（计算机应用技术专业论文）ipv4ipv6过渡阶段网络安全工具的实现与研究.pdf

摘要 本论文的研究是在“i p v 6 信息过滤技术”课题的基础之上进行的，其目的在于对目前 广泛流行的网络安全1 ：具进行研究分析，并提出改进措施。 本文分析研究的内容包括扫描工具、入侵检测1 _ = 具和防火墙，其中又以本人参与的茜琦洞 扫描和入侵检测为重点。率文深入分析了目前最为流行的几种漏洞扫描、入侵检测和防火墙 技术，对上述安全 ：具进行改进以适应i p v 4 i p y 6 过渡阶段的网络安全特性。针对局域网内 双拽主机的过渡策略，对漏洞扫描系统的检测引擎和插件库进行改进，使之具备i p v 6 漏洞 扫描的能力。针对过渡阶段网络流量的增加和网络协议的变化对入侵检测系统进行改进， 增加i p v 6 数据包过滤能力，采用分布式的体系结构，实时j 皇测各分布检测点的负载情况， 并采用按比例分配的调度策略在节点间进行负载均衡。对于防火端系统，针对其在过渡阶段 面临的性能压力和分析能力的缺陷，设计了一种基于状态的分布防火墙以适应过渡阶段的网 络性能需求。 最后，结合项目开发的经验提出了一种漏洞扫描、入侵检测和防火墙集成的框架模型， 并对该模犁进行了详细的分析。 关键词：网络安全、漏洞扫描、入侵检测、防火墙 a b s t r a c t t h l sp a p e ri sb a s e do n “1 1 1 er e s e a r c h 。fi p v 6i n f o n t l a t i o nn l t e rt e c h n i q u e ”s u b j e c t w i t ht h e a n a l y s i so ft h ee x i s t i n gs e c u r i t yt o o l s ，ip r o p o s ea na d v a n c e dc o o p e m 【e 丘a r n e w o r ko fs e c t y s c a 工1 1 1 e li n t r u s i o nd e t e c t l o nt o o i sa n dn r e w a l l s t h ec o n t e n to ft h i sp 印e ri sf o c u so n ：s e c 耐t ys c a m e li n t 邝s i o nd e t e c t i o nt o o l sa n dn e w a l i s e s p e c i a l l yo ni p v 6s e c u r i t ys c a n n e ra n di p v 6i n t r u s i o nd e t e c t i o nt 0 0 1 sw h i c h ih a v et a k e np a r ti n a r ma tt h el a nv u i n e r a b i l l t ym l h ep e r i o d so f 订a n s i t i o nf b mi p v 4t ol p v 6 ，w er e b u i l dt h ed e t e c t e n g i n ea n dp l u g i n sd a t a b a s eo f n e s s u s t ol m p m v et h ei p v 6 1 n e r a b i l i t ys c a na b i l i 吼a 丌na t l h e i n c r e a s eo fn e t w o r kt r a 伍ca n dc h a n g eo fn e t w o r kp r o t o c 0 1 i nt l l et r a n s i t i o np e n o d s ，w ea d o p t d i s t n b u t e da r c h i t e c m r et oi m p r o v em ei d s ( i n 仃1 l s i o nd e t e c t i o ns y s t e m ) d e t e c ta b i l i t ya n du s e1 0 a d b a i a n c ep o l i c i e st oo p t i m i z ei d sp e r f o n a n c e s a st on r e w a l l s ，t 1 1 i sp a p e ra n a l y z e sl h ef u n c t i o n a l p f e s s u r ea n dn l t e rl i m i t a t i o no fc u r r e n tc e n a l i z e ds y s t e m s8 n dp r e s e n t sap r a c t l c a ld l s t f l b u t e d n r e w a l lm o d a l 1 nt h e1 a s t ，t h i sp a p e rb u i l da na d v 姐c e dc o o p e r a t ef r a m e w o r ko fs e c u