《基于部署的软件应用安全技术研究.docx》由会员分享,可在线阅读,更多相关《基于部署的软件应用安全技术研究.docx(30页珍藏版)》请在三一办公上搜索。
1、基于部署的软件应用安全技术研究目录前言.第1章 :软件应用的部署技术(3页) (一)部署技术概述 (二)现状及重要性第2章 :软件应用中常见的安全问题及解决办法(5页) (一)黑客 (二)病毒、蠕虫、特洛伊木马 (四)网络安全漏洞 (三)数据丢失第3章 :基于部署的软件应用安全技术(10页) (一)硬件防火墙 (二)网闸 (三)网关 (四)DMZ (五)还原卡 (六)Langate第4章 :实证研究及结论(10-12页)(一),实证问题概述(二),需要解决的主要问题(三),解决方案(四),重点过程描述(五),实证结论前言 随着网络技术的发展和网上各种应用的不断丰富,网络安全问题日益成为人们关注
2、的焦点。人们在网络安全部署策略中更多地注重网络边界的安全,防病毒、防黑客、数据备份是目前常用的数据保护手段,我们通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭,因此采取了一系列的防范措施,如建立两套网络,一套仅用于内部员工办公和资源共享,称之为内部网络;另一套用于连接互联网检索资料,称之为外部网络,同时使内外网物理断开;另外采用防火墙、入侵检测设备等,但据统计超过50%的网络及信息安全问题源于内部人员所为,其次才是外部黑客的攻击。由于内网是一个由网络设备与信息系统组成的复杂环境,连接便捷、应用系统多、重要数据多是其显著特点,如果疏于对内网的安全防范,那么就极易出现应用系统被非法使用、数
3、据被窃取和被破坏等情况,因此注重内网安全系统建设、有效防范源自内部的安全问题,其意义较之于外网安全防范更为重大。目前,在我国的各个行业系统中,无论是涉及科学研究的大型研究所,还是拥有自主知识产权的发展中企业,都有大量的技术和业务机密存储在计算机和网络中,如何有效地保护这些机密数据信息,已引起各单位的巨大关注! 第一章 软件应用的部署技术(一)部署技术概述什么是部署?简单的说部署就是把设计好的程序或是硬件放到一定的环境系统中运行,从而发挥它的作用,这就是部署。我所要研究的重点是网络安全中的硬件部署,那么就离不开各种硬件配置、网络环境、计算机的操作系统,下面我将详细的作介绍。 一 硬件配置 1 防
4、火墙 所谓防火墙指的是一个有软件和硬件设备组隙内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.2. 网闸网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。3. 网关 网关守护着企业网络以防终端用户被植入后门程序或病毒下载器。4还原卡硬盘还原卡,又称电脑还原卡,使用创新的安全硬盘管理技术HDSafe,硬件级解决电脑教室的管理问题,具备强大的数据保护和还原功能是误删除、误格式化、感染病毒等不希望发生的硬盘数据改变,在下一次开机时能够瞬间还原。5 磁盘阵列是利用数组方式来作磁盘组,配合数据分散排列的设计,提升数据的安全性。6 Win Pass CA 证书服
5、务器Win-Pass CA 证书服务器系统是 PKI 公共密钥安全体系中的关键设备,注册、签发、管理和发布网络系统中各种设备和用户的证书,用于建立和保障网络通信中的身份认证和相互信任体系。7 LanGate是基于专用芯片及专业网络安全平台的新一代整体网络安全硬件产品。二 网络环境一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题,实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方
6、面:一是计算机病毒,二是黑客犯罪。计算机病毒是我们大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。黑客犯罪是指个别人利用计算机高科技手段,盗取密码侵入他人计算机网络,非法获得信息、盗用特权等,如非法转移银行资金、盗用他人银行帐号购物等。随着网络经济的发展和电子商务的展开,严防黑客入侵、切实保障网络交易的安全,不仅关系到个人的资金安全、商家的货物安全,还关系到国家的经济安全、国家经济秩序的稳定问题,因此各级组织和部门必须给予高度重视。三 操作系统Windows 2000 Server的安全机制是建立在Windows NT 40提供的安全机制上的。Windows2000的安全模式使各组织
