基于网络层和应用层的访问控制的实现

基于网络层和应用层的访问控制的实现摘要：在网络层实施访问控制技术通常能够做到在内外网之间提供网络安全保障，降低网络安全风险。但是，单独在网络层还不能最大限度地做到网络的安全。因为非法入侵者可以随时探测并寻找到网络层之外可能开启的后门，因此，只有在网络层和应用层同时实现访问控制技术，才能最有效的保证网络安全。关键词：网络层；应用层；访问控制；网络安全中图分类号：TN711文献标识码：A文章编号：随着因特网的开放性、共享性、互连性等方面的影响程度不断扩大，互联网的重要性和对信息传递的影响也越来越大，因特网不但为企业和网络用户发布信息、检索信息以及资源共享提供了方便，也为个人使用网络资源提供了最大的平台，特别体现在大多数企业和用户的重要和关键的数据业务都是通过WEB浏览器得以呈现和交互，而3G业务的飞速推广和三网融合的快速启动，使通信网络逐渐进入全面多媒体化和智能化的时代。由于全球互联网环境的不断变化以及网络业务的不断复杂化将会造成大量互联网数据业务的集中，使整个网络的安全风险也越来越大，一些新的互联网安全隐患不断出现，给互联网用户在使用网络进行业务往来时带来了巨大的安全威胁。一、网络层防火墙技术网络层防火墙一般部署在OSI参考模型的网络层进行数据包的访问控制，可以实现受信任的企业内部网和不可信任的外部公共网之间的安全访问。它是不同网络之间数据信息安全流通的必经之地，能通过配置安全控制访问策略对出入互联网的数据信息进行灵活的控制，包括允许、拒绝和监测经过网络出口的信息流，防火墙本身具有较强的抗网络攻击的能力。它能够为网络层的信息安全提供最可靠的保证，是实现互联网数据信息安全的基础。网络层防火墙也能增强内部网络的安全性。防火墙系统的部署策略可以决定哪些IDC内部网络服务是否允许被外部访问，也可以决定外部的哪些用户是否能访问IDC系统内部允许被访问的网络服务，甚至还可以决定哪些IDC外部网络服务可以被内部用户进行访问。为了使防火墙的控制策略生效，就要使所有从Internet流入到内部的信息流经过防火墙并接受防火墙的过滤检查。网络防火墙只允许经过授权的数据流通过，并且防火墙本身也要避免非法渗透，因为系统一旦被攻击者突破访问控制，就不能提供任何的数据信息保护了。网络层防火墙一般都既有包过滤的功能和状态检测等方面的功能。它应该具备以下方面的特点：（1）综合包过滤和状态检测等方面的技术，能够克服单一技术造成防火墙在网络安全方面的缺陷。（2）能在OSI/RM的网络层进行全方位的安全访问控制。（3）能够在TCP/IP协议的网络层进行各项安全访问控制。（4）在速度方面能够超过传统的包过滤防火墙。（5）能为网络系统提供各种代理模式，减轻客户端的配置工作。（6）能完全支持数据加密、数据解密及数字签名，且能够提供对虚拟专用网VPN的强大支持。（7）能够实现网络内部信息完全隐藏。网络防火墙既不是单一的代理型防火墙，也不是单一的包过滤型防火墙，它应该是集各种功能于一身的网络设备，能从数据链层到网络层都实施安全控制，对出入的所有数据信息进行加密和解密。部署网络防火墙时充分考虑到网络高可用性的要求，有效的避免出现一台网络防火墙宕机而导致整个网络处于瘫痪状态的网络单点故障的严重后果。所以通过部署两台互相可以实现热备份的网络防火墙，其中一台作为主防火墙处于活跃的状态，另外一台作为辅助备份防火墙，如果某一时刻一台主防火墙出现故障，另外一台防火墙可以立刻替代其提供防火墙网络服务，从而有效地做到网络安全保障。二、应用层防火墙应用层防火墙最典型的是WEB应用防火墙WAF，它是用来保护应用层安全最有效的手段，能够对Web的各种应用进行深入地安全解析，同时融合了高性能的XML检测和管理技术，从而真正地保证各种Web应用服务不受黑客的威胁和攻击。WEB应用防火墙能够完全满足互联网最新的PCI的各项安全要求，能够最大限度地保护互联网用户在正常使用Web服务时不受身份和数据盗窃、欺骗和目标式攻击和应用程序运行中断等各方面的攻击影响。总体来说，应用层防火墙必须具有以下功能特点：（1）能保护应用不受基于Web的HTML和XML威胁的影响。（2）能够防御身份和数据盗窃、内容和格式威胁和接入威胁等，能防止拒绝服务(DoS)攻击之类的针对性的网络攻击，并支持用户定制规则和签名。（3）能防止cookie窜改，保证存储在浏览器cookies中信息的保密性。（4）能支持通过在硬件平台中存储专用的安全套接字层SSL密钥来防御SSL密钥的劫持攻击。（5）利用先进的图形用户接口界面GUI进行快速调试和监控Web应用。（6）能支持全面的网络数据统计和报告功能。（7）支持GUI界面和SSH界面，能在任意地点进行企业级的管理。（8）能够支持在一个集中式策略管理应用系统中配置网络安全策略，无需任何复杂的编程操作。WAF自动扫描网站结构，WAF主动扫描网站结构并根据结果生成防护规则，分析整个Web站点，并建立正常状态模型。根据web网站设计的特点，一般网站中各站点的设计模版都比较固定化，WAF会主动寻找每一个小站点的树型目录和文件结构，帮助防御不必要外网“穷举型”的攻击，配置策略的主要配置过程如下所示：（1）配置服务。配置VirtualIP地址和真实服务器地址。（2）配置安全策略：开启主动防护模式，包括请求限制检查、Cookie防护的开启、URL防护的开启、参数防护的开启以及数据窃取防护的开启等。（3）开启URL防护策略：选择启用开启URL防护，指定允许的请求方式为GET或POST，再选择允许内容的类型、指定内容的最大长度、表单参数最大个数、最大上传文件数和参数名最大长度，最后选择阻断攻击的类型。主要功能是用来阻断远程文件包含漏洞、SQL注入、跨站脚本攻击、参数篡改等。（4）创建全局的ACL策略：创建全局ACL后可以让WAF对网络流量按照全局ACL的配置进行访问限制，实现网络的安全访问。（5）设置动作策略：根据攻击类型选择对此攻击的防护动作，不同的攻击应该使用不同的防护动作，此时大多数的攻击应该被直接阻断，并进行阻断响应页面的指定，指定阻断响应页面有发送指定响应页面、断开连接和重定向三种方式，当指定阻断响应页面为重定向时，在重定向URL栏应该设置以“/”开头或指定一个完整的URL地址；当指定阻断响应页面为发送指定响应页面时应该指定要发送的响应页面，比如指定为default。还可以指定请求阻断后的后继动作，当为“后继动作”选择项为“阻断客户端IP”时，再设置指定阻断的持续时间。（6）设置参数策略防护：启用参数值检查，适用于查询字符串和POST参数。仅在站点策略组合未开启时有效。首先定义参数值中要阻断的元字符，此元字符必须经过URL编码，设置好参数的最大长度后再定义允许上传的文件的扩展名，其中“.”号表示没有扩展名的文件，“*”号表示任意扩展名，此处对于字母的大小写不敏感，比如JPG和JPG都表示相同文件的扩展名，为了更好的进行参数策略防护，此处最好添加如JPG、GIF及PDF等此类不包含脚本的文件。设置例外类型是指指定例外处理的模型，虽然有些例外类型存