（计算机应用技术专业论文）打叶复烤企业的网络安全设计与实践.pdf

打叶复烤企业的网络安全设计与实践 摘要 计算机网络技术的迅猛发展，为企业共享全球范围内的信息和资源提供了 方便，有效降低了企业的运营成本并改变了传统的工作模式。随着企业内部网 络的日益庞大及与外部网络联系的逐渐增多，传统的集中式、静态网络安全体 系已经不能满足需要，一个安全可信的企业网络安全系统显得十分重要。 本文首先阐述了网络信息所面临安全问题，并对影响网络安全的各种因素 进行了较为深入研究，同时对当前的网络安全技术作了简单的介绍。根据华环 国际烟草有限公司信息化建设的需要，针对企业网络系统的升级改造进行深入 调研，分析了企业局域网络现状，网络系统升级后所面l 临的安全问题，阐述了 网络系统升级设计的安全策略。运用先进的网络安全技术( 如防火墙技术、i d s 、 v p n 技术等) 、安全设计理念，对企业网络的升级改造进行安全性设计。 本文从体系结构的角度出发，用系统工程的方法，根据系统环境及应用的 实际需求，提出综合处理和安全解决方案。从升级系统的安全需求角度出发， 在协议栈的每一层都采用一定的安全机制来提供安全服务。在系统升级设计过 程中，充分分析了系统的安全需求，制定相应安全策略，并采用相应的安全技 术手段来加以实现。 关键词：网络安全防火墙 i d sv p n d e s i g na n dp r a c t i c eo fn e t w o r ks e c u r i t y i nt o b a c c op r o c e s s i n gf a c t o r y a b s t r a c t w i t ht h eh e l po ft h er a p i dd e v e l o p m e n to ft h en e t w o r k ，t h es h a r i n go ft h e i n f o r m a t i o na n dr e s o u r c eb e c a m ee a s i e ra n de a s i e r , t h eo p e r a t i n gc o s t so ft h e e n t e r p r i s eb e c a m el o w e ra n dl o w e r , t h et r a d i t i o n a lm o d eo fw o r ka l s oc h a n g e d t h e c e n t r a l i z e da n ds t a t i cn e t w o r ks e c u r i t ys y s t e mu n a b l et op r o v i d ee n o u g hs e r v i c e st o t h ee n t e r p r i s ea st h ei n t r a n e ta n dt h ec o n t a c tw i t ht h eo u t s i d eg r e wh u g e r t h e i m p o r t a n c eo fas a f ea n dr e l i a b l ee n t e r p r i s en e t w o r ks e c u r i t y s y s t e mi sm o r e o b v i o u s f i r s t l y , t h i sd i s s e r t a t i o ne x p o u n d st h ep r o b l e m si nn e t w o r ki n f o r m a t i o n s e c u r i t y , r e s e a r c h e st h ef a c t o r sw h i c hi m p a c tt h es e c u r i t yo fn e t w o r k a n d i n t r o d u c e dt h er e c e n tn e t w o r ks e c u r i t y t e c h n o l o g y a c c o r d i n gt ot h es i t u a t i o no f h u a h u a ni n t e r n a t i o n a lt o b a c c oc o m p a n i e s ，t h eu p g r a d ea n ds t a t u so fe n t e r p r i s en e t w o r k s y s t e ma n dt h ep r o b l e m sa f t e rt h eu p d a t ea r es t u d i e d a f t e rt h e s er e s e a r c h e sas a f e t y s t r a t e g yo ft h en e t w o r ks y s t e mi sr a i s e d b yt h ea d v a n c e ds e c u r i t yt e c h n o l o g yo ft h e n e t w o r k ( s u c ha sf i r e w a l lt e c