网络安全整体建议书.doc

北京富力通能源软件技术有限公司网络安全整体设计建议书2006年2月北京富力通能源技术有限公司第一章 网络安全概述随着公共互联网、电子商务、个人计算机和计算机网络的蓬勃发展，如果不对它们进行妥善的保护，它们将越来越容易受到具有破坏性的攻击的危害。黑客、病毒、不满的员工，甚至人为故障都会给网络带来巨大的威胁。所有计算机用户从最普通的互联网冲浪者到大型企业都可能受到网络安全漏洞的影响。但是，通常可以轻松地防范这些安全漏洞。那么怎么防范呢？这手册将向您概述最常见的网络安全威胁，以及您和您的企业可以用于防范这些威胁，以及确保您网络中的数据的安全的措施。1. 安全的重要性互联网无疑已经成为最大的公共数据网络，在全球范围内实现并促进了个人通信和商业通信。互联网和企业网络上传输的数据流量每天都以指数级的速度迅速增长。越来越多的通信都通过电子邮件进行；移动员工、远程办公人员和分支机构都利用互联网来从远程连接他们的企业网络；而在互联网上通过WWW方式完成的商业贸易现在已经成为企业收入的重要组成部分。尽管互联网已经转变，并大大改进了我们开展业务的方式，但是这个庞大的网络及其相关的技术为不断增长的安全威胁提供了可乘之机，因而企业必须学会保护自己免受这些威胁的危害。尽管人们认为网络攻击者们在入侵存储着敏感性数据（例如个人的医疗或者财务记录）的企业时会比较谨慎，但是对任何对象的攻击所造成的后果包括从轻微的不便直到完全失效重要数据丢失，隐私被侵犯，网络可能停机几个小时、甚至几天。如果不考虑这些潜在的安全漏洞所带来的昂贵的风险，互联网可能是最安全的开展业务的手段。例如，通过电话线或者餐厅中的侍者提交信用卡信息可能比通过网站提交这些信息更危险，因为电子商务交易通常会受到加密技术的保护，而侍者和电信从业人员则并不总是会被监控或者值得信赖。但是对于企业来说，对安全问题的恐惧可能会像实际的安全漏洞一样有害。对计算机的恐惧和怀疑仍然存在，相伴而来的是对互联网的不信任。这种不信任可能会限制企业的商业机会，尤其是那些完全基于Web的公司。因此，企业必须制定安全策略，采取保护措施，这些措施不仅要非常有效，而且也要让客户能感觉到它的有效性。企业必须能够以适当的方式向公众说明，他们打算怎样保护他们的客户。除了保护他们的客户以外，企业必须保护他们的员工和合作伙伴不受安全漏洞的威胁。互联网、内联网、外联网让员工和合作伙伴可以在彼此之间进行迅速的、有效的通信。但是，这种通信和效率必然也会受到网络攻击的影响。对于员工来说，一次攻击可能会导致数小时的停机，而网络必须停止工作，以修复故障或者恢复数据。显然，宝贵的时间和数据的损失可能会大幅度地降低员工的效率和士气。 法律也是推动对于网络安全的需求的另外一股重要力量。政府不仅认识到了互联网的重要性，也认识到，世界的很大一部分经济产值都依赖于互联网。但是他们同时也意识到，敞开世界经济的基础设施可能会导致犯罪分子的恶意使用，从而带来严重的经济损失。各国政府因而制定了相关的法律，以管理庞大的电子信息流量。而且，为了遵守政府所颁行的各项法规，计算机行业也制定了一系列安全标准，以帮助企业确保数据的安全，并证明它的安全性。 没有制定可行的安全策略来保护其数据的企业将无法达到这些标准，并受到相应的惩罚。2. 对数据的威胁和其他任何一种犯罪一样，对于数据的保密性和完整性的威胁来自于一小部分恶意破坏者。但是，尽管一个窃车贼一次只能窃取一辆汽车，而一个来自于一台很普通的计算机的黑客却可能会损害大量的计算机网络，从而在全球造成严重的灾难。可能更加令人不安的是威胁可能来自于我们所认识的一些人。事实上，大多数网络安全专家都认为，大部分网络攻击都是由存在漏洞的企业的内部员工所发起的。这些员工通常会出于恶作剧、恶意或者过失，设法损害他们自己公司的网络并销毁数据。而且，随着远程连接技术的逐渐普及，企业增加了大量的远程办公人员、分支机构和业务伙伴。这些远程员工和合作伙伴会带来像内部员工一样的威胁，如果他们的远程联网设备没有得到妥善的保护和监控，他们还会带来安全漏洞的风险。无论您是要保障一辆汽车、一个家庭、一个国家还是一个计算机网络的安全，大致地了解谁是潜在的敌人和他们的攻击方法是最重要的。3. 敌人是谁？ （1）黑客这个概括的、通常被过度传奇化的名词指的是一些以获得对其他人的计算机或者网络的访问权为乐的计算机爱好者。很多黑客只满足于闯入网络，并留下他们的足迹，这些通常是一些玩笑式的应用程序和在计算机桌面上的留言。而其他一些被称为 破坏者（cracker）的黑客则怀有恶意，他们会摧毁整个计算机系统，窃取或者损害保密数据，修改网页，甚至最终导致业务的中断。一些业余水平的黑客只会在网上寻找黑客工具，再在不了解这些工具的工作方式和它们的后果的情况下使用这些工具。 （2）没有警惕性的员工当员工关注于他们自己的工作时，他们常常会忽略以下标准的网络安全准则。例如，他们可能会选择一些非常容易记忆的密码，以便他们可以方便地登录他们的网络。但是，这种密码可能很容易被黑客们通过简单的常识或者某种被广泛使用的密码破解软件而猜出或者破解。