r i t ys c a n n e li m r u s i o n d e t e c t i o nt o o l sa 1 1 d 行r e w a l l s i ti 唧l e m e n t ss o m en e wd e s i g l l ss oa st oo v e r c o m ef a u l i so fp a s t s y s t e m sa n d d e t e c ta n a c k sr n o f ea c c u r a t e l ya n de m c i e n t l y k e y w o r d s ：s e c u r i t y s c a n n e i n t n l s i o nd e t e c t i o n ，f i r e w a l l ，d a t a b a s eo f l n e 出i l i t y 声明 本人呈交绘由东秘按大学艴这簇硕士学饶论文，除了艇列参考文献和数艇公 认的文献外，全部是本人在导师的指导下的研究成粜。该论文尚没有呈交于其它 经蟋学术枧美佟鉴定。 研究生签磐：龙l 廛 b 辣t i 沙哆。# j ； a f f i r m 艋1 0 n id e c l a r et h a tt h i sd i s s e r t a t i o n ，s u b m i t t e di nm m l l m e n t o fm e r e q u i r e m e n t sf o rm e a w a 嫩o f 醚8 s t e ro fs c i 。e ，法s 圭l 辩避。鹋u 撕v e r s i 圭yo s c i e 琏e e 鞠d 疑e 殛o l o g y ，i s w h 0 1 1 ym y o w nw o r ku n l e s sr e f 色r e n c e do fa c l m o w l e d g e t h ed o c 啪e n th a sn o tb e e n s 两擞主t t e 疰岛fq 珏越i 蠡e 勰。珏贰袅n yo 盎铭粒商。氆沁趣s i 孙掘 s i 辨弧l r e ：赢搠 眦融加，哆 山东科技大学硕上学位论文 自从1 9 8 1 年9 月出现以来，i p v 4 一直作为一种标准的三层协议，并且已经证明了它具有 简单性和可放缩眭。i n t e r n e t 和所有的i n t r a n e t 都以它为基础。由t _ 这个协议已经出现二十 多年了，尽管仍然没有过时，但是已经有些陈1 日了。在9 0 年代初期，i e t f ( i n t e r n e t e n g i n e e r i n gt a s kf o r c e i n t e r n e t 【程任务组) 开始设计了1 p 协议的新版本，并且往1 9 9 j 年成为标准，即i p v 6 。 i p v 6 有许多新的功能。在这些功能中虽重要的无疑是克服了i p v 4 限制的简单、比例化的 设计、无限的地址空间、自动配置土机的能力、对节点移动性和安全性的有效支持、更适台 实时传输的设计以及从i p v 4 到i p v 6 平稳过渡的能力。 对i p v 6 进行的测试是在l 9 9 7 年进行的到1 9 9 8 年，它成为操作系统、网络设备以及管 理系统包含的标准功能。有关其它功能的测试和应用目前仍在进行中，这个过程将会持续一 段较长的时问。 i p v 6 作为下一代互联网的基础协议，在安全性上对i p v 4 做了改进，i p v 6 利 ： ji p s e c ( 安 全i p ) 实现了网络层的加密与认证，解、决了i p v 4 在认证和加密方面的缺| 箪；。但是i p s e c 协议 无法解决由于程序存在的漏洞及用户误操作等原因引起的安全问题。而传统安全设备，如漏 洞扫描、入侵检测系统利防火墙则可以很好的解决这些问题。因此。研究i p v 4 向i p v 6 过渡 阶段的网络安全工具不但具有现实的意义，而且对i p v 6 全面应用后的i n t e r n e t 安全也具有 很好的指导意义。 本论文的研究是在“i p v 6 信息过滤技术”课题的基础之上进行的，其目的在于对目前广 泛流行的网络安全工具进行研究分析，并提出改进措施。论文共五章，其结构如f ： 第一章：网络安全工具概述。本章论述了网络安全的基本概念及网络安全工具的分类、 作用和国内外网络安全工具的发展状况。 第二章：i p v 6 报文的特点及与i p v 4 报文的区别。 第三章：i p v 6 安全工具进行实现方案。对漏洞扫描工具，分析了在n u s s u s 漏洞扫描器的 基础上进行的改进和实现方法；对入侵检测工具，论述了在s n o r t 入侵检测系统上进行的功 能扩充。 第四章：在p p r t 和c i t r a 模型的基础上提出了一种漏洞扫描、八侵检测和防火墙集成的 框架模型，并对该模型进行了详细的分析。 第五章：程序模块说明及测试结果。 圭口一刚 山东科技大学硕士学位论文 第一章网络安全工具概述 1 1 网络安全的基本概念 在网络安全的范畴内，网络并不是物理的网络，它包含以下三个要素。 