h n o l o g y , i d s ，v p n ，e r e ) a n dt h es a f e t yd e s i g nc o n c e p t ，t h e s e c u r i t yo fu p g r a d i n gw o r ki sd e s i g n e d b a s e do nt h es y s t e me n v i r o n m e n ta n di t sa p p l i c a t i o n s ，as o l u t i o ni sp r e s e n t e d b yt h ea r c h i t e c t u r et e c h n o l o g y c o n s i d e rt h es e c u r i t yr e q u i r eo fs y s t e mu p g r a d e ，t h e s e c u r i t ys e r v i c e sa r ep r o v i d e di ne v e r yp r o t o c o ls t a c kl a y e r t h es e c u r i t yr e q u i r eo ft h e s y s t e mi sf u l l ya n a l y z e di nt h es y s t e mu p d a t i n gd e s i g n t h es y s t e mi sr e a l i z e db yt h e c o r r e s p o n d i n gs e c u r i t yt e c h n o l o g yw i t ht h eg u i d i n go fs a f e t ys t r a t e g y k e y w o r d s ：n e t w o r ks e c u r i t y ，f i r e w a l l ，i d s ，v p n 插图清单 图2 1 防火墙逻辑位置示意图8 图2 2 包过滤器决定哪个包可以通过局域网和互连网l l 图2 3 双宿主机作为用户局域网和i n t e e n e t 之间的中介1 3 图2 4 屏蔽主机提供包过滤器和应用代理网关1 4 图2 5 屏蔽子网利用两个包过滤器隔离互联网和局域网1 5 图2 6 可以将多个代理服务器和其他的服务器放到d m z 中1 6 图3 1 融合后烟草行业广域网拓扑结构示意图2 3 图4 1 企业网络安全总体方案规划设计图3 2 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成 果据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表 或撰写过的研究成果t 也不包含为获得 金鼹王壁太堂或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示谢意。 学位论文作者签名：碲榭畸 签字日期：岬年彳月日 学位论文版权使用授权书 本学位论文作者完全了解金起王些太堂有关保留、使用学位论文的规定，有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授 权佥目巴王些太堂可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：旁膨许 签字日期幽7 年，月，乒日 学位论文作者毕业后去向： 工作单位： 通讯地址： = ：黪 电话： 邮编； 致谢 值此论文即将定稿之际，回眸近五年来的研究生学习阶段，我由衷的向所 有关心和帮助过我的人表示感谢! 首先要感谢我的导师沈明玉教授，五年来不断指导我进行理论研究和实践。 师从导师以来，导师深厚的专业功底、严谨的治学作风令我受益匪浅，本文在 从选题到定稿阶段的每一个环节都得到了导师的悉心指导和无私帮助。 感谢合肥工业大学计算机学院的全体老师和所有给予我帮助的良师益友。 同时感谢与我共同参加项目实践的同学们，与他( 她) 们在一起从事项目 的时间同样构成了研究生阶段的美好时光。 最后，衷心感谢评阅、评审、出席论文答辩会的各位专家在百忙中给予悉 心指导。 作者：张松林 年月日 第一章引言 1 1 企业网络状况简介 企业网络的建设是企业信息化的基础，i n t r a n e t 是得到广泛认同的企业网 络模式。i n t r a n e t 并不完全是原来局域网的概念，通过与i n t e r n e t 的连接， 企业网络的范围可以是跨地区的，甚至跨国界的。 现在许多有远见的企业领导者都已感到企业信息化的重要性，陆续建立了 自己的企业网和i n t r a n e t ，并通过各种w a n 线路与i n t e r n e t 相连。在我国网 络急剧发展还是近几年的事，而在国外企业网络领域出现的安全事故已经是数 不胜数。因此，我们应该在积极进行企业网络建设的同时，借鉴和吸收国外企 业网络建设和管理的经验，在网络安全上多考虑些，将企业网络中可能出现 的危险和漏洞降到最低”。 华环国际烟草有限公司( 简称华环公司) 的企业内部局域网络是2 0 0 3 年建 设的，是以c i s c oc a t a l y s t3 5 2 4 交换机设备为主的2 层网络。