员工可能会无意中导致其他的安全漏洞，包括意外地接收和传播计算机病毒等。最常见的感染病毒的方式是通过软盘拷贝文件和从互联网上下载文件。通过软件传输数据的员工可能会无意地将他们从复制中心或者图书馆感染的病毒传播到他们的企业网络。他们甚至可能并不知道病毒是否驻留在他们的PC中。企业还面临着在员工从互联网下载文件（例如PowerPoint演示文件）时感染病毒的风险。令人吃惊的是，企业还必须警惕人为错误。员工无论他们是计算机新手还是计算机行家都会犯下一些错误，例如错误地安装病毒防护软件或者意外地忽视了关于安全威胁的警告信息。 （3）心怀不满的员工与因员工错误导致对网络的损害相比，更令人不安的是某个恼怒的或者意图报复的员工造成网络损害的可能性。恼怒的员工通常是那些被指责、解雇或者停职的员工可能会报复性地通过病毒或者有意删除重要文件，来损害他们的网络。这种群体最为危险，因为他们通常比较了解网络、网络中的信息的价值、高度重要的信息所在的位置，以及它所采取的保护措施。 （4）爱打听消息的人无论对工作满意还是不满意，有些员工还可能非常好奇或者爱恶作剧。在这些被称为爱打听消息的人的员工中，有些可能会参阅商业间谍行为，未经授权地访问保密信息，从而为竞争对手提供一些通过其他方式无法获得的信息。其他一些则只是通过访问私人的信息（例如财务数据，同事之间的一封浪漫的电子邮件，或者某个同事的工资）来满足他们个人的好奇心。在这样的行为中，有些可能相对来说没有什么害处，但是有些行为（例如事先查看私人的财务、医疗或者人力资源数据）则要严重得多，可能会伤害别人的声誉，导致公司遭受经济损失。 4. 这些敌人将做什么？ （1）病毒病毒是最广为人知的安全威胁，因为它们通常会获得广泛的媒体报道。病毒是由一些不正直的程序员所编写的计算机程序，它采用了独特的设计，可以在受到某个事件触发时，复制自身，并感染计算机。例如，被称宏病毒的病毒可以将自身添加到含有宏指令（可以自动重复的日常任务，例如邮件合并）的文件，并在每次宏运行时被激活。一些病毒的效果相对比较良性，会导致讨厌的中断，例如当用户在键盘上敲击某个字符时显示某个滑稽的消息。其他有一些病毒则更具有破坏性，可能导致各种问题，例如删除硬盘上的文件或者降低系统的速度。 如果在病毒可以通过某个外界来源进入网络时（大多数是通过某个受到感染的磁盘或者某个从互联网上下载的文件），网络才会感染病毒。当网络上的一台计算机被感染时，网络上的其他计算机就非常有可能感染到这种病毒。 （2）特洛伊木马程序特洛伊木马程序，或者简称特洛伊，是破坏性代码的传输工具。特洛伊表面上看起来是无害的或者有用的软件程序，例如计算机游戏，但是它们实际上是伪装的敌人。特洛伊可以删除数据，将自身的复本发送给电子邮件地址簿中的收件人，从而进行广泛传播。 （3）恶意破坏程序网站会提供一些软件应用（例如ActiveX和Java Applet）的开发而变得更加活泼。这些应用可以实现动画和其他一些特殊效果，从而让网站更具有吸引力和互动性。但是，由于这些应用非常便于下载和运行，从而提供了一种造成损害的新工具。恶意破坏程序是指会导致不同程度的破坏的软件应用或者Java小程序。一个恶意破坏程序可能只会损坏一个文件，也可能损坏大部分计算机系统。 （4）攻击目前已经出现了各种类型的网络攻击，它们通常被分为三类：探测式攻击，访问攻击和拒绝服务（DoS）攻击。 探测式攻击。实际上是信息采集活动，黑客们通过这种攻击搜集网络数据，用于以后进一步攻击网络。通常，软件工具（例如探测器和扫描器）被用于了解网络资源情况，寻找目标网络、主机和应用中的潜在漏洞。例如，有一种专门用于破解密码的软件。这种软件是为网络管理员而设计的，管理员可以利用它们来帮助那些忘记密码的员工，或者发现那些没有告诉任何人自己的密码就离开了公司的员工的密码。但是，这种软件如果被错误的人使用，就将成为一种非常危险的武器。访问攻击。用于发现身份认证服务、文件传输协议（FTP）功能等网络领域的漏洞，以访问电子邮件帐号、数据库和其他保密信息。 DoS攻击。可以防止用户对于部分或者全部计算机系统的访问。它们的实现方法通常是：向某个连接到企业网络或者互联网的设备发送大量的杂乱的或者无法控制的数据，从而让正常的访问无法到达该主机。更恶毒的是分布式拒绝服务攻击（DDoS），在这种攻击中攻击者将会危及到多个设备或者主机的安全。 （5）数据阻截通过任何类型的网络进行数据传输都可能会被未经授权的一方截取。犯罪分子可能会窃听通信信息，甚至更改被传输的数据分组。犯罪分子可以利用不同的方法来阻截数据。例如IP伪装方法，即通过使用数据接收者的IP地址，伪装成数据传输中的经过授权的一方。 （6）社会活动社会活动是一种越来越流行的通过非技术手段获取保密的网络安全信息的手段。例如，一个社会活动者可能会伪装成一个技术支持代表，打电话给员工，获取密码信息。社会活动的其他例子包括贿赂某一员工，以获取对某个服务器的访问权限，或者搜索某个同事的办公室，以寻找可能写在某个隐蔽地点的密码等。 （7）垃圾信件垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为。