7、可以与合作伙伴、供应商以及在信任关系之上使用基于Internet技术的消费者安全地交互。Windows 2000的活动目录对用户、组及计算机账户信息采用分层命名,存储了所有的域安全策略和账户信息。可以利用组策略编辑器设置各种功能,包括软件设置、应用程序配置选项、脚本、用户设置、文档选项及安全设置。Windows2000安全性,又称为“分布式安全性”,它包括基于Internet标准安全协议的鉴别,采用Kerberos 5作为默认鉴别协议。它使用Internet安全协议IPSec。Windows 2000使用基于Internet技术的虚拟专用网VPN,通过ISP,IIS及VPN服务器来建立Inte
8、rnet连接。可利用VPN通过公共网来传输专用网数据。此外,可利用Windows 2000提供的加密文件系统EFS对文件进行加密保护。 数据库系统的安全机制SQL Server的安全性与权限管理,数据库安全性是用户权限管理等方面的内容,这种安全性以信息资源和信息资源的用户为主要管理对象,一个用户只要具有对某个对象的访问权限,就可以对信息资源进行操作。作为网络操作系统上的服务,SQL Server的安全性还可以与操作系统的安全性建立某种联系,这就是SQL Server的安全性模式。它有3种安全模式:标准安全、集成安全、混合安全。标准安全完全由SQL Server自身维护安全性,对所有连接采用SQ
9、L Server本身的登录证实过程,通过使用LoginID和口令来访问数据库服务器。集成安全允许SQL Server用Windows 2000的认证机制来证实SQL Server的所有连接。混合安全使得SQL Server的用户和Windows 2000的用户都可以获得访问数据库的权限。当然,可以不使用SQL Server自身的用户管理,只允许Windows 2000的用户具有访问数据库的权限。在SQL Server中,权限分两大级别:连接权、访问权。连接权指是否可以访问SQL Server,访问权指是否可以查询或修改数据库。每一个网络用户在访问SQL Server数据之前,必须使用一个win
10、dows 2000的账号或SQL Server的Login ID以及口令,与SQL Server建立连接,SQL Server的安全系统通过对用户提供的登录信息的验证决定是否允许这个用户连接。在连接成功后,用户还需要在每个数据库中都有一个数据库用户账号,或者是用户别名,查询或者修改数据时,SQL Server的安全系统根据这个账号或者别名的权限决定是否允许用户请求的操作。(二) 内部网络的安全现状目前很多企事业单位都加快了企业信息化的进程,在网络平台上建立了内部网络和外部网络,并按照国家有关规定实行内部网络和外部网络的物理隔离;在应用上从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的
11、应用如财务系统、PDM系统甚至到计算机集成制造(CIMS)或企业资源计划(ERP),逐步实现企业信息的高度集成,构成完善的企事业问题解决链。在网络安全方面系统内大多企业或是根据自己对安全的认识,或是根据国家和系统内部的相关规定,购置部分网络安全产品,如防火墙、防病毒、入侵检测等产品来配置在网络上,然而这些产品主要是针对外部网络可能遭受到安全威胁而采取的措施,在内部网络上的使用虽然针对性强,但往往有很大的局限性。由于内部网络的高性能、多应用、涉密信息分散的特点,各种分立的安全产品通常只能解决安全威胁的部分问题,而没有形成多层次的、严密的、相互协同工作的安全体系。同时在安全性和费用问题上形成一个相
12、互对立的局面,如何在其中寻找到一个平衡点,也是众多企业中普遍存在的焦点问题。 由此可见,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。所以,计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。 内部网络更易受到攻击为什么内部网络更容易受到攻击呢?主要原因如下:(1)信息网络技术的应用正日益普及,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。网络已经是许多企业不可缺少的重要的组成部分,基于Web的应用在内部网正日益普及,典型的应用