中心网络机房 位于华环宾馆主大楼内，原有交换机c a t a l y s t3 5 2 4 ( 无管理功能、无v l a n 功 能) 为主核心交换机，目前公司局域网只是实现了企业内部各部门的简单数据通 信，如文件传送( f t p 服务、o a 办公自动化系统、生产监控等) 。由于关键网络 节点设备性能落后，功能单一，整个企业网络的硬件平台设施落后，这就为网 络系统的安全性带来了极大的隐患。企业内部局域网如何与整个烟草广域网、 互联网相连，实现三网融合是企业信息化建设下个非常重要的目标。 公司局域网在兴建初期，由于缺乏专业队伍来把关，所以公司各部门之间， 特别是远离中心机房的部门和中心机房之间的连接都是采用光纤临时搭建，缺 乏足够的安全保护。随着网络应用的不断增多以及网络办公的逐步深入，目前 的网络系统已经满足不了应用系统发展的要求，必须对内部网络进行重新设计， 对内部企业网络与行业广域网、互联网之问的网络边界进行安全性设计，对整 个企业网络的安全架构进行重新规划和设计，以满足企业日益增加的网络应用 和需求。 1 2 企业网络的安全性 近年来，经历了“冲击波”、“震荡波”等恶性网络病毒的冲击后，绝大部分政 府单位和企业都已经意识到信息安全的重要性，不少企业安装了防毒、反黑产品o ”。 但是根据国家计算机病毒应急处理中心的统计报告显示，2 0 0 5 年我国仍然有8 0 的 企业、政府机关的网络系统曾经遭受过病毒和黑客的攻击。为什么这些网络系统已经 部署了安全产品，却仍频频遭受攻击呢? 那就是大部分政府和企事业单位缺乏有效的 “安全管理系统”，企业安全系统并不仅仅像个人的电脑那样能杀毒就成，而是更强 调整体的、系统的安全管理。信息安全体系的建立和完善是一项长期的系统工程，它 牵涉到企业内外各方面的资源的优化和整合。 企业网络的安全性有如下几个特点： 1 ) 信息安全是一个系统的概念：信息安全较网络安全的概念要广泛的多，除网 络安全外，信息安全和系统安全都具有同等或更高的重要性。 2 ) 内防重于外防：企业信息系统遭受的攻击9 0 以上来自于内部，而这些攻击中 9 0 以上能取得不同程度的效果，对信息系统造成损害。 3 ) 三分技术，七分管理：技术措施不一定能够解决一切问题。诚然，利用各种 先进技术手段可以帮助加强和巩固信息系统安全，但信息系统安全工作的成功关键在 于建立一套完整的信息系统安全体系，以便管理、制度、人员、技术等全方位要素的 配合推动，偏废任何一项部不可能成功。 4 ) 信息系统安全是一把手工程：信息系统安全绝对不纯粹是信息部门的工作， 就如真正成功的信息系统必定是信息部门与业务部门良好协作的结晶一样。信息系统 安全工作的成功也无法脱离业务部门的配合和支持，从广义的角度看，信息系统安全 必须考虑业务的需要和企业文化，并赢得企业各级人员的支持才能见效。 5 ) 无法确保1 0 0 的安全性：就如电网不可能达成1 0 0 的可靠性一样，再完善、 可靠的信息系统也不能确保1 0 0 的安全系数，只是我们能通过各方面的管理和技术手 段去努力加强安全，进而逐步接近1 0 0 ，但也永远只能是接近，而并不能达到”1 。 企业的信息化应用是随着企业的发展而不断发展的，信息技术更是日新月 异的发展的，安全的需求也是逐步变化的，新的安全问题也不断产生，原来建 设的防护系统可能不满足新形势下的安全需求，这些都决定了信息安全是一个 动态过程，需要定期对信息网络安全状况进行评估，改进安全方案，调整安全 策略，信息安全是一个伴随着企业信息化应用发展而发展的永恒课题。 1 3 企业网络面临的安全问题 随着企业的信息化热潮快速兴起，由于企业信息化投入不足，缺乏高水平 的软硬件专业人才，以及企业员工安全意识淡薄等多种原因，网络安全也成了 中小企业必须重视并加以有效防范的问题。病毒、间谍软件、垃圾邮件，这些 无一不是企业信息主管的心头之患，下面就企业网络升级所面临的网络安全问 题进行简单的阐述。 1 ) 安全漏洞 操作系统和应用软件中往往会存在一些“b u g ”这样的安全漏洞”1 。怨恨 公司的员工，心怀不满的顾客或者具有一定网络知识的竞争对手，都可能利用 这些漏洞向企业网络发起攻击。他们或者让某个程序或整个网络丧失功能，或 者企图进行数据盗窃，这些行为都将威胁到企业的网络安全。 2 ) 病毒、蠕虫、木马和间谍软件 这些是目前网络最容易遇到的安全问题，病毒是可执行代码，它们可以破 2 坏计算机系统，通常伪装成合法附件通过电子邮件发送，有的还通过即时信息 网络发送。蠕虫与病毒类似，但比病毒更为普遍，蠕虫经常利用受感染系统的 文件传输功能自动进行传播，从而导致网络流量大幅增加。木马程序程序可以 捕捉密码和其它个人信息，使未授权远程用户能够访问安装了特洛伊木马的系 统8 3 。间谍软件则是恶意病毒代码，它们可以监控系统性能，并将用户数据发送 给间谍软件开发者。 3 ) 拒绝服务( d o s ) 攻击 此类攻击会向服务器发出大量伪造请求，造成服务器超载，进而导致服务 器丧失功能。 4 ) 垃圾邮件 尽管垃圾邮件未被正式定义为安全威胁，但同样也会严重破坏生产力。由 于垃圾邮件信息携带的恶意软件和“网页仿冒” ( f i s h i n g ) 软件日益增多。1 。 所以还会产生潜在风险。 5 ) 误用和滥用 对信息设施的误用既像恶意攻击的孪生兄弟又与其存在明显的因果关系。 