垃圾信件通常是无害的，但是它可能会浪费接收者的时间和存储空间，带来很多麻烦。 5. 安全工具在找出了可能的威胁来源和可能导致的损害以后，制定适当的安全策略和保护措施就变得比较容易了。企业可以选择多种技术从杀毒软件包到专用的网络安全硬件（例如防火墙和入侵检测系统），来为网络的所有部分提供保护。与一个建筑物一样，网络也需要多层保护才能真正安全。在确定了这种解决方案以后，就可以部署能够周期性地检测网络中的安全漏洞，提供持续、主动的安全保护的工具。另外还需要聘请专业的网络安全顾问来帮助企业为网络设计合适的安全解决方案，或者确保现有的解决方案的及时和安全。在所有这些选择都准备好以后，就可以在不严重影响用户对于快速、方便地访问信息的需求的前提下，实现足够的保护。十大安全注意事项 一. 鼓励或者要求员工选择比较复杂的密码。二. 要求员工每90天更换一次密码。三. 确保您的杀毒软件的版本是最新的。四. 让员工了解电子邮件附件的安全风险。五. 实施一个完整的、全面的网络安全解决方案。六. 定期评估您的安全状况。七. 当一个员工离开公司时，立刻取消该员工的网络访问权限。八. 如果您让员工在家工作，就要为远程数据流量提供一个安全的、集中管理的服务器。九. 定期升级您的Web服务器软件。十. 不要运行任何不必要的网络服务。第二章 网络安全策略方案设计在提到网络安全的全面解决方案时，很多人会认为：在服务器前加一个防火墙就解决了网络安全问题，这其实是一种很狭隘的安全思路。防火墙仅仅是一个访问控制、内外隔离的安全设备，在底层包过滤，对付超大ICMP包、IP伪装、碎片攻击，端口控制等方面的确有着不可替代的作用，但它在应用层的控制和检测能力是很有限的。比如利用Unicode漏洞和MS SQL Server远程控制等就可轻松穿透防火墙实施攻击。因此，缺乏一套整体安全解决方案的网络系统，其安全是肯定没有保障的。一套网络安全的整体解决方案涉及很多方面，包括网络入侵防护、病毒防护以及安全管理制度等等。由于系统本身是不安全的，其不安全性主要体现在没有进行安全地安装配置、设置用户及目录的权限不当、没有建立适当的安全策略等。例如：没有打安全补丁、安装时为方便使用简单口令而后来又不更改、没有进行适当的目录和文件权限设置、没有进行适当的用户权限设置、打开了过多的不必要的服务、没有对自己的应用系统进行安全检测等等。事实上系统和应用大多是由系统集成商来完成的，但系统集成商的做法往往是最大化安装，以方便安装调试，把整个系统调通就算完成了任务，遗憾的是留下很多的安全隐患。而安全却恰恰相反，遵循最小化原则，要求没必要的东西一定不要，有必要的也要严加限制使用。这和系统集成好像构成了一个矛盾，事实上却不是。最小化原则实际上降低了系统负荷、提高了应用系统的性能，增强了安全性，而问题在于大多数集成商不具备专业安全设计和防范能力。另外，安全和管理是分不开的。即便有好的安全设备和系统，没有一套好的安全管理方法并贯彻实施，安全就是空谈。值得注意的是这里强调的不仅要有安全管理方法，而且还要贯彻实施。安全管理的目的在于两点：一是最大程度地保护网络，使得其安全地运行，再就是一旦发生黑客事件后能最大程度地挽回损失。所以建立定期的安全检测、口令管理、人员管理、策略管理、备份管理、日志管理等一系列管理方法和制度是非常必要的。网络安全方案的设计建立在对安全体系与产品非常熟悉的基础上，同时也对目标信息系统有完整的了解和深刻的理解；安全方案设计不但要考虑各种安全产品的性能和易操作性，还要考虑各种安全产品的互补性、协作性；安全方案设计不但考虑各种安全措施的性价比，同时也对整个系统的安全特性有一个综合。我公司的安全解决方案在整体安全评估与安全规划的基础上，针对客户的具体系统，在尊重客户的基础并与客充分协商的基础上，制定详细的安全工程方案。以下是我公司整体解决方案框图:1.网络安全的目标:网络安全的最终目标是：在计算机信息系统提供的信息处理功能的范围内，进行信息保护和提供有效的信息服务。这些保护包括以下方面：(1)运行系统安全：即保证信息处理和传输系统的安全。它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失，避免由于电磁泄漏，产生信息泄露，干扰他人，受他人干扰。(2)网络上系统信息的安全：括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计，安全问题跟踪，计算机病毒防治，数据加密。(3)网络上信息传播安全：即信息传播后果的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用网络上大量自由传输的信息失控。随着网络安全等级的提高，网络使用的便利性将不可避免地随之下降，而安全维护成本将急剧升高，因此，在考虑网络信息的安全问题时，应该合理地选择网络安全等级，盲目地提高安全强度反而容易使系统因使用不便、效率低和维护困难而失去使用价值。2.