13、如财务系统、PDM系统、ERP系统、SCM系统等,这些大规模系统应用密切依赖于内部网络的畅通。(2)在对Internet严防死守和物理隔离的措施下,对网络的破坏,大多数来自网络内部的安全空隙。另外也因为目前针对内部网络安全的重视程度不够,系统的安装有大量的漏洞没有去打上补丁。也由于内部拥有更多的应用和不同的系统平台,自然有更多的系统漏洞。(3)黑客工具在Internet上很容易获得,这些工具对Internet及内部网络往往具有很大的危害性。这是内部人员(包括对计算机技术不熟悉的人)能够对内部网络造成巨大损害的原因之一。(4)内部网络更脆弱。由于网络速度快,百兆甚至千兆的带宽,能让黑客工具大显身
14、手。(5)为了简单和易用,在内网传输的数据往往是不加密的,这为别有用心者提供了窃取机密数据的可能性。(6)内部网络的用户往往直接面对数据库、直接对服务器进行操作,利用内网速度快的特性,对关键数据进行窃取或者破坏。(7)众多的使用者所有不同的权限,管理更困难,系统更容易遭到口令和越权操作的攻击。服务器对使用者的管理也不是很严格,对于那些如记录键盘敲击的黑客工具比较容易得逞。(8)涉密信息不仅仅限于服务器,同时也分布于各个工作计算机中,目前对个人硬盘上的涉密信息缺乏有效的控制和监督管理办法。(9)由于人们对口令的不重视,弱口令很容易产生,很多人用诸如生日、姓名等作为口令,在内网中,黑客的口令破解程
15、序更易奏效。第二章:软件应用中常见的安全问题及解决办法1黑客黑客(hacker),源于英语动词hack,意为“劈,砍”,引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧。在日本新黑客词典中,对黑客的定义是“喜欢探索软件程序奥秘,并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中,我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出
16、网络漏洞。另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。 随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重,防火墙的攻破率不断上升,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在电子政务建设中,我们会遇到安全域的问题,安全域是以信息涉密程度划分的网络空间。涉密
17、域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。国家有关研究机构已经研究了安全网闸技术,以后根据需求,还会有更好的网闸技术出现。通过安全网闸,把内网和外网联系起来;因此网闸成为电子政务信息系统必须配置的设备,由此开始,网闸产品与技术在我国快速兴起,成为
18、我国信息安全产业发展的一个新的增长点。2 病毒、蠕虫、特洛伊木马病毒 (n.):以自我复制为明确目的编写的代码。病毒附着于宿主程序,然后试图在计算机之间传播。它可能损坏硬件、软件和信息。与人体病毒按严重性分类(从 Ebola 病毒到普通的流感病毒)一样,计算机病毒也有轻重之分,轻者仅产生一些干扰,重者彻底摧毁设备。令人欣慰的是,在没有人员操作的情况下,真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。病毒是附着于程序或文件中的一段计算机代码,它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。蠕虫 (n.):病毒的子类。通常,蠕虫传播无需用户操作,
19、并可通过网络分发它自己的完整副本(可能有改动)。蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。蠕虫的传播不必通过“宿主”程序或文件,因此可潜入您的系统并允许其他人远程控制您的计算机。最近的蠕虫示例包括 Sasser 蠕虫和 Blaster 蠕虫。与病毒相似,蠕虫也是设计用来将自己从一台计算机复制到另一台计算机,但是它自动进行。首先,它控制计算机上可以传输文件或信息的功能。一旦您的系统感染蠕虫,蠕虫即可独自传播。最危险的是,蠕虫可大量复制。例如,蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本,那些联系人的计算机也将执行同样的操作,结果造成多米诺效应(网络通信负担沉重),使商业网络和整个