因为我们探讨的信息安全问题并不仅仅包括骇客行为所带来的经济及非经济损 失，只要对信息设施的运行造成障碍的行为都能够被划归到信息安全范畴进行 管理。 在很多时候，企业的员工都会因为某些不经意的行为对企业的信息资产造成破 坏。尤其是在中小企业中，企业员工的信息安全意识是相对落后的，而企业管理层在 大部分情况下也不能很好的对企业信息资产做出鉴别。从更高的层次来分析，中小企 业尚无法将信息安全的理念融入到企业的整体经营理念中，这导致了企业的信息管理 中存在着大量的安全盲点和误区。 1 4 论文的研究内容和组织 1 4 1 论文研究内容 在网络信息的安全性受到日益严峻挑战的今天，随着打叶复烤企业信息化 建设的迅猛发展，企业经营活动的各种业务系统都立足于i n t e r n e t i n t r a n e t 环境中，但是，i n t e r n e t 所具有的开放性、国际性和自由性在增加应用自由度 的同时，对网络信息系统的安全性提出了更高的要求。一旦网络系统安全受到 严重威胁，甚至处于瘫痪状态，将会给企业带来巨大的经济损失。如何使信息 网络系统免受黑客和病毒的入侵，已成为网络信息安全领域最关注事情之一。 也将成为即将搭载上信息化列车的企业所关注的焦点。 刚刚跨入信息化领域的打叶复烤企业，随着信息化进程的不断深入，网络 体系结构也会变得越来越复杂，应用系统也会越来越多。本文将从网络系统的 安全性角度出发，结合本企业从局域网向行业广域网和i n t e r n e t 网转变的工作 实践，探讨设计一个安全的计算机网络系统。 1 4 2 论文的组织 本文共分为五章，具体安排如下： 第一章对企业网络现状进行了简要介绍。 第二章主要分析了网络安全所面临的威胁，研究网络安全的防护技术、网 络安全所涉及到的相关技术手段。 第三章主要阐述了企业网络的安全需求和网络系统的业务需求，并对企业 网络的安全性进行初步设计。 第四章主要针对华环公司的网建工程，设计了一个企业网络安全系统方案。 第五章主要对本文所做的工作进行总结。 4 第二章网络安全概述 随着网络技术的飞速发展和网络时代的到来，网络安全问题变得愈来愈严 重。每年关于网络安全问题的报道层出不穷，由于网络不安全造成的损失越来 越大，人们为解决网络安全问题投入的资会也越来越多。 2 1 网络安全威胁与防护 计算机网络系统面临的安全威胁有：网络中的主机可能会受到非法入侵者 的攻击：网络中敏感数据有可能泄露或被修改：从内网向公网传送的信息可能 被他人窃听或篡改等。造成网络安全威胁的原因可能是多方面的，有的来自外 部，有的可能来自企业网络内部。攻击者主要是利用t c p i p 协议的安全漏洞和 操作系统的安全漏洞来实施攻击。归纳起来，计算机网络系统的安全威胁常表 现出以下特征：窃听、重传、伪造、篡改、拒绝服务攻击、行为否认和传播病 毒等1 。 安全防护就是采用一切手段保护信息系统的保密性、可用性、可控性和不 可否认性。防护是预先阻止可以发生攻击的条件的产生，让攻击者无法顺利入 侵。防护可以减少大多数的入侵事件，因此，它是网络安全中最重要的一个环 节。 2 1 1 网络安全威胁 威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。 威胁可以通过威胁主体、资源、动机和途径等多种属性来描述。造成威胁的因 素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非 恶意两种。环境因素包括自然不可抗拒的因素和其它物理因素“”。威胁作用的 形势可能是对信息系统直接或间接的攻击，在机密性、完整性或可用性方面造 成损害，也可能是偶发的蓄意的事件。 2 1 。2 网络安全防护措施 安全防护分为系统安全防护、网络安全防护和信息安全防护。系统安全防 护指的是操作系统的安全防护，即各种操作系统的安全配置、使用和补丁等； 网络安全防护指的是网络管理的安全以及网络传输的安全；信息安全防护指的 是保证网络种数据的保密性、完整性和可用性。下面介绍可用于安全防护的相 关技术与措施。 1 ) 风险评估一缺陷扫描 为了实施网络防护，首先需要知道网络在哪些方面需要防护。扫描器在本 质上是一种程序，用来检测和评估网络中某台主机的安全状况，是找出防护对 象的一种工具。按照功能的强弱，它大致可以划分为两类：t c p 端口扫描和普 通扫描器。 真正的扫描器是t c p 端口扫描器。”，这种程序可以选择t c p i p 端口和服 务，如t e l n e t 或f t p ，并记录目标的回答。通过这种方法，可以搜集到关于目 标主机的有用信息，如一个匿名用户是否可以登录等。 所以，扫描器就是自动检测远程或本地主机安全性弱点的程序。通过使用 一个扫描器，用户几乎可以不留痕迹地发现一台远程服务器的安全弱点。 i n t e r n e t 本身就是一个庞大的资源库，现代“入侵者”面临的问题是如何快速 高效地找出那些目标，扫描器无疑非常适合这一用途。同时扫描器还可以对目 标主机进行分析，从而发现其潜在的漏洞。 2 ) 访问控制及防火墙 访问控制策略隶属于系统安全策略，它迫使在计算机系统和网络中自动地 执行授权。对于不同的权限分别映射不同的访问控制策略。