安全体系设计:在任何一个信息系统中，风险是客观存在的，为了消除风险或将风险发生的可能性降到最小，我们必须利用各种信息安全技术，这些技术可能包括：主机安全、数据加密、身份认证、访问控制、攻击检测、数据恢复、安全审计、安全管理技术等等。信息安全技术是降低信息系统安全风险的技术基础，但是信息系统安全问题是一个典型的人机关系问题，所有技术上实现的安全功能是人设计和实现的，因此人也可能破坏和干扰各种安全功能。对于信息系统安全问题，我们不能企图只利用一些集成了信息安全技术的安全产品来解决，我们必须考虑技术、管理和法律三方面的因素，综合解决信息系统安全问题，建立信息系统安全保障体系。可靠的网络安全环境应由四个层次构成：基础安全服务设施、安全技术支撑平台、安全管理保障体系和响应与恢复机制，如图1： 综合考虑信息系统安全风险的四个方面，我们设计了网络安全体系模型，它涵盖了信息系统安全应具备的三大安全特性，即信息的完整性数据未经授权不能进行改变的特性，即信息在存储或传输过程 中保持不被修改、不被破坏和丢失的特性。信息的可用性可被授权实体访问并按需求使用的特性，即当需要时应能存取所要的信息。网络环境下拒绝服务、破环网络和有关系统的正常运行等都属于对可用性的攻击。信息的机密性信息不泄露给非授权的用户、实体或过程，或供其利用的特性。第三章 网络安全产品技术1物理隔离产品技术分析1.1 物理隔离技术的引申安全网闸在防火墙的发展过程中，人们最终意识到防火墙在安全方面的局限性。高性能、高安全性、易用性方面的矛盾并没有很好地解决。防火墙体系架构在高安全性方面的缺陷，驱使人们追求更高安全性的解决方案，人们期望更安全的技术手段，隔离网闸技术应运而生。隔离网闸技术是安全市场上的一匹黑马。在经过漫长的市场概念澄清和马拉松式的技术演变进步之后，市场最终接受隔离网闸具有最高安全性。比如中网研制的物理隔离网闸X-Gap，它能够中断网络的直接连接，不光检查所有的协议，还把协议给剥离掉，直接还原成最原始的数据，对数据可以检查和扫描，防止恶意代码和病毒，甚至对数据的属性进行要求，不支持TCP/IP，不依赖操作系统，一句话，对OSI的七层进行全面检查，在异构介质上重组所有的数据。因此，真正实现了隔离网络，并能够在阻断各种网络攻击及入侵的情况下，为用户提供安全浏览、收发邮件及基于文件和数据库的数据交换。1.2 安全网闸产品技术分析互联网是基于TCP/IP来实现的，而所有的攻击都可以归纳为基于对TCP/IP的OSI数据通信模型的某一层或多层的攻击，因此第一个最直接的想法就是断开TCP/IP的OSI数据模型的所有层，就可以消除目前TCP/IP网络存在的攻击，这就是中网物理隔离网闸X-GAP实现网络隔离的基础。下面以中网的物理隔离网闸X-Gap为例，具体的探讨有以下几点内容。一、网络物理层的断开 物理层是可以被攻击的。尤其物理层的逻辑表示是可以被攻击的。对网络层的逻辑表示的攻击方法主要是欺骗和伪造，因此可以利用认证和鉴别的方法来防止欺骗和伪造。这就是常用的IP和MAC地址绑定的办法。对MAC地址本身直接进行访问控制也是可行的，这就是MAC防火墙。最后的办法是把物理层完全断开，没有网络功能，因而也就没有来自网络的攻击。 物理层的断开是一个复杂的概念。并不是没有人眼看得见的东西连接，就是物理层的断开。如无线，人眼是看不见的，但物理层是连接的。也不是人眼看得见的东西有接触就是物理层的连接。如用一个木头把两个计算机连着，尽管它是一个现实中的物理连接，却不能基于该连接建立一个OSI模型中的数据链路的连接，因此不是一个OSl模型意义上的物理层的连接。从这个意义上讲，要确定它连接是困难的，要确定它不连接也是困难的。 由于空气和真空的普遍性，还无法对任何两台计算机确认它们不存在某种现实中的连接，至少证明是困难的。而空气和真空是可以传播电磁波的。因此，不能简单地给物理层的断开下一个定义。 从技术上来定义，一个物理层上的断开，应该是“不能基于一个物理层的连接，来完成一个OSI模型中的数据链路的建立”。我们来检查一下该定义的正确性。无线传输，基于电磁波这种人眼看不见的物理介质的连接，可以建立一个OSI模型中的数据链路的连接，因此不是物理层的断开。一个木头连接两个计算机，尽管它是一个现实中的连接，却不是严格意义上OSI模型中的物理连接，也无法建立一个OSI模型中的数据链路，因此是断开的。 物理层的断开，可能导致OSI模型其他层的工作机制失效。因此可以减少其他层的攻击。但物理层的断开，只解决基于物理层的攻击，并不暗示可以解决对OSI模型其他层的攻击。在后面的技术实现中，我们确实发现存在一个基于开关的FTP断点续传的应用的例子，说明物理层断开并不保证可以消除对其他层的攻击。二、网络数据链路层的断开数据链路是在物理层上建立一个可以进行数据通信的数据链路，是一个通信协议的概念。只要存在通信协议就可以被攻击。数据链路是可以被攻击的。 所以，网络隔离也必须断开任何可能基于物理层建立的数据链路，不能OVERTCP/IP。数据链路的断开意味着什么？首先，必须消除所有建立通信链路的控制信号，因为这些信号是可以被攻击的。其次，每一次的数据传输，是否能够到达或正确性方面是没有保证的。再次，不能建立一个会话机制。