没有任何限制地传输数据。 2 4 4 多线程的o p s e c 应用程序 o p s e cs d kv e r s i o n4 1 2 支持多线程应用程序，一个应用程序可以产 生多个执行o p s e c m a i n l o o p 函数的线程。e v e n t sa p i 可以保证o p s e c 线 程和应用程序线程问的多线程安全交互。e v e n t sa p i 使得用户定义的事 件可以被任何线程触发。一个应用程序在启动其线程之前，要为每个线 程创建用户自定义事件和一个o p s e c 环境。1 2 5 本章小结 本章简要介绍了o p s e c 联盟的由来、产生背景及发展现状。特别指 出o p s e c 是当今全球网络安全方面最权威、代表最广泛的组织，它己成 为网络安全开放式平台事实上的标准。而o p s e c 是通过集成不同安全厂 商的最优秀的产品来满足用户对多层次安全性的需求，因此集成和管理 性是架构这样一个平台的关键。本章介绍了o p s e c 的开放式网络安全体 系结构，指出o p s e c 体系结构解决了当前多厂商解决方案面临的最大难 题一一互操作性和管理的复杂性，避免了选择单个厂商带来的最大阀题 一一集成和灵活性的限制。然后，介绍了o p s e c 的集成方式，重点介绍 了o p s e cs d k 集成方式所提供的用于网络安全各个方面的a p i 。最后，列 如何使用o p s e ca p i 进行了分析说明。 第三章网络内容安全分析 第三章网络内容安全分析 计算机网络正面临着越来越复杂的安全威胁。根据c e r t 报告，混合 攻击是2 0 0 2 年对全球网络造成危害最大的攻击形式，在今后，混合攻击 将更具诡秘性和威胁性。混合攻击借助病毒、木马、恶意代码等手段， 利用大量系统漏洞，通过发送邮件和分散攻击的方式快速在大范围内进 行破坏，直接威胁到关键数据的安全。目前，绝大数用户缺乏应对混合 攻击的意识和有效手段，只是部署了单一的防病毒系统或是防火墙系统， 缺乏对安全设备的统一管理，更不要说对网络系统进行经常性的风险评 估和全面审计了。网络安全是一个系统工程和动态过程，仅仅依靠一、 二种安全设备不能应对混合攻击；仅仅依靠安全设备，不进行统一管理 和风险评估也不能应对混合攻击；而各种安全措施都应当围绕内容安全 展开【1 0 1 。防范应对复合威胁、保护内容安全将是用户和安全厂商需要共 同面对