如基于身份的策略， 该策略允许或者拒绝对明确区分的个体或群体进行访问；基于任务的策略，它 是基于身份策略的一种变形，它给每一个实体分配任务，并基于这些任务来使 用授权规则；多等级策略，它是基于身份信息敏感性的等级及工作人员许可证 等级而制定的一般规则的策略。 访问控制策略有时也被分为指令性访问控制策略和选择性访问控制策略 两类。指令性访问控制策略是由安全区域权力机构强制实施的，任何用户都不 能回避它；指令性安全策略在军事上和其它政府机密环境中最为常见。选择性 安全策略为一些特殊用户提供了对资源( 如信息) 的访问权，这些特殊用户可 以利用此权限控制对资源的访问。 防火墙是指隔离在本地网络与外界网络( 如可信任的企业内部网和不可信 的公共网) 之间的一道防御系统，或网络安全域之间的一系列部件的组合，是 这一类防范措施的总称“。它是不同网络或网络安全域之间信息的唯一出入 口，能根据企业的安全政策控制出入网络的信息流，且本身具有较强的抗攻击 能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 3 ) 防病毒和个人防火墙 计算机病毒的检测就是自动地发现或判断计算机文件、内存以及网络中传 输的信息是否含有病毒，主要方法有特征检测、校验法及行为监测法等。从病 毒防护的角度，通常将病毒预警和防火墙技术结合起来，以构成病毒防火墙， 并监视由外部网络进入内部网络的文件和数据，一旦发现病毒，就将其过滤掉。 4 ) 身份鉴别技术 人类在追寻文档、交易及物品的安全保护的有效性与方便性上经历了三个 发展阶段：第一阶段就是最初的方法，采用大家早已熟悉的各种机械钥匙；第 二阶段由机械钥匙发展到数字钥匙，如登录上网的个人密码及使用银行自动提 6 款机所需的身份识别码、身份证或条形码，它是当今数字化生活中较为流行的 一种安全密钥系统；进入2 l 世纪后，一种更加便捷、先进的信息安全技术将全 球带进了电子商务时代，它就是集光学、传感技术、超声波扫描和计算机技术 于一身的第三代身份验证技术一一生物识别技术“”。 生物识别技术是依靠人体的身体特征来进行身份验证的一种解决方案，出 于人体特征具有不可复制性，这一技术的安全系数较传统意义上的身份验证机 制有很大的提高。人体的生物特征包括指纹、声音、耳孔、视网膜、掌纹、骨 架等，其中指纹凭借其无可比拟的唯一性和稳定性备注关注。 j ) 数据加密 数据加密是确保计算机网络信息安全的一种重要机制。虽然由于成本、技 术和管理上的复杂性等原因，目前尚未在计算机网络中普及，但数据加密是实 现分布式系统和网络环境下数据安全的重要手段之一。加密可以防止不速之客 查看机密的数据文件，防止机密数据文件被泄露或篡改，防止特权用户( 如系 统管理员) 查看私人数据文件，使入侵者不能轻易地查找一个系统文件。 目前广为采用的数据加密方式是数据加密标准( d e s ) “，d e s 对6 4 位二 进制数据加密，产生6 4 位密文数据，这个标准由美国国家安全局和国家标准于 技术局来管理。d e s 的成功应用是在银行行业中的电子资金转帐领域。现在d e s 也可由硬件实现，a t & t 首先用1 5 1 芯片实现了d e s 的全部工作模式。另一个系 统是国际数据加密算法( i d e a ) ，它比d e s 的加密性好，而且计算效率也比较 高。 在计算机网络系统中使用的数字签名技术将是未来最通用的个人安全防 范技术，其中采用公开密钥算法的数字签名会进一步受到网络建设者的青睐。 这种数字签名的实现过程非常简单：首先发送者用其秘密密钥对邮件进行加密， 建立一个“数字签名”，然后通过公开的通信途径将签名和邮件一起发给接收 者，接收者在收到邮件后使用发送者的另一个密钥一一公开密钥对签名进行解 密，如果计算的结果相同它就通过验证。 6 ) 数据备份与归档 在当今的信息社会，最珍贵的财产不是计算机软件，更不是计算机硬件， 而是计算机内的宝贵数据。建立网络最根本的用途是要更加方便地传递与使用 数据，但人为错误、硬盘损坏、计算机病毒、断电或天灾人祸等都可能造成数 据的丢失。所以应该指出，数据是资产，备份最重要“”“”。 数据备份的意识实际上是数据的保护意识，在危机四伏的网络环境中，数 据随时有被毁灭的可能。由于我国目前软件盗版现象还没有得到彻底解决，这 些盗版软件中可能隐藏着致命病毒，就不可避免地对使用这些软件的用户构成 极大的潜在威胁。而且，由于病毒本身具有的智能性和可移植性，这些病毒可 能在一瞬间殃及整个网络，尽管现在的杀毒软件很多。但可以肯定地讲，无论 7 这些软件的功能是多么的强大，人们永远也无法杀尽所有的病毒，应为病毒的 更新速度讲永远快于杀毒软件的更新速度。从这个意义上来讲，备份是非常必 要的。 7 ) 使用安全通信 使用安全通信是实施网络安全防护的重要手段，用以防止数据在传输过程 的泄露。安全通信的基本技术就是上述的数据加密和身份鉴别技术。 点对点的安全通信可以用在互连网模型的不同层次中，从而得到不同的安 全保护功能。首先，点对点的安全通信可以应用在应用层，即在特殊应用程序 之间建立点对点的安全通信。这种方式可以实现真正的终端用户到终端用户的 数据安全通信。点对点的安全通信还可以应用在传输层，即t c p 层。安全套接 层( s s l ) 就是使用这种方法。s s l 给应用层提供数据安全通信服务，应用层程 序只要支持s s l 就可以享受s s l 服务“”。