因此，用技术术语来定义，数据链路的断开是指上一次数据传输与下一次数据传输的相关性的概率为零。因此，没有数据链路的传输数据是没有可靠性保证的。数据链路的断开，破坏了通信的基础，也因此消除了基于数据链路的攻击。同上面的道理一样，看起来数据链路的断开大大降低了对其他层的攻击，但不能排除。我们可以想象一下，不可靠的数据广播和传输，不代表不能正确的传输一次正确的数据，因此还是存在基于上层攻击的可能性。三、网络层的断开 网络层的断开，就是剥离所有的IP协议。因为剥离了IP，就不会基于IP包来暴露内部的网络结构，就没有真假IP地址之说，也没有IP碎片，就消除了所有基于IP协议的攻击。四、网络传输层的断开 传输层的断开，就是剥离TCP或UDP协议。因此，消除了基于TCP或UDP的攻击。五、网络会话层的断开 会话层的断开实际上是断开一个应用会话的连接，消除了交互式的应用会话。六、网络表现层的断开 表现层是用于保证网络的跨平台应用。剥离了表现层就消除了跨平台的应用。七、网络应用层的断开 应用层的断开，就是消除或剥离了所有的应用协议。应用层的断开不完全是应用层的代理。有些应用层的代理只是检查应用协议是否符合规范，并不去实现剥离和重组的功能，因此，并没有实现应用层的断开，只是实现了应用层的检查。 上面介绍了OSI模型七层的断开的原理。隔离网闸的物理隔离或称网络隔离就是指全部七层的断开。每一层的断开，尽管降低了其他层被攻击的概率，但并没有从理论上排除其他层的攻击。有一些例子表明，断开了某一层，照样存在对其他层的攻击。隔离网闸必须对OSI模型的各层全面进行断开，在断开的基础上，实现文件或数据的“拷盘”。目前国内在物理隔离网闸产品比较成熟的是联想集团公司出品的联想网御系列网闸隔离产品，以及伟思集团公司的ViGap系列面向大型网络的安全隔离系统的产品。2入侵检测防御系统产品技术分析2.1 入侵检测防御系统概要随着电子商务对经济发展的支配和对Internet的推进，各种规模的商业成功已经开始依赖计算机的互连性。由于互联网使得一些具有商业利益价值资料或机密文件极容易暴露在网络上，而这些资料也常诱使黑客(Hacker)进行入侵攻击，进而窃取机密信息。网络黑客的入侵攻击事件，近年来有急据增加的趋势，网络安全的议题也成为各界瞩目的焦点。传统上，企业采用防火墙作为防止黑客入侵的第一道防线。但随着网络攻击手法的日趋成熟与多样化，单纯使用防火墙的策略已无法满足需要高度安全的企业环境，对于所谓拒绝服务(Denial of Service，DoS)及分布式拒绝服务(Distributed Denial of Service，DDoS)的网络攻击等，防火墙更是难以阻挡。因此，入侵检测防御系统(Intrusion Detection And Prevention System，IDP)成为增强网络安全架构的另一个安全防护工具。对于近年来”网络蠕虫”的肆虐，一般的防毒软件则力不从心，例如在2003年初横扫全球MS SQL server的SQL slammer网虫，10分钟内感染67,000台服务器，5小时内即传播到全球超过12万台服务器受害。特别的是这个蠕虫并不产生任何的档案或改写什么档案，而是隐藏在内存当中，因此在到目前为止并没有一个扫毒软件能够找出它，唯有入侵检测防御系统能够有效的检测出这类的网络蠕虫攻击，并有效的予以侦测防御。2.1.1 防火墙的局限性1. 防火墙无法检测和防御病毒和恶意代码，如分布式拒绝服务攻击（DDoS）及尼姆达（Nimda）2. 防火墙不对数据包内容进行检测分析，对允许的端口和服务都视成正常用户，不进行安全检测。（如：提供Web服务的Web服务器的80端口，任何人连接到80端口的行为被视为是正常的，不进行连接控制。）3. 在遇到黑客攻击后，防火墙不会记录攻击数据包任何信息，事后无法查找有关攻击信息4. 防火墙对内部用户资料泄漏和内部用户的黑客行为无法实现有效的防护。2.1.2 入侵检测系统（IDS）的局限性1. 入侵检测系统IDS只对攻击数据包做其检测，不做任何防御阻挡动作。2. 入侵检测系统IDS须与防火墙做其搭配，通知防火墙改变设定，保护网络。3. 不能及时提供阻挡攻击数据包功能，易造成网络被攻击入侵。4 与防火墙搭配存在时间差问题，在通知防火墙改变设置之前网络已经受到入侵攻击。2.2 入侵检测防御系统(IDP)与入侵检测系统(IDS)的比较入侵检测防御系统(IDP)具有下列优点： 不需另外增加硬件设备。 布署成本较低只需一部网络入侵检测防御系统即可检测同一区域网络中的所有可能的攻击行为，因此，需要增加的成本仅为该网络入侵检测防御系统。 可检测到入侵检测系统检测不到的攻击行为某些网络攻击行为(如DoS等)，攻击模式仅从网络数据包着手，因此必须依靠入侵检测防御系统以数据包分析方式来检测。 黑客较难破坏入侵攻击证据由于入侵检测防御系统在检测攻击行为时较具有实时性，因此可在入侵攻击发生时即予以检测防御，避免入侵攻击行为记录被破坏。 与操作系统无关(OS Independent)由于仅需于网络中增加一套入侵检测防御系统，无须更动现有的网络架构及操作系统，布署起来比入侵检测系统简单方便。 