20、Internet 的速度减慢。当新的蠕虫爆发时,它们传播的速度非常快。它们堵塞网络并可能导致您(以及其他每个人)等很长的时间才能查看 Internet 上的网页。特洛伊木马 (n.):一种表面上有用、实际上起破坏作用的计算机程序。一旦用户禁不起诱惑打开了以为来自合法来源的程序,特洛伊木马便趁机传播。为了更好地保护用户,Microsoft 常通过电子邮件发出安全公告,但这些邮件从不包含附件。在用电子邮件将安全警报发送给客户之前,我们也会在安全网站上公布所有安全警报。在神话传说中,特洛伊木马表面上是“礼物”,但实际上藏匿了袭击特洛伊城的希腊士兵。现在,特洛伊木马是指表面上是有用的软件、实际目的却是
21、危害计算机安全并导致严重破坏的计算机程序。最近的特洛伊木马以电子邮件的形式出现,电子邮件包含的附件声称是 Microsoft 安全更新程序,但实际上是一些试图禁用防病毒软件和防火墙软件的病毒。基于网络的防病毒LanGate 是网关级的安全设备,它不同于单纯的防病毒产品。LanGate 在网关上做 HTTP、SMTP、POP 和 IMAP的病毒扫描,并且可以通过策略控制流经不同网络方向的病毒扫描或阻断,其应用的灵活性和安全性将消除企业不必要的顾虑。LanGate的防病毒引擎同时是可在线升级的,可以实时更新病毒库。3 网络安全漏洞漏洞是存在于系统中的一个弱点或者缺点。广义的漏洞是指非法用户未经授权
22、获得访问或提高其访问层次的硬件或软件特征。实际上,漏洞可以是任何东西,许多用户非常熟悉的特殊的硬件和软件存在漏洞,如IBM兼容机的CMOS口令在CMOS的电池供电不足、不能供电或被移走情况下会丢失CMOS信息也是漏洞;操作系统、浏览器、TCP/IP、免费电子邮箱等都存在漏洞。微软对漏洞的明确定义:“漏洞是可以在攻击过程中利用的弱点,可以是软件、硬件、程序缺点、功能设计或者配置不当等。”漏洞扫描是一种自动检测计算机安全脆弱点的技术。扫描程序集中了已知的常用攻击方法,针对系统可能存在的各种脆弱点进行扫描,输出扫描结果,以便审查人员分析并发现系统存在的漏洞。扫描程序还可以通过TCP/IP端口查询,记
23、录目标响应的情况,收集相关的有用信息,以发现网络系统的安全漏洞。利用漏洞扫描技术可以快速地在大范围内发现已知的系统安全漏洞。网络漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在互联网上的安全漏洞,从而在计算机网络系统安全保卫战中做到“有的放矢”,及时修补漏洞,构筑坚固的安全长城。4 数据丢失如果使用过计算机或者管理过机房,您就可能会有这样的经历,误操作,不正常关机,Windows提示非法操作,遭遇神出鬼没的病毒,以及学生的好奇和失误导致的文件丢失、系统
24、损毁等等。相信您对这些都会记忆犹新,我们觉得您有必要找一个专业维护人员,而不是由您亲自维护每台计算机,所以我们向您推荐硬盘还原卡。 只要将还原卡插入计算机,并且指定需要维护的数据区域,这样您就能够一劳永逸,任由学生删除、格式化、安装、卸载,尽最大可能地提供宽松的上机实验环境。因为对您来说,只要重新启动计算机,一切都会复原,硬盘还原卡让从前的烦恼永远地成为了历史。 第三章:基于部署的软件应用安全技术一 硬件防火墙防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,
25、尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。防火墙基础原理1、防火墙技术防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。下面,我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。但由于
26、安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动
27、态地开通1024号以上的端口,使得安全性得到进一步地提高。2、防火墙工作原理(1)包过滤防火墙包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。图1:包过滤防火墙工作原理图(2)应用网关防火墙应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机服务器模式实现的。每个客户机服
28、务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。(图2)图2:应用网关防火墙工作原理图(3)状态检测防火墙状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以这样说,状态