h t t p s 就是通过s s l 实现安全的h t t p 协议。最后，点对点还可以应用在网络层，即i p 层。在网络层实现点对点的安 全通信的好处在于它与应用层的用户程序完全隔离，使得用户根本感觉不到这 个安全通信的存在。用户可以自由地使用网络而不必考虑数据在传输过程中的 泄密或胁，i p s e c 就是在网络层实现的点对点安全通信协议。 2 2 防火墙技术 2 2 1 防火墙原理 防火墙是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或 网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的 唯一出入口，能根据企业的安全政策控制( 允许、拒绝、监测) 出入网络的信息 流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息 安全的基础设旋。在逻辑上，防火墙是一个分离器，一个限制器，也是一个 分析器，有效地监控了内部网和i n t e r n e t 之间的任何活动，保证了内部网络的 安全口阳( 见图2 - i ) 。 图2 1 防火墙逻辑位置示意图 从技术上看，防火墙有三种基本类型：包过滤型、代理服务器型和复合型。 它们之间各有所长，具体使用哪一种或是否混合使用，要根据具体需求确定。 1 ) 包过滤型防火墙( p a c k e tf i l t e rf i r e w a l l ) 通常建立在路由器上，在服务器或计算机上也可以安装包过滤防火墙软件。 包过滤型防火墙工作在网络层，基于单个i p 包实施网络控制。它对所收到的 i p 数据包的源地址、目的地址、t c p 数据分组或u d p 报文的源端口号及目的端 口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员 预先设定的访问控制表进行比较，确定是否符合预定义好的安全策略并决定数 据包的放行或丢弃。“。这种防火墙的优点是简单、方便、速度快、透明性好， 对网络性能影响不大，可以用于禁止外部不合法用户对企业内部网的访问，也 可以用来禁止访问某些服务类型，但是不能识别内容有危险的信息包，无法实 施对应用级协议的安全处理。 2 ) 代理服务器型防火墙( p r o x ys e r v i c ef i r e w a l l ) 通过在计算机或服务器上运行代理的服务程序，直接对特定的应用层进行 服务，因此也称为应用层网关级防火墙。代理服务器型防火墙的核心，是运行 于防火墙主机上的代理服务器进程，实质上是为特定网络应用连接企业内部网 与i n t e r n e t 的网关。它代理用户完成t c p i p 网络的访问功能，实际上是对电 子邮件、f t p 、t e l n e t 、w w w 等各种不同的应用各提供一个相应的代理。这种技 术使得外部网络与内部网络之间需要建立的连接必须通过代理服务器的中问转 换，实现了安全的网络访问，并可以实现用户认证、详细日志、审计跟踪和数 据加密等功能，实现协议及应用的过滤及会话过程的控制，具有很好的灵活 性。代理服务器型防火墙的缺点是可能影响网络的性能，对用户不透明，且对 每一种t c p i p 服务都要设计一个代理模块，建立对应的网关，实现起来比较 复杂。 3 ) 复合型防火墙( h y b r i df i r e w a l l ) 由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法 结合起来，形成复合型防火墙，以提高防火墙的灵活性和安全性。这种结合通 常有两种方案： ( 1 ) 屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与 i n t e r n e t 相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防 火墙上过滤规则的设置，使堡垒机成为i n t e r n e t 上其它节点所能到达的唯一节 点，这确保了内部网络不受未授权外部用户的攻击。 ( 2 ) 屏蔽子网防火墙体系结构；堡垒机放在一个子网内，形成非军事化区， 两个分组过滤路由器放在这子网的两端，使这一子网与i n t e r n e t 及内部网络 分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了 整个防火墙的安全基础。 9 2 2 2 防火墙策略 在根据安全需求决定了防火墙安全规则后，就可以开始设计防火墙了。使 用什么构件、构件以何种方式来实现不同级别的安全要求，是我们在设计防火 墙时要着重考虑的，也就是防火墙策略的定制。 当设计防火墙时，有两种构件是常用的：包过滤器、应用代理服务器。使 用这些构件配置防火墙的方法通常称为防火墙的“体系结构”“，在“体系结 构”中，应该要考虑到以下问题：有包过滤功能的路由器或主机、双宿网关、 屏蔽主机、屏蔽子网等。 ( 1 ) 包过滤防火墙( p a c k e tf i l t e rp i r e w a l l ) 防火墙可以由一个或多个路由器或运行防火墙软件的主机构成，这些软件 用各种方法来允许或禁止访问局域网l a n 。己广泛使用的第一类防火墙只是一 个简单的屏蔽路由器，也即所称的“包过滤器”。 