具有双向检测防御功能，内部网络与外部网络攻击入侵行为均可做到检测防御。入侵检测系统(IDS)缺点： 所有的主机可能安装不同的操作系统，而这些操作系统有各种不同的内核文件，必须针对各不同系统安装不同的入侵检测系统。在布署与维护上均相当复杂。 操作系统本身尚未发现的安全漏洞即是黑客极可能采用的漏洞。若黑客经由这些漏洞入侵系统并得到系统管理者的权限，那么入侵检测系统也就失去了其作用。 入侵检测系统可能会因为Denial-of-Service(DoS)而失去作用。 若所监控的网络流量过大，超过入侵检测系统所能处理的范围时，将影响网络效能或造成丢失数据包，无法完全监控网络上所有流通的数据包。 如果数据包已经加密，则网络型入侵检测系统就无法调查其中的内容。如此一来，可能会错失包含在数据包中的某些攻击信息。对于入侵检测防御系统与入侵检测系统虽然各有优缺点，其目的也不尽相同。不过，从整体观点来看，入侵检测防御系统(IDP) ，较适合用于各种形态的网络，且安装布属上也比入侵检测系统来得方便且有弹性。因此，入侵检测防御系统应是网络安全上一道重要的安全防线。2.3 拒绝服务(DoS)与分布式拒绝服务(DDoS)自从2000年3月以来，一些著名的入口网站或商业网站如：Yahoo，Amazon，CNN，eBay等，相继发生黑客以分布式拒绝服务(DDoS)瘫痪这些网站以来，使用DDoS的网络攻击手法成为黑客攻击的一种趋势。越来越多的DDoS攻击事件在互联网上不断上演。而防火墙，在应付这类攻击事件时显得能力不足，这并非防火墙设计不良，而是因防火墙在设计上就不是主要用在阻挡DoS及DDoS上。而入侵检测防御系统在检测防御DoS及DDoS攻击事件上便有其不可替代的地位。在此，将介绍DoS及DDoS，以及DeMaster如何检测防御这些攻击事件。2.3.1 什么是拒绝服务(DoS)与分布式拒绝服务(DDoS)在评估一个攻击的目的与严重性时，通常把攻击的目标分成三部分来看：第一是私密性(Confidentiality)：指信息内容是否被泄漏第二是完整性(Integrity)：信息内容是否被窜改或更动第三是可用性(Availability)：想取用该资源或服务时，能够获得使用权拒绝服务攻击(Denial-of-Service, DoS)就是一种专门损害信息可用性的行为。它无须进入系统本身，而是让其它人无法去使用系统的资源和服务。通常造成拒绝服务的方法有：让系统当机、无法使用网络联机、使系统反应变慢、资源耗尽等等。分布式拒绝服务攻击(Distributed Denial-of-Service, DDoS)也是拒绝服务攻击的一种。但是，拒绝服务攻击通常攻击来自同一个来源，而分布式拒绝服务攻击，则以协同或伪装的方式，让受害主机或网络，受到不同来源成千上万的攻击行为。SYN洪流瘫痪攻击(SYN Flooding)是常见的分布式拒绝攻击之一。一般TCP/IP的网络系统，均会使用一个数据结构来储存目前开启的网络联机。上面纪录着联机双方的地址，服务端口，以及目前的状态。TCP是使用三次握手(Three-way Handshaking)的方式来建立一个联机，一般正常的联机如图一。而SYN洪流瘫痪攻击(SYN Flooding)则是利用成群的半开启联机(Half-open)，占据主机所有的联机状态结构（图二），导致其它正常的联机无法建立的攻击方式。客户端服务端（受害主机）SYNACKSYN+ACKSYN_SENTLISTENSYN_RCVDESTABLISHEDESTABLISHED图一：正常的TCP联机。以TFN这套攻击程序来说（示意图如图三），攻击者可以透过客户端程序(Client)，去控制散布在不同地方的傀儡程序(Daemon)，发动各种不同类型的攻击。这些傀儡程序通常是因为先前攻击或病毒感染所植入的木马。在攻击时，这些傀儡程序还能假造不同的来源地址，因此，想要检测这类型的攻击并不容易。客户端服务端（受害主机）SYN_SENTLISTENSYN_RCVD假造来源的SYN其它无辜的机器SYN+ACK图二：SYN洪流瘫痪攻击(SYN Flooding)。攻击者攻击者客户端控制程序.客户端控制程序客户端控制程序客户端控制程序傀儡程序傀儡程序傀儡程序傀儡程序傀儡程序受害网络网关受害主机图三：TFN攻击示意图。2.3.2 使用DeMaster防制分布式拒绝服务攻击由TFN的例子，我们可以发现，分布式拒绝服务攻击，在受害主机的观点来看，是由许多来自不同来源的数据包，汇集成大量的攻击。DeMaster针对分布式拒绝服务攻击，采取复合式的作法。首先，对于可以掌控的网络，DeMaster会检查是否有任何攻击者到客户端或客户端到傀儡服务程序的控制数据包(Control Packet)，如果有的话，则在第一线加以阻绝，使其不能联络，自然也就消除分布式拒绝服务攻击的产生。