数据：包括在网络上传输的数据与端系统中的数据，从本质上说这些电子意义上的 数据都是o l 比特的组合，但是经过特定的程序产生和处理之后它们就具有了多种多样 的语意学上的意义。 关系：网络作为交流的重要手段，涉及到通信各方信赖关系的建立和维护，这也是 攻击者比较感兴趣的一个方面，以为信赖关系的窃取就意味着能力和数据访问权利的获 取，进而可以转化为物理意义上的财富。 能力：包括网络系统的传输能力和端系统的处理能力，前者意味着网络连接能力的 充分运用，而后者则意味数据处理能力和服务提供能力等。 网络安全的意义，就在于为以上三个要素提供保护，保证这三者能够为所应为，为合适 的人服务，而且只为台适的人服务。相应地，网络安全也就包含以下三个基本方面。 数据保护：包括数据的机密性保护和完整性保护，主要针对数据窃取、数据篡改等 攻击，其基本的手段包括加密和访问控制。这方面的理论比较完备( 主要是加密体制的 建立和加密算法的运用) ，实现手段也比较完善。 ( 信赖) 关系保护：包括身份鉴别与安全地建立、维护信赖关系，主要针对网络身 份冒充、连接截取等攻击，基本的手段包括加密和协议的安全设计。相对来说这方面的 理论也比较完善但在实现手段上有一些漏洞。 能力保护：包括对网络系统的传输功能与端系统的处理功能的保护主要针对拒绝 服务、远程权利获取等攻击。这方面的理论基本上是实践经验的总结，运用的手段也基 本上是实验性的。能力保护相关的工作也是入侵检测系统发挥作用之处。 为了达到以上三个目的，在实践经验和一些理论研究的基础上，提出了一些安全模型， 其中比较有代表性的就是p 2 d r 模型。该模型以策略为中心，包括防护、检测和响应三个循环 过程。 1 1 1 常用网络攻击步骤和方法 不同的黑客有不同的攻击目标，有的黑客注意焦点是政府部门的机密信息，有的关心银 行或者重要企业的信息中心，有的则出于对自己技术和能力的炫耀，但他们采用的攻击方式 一4 一 山东科技大学硕士学位论文 和手段却有一定的共同性。一般黑客的攻击大体有如下三个步骤：信息收集一对系统的安全 弱点探测与分析一实施攻击。 1 1 1 1 信息收集 信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用f 列的公开协议 或工具，收集驻留在网络系统中的各个主机系统的相关信息。 s n m p 协议 _ l = i 来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细 节。 t r a c e r o u t e 程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。 d n s 服务器 该服务器提供了系统中可以访问的主机的i p 地址表和它们所对应的主机名。 f i n g e r 协议 可以用f i n g e r 来获取一个指定主机上的所有用户的详细信息( 如用户注册名、电话号码、 最后注册时间以及他们有没有读邮件等等) 。 p i n g 实用程序 可以用来确定一个指定的主机的位置。 1 1 ，1 2 系统安全弱点的探测 在收集到攻击目标的一批网络信息之后，黑客会探测网络上的每台主机，以寻求该系统 的安全漏洞或安全弱点，黑客可能使用下列方式自动扫描驻留网络上的主机。 自编程序对某些产品或者系统，已经发现了一些安全漏洞，该产品或系统的厂商或 组织会提供一些补丁程序给予弥补，但是用户并不一定及时使用这些补丁程序。黑客发 现这些补丁程序的接口后会自己编写程序，通过该接口进入目标系统，这时该目标系统 对于黑客来讲就变得一览无余了。 利用公开的工具对整个网络或子网进行扫描寻找安全漏洞。这些工具有两面性， 就看是什么人在使用它们。系统管理员可以使用它们，以帮助发现其管理的网络系统内 部隐藏的安全漏洞，从而确定系统中那些主机需要用孛 丁程序去堵塞漏洞。而黑客也可 以利用这些工具，收集目标系统的信息，获取攻击目标系统的非法访问权。 1 1 1 3 网络攻击 黑客使用上述方法，收集或探测到一些有用信息之后，就可能会对目标系统实施攻击。 一5 山东科技人学硕j 。学位论文 糕客一旦获得了对攻击的目标系统的访问权后，又可能有f 述多种选择： 该黑客可能试图毁掉攻击入侵的痕迹，井在受到损害的系统上建立另外的新的安全 漏洞或后门，以便在先前的攻击点被发现之后继续访问这个系统。 该黑客可能在目标系统中安装探测器软件，包括特洛伊木马程序，t l = j 来窥探所在系 统的活动，收集黑客感兴趣的一切信息如t e l n e t 和f t p 的帐号名和口令等等。 该黑客可能进一步发现受损系统在网络中的信任等级，这样黑客就可以通过该系统 信任级展开对整个系统的攻击。 1 2 漏洞扫描简介 1 2 1 漏洞的标准化工作 漏洞即为系统硬件或者软件存在着某种形式的脆弱性，这种脆弱性存在的直接后果就是 允许非法用户未经授权获得访问权威者提高访问权限。按照漏洞对目标主机的危害程度可将 其划分为不同的等级。目前，影响力最大的就是c v e 和b u g t r a q 所收集整理的漏洞数据库。 虽然它们建立的目的是为了发布和整理漏洞信息。但是却很好地为我们提供了漏洞信息的来 源。 