包过滤路由器的最大的优点就是它对于用户来说是透明的，也就是说不需 要用户名和密码来登录。这种防火墙速度快而且易于维护，通常作为第一道防 线。价格较低，性能开销小，处理速度较快。 包过滤路由器的弊端也是很明显的，通常没有用户的使用记录，不能从访 问记录中发现黑客的攻击记录。包过滤另一个关键的弱点就是不能在用户级别 上进行过滤，即不能鉴别不同的用户和防止i p 地址盗用，容易造成数据驱动式 攻击的潜在危险口”。除上述外，其定义复杂，容易出现因配置不当带来问题。 路由器是一种网络装置，它配有多个接口并连接两个或两个以上的网络。 当一个网络上的计算机要发送一个数据包到另一个网络去时，必须经过路由器 并给该包选择最好的路由。当然，路由器选路的根据是该数据包头部的地址信 息。 如果路由器发现该数据包的目的地址位于路由器直接连接的子网接口发送 出去，这样，该数据包就完成了它的旅途。否则的话，它就将该数据包发到另 。个路由器( 另一个中继段) ，这个路由器可能知道该数据包的最终目的。当然， 如果该路由器知道它无法找到下一个路由段的话，它就会简单地丢弃该数据包， 发一个i c m p 包给数据源，告诉它“从此处无法到达那里”。 屏蔽路由器是一个配置了一系列指定网络信息能否进入和流出网络及路由 器接口规则的路由器。换句话说，在路由器知道自己有无能力传送该数据( 或 经过另一个路由段或直接达到目的地) 后，它还得查看规则集看是否能传送该 数据包。 路由器收到一个来自i n t e r n e t 上某个主机的数据包，该数据包要求与局域 网上的一个主机建立一个t e l n e t 会话。当然，该路由器立刻就知道如何路由该 数据包一一即仅把该数据包重发到与目的主机相连接的接口。由于早先已将目 的主机的m a c 地址写入到该数据包，故它可被目的主机识别。然而，因为这只 1 0 是一个屏蔽路由器，所以接下来它必须检验那些规则。这里将拒绝所有的 t e l n e t 请求。如图2 2 所示，l a n 上的主机将被保护避免由于入侵者把t e i n e t 作为进入系统的手段可能带来的伤害。 l 工作站l j = 作站l l 包过滤防火墙i l 服务器l i 工作站l l 工作站l 图2 2 包过滤器决定哪个包可以通过局域网和互连网 这种基本的过滤称为“无状态包过滤”，因为没个数据包是根据自身的特 点来判断的即根据头部的数据来判断。一种新的方法称为“有状态包过 滤”或“包检查”，这种方法保存一份信息于存储器中，该信息记录了当前所 有会话的状态。当接收到一个事实上是对外部请求的响应数据包时，有状态包 过滤就会查表来确定该数据包的确切“身份”。这样，就使得潜在的入侵者通 过伪造地址信息的数据包来入侵的难度大大增加了。 尽管到现在为止我们所讨论的都是用路由器作为包过滤器，但在当前的大 多数商用防火墙产品中都含有“包过滤”的功能。在多数情况下，包过滤程序 在一个主机上而不在路由器上运行，因为主机容易使用并且还具有登录功能。 路由器有时是很难配置的，尤其在需要一大堆规则时更是如此。对一个规则集 进行修改是一件很花时间的事，因为必须检查每个规则以确保所允许的或所拒 绝的不与新规则所做的事情相矛盾。路由器也有其鲜为人知的扩展登录功能。 一个好的防火墙应具有详细的登录和报警功能以及人们期望的可分析登录文件 的软件。 ( 2 ) 应用代理服务器( p r o x ys e r v i c ep i r e w a l l ) 包过滤防火墙仅能根据数据包头部的信息来做出决定不幸的是，这些信 息多是数据寻址和其它关于包的信息，协议应用这些信息让包穿过迷宫式的网 络。包头部并没有提供该数据包更详细的信息来帮助路由器更好地决定是否让 该包穿过防火墙晗”。例如：路由器可以判断包中应用协议的目的，如f t p ，但 它却无法判断这个f t p 是一个上载( p u t ) 请求还是一个下载( g e t ) 请求。尽 管你可能并不在意去往一个特别主机的下载请求，但是却不能允许发自该特别 主机的上载请求。 应用网关或应用代理是一种运行于防火墙上的能截获用于特定应用程序数 据流的软件。例如，代理软件截获来自局域网用户的请求，并立即为该用户建 立与局域网外服务器的连接。局域网内用户不许与外面的服务器直接连接，而 应用代理程序只是作为客户机与服务器之间的一个中介人，在它们之间中继应 用程序的信息。这种方法的优点在于可依据包中净荷段的信息，而不只是依据 包头部信息对应用代理进行编程，从而决定允许或拒绝数据流。 这种方法也有缺点，即它们基于特定的应用程序。对准备在防火墙上实施 的每个服务或应用程序而言，必须要开发一个单独的应用代理。另一个缺点是， 客户软件必须要能与服务代理软件配合。许多新的软件包就是基于这种思想设 计的。所以，运行它们是没有什么问题的。例如：i n t e r n e te x p l o r e r 和 n a v i g a t o r 都允许指定代理服务器。 不理解代理服务器的老程序仍然可以工作。例如，使用t e l n e t 的用户可能 要先登录到一个代理服务器，在通过代理服务器的验证后，才允许它同外部主 机创建一个t e l n e t 会话进程。这种两步处理方式比客户端应用程序提供的透明 方式差不多，这种客户端程序能同代理服务器协同工作。 