图四：DeMaster分布式拒绝服务攻击及检测策略其次，针对大量的攻击数据包，DeMaster拥有这些异常的网络行为检测模块，针对SYN洪流瘫痪攻击(SYN Flooding)、TCP洪流瘫痪攻击(TCP Flooding)、ICMP洪流瘫痪攻击(ICMP Flooding)、UDP洪流瘫痪攻击(UDP Flooding)、IGMP洪流瘫痪攻击(IGMP Flooding)、UDP广播洪流瘫痪攻击(UDP Smurfing)、ICMP广播洪流瘫痪攻击(ICMP Smurfing)及Port Scan、Bad IP数据包等加以检测。DeMaster针对这些异常的网络行为攻击，不光使用计数的方式，还使用专门的统计算法，来检测网络的异常并减少误判。DeMaster会将每秒所记录的数据包，依据不同来源作统计，先正规化(Normalization)数据转换，跟标准模式(Baseline)做比较，如果和标准模式到达某种程度，才会产生警报(如图五及图六)。这样作法的优点是，因为正规化的关系，可以去除单纯因为流量大所产生的误报。而标准模式的选取也来自学术研究的成果，可符合大部分环境的状况。DeMaster提供微调的机制，以供用户进一步依自己的网络环境加以调整，设定画面如图七，如此，用户在使用上将有更大的弹性。图五：标准模式的网络数据包分布图。图六：异常时的网络数据包分布图。图七：分布式拒绝服务攻击参数调整。2.4 大掌门DeMaster独特功能2.4.1 主动式的入侵检测防御系统(IDP) 根据入侵检测系统针对入侵攻击所采取的动作，有其主动入侵检测防御系统(IDP)与被动式入侵检测系统（Passive IDS）的分别。被动式入侵检测系统，主要的工作原理是配合交换机(Switch)的Port Mirroring功能或Hub被动地旁听所有经过的数据包(Packet)，经由分析比对内建的入侵攻击信息后，可以判别哪些是正常的使用流量，哪些是恶意的攻击数据包。如发现异常，则透过管理接口发出警告或通知防火墙更改设定。但是这样往往距离攻击发起，已经有一段不短的时间了。此时，黑客的攻击极可能已经造成某种程度的破坏和损失。入侵检测防御系统，除了具有被动式入侵检测系统的入侵攻击的检测能力外，更能主动采取必要的行动，以实时的保护服务器主机及网络，避免遭到任何的破坏。它的工作原理类似防火墙(Firewall)。不同的是，防火墙是透过策略(Policy)的设定，对网络的资源进行严格的控管，而入侵检测防御系统比防火墙更专注于入侵检测防御的技术和分析能力。主动式入侵检测防御系统（IDP）要比被动式入侵检测系统（IDS）更具威力，图十将被动式入侵检测系统与主动式入侵检测防御系统的配置示意图展现出来，从这里可发觉两者之间明显的差异。一般在配置上，被动式入侵检测系统通常需要搭配特定的防火墙来达到阻止黑客持续攻击的目的，而入侵检测防御系统在这点上可以独立运作，不须依靠任何防火墙的设定。由于可独立运作，用户可以自由选择所使用的防火墙(Firewall Independent)。被动式入侵检测系统 主动式入侵检测防御系统图十:将被动式IDS与主动式IDP的配置DeMaster是一套入侵检测防御系统，其可针对网络上进出的所有数据包内容进行比对分析，于第一时间检测出有问题的入侵攻击数据包，并依事前定义的反应策略，对这些有问题的数据包采取适当的反制行动，以确保所要保护的网络内部及服务器主机的安全。2.4.2 完整的攻击分析报表DeMaster主要的功能便是对黑客的入侵攻击事件提供实时的检测防御及完整的分析报告。因此，一个好的入侵检测防御系统，除了要依照黑客入侵攻击的严重程度，提出实时性的入侵攻击严重程度的警讯之外。更要将这些攻击事件记录分析，并制作成各种分析报表，以便用户能依照分析报表所提供的信息加以分析，强化内部网络的安全措施。同时能加以集成打印，以供决策主管对于整体安全策略参考。DeMaster中包含一套完整的报表系统，提供了多用户可同时使用的图形化多国语言版本的报表接口，可以查询、打印所有检测到的网络攻击事件及系统事件。其中不仅可以检视攻击事件的攻击名称、攻击严重程度、攻击时间、攻击来源及被攻击对象等信息外，另外也提供攻击事件的各式统计图与长条图分析。表二，是DeMaster报表系统的功能清单。功能名称描述在线实时网络攻击监测提供网络攻击事件的实时监控台，并依攻击事件的威胁程度作分类监控。网络攻击事件检视查询可以根据攻击IP地址、被攻击IP地址、攻击名称、攻击严重程度、攻击时间的不同检视检测出攻击。另外也提供圆饼图与长条图分析。在线实时流量监测提供不同打印功能样本的选择。系统事件检视查询检视DeMaster系统运作事件。表二 ： DeMaster报表系统功能清单在线实时网络攻击监测如图十一所示，DeMaster的在线实时网络攻击监测功能可依入侵攻击事件的威胁程度作分类监控。图十一: DeMaster在线实时网络攻击监测网络入侵攻击事件检视查询DeMaster对于网络攻击的查询可以分为三大类，第一类为攻击事件报表：为主要网络攻击事件的浏览，用户可以查看受攻击主机、攻击种类、攻击危险程度排名等；第二类为事件搜寻：此类查询为重要攻击事件的查询，可以针对服务器主机或网络攻击种类进行网络攻击事件的查询；最后一类则为统计：此类统计是网络攻击事件的统计分析，包含日报表、周报表、月报表及各类已发生的网络攻击或被攻击主机的统计等。