29、检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。(图3)图3:状态检测防火墙工作原理图(4)复合型防火墙复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。(图4)图4:复合型防火墙工作原理图
30、二 网闸如今,网络隔离技术已经得到越来越多用户的重视,重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术,即SCSI技术,双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术,双端口RAM也是模拟拷盘技术,物理单向传输技术则是二极管单向技术。本文就是和大家一起来探讨物理隔离交换技术的应用。网闸的概念网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议
31、摆渡,且对固态存储介质只有读和写两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使黑客无法入侵、无法攻击、无法破坏,实现了真正的安全。物理隔离网闸应用定位1)涉密网与非涉密网之间:2)局域网与互联网之间(内网与外网之间):有些局域网络,特别是政府办公网络,涉及政府敏感信息,有时需要与互联网在物理上断开,用物理隔离网闸是一个常用的办法。3)办公网与业务网之间:由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办
32、公网与业务网之间使用物理隔离网闸,实现两类网络的物理隔离。4)电子政务的内网与专网之间:在电子政务系统建设中要求政府内望与外网之间用逻辑隔离,在政府专网与内网之间用物理隔离。现常用的方法是用物理隔离网闸来实现。5)业务网与互联网之间:电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大民众。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现物理隔离。 三 网关 管道网关 管道是通过不兼容的网络区域传输数据的比较通用的技术。数据分组被封装在可以被传输网络识别的帧中,到达目的地时, 接收主机解开封装,把封装信息丢弃,这样分组就被恢复到了原先的格式。 管道技术只能用于3层协议,从S
33、NA到IPv6。虽然管道技术有能够克服特定网络拓扑限制的优点,它也有缺点。 管道的本质可以隐藏不该接受的分组,简单来说,管道可以通过封装来攻破防火墙,把本该过滤掉的数据传给私有的网络区域。专用网关 很多的专用网关能够在传统的大型机系统和迅速发展的分布式处理系统间建立桥梁。 典型的专用网关用于把基于PC的客户端连到局域网边缘的转换器。该转换器通过X.25网络提供对大型机系统的访问。 shoO 这些网关通常是需要安装在连接到局域网的计算机上的便宜、单功能的电路板,这使其价格很低且很容易升级。2层协议网关 2层协议网关提供局域网到局域网的转换,它们通常被称为翻译网桥而不是协议网关。 在使用不同帧类型
34、或时钟频率的局域网间互连可能就需要这种转换。 安全网关 安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤 1、包过滤器 包过滤是安全映射最基本的形式,路由软件可根据包的源地址、目的地址或端口号建立许可权, 对众所周知的端口号的过滤可以阻止或允许网际协议如FTP、rlogin等。过滤器可对进入和/或流出的数据操作, 在网络层实现过滤意味着路由器可以为所有应用提供安全映射功能。作为(逻辑意义上的)路由器的常驻部分, 这种过滤可在任何可路由的网络中自由使用,但不要把它误解为万能的,包过滤有很多弱点,但总比没有好。 包过滤很难做好,尤其当安全需求定义得不
35、好且不细致的时候更是如此。这种过滤也很容易被攻破。包过滤比较每个数据包, 基于包头信息与路由器的访问列表的比较来做出通过/不通过的决定,这种技术存在许多潜在的弱点。首先, 它直接依赖路由器管理员正确地编制权限集,这种情况下,拼写的错误是致命的, 可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。即使管理员准确地设计了权限,其逻辑也必须毫无破绽才行。 虽然设计路由似乎很简单,但开发和维护一长套复杂的权限也是很麻烦的, 必须根据防火墙的权限集理解和评估每天的变化,新添加的服务器如果没有明确地被保护,可能就会成为攻破点。 随着时间的推移,访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组