在我们的漏洞扫描系统中采用的是c v e 漏洞数据库，它的英文全称是“c o m m o n v u l n e r a b i l i t i e s e x p o s u r e s ( 公共漏洞和暴露) ”。c v e 就好像是一个字典表，为广泛认 同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字t 可 以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些：具很难 整合在一起。这样就使得c v e 成为了安全信息燕享的“关键字”。如果在一个漏洞报告中指 明的一个漏洞有c v e 名称你就可阻快速地在任何其它c v e 兼容的数据库中找到相应修补的 信息，解决安全问题。 1 2 1 1c v e 条目举例 l a n d 是个非常著名的拒绝服务攻击的例子，该攻击的主要原理就是构造一个源地址和 目的地址相同的i p 数据包。当存在相应漏洞的主机收到这样的攻击包，会由于不断地自我响 应造成系统资源的过度消耗而崩溃。 一6 一 一 生查型垫盔兰堡主堂垡堡壅 p 一 c v e 版本：2 0 0 0 l 叭3 ”_ 一_ 一 1 名称l c v e 1 9 9 9 0 0 1 6 1+。一一 一 【描述 l a n di p 拒绝服务 f 参考引用： l i c e n ：c a 一9 72 8t e a r d r o p i a n d i a c e b s dt r b s d s a t 9 8 ：0 1 m p ：h p s b u x 9 8 0 1 - 0 7 6 i 1 c l s c o ： h n p ：w w c i s c 。c 。州w a 叫p u b l i c ，7 7 0 ，i d - p u bs h t m l “s s x fc j s c o - 1 a n d i l s s x fia r i d l i s s x t9 5 一v e r v - t c d 】l s s x fi a n d d a t c h ；i s s x tv e 卜t c p i p s y s ：条目创建时间：1 9 9 99 2 9 图1lc v e 条目举例 在许多种漏洞数据库中都有相应的条目，但是说法各不相同，有l a n d 、t e a r d r o p j a n d 、 l a n d ，c 、i 叩o s s i b l e i pp a c k e t 、l a n dl o o p b a c ka t t a c k 等等多种命名方法，使用户无所适 从。如果有了c v e 这个公共的命名标准，所有的漏洞库都会对应到c v e 字典。在c v e 字典中 会出现一个共同认可的名称和描述，各种漏洞扫描和入侵检测工具可依据c v e 的标准命名， 编写统一和可复用的检测模块并便于各系统之间的通信。 1 2 2 漏洞扫描工具简介 漏洞扫描器是一种自动检测本地或远程主机在安全性方面弱点的程序包，它的功能就是 寻找可能对系统造成威胁的脆弱性。根据功能可划分为基于应用和基于网络的漏洞扫描技术， 前者主要是对本机的文件系统进行扫描，检测进程状态及文件的完整性；后者通过发送数据 包检测远程主机的安全漏洞。 漏洞扫描工具可以作为安全防御工具，其主要作用是帮助系统管理员及时发现局域网内 存在的安全漏洞，并为其提供排除漏洞隐患的安全建议。管理员可以定期对内部网的主机进 行扫描，并及时更新扫描器的漏洞数据库，以防入侵者采用最新的攻击手段。从另一方面来 说，漏洞扫描器也是黑客的常用工具，所以如何防范入侵者的扫描是构建安全防御方案的必 要环节最基本的措施就是防范非法的端口扫描，使入侵者无法获得有关内部网安全漏洞信 息，这需要在入侵检测系统和防火墙上设置相关的规则，以发现和阻止局域网内、外部的非 山东科技大学硕士学位论文 法扫描活动。 目前，在人型网络中的漏洞扫描系统通常采用控制台和代理结合的结构。这种结构特别 适用于异构型网络，容易检测不同的平台。当然，在不同威胁程度的环境f ，可以有不同的 评估标准。一旦检测完毕，如果发现了漏洞，系统可有多种反映机制。报表机制则生成综合 的报表列出所有的漏洞有的系统还可以关闭这些漏洞。评估分析系统还融合了许多管理功 能。通过一系列的报表可让系统管理员对这些结果做进一步的分析。通常，这些系统有一定 的自适应功能让用户定制评估分析过程。 除此之外，还有许多设计、安装、维护要考虑系统的自身的安全问题。安全数据库必须 安全否则就会成为黑客的工具。实际上，检测系统本身就是一种攻击，如果被黑客利用就 会产生难以想象的后果。因此，漏洞扫描系统首先要保护自身的安全，客户机和服务器之间 的通信必须采_ i 加密方式。 漏洞扫描j 二具作为一种安全防护工具，其主要功能是先于黑客发现系统中的存在的安全 漏洞和隐患并通知管理员及时升级系统或修补漏洞。但只实现这些功能还是不够的网络安 全工具就如同人的免疫系统一样是一个整体的系统，漏洞扫描只是其中负责系统防护的一个 组件。它的扫描结果不但要通知管理员而且要及时通知入侵检测和防火墙系统，使其能及 时调整防护策略，提高系统捡测精度和效率，增强安全系统的整体性能。 