代理服务器使用主要有两个优点：i ) 允许用户“直接”访问i n t e r n e t ；2 ) 适合于做日志当然，缺点也有一些，主要为：1 ) 代理服务落后于非代理服务： 2 ) 每个代理服务器要求不同的服务器：3 ) 代理服务一般要求对客户程序要进 行修改；4 ) 代理服务不能保证不受协议本身缺点的限制。 ( 3 ) 复合型防火墙( h y b r i df i r e w a l l ) 很明显，包过滤器和代理服务器都可以用来构成防火墙，每种方法都有它 的长处和不足。将这两种技术组合的方法有多个，在设计防火墙时，不仅要对 每种策略的优缺点有清醒的认识，还要检查安全策略选择一个能合理实现安全 策略的体系结构，这样才能尽可能好地配置防火墙。因此与其说防火墙是一个 实体，不如说是一个系统。在检查上述策略时，将要遇到诸如堡垒主机( b a s t i o n h o s t ) 和非军事区( d m z ) 等o ”，它们都是构成防火墙的重要构件，这些构件 对防火墙的安全性能是很有帮助的。具体内容在下面详细介绍。 为什么既要用包过滤器又要用代理软件呢? 在一个安全环境中最不希望的 事情是：只有一个包过滤器。当这个包过滤器瘫痪时，网络就对外全部开放了。 包过滤器能提供某些保护，而应用代理可以进一步防止不需要的数据流进入局 域网。如果应用代理服务器瘫痪了，直到修复代理服务器，包过滤器还是可以 起一定的保护作用的。 ( 4 ) 使用双宿主机 连接本地网络和i n t e r n e t 的路由器至少含有两个接口，一个连接本地网 络，另一个连接i n t e r n e t ，每个接口有自己的唯一i p 地址。根据配置规则来 决定哪个数据包可以从一个接口进入到另一个接口。双宿主机( d u a l h o m e d 1 2 h o s t ) 的功能也差不多，一个计算机配有两个网络接口，像路由器一样，一个 适配器接局域网，一个适配器接i n t e r n e t ( 见图2 3 ) 然而与路由器不同的是， 许多操作系统在识别已安装的两个网络适配器后，如果包从某接口出去可以到 达目的地的话，就会自动地把包从一个接口转发到这个接口。换句话来说，双 宿主机就像一个路由器，这个寻径功能由一个叫“i p 转发”的进程完成。如果 准备把该计算机当作一个防火墙构件，则该进程应该禁用。 图2 3 双宿主机作为用户局域网和i n t e r n e t 之间的中介 在局域网和i n t c r n e t 之间放置一台双宿主机后，局域网上的客户机就不再 与i n t e r n e t 直接相连。来自局域网内并通过双宿主机的一个接口到达的网络包， 要受运行于该机上的应用代理的控制。该软件决定这个客户机的请求是否允许， 如果允许，接着就在外部网络接口上为客户机构造一个请求。如果站点有很高 的安全性需求，且只考虑来自i n t e r n e t 的威胁，可能不用这种双宿主机。因 为操作系统是一个很复杂的东西，要绝对保证没有安全漏洞是不可能的。例如， w i n d o w sn t 由上百万行代码组成，不时会有人发现新的漏洞，这些漏洞可能 损害系统安全船”。 双宿主机与包过滤路由器的另一个不同是它常常用作应用代理服务器，这 与包过滤器不同。包过滤器基于规则来决定接口之间包的转发，而双宿主机则 靠运行一个或多个代理程序来实现。 ( 5 ) 使用屏蔽主机 屏蔽主机防火墙的体系结构利用了包过滤器和应用代理网关二者的保护 能力，在配置过程中，用包过滤器连接i n t e r n e t ，用代理服务器为局域网上的 客户提供服务，如图2 4 所示。注意图中的代理服务器没有两个网络接口。配 置包过滤器，使得只有包的目的地址是去往受保护站点的代理服务器时才允许 来自i n t e r n e t 的数据流通过。 图2 4 屏蔽主机提供包过滤器和应用代理网关 对网内客户机的请求也要符合该限制。尽管代理服务器和客户机在同一个 子网中并且客户机也可能直接把包发送给包过滤器，它们也被禁止。这个包过 滤器只允许向内流向代理服务器、向外从代理服务器流出的信息通过。 当然，所有这些都取决于包过滤器的正确配置。尽管当使用双宿主机，几 乎没有可能让一个数据包在有代理服务的局域网和i n t e r n e t 之间直接传输，但 这里并不限制。例如，可能需要使用某些服务，而这里又没有代理服务程序。 在这种情况下，一种简单的方法是配置包过滤器，使其允许某些数据包在局域 网客户机绕过代理服务器而直接与路由器通信的决定必须以安全策略为基准。 ( 6 ) 使用屏蔽子网创建非军事区 把屏蔽主机的概念稍微提升一点，就是屏蔽子网的体系结构。再一次用包 过滤器在i n t e r n e t 到局域网之间建立第一道安全屏障。在图2 4 中，可以看到 另一个路由器又加入到了配置中。这种路由器组合在i n t e r n e t 和局域网之间产 生了一个附加的网段，连接到i n t e r n e t 的路由器与屏蔽主机体系结构中的路由 器以相似方式运行。它允许外部世界和运行应用代理程序的特定主机之间的通 信。局域网上的客户机仍与应用代理服务器通信，应用代理服务器作为客户机 的代表与i n t e r n e t 上的服务器通信。第二个路由器连接在局域网和屏蔽网段之 间，由于局域网中客户机和代理服务器之间的数据流都必须首先通过