36、, 它必须识别该分组要到达目的地需经由的下一跳地址,这必将伴随着另一个很耗费CPU的工作: 检查访问列表以确定其是否被允许到达该目的地。访问列表越长,此过程要花的时间就越多。 包过滤的第二个缺陷是它认为包头信息是有效的,无法验证该包的源头。 头信息很容易被精通网络的人篡改, 这种篡改通常称为“欺骗”。 包过滤的种种弱点使它不足以保护你的网络资源,最好与其它更复杂的过滤机制联合使用,而不要单独使用。 2、链路网关 链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP请求,甚至某些UDP请求, 然后代表数据源来获取所请求的信息。该代理服务器接收对万维网上的信息的请求,并代
37、表数据源完成请求。实际上, 此网关就象一条将源与目的连在一起的线,但使源避免了穿过不安全的网络区域所带来的风险。 3、应用网关 应用网关是包过滤最极端的反面。包过滤实现的是对所有穿过网络层包过滤设备的数据的通用保护, 而应用网关在每个需要保护的主机上放置高度专用的应用软件,它防止了包过滤的陷阱,实现了每个主机的坚固的安全。 应用网关的一个例子是病毒扫描器,这种专用软件已经成了桌面计算的主要产品之一。它在启动时调入内存并驻留在后台, 持续地监视文件不受已知病毒的感染,甚至是系统文件的改变。 病毒扫描器被设计用于在危害可能产生前保护用户不受到病毒的潜在损害。 这种保护级别不可能在网络层实现,那将需
38、要检查每个分组的内容,验证其来源,确定其正确的网络路径, 并确定其内容是有意义的还是欺骗性的。这一过程将产生无法负担的过载,严重影响网络性能。 4、组合过滤网关 使用组合过滤方案的网关通过冗余、重叠的过滤器提供相当坚固的访问控制,可以包括包、链路和应用级的过滤机制。 这样的安全网关最普通的实现是象岗哨一样保护私有网段边缘的出入点,通常称为边缘网关或防火墙。 这一重要的责任通常需要多种过滤技术以提供足够的防卫。下图所示为由两个组件构成的安全网关:一个路由器和一个处理机。 结合在一起后,它们可以提供协议、链路和应用级保护。 这种专用的网关不象其它种类的网关一样,需要提供转换功能。作为网络边缘的网关
39、,它们的责任是控制出入的数据流。 显然的,由这种网关联接的内网与外网都使用IP协议,因此不需要做协议转换,过滤是最重要的。 保护内网不被非授权的外部网络访问的原因是显然的。控制向外访问的原因就不那么明显了。在某些情况下, 是需要过滤发向外部的数据的。例如,用户基于浏览的增值业务可能产生大量的WAN流量,如果不加控制, 很容易影响网络运载其它应用的能力,因此有必要全部或部分地阻塞此类数据。 联网的主要协议IP是个开放的协议,它被设计用于实现网段间的通信。这既是其主要的力量所在,同时也是其最大的弱点。 为两个IP网提供互连在本质上创建了一个大的IP网, 保卫网络边缘的卫士-防火墙-的任务就是在合法
40、的数据和欺骗性数据之间进行分辨。 5、实现中的考虑 实现一个安全网关并不是个容易的任务,其成功靠需求定义、仔细设计及无漏洞的实现。首要任务是建立全面的规则, 在深入理解安全和开销的基础上定义可接受的折衷方案,这些规则建立了安全策略。 安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下,安全策略的基始承诺是允许所有数据通过,例外很少, 很易管理,这些例外明确地加到安全体制中。这种策略很容易实现,不需要预见性考虑,保证即使业余人员也能做到最小的保护。 另一个极端则极其严格,这种策略要求所有要通过的数据明确指出被允许,这需要仔细、着意的设计,其维护的代价很大, 但是对网络安全有无形的价值。
41、从安全策略的角度看,这是唯一可接受的方案。在这两种极端之间存在许多方案,它们在易于实现、 使用和维护代价之间做出了折衷,正确的权衡需要对危险和代价做出仔细的评估。 四 DMZDMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这