1 3 入侵检测简介 1 3 1 入侵检测系统的分类 1 3 1 1 基于主机的入侵检测系统 基于主机的i d s 【入侵检测系统) 始于8 0 年代早期，通常采用查看针对可疑行为的审计 记录来执行。它能够比较新的记录条目与攻击特征，并检查不应该改变的系统文件的校验和 分析系统是否被侵入或者被攻击。如果发现与攻击模式匹配，i d s 系统通过向管理员报警和其 它呼叫行为来响应。其主要目的是在事件发生后提供足够的分析来阻止进一步的攻击。简单 的说，基于主机的i d s 方法有以下优点： 非常适用于加密和交换环境。 检测更加细腻。基于主机的方法可以很容易的监测一些活动。如对敏感文件、目录、 程序或端口的存取，而这些活动很难在基于协议的线索中被发现。 视野集中。一旦入侵者得到了一个主机的用户名和口令，基于主机的代理是最有可 能区分正常的活动和非法的活动的。 一8 一 山东科技大学硕士学位论文 不受网络流量影响。用代理的方式一般不会因为网络流量的增加而丢掉对网络行为 的监视。 1 3 1 - 2 基于网络的入侵检测系统 基于网络的i d s ( 入侵检测系统) 系统使用原始的网络包作为信息源。它可利用。】j 作在混合 朵模式下的网p 实时监视和分析所有的通过共享式网络的传输。基于网络的i d s 产品一般被 放置在比较重要的网段内，以便对每一个数据包或可疑的数据包进行特征分析。一日检测到 攻击响应模块按照配置对攻击做出反应。这些反虑通常包括发送s n m p 消息、记录日怎、切 断网络连接、发送i c m p 报文等。基于网络的入侵检测系统的主要优点有： 视野开阔，便于从整体上统计系统数据，发现分布式入侵行为( 例如，d d o s 攻击) 。 攻击者转移证据很困难。 实时检测和应答。一旦发生恶意访问或攻击，基于网络的i d s 检测可以随时发现， 因此能够更快地做出反应。从而将入侵活动对系统的破坏减到最低。 能够检测朱成功的攻击企图。 操作系统独立。基于网络的i d s 并不依赖主机的操作系统作为检测资源。而基于主 机的系统需要特定的操作系统才能发挥作用。 1 313 基于主机和基于网络的入侵检测系统的区别 网络i d s 系统为了陛能目标通常采用特征检测的方法，它可以检测出普通的一些攻击， 而很难实现一些复杂的需要大量计算与分析时间的攻击检测。而这方面正是基于主机i d s 的 强项。针对这一特性可以将需要大量计算的入侵检测组件迁移到基于主机的i d s 系统。 由于局域网骨干的数据传输量远远大于单机的数据传输量，所以网络i d s 系统中的传感 器的负担较重，影响了入侵检测系统的性能。同时系统处理加密的会话过程较困难，特别是 随着i p v 6 的应用这一情况将更加普遍，而对于基于主机的i d s 则没有这一障碍。 另一方面，由于基于主机的i d s 系统在反应的时间上依赖于定期检测的时间间隔，反应 较慢，而且其检测实时性也没有基于网络的i d s 系统好。鉴于此，在实旆基于网络的i d s 系 统的同时在特定的敏感主机上增加主机i d s 代理的方法是一个比较完善的检测策略。基于主 机的i d s 与基于网络的i d s 并行可以做到优势互补：网络部分提供早期警告，而基于主机的 部分可提供攻击成功与否的情况分析与确认。同时，入侵检测系统要充分利用漏洞扫描的漏 洞信息并加强同防火墙的联动，增强安全检测的效率和准确性。 一g 一 山东科技大学硕士学位论文 1 3 2 入侵检测的分析方法 1 3 2 1 基于异常的入侵检测系统 这种模型的特点是首先总结正常操作应该具有的特征，例如特定用户的操作习惯于某些 操作的频率等；在得出正常操作的模型之后，对后续的操作进行监视，一旦发现偏离正常统 计学意义上的操作模式，即进行报警。可以看出，按照这种模型建立的系统需要具有一定的 人。【智能，由于人工智能领域本身的发展缓慢，基于异常检测模型建立入侵监测系统的工作 进展也不是很好。 1 3 2 2 基丁误用的入侵检测系统 这种模型的特点是收集非正常操作也就是入侵行为的特征，建立相关的特征库：在后续 的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否是入侵的结论。 当前流行的系统基本上采用了这种模型。 l _ 3 3 入侵检测技术目前的研究方向 目前的入侵检测技术的研究主要集中在下述几个方向。 集成化：基于网络和基于主机的i d s 都有各自的优势，两者相互补充。这两种方式都能 发现对方无法检测到的些入侵行为。从某个重要服务器的键盘发出的攻击并不经过网络， 因此就无法通过基于网络的i d s 检测到，只能通过使用基于主机的i d s 来检测。基于网络的 i d s 通过检查所有的包的报头( h e a d e r ) 来进行检测，而基于主机的i d s 并不查看报头。许多 基于i p 的拒绝服务攻击和碎片攻击，只能通过查看它们通过网络传输时的报头才能识别。基 于网络的i d s 可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实 时检查包序列的i d s 迅速识别。而基于主机的系统无法看到负载，因此也无法识别嵌入式的 负载攻击。联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。比如基于主 机的i d s 使用系统日志作为检测依据。