用户可透过报表查询窗口”(参见图十二)，选择所需要的报告形态及查询的时间再制作报表(如图十三，十四，十五)。用户可再从这些报表内再点选进入察看更细步的分析。因此，用户可透过这些报表分析，了解到内部哪些服务器主机常受到哪些种类的攻击，而这些攻击来原是哪些IP地址。如此，用户经由这些分析报表的协助，加强常受到攻击的服务器主机本身的安全防护，并追踪攻击来源。除此之外，也可经由报表的分析，查出，内部是否有主机被黑客植入木马(Trojan Horse)或后门 (BackDoor)程序，并成为黑客的傀儡对外发动攻击。报表形态选择窗口报表形态选择钮报表查询时间选择窗口图十二: DeMaster报表查询窗口图十三:搜索结果示意图图十四:搜索结果示意图图十五:查看分析示意图在线实时流量监测DeMaster提供在线实时流量监测功能，用户可自行选择监测的时间长短。DeMaster会提供各种不同的数据包(TCP，UDP，ICMP，IGMP，ARP，IPX，NETBEUI，AH，ESP)流量变化的情形，如图十六。用以协助用户，观察整个网络流量有无异常状况发生。图十六: DeMaster提供在线实时流量监测系统事件检视查询对于与DeMaster系统本身相关的事件，包括远程登入，均会被记录起来，以保障系统本身的安全，及追查网络异常的状况。图十七，显示DeMaster所记录的系统事件表列情形。图十七: DeMaster系统事件检视查询2.4.3 对攻击事件的搜证能力DeMaster除能检测出各种入侵攻击以保护网络及服务器主机的安全外，还提供完整的搜证信息，以供用户追查黑客攻击的来源。此外搜证信息，也可作为用户对黑客诉讼的依据。DeMaster提供用户最完整的攻击事件记录信息，这些信息包括黑客攻击的对象主机，攻击的时间，攻击的手法种类，攻击的次数，黑客攻击的来源IP地址，以及详细的攻击数据包内容。用户可从内建的报表系统功能中，很轻易的搜寻到所需要的详细信息，而不需额外再添购一些软件。图十八、十九，为DeMaster对攻击事件数据包的详细记录实例。图十八：DeMaster对攻击事件数据包的详细记录图十九：DeMaster对攻击事件数据包的详细记录2.4.4 自动更新能力采用攻击辨识码比对技术本身，受限于只能针对已知的且已制作成攻击辨识码的入侵攻击进行检测防御。对于新产生的攻击技术，将无法检测到。此特性与病毒防制相似。因此，入侵检测防御系统本身，背后是否有持续维护攻击辨识码的机制，及其更新的策略为何与入侵检测防御系统产品，是否能有效的检测并防御黑客的入侵攻击事件有相当密切的关系。DeMaster背后由一群网络安全专家组成ISST（I-Tech Security Service Team），不断的从全球网络安全相关组织如CERT等，及网络上搜集新的黑客攻击手法，并研究其入侵攻击对象有影响。然后，针对黑客入侵攻击的数据包特征，制作成攻击特征辨识码，并为DeMaster量身订做出攻击防御策略。这些新增的攻击防御策略，将透过更新服务器(Upgrade Server)，为所有的DeMaster进行防御策略的网络更新升级动作。除此之外，由于，黑客入侵攻击能力越来越强,入侵检测防御系统的功能及检测防御手段也应不断的有新的发展，才可应付新的入侵攻击技术。为些提供用户实时更新DeMaster的系统核心(Kernel)。在更新服务的策略上，除防御策略可透过更新服务器进行网络更新外，DeMaster的系统核心亦可透过更新服务器来进行网络更新。有了这些更新的机制与策略，可使用户得到最安全的网络保护措施。2.4.5 本身的安全性 采用工业等级实时操作系统(RTOS)为避免操作系统的安全性漏洞，DeMaster，采用更稳定的工业等级实时操作系统(RTOS)来发展DeMaster。采用此种操作系统的好处是，操作系统较为专属，可提供较好的效能。 StealthDeMaster大掌门拥有二个网络端口(Remote Port and Local Port)，用户可选择将主要的网络流量端口或其任一端口设定成为隐藏模式(Stealth Mode)。如此，黑客将无法扫描到DeMaster的存在，因而可大大降低其遭受黑客入侵攻击的可能性。 DeMaster与Policy Server之间通讯DeMaster与管理服务器端(Policy Server)传输时采用加密数据传输。远程登入DeMaster时也必须使用有加密功能的SSH。如此，相关信息，才不至于遭到窃听。2.4.6 系统平台DeMaster是采用软硬件集成的整体解决方案所开发出来的网络入侵检测防御系统。因此，可提供良好的入侵攻击检测防御效能，及迅速反应新的攻击技术，弹性调整入侵检测防御的技术与功能，可应付日新月异的黑客攻击手法。3虚拟专用网络（VPN）3.1 VPN概况现在有很多连接都被称作VPN，用户经常分不清楚，那么一般所说的VPN到底是什么呢？顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专