42、种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。一般网络分成内网和外网,也就是LAN和WAN,那么,当你有1台物理位置上的1台服务器,需要被外网访问,并且,也被内网访问的时候,那么,有2种方法,一种是放在LAN中,一种是放在DMZ。因为防火墙默认情况下,是为了保护内网的,所以,一般的策略是禁止外网访问内网,许可内网访问外网。但如果这个服务器能被外网所访问,那么,就意味着这个服务器已经处于不可信任的状态,那么,这个服务器就不能(主动)访问内网。 构建DMZ的策略1.内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。2.内网可以访问DMZ 此
43、策略是为了方便内网用户使用和管理DMZ中的服务器。3.外网不能访问内网 很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。4.外网可以访问DMZ DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 5.DMZ不能访问内网 很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。6.DMZ不能访问外网 此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。 DMZ的实现 根据以上访问控制策略可以设定Linux防火墙的过滤规则。下面将
44、在一个虚构的网络环境中,探讨如何根据以上六条访问控制策略建立相应的防火墙过滤规则。这里的讨论和具体应用会有所区别,不过这种讨论将有助于实际应用。用户在实际应用时可根据具体的情况进行设置。该虚拟环境的网络拓扑如图1。如图1所示,路由器连接Internet和防火墙。作为防火墙的Linux服务器使用三块网卡:网卡eth0与路由器相连,网卡eth1与DMZ区的Hub相连,网卡eth2与内网Hub相连。作为一个抽象的例子,我们用“内网地址”来代表“192.168.1.0/24”之类的具体数值。同理还有“外网地址”和“DMZ地址”。 所以,如果服务器放在内网(通过端口重定向让外网访问),一旦这个服务器被攻
45、击,则内网将会处于非常不安全的状态。但DMZ就是为了让外网能访问内部的资源,也就是这个服务器,而内网呢,也能访问这个服务器,但这个服务器是不能主动访问内网的。DMZ就是这样的一个区域。为了让物理位置在内网的,并且,希望能被外网所访问的这样的一个区域。 五 还原卡 工作原理还原卡的主体是一种硬件芯片,插在主板上与硬盘的MBR(主引导扇区)协同工作。大部分还原卡的原理都差不多,其加载驱动的方式十分类似DOS下的引导型病毒:接管BIOS的INT13中断,将FAT、引导区、CMOS信息、中断向量表等信息都保存到卡内的临时储存单元中或是在硬盘的隐藏扇区中,用自带的中断向量表来替换原始的中断向量表;再另外
46、将FAT信息保存到临时储存单元中,用来应付我们对硬盘内数据的修改;最后是在硬盘中找到一部分连续的空磁盘空间,然后将我们修改的数据保存到其中。每当我们向硬盘写入数据时,其实还是写入到硬盘中,可是没有真正修改硬盘中的FAT。由于保护卡接管INT13,当发现写操作时,便将原先数据目的地址重新指向先前的连续空磁盘空间,并将先前备份的第二份FAT中的被修改的相关数据指向这片空间。当我们读取数据时,和写操作相反,当某程序访问某文件时,保护卡先在第二份备份的FAT中查找相关文件,如果是启动后修改过的,便在重新定向的空间中读取,否则在第一份的FAT中查找并读取相关文件。删除和写入数据相同,就是将文件的FAT记
47、录从第二份备份的FAT中删除掉。硬盘还原卡是一种基于硬件的硬盘保护系统,跟还原软件的作用相同都是在系统损坏或数据丢失时及时恢复。还原卡将计算机的系统分区或其他需要保护的分区保护起来,用户可以将还原卡设定为下次启动或过一定的时间后对系统进行自动还原,这样,在此期间内对系统所作的修改将不复存在,免去了系统每使用一段时间后就由于种种原因造成系统紊乱、经常出现死机而不得不再次重装系统之苦。计算机系统恢复时的操作更加方便,只需重启一下计算机即可,并且还原卡的保护效果也远远的好于软件还原,能防止各种病毒的侵袭。还原卡的原理是在操作系统启动之前获得机器的控制权。用户对硬盘的操作,实际上不是对原来数据的修改,而是对还原卡保留区进行操作,从而达到对系统数据保护的功能。具体来说:(一)控制权的获得要得到控制权就要求还原卡里的程序赶在操作系统引导以前运行。计算机的启动过程是在BIOS(基本输入输出系统)的控制下进行的。BIOS是直接与硬件打交道的底层代码,它为操作系统提供了控制硬件设备的基本功能。BIOS包括有系统BIOS(即常说的主板BIOS)、显卡BIOS和其它设备(例如IDE控制器、SC