因此它们在确定攻击是否已经取得成功时与基于网络 的检测系统相比具有更大的准确性。在这方面，基于主机的i d s 对基于网络的i d s 是一个很 好的补充，人们完全可以使用基于网络的i d s 提供早期报警，而使用基于主机的i d s 来验证 攻击是否取得成功。在下一代的入侵检测系统中，将把现在的基于网络和基于主机这两种检 测技术很好地集成起来，提供集成化的攻击签名、检测、报告和事件关联功能。 分布式入侵检测：分布式入侵检测的第一层含义是针对分布式网络攻击的检测方法；第 二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理 与入侵攻击的全局信息的提取。 全面的安全防御方案：即使用安全工程风险管理的思想与方法来处理网络安全问题，将 一l o 山东科技大学硕士学位论文 网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入 侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。 1 4 防火墙简介 自从计算机工业对安全的需求被首次实现以来，就存在防火墙技术。第一代防火墙是根据 数据包信息对数据流进行过滤的一台计算机。这是一种相对简单的、对数据流进行分类的方 式。对数据的过滤是建立在数据来自何方，以及去向哪里的基础之上。一旦认定在一个特定 的数据包内含有某些明确的信息，就根据数据流过滤器规则，允许或拒绝这个数据包。 如果流过网络的数据流量的类型是一个已知的标准协议，那么就可以对数据流进行过滤。 这只是标准化霉求的一个例子。如果数据流量遵循一个标准( 比如t c p i p 、i p x 等) ，那么数 据就必须遵循明确的规则，这样源和目的才能理解并解释它。只要在一个特定网络中流动的 数据是建立在标准的基础之上。而且过滤设备有能力对给定的协议棱进行过滤，那么就可以 对数据流进行过滤。 以这种方式过滤数据流只是防火墙如何运作的一个例子。可以将防火墙定义为下列3 种类 别之一： - 数据包过滤器。 代理过滤器。 状态型数据包过滤器。 下面将详细介绍防火墙的这三种类型。 1 4 1 数据包过滤器 采用t c p i p 数据包过滤器的防火墙通常在传输层或t c p i p 协议栈的i n t e r n e t ( 网络) 层分 析网络数据流。只要在一个特定的网络中流动的数据是建立在标准的t c p i p 协议栈( 或任何 其他标准协议栈) 之上，那么就可以对数据进行过滤。在网络中流动的每个数据包中的字段 是已知的( 例如源i p 地址、目的i p 地址、源端口、目的端口) 。数据包过滤器分析的信息是 静态的数据包头部信息。 在配置数据包过滤器时，用一些明确的源和( 或) 目的标准来创建规则。数据包过滤器根 据下列一种或多种信息，允许或禁止数据包： 源i p 地址 目的i p 地址 协议 山东科技大学硕士学位论文 源端口 目的端口 数据包过滤器的一个实例可以是一台配置了访问控制列表( a c l ) 来对流过它的数据流进 行过滤的c i s c o 路由器。可以用a c l 配置c i s c o 路由器来过滤流过路由器的数据流。c is c oi o s 软件本身就有能力产生一个a c l ，并在逐个数据包的基础上过滤数据流。 数据包过滤器的一个重要方面是它不保留状态信息。当数据包过滤器收到一个数据包后 根据数据包过滤器列表决定允许还是拒绝这个数据包。一旦数据包过滤器处理完这个数据包 关f 这个特定数据包的信息就不再被保留。收到下一个数据包后，还会重复同样的判断过程。 下面是数据包过滤器的一些缺点： 符合a c l 规则的任何数据包都可以通过过滤器。 可以通过将数据包分片，使数据包通过过滤器。 很难正确地产生、实现并维护复杂的a c l 。 不能过滤某些服务( 虽然可以指定端口号，但是对于一些应j = = | 一一特别是比较新的多 媒体应用一一在会话开始之前，端口号是未知的) 。 1 4 2 代理过滤器 代理过滤器是一种防火墙设备，它在开放系统互连( o s i ) 模型中较高的层次( 通常是o s i 模型的4 到7 层) 上检查数据包。因为它检查会话中的更多细= i 了。所以代理过滤器的功能非 常强大，但是这同时也会影响端到端的吞吐量。这种设备通过要求用户采用代理的形式，与 一个安全的系统通过通信，从而隐藏了有价值的数据。用户要获得对网络的访问，需要经过 的过程是建立会话状态、用户认证、以及授权策略。这意味着用户通过运行在连接外部来被 保护区域的网关上的应用程序( 代理) 来访问外部的服务。 代理过滤器防火墙的一种可能的工作方式是，要求防火墙内部的( 被信任的一侧) 用户首 先建立一个到防火墙自身的会话( 代理是这个会话的目的地) 。然而用户必须进行认证。根据 用户i d 和口令，允许用户对外部进行指定的访问。当采用诸如此类的代理防火墙时，需要建 立两个单独的会话( 一个是从用户到代理，一个是从代理到目标) 。 代理防火墙工作的另一种方式是，用户( 在被信任的内部) 直接向目标( 在不被信任的外 部) 建立一个会话。至少让用户看起来是这样的。实际上是，代理会拦截会话，并根据某些 信息( 比如源母地址) 进行认证，然后建立两个独立的会话( 一个是从用户到代理，一个是 从代理到目标) 。对于用户来说，代理防火墙的第二种工作方式更加透明。 代理过滤器可能会遇到下列问题： 一1 2 一 山东科技大学硕士学位论文 代理防火墙会产生单点故障，这就是说，如果对防火墙的访问受到危害，那么整个网 络都将受到危害。 很难为防火墙增加新的服务。 在负载很大的情况下，代理防火墙工作得更慢。 由于代理防火墙必须采川一些操作系统服务来执行代理过程，所以它是通过建立在通 用操作系统之上的。由此带来的问题是，增加了开销、降低了性能，而且由于通_ l j 操作系 统是众所周知的，所以该操作系统容易被攻击的漏洞也是公开的。 1 4 3 状态型数据包过滤器 第三种类型的防火墙综合了数据包过滤器和代理过滤器技术的优点。状态型数据包过滤 器为每个穿过防火墙建立的会话保持完整的会话状态信息。每个为输入或输出数据流建立一 条i p 连接时，信息被登记在状态型会话流列表中。 状态型会话流列表包含源和目的地址、端口号、t c p 序列号信息、以及与那个特定会活相 关的每条t c p u d p 连接的附加标记。当一个穿过防火墙的外部会话被发起时，防火墙将为之 产生一个连接对象，随后，所有的输入和输出数据包都将与状态型会话流列表中的会话流进 行比较。只有在存在一条适当的连接来准许通行的情况下，才允许数据通过防火墙。这个方 法之所以比较有效，是因为： 对单个数据包进行操作，并将单个数据包与已经建立起来的连接进行比较。 相对于数据包过滤或使用代理过滤器，它的处理性能水平更高。 为每条连接或无连接交易在列表中记录数据。这个列表将被作为参考点来决定数据包 是属于一条已经存在的连接，还是来自一个未授权的源。 一1 3 一 坐查型些查堂婴土兰垡笙；! ! ! ； 第二章ip v 6 协议的安全特性 2 1 i p v 6 报头的安全特性 从i p v 4 到i p v 6 的过渡经常被错误的认为是采用1 2 8 位的地址和i p s e c 的使用。许多人认为 安全性的提升是由于a h 和e s p 的使用，然而很少有关于这问题的进一步研究。下面将就网络层 的安全性分别从i p v 4 和i p v 6 两方面米进行讨论，以及i p v 4 到i p v 6 的过渡对网络的影响。f 面 将就i p s e c 以及各种不同协议、过渡引起的问题、人为因素和实施方面的安全特性讨论。 向i p v 6 的过渡将不会象】9 8 2 和1 9 8 3 年i p v 4 的应用那样，i p s e c 会解决一些网络层安全问 题，但不会解决所有的安全问题。这种转变不但需要技术方面的经验，而且需要认真的计划。 i p v 4 是一种面向无连接的数据报协议。它向用户隐藏了下层物理网络的复杂性，为用户 提供一种同构的网络平台。分析i p v 4 的最好方式就是分析i p 4 报头的各个字段。在i p v 4 头中有 1 2 个不同的字段，几乎所有的这些字段都对协议的安全性有所影响。在实际应_ j | 中人们发现 i p v 4 中有许多冗余字段，甚至有些字段从未使用过。 即将取代现有网络层协议的是i p v 6 ，i n t e r n e t 不再是一个由几台主机互连而成的小型网 络，为了使过渡产生其应具有的效果，同时也为了使下一代网络具有更大的灵活性。i p v 6 不 但要履行i p v 4 现有的功能，而且还要为将来的功能扩充做好准备。 2 1 1i p v 6 的变化概述 i p v 6 中的变化体现在以下五个重要方面： 扩展地址 简化头格式 增强对于扩展和选项的支持 流标记 身份验证和保密 对于i p 的这些改变对i a b 于1 9 9 1 年制定的i p v 6 发展方向中的绝大部分都有所改进。i p v 6 的 扩展地址意味着i p 可以继续增长而无露考虑资源的匮乏，该地址结构对于提高路由效率有所 帮助：对于包头的简化减少了路由器上所需的处理过程，从而提高了选路的效率：同时t 改 进对头扩展和选项的支持意味着可以在几乎不影响普通数据包和特殊包莲路的前提下适应更 多的特殊需求；流标记办法为更加高效地处理包流提供了一种机制，这种办法对于实时应用 尤其有用；身份验证和保密方面的改进使得i p v 6 更加适用于那些要求对敏感信息和资源特别 一1 4 一 山东科技大学硕士学位论文 对待的商业应用。 2 1 1 1 扩展地址 i p v 6 的地址结构中除了把3 2 位地址空间扩展到了1 2 8 位外，还对i p 主机可能获得的不同类 型地址作了一些调整。i p v 6 中取消了广播地址而代之以任意点橘地址。i 艮4 中朋于指定一个 网络接口的单橘地址和用于指定由一个或多个主机的组播地址基本不变。 2 1 1 2 简化的包头 i p v 6 中包括总长为4 0 字节的8 个字段，它与i p v 4 包头的不同在丁，i p v 4 中包含至少1 2 个不 同字段，且长度在没有选项时为2 0 字箝，但在包含选项时可达6 0 字节。i p v 6 使j _ j 了【司定格式 的包头并减少了需要检查和处理的字段的数量，这将使得选路的效率更高。 包头的简化改变了i p 的工作方式。一方面，所有包头长度统一，因此不再需要包头氏度 宇段。此外，i p v 6 中的分段只能由源节点进行，该包所经过的中间路由器不能再进行任何分 段，这样就去除了包头中的一些字段。最后i p v 6 中不再存有校验和字段，这不会影响可靠 性，因为报头校验年将由更高层协议( u d p 和t c p ) 负责。 2 1 1 3 对扩展和选项支持的改进 在i p v 4 中可以在i p 头的尾部加入选项，与此不同，i p v 6 中把选项加在单独的扩展头中。 通过这种方法，选项头只有在必要的时候才需要检查和处理。 2 1 1 4 流 在i p v 4 中，对所有包大致同等对待，这意味着每个包都是由中间路由器按照自己的方式 来处理的。路由器并不跟踪任意两台主机间发送的包，因此不能“记住”如何对将来的包进 行处理。i p v 6 实现了流概念，其定义如r f c1 8 8 3 中所述：漉指的是从一个特定源发向一个特 定( 单播或者是组播) 目的地的包序列。源点希望中间路由器对这些包进行特殊处理。 路由器需要对流进行跟踪并保持一定的信息，这些信息在流中的每个包中都是不变的。 这种方法使路由器可以对流中的包进行高效处理。对流中的包的处理可以与其他包不同。但 无论如何，对于它们的处理更快，因为路由器无需对每个包头重新处理。 2 1 1 5 身份验证和保密 i p v 6 使用了两种安全性扩展报头：身份验证头( a 1 ) 和封装安全载荷( e s p ) 。a h 为源节 点提供了在包上进行数字签名的机制，可以确保数据的不可抵赖性和完整性；e s p 头对数据内 容进行加密，可以确保业务流的机密性。 一1 5 一 些銮型垫查兰堡主兰些婆苎 2 2 i p 报头与安全性 在i p v 4 报头中定义了许多字段，几乎所有字段都与安全性有或多或少的关系。经验表明， 许多字段是冗余的，还有一些字段根本就未使用。后面我们将分析每个字段及其安全特性。 尽管i p v 6 报头的火小增加了，但是它却被大大地简化了，所有非核心功能都由扩展报头实现。 f 面对i p v 6 报头的安全性作了一些分析。 版本长度 服务类型数据报长度 数据报i d分段标志分段偏移值 生存期协议校验和 源i p 地址 目的i p 地址 i p 选项 圈2 i ：f p v 4 报头 版本业务流类剐流标签 净荷长度下一报头跳数上限 源i p 地址 目的i p 地址 图2 2 ：i p v 6 报头 版本 版本字段是i p y 4 报头与i p v 6 报头的唯一共有的字段，原因是在从i p v 4 向i p v 6 过渡的阶段， 两种协议需要共存，因此连接i p v 4 网络与i p v 6 网络的硬件设备必须能够分辨i p 数据报是何种 版本。到目前为止尚未发现针对此字段的攻击。 欧度 随着固定长度的基本报头与扩展报头的使用。长度字段已经不再在i p v 6 中使用。这样一 一1 6 一 山东科技大学硕士学位论文 来，在i p v 4 中，路由器可以通过将数据报长度减去包头| 圭度米计算包的挣荷长度，而在i p v 6 中则无须这种计算。这并不影响i p 层的安全性，但是却提高了i p 数据报被处理的速度。 服务类型 i p v 4 报头的服务类型字段从未被真正使用过，这并未带来安全方面的问题。随着i p 层对 流数据的支持( 例如视频会议v o i p 多媒体流等) ，该字段在i p v 6 报头中已经扩展为两个 独立的字段，为支持区分服务提供了灵活的机制。 数据报长度 i p v 6 报头使用了固定长度的基本报头，我们只需要使用一个字段来标示数据报的总长度， i p v 4 报头的长度字段和数据报长度字段已经被i p v 6 报头的净菏长度字段代替，1 6 位的净菏字 段表示净菏数据的o c t e t s ( 四个字节) 的长度，因此i p v 6 数据报的昂人数据长度是6 4 k 。 数据报i d 、分段标志、分段偏穆值 这三个字段为i p v 4 的分段机制服务，许多攻击利用这些字段实施攻击，因此i p v 6 对这些 字段进行了重新的设计。i p v 6 只允许源节点对包进行分段，简化了中间节点对包的处理。而 在i p v 4 中，对于超出本地链路允许长度的包，中间节点可以进行分段。这种处理方式要求路 由器必须完成额外的工作，并且在传输过程中包可能被多次分段。i p v 6 通过使用路径m t u 发现 机制，源节点可以确定源节点到目的节点之间的整个链路中能够传送的最大包长度，从而可 以避免中间路由器的分段处理。 这样处理不仅是对性能的考虑。同时也消除了一些安全隐患。 生存期 生存期字段保证网络中不存在一直传输的数据包，数据包总会在某一点被丢弃。生存期 字段是一个蹩脚的值，中间路由器对该字段的值减1 ，或者减去数据报经过路由器的处理时间， 由于这个时间值很难估计一般地，每当一个节点对包进行一次转发之后，这个字段就会被 减l 。i p v 6 中定义了跳极限字段，明确地指定中间节点对该字段值减1 。 i p v 6 协议不再定义包生存时间的上限，这意味着对过期包进行超时判断的功能可以由高 层协议完成。 协议 协议字段指定了载荷字段的协议类别，协议棱根据该字段就可以对载荷数据进行正确处 理。该字段可以用来构建i p 隧道，这导致了一些逃避攻击。在i p v 6 中该字段被更加通用的下 一报头字段代替。