《网络安全技术白皮书.docx》由会员分享,可在线阅读,更多相关《网络安全技术白皮书.docx(50页珍藏版)》请在三一办公上搜索。
1、技术白皮书目 录第一部分 公司简介5第二部分 网络安全的背景5第一章 网络安全的定义5第二章 产生网络安全问题的几个方面621 信息安全特性概述62. 2 信息网络安全技术的发展滞后于信息网络技术。623TCP/IP协议未考虑安全性624操作系统本身的安全性725未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制726忽略了来自内部网用户的安全威胁727缺乏有效的手段监视、评估网络系统的安全性728使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失7第三章 网络与信息安全防范体系
2、模型以及对安全的应对措施831信息与网络系统的安全管理模型83.2 网络与信息安全防范体系设计83.2.1 网络与信息安全防范体系模型83.2.1.1 安全管理93.2.1.2 预警93.2.1.3 攻击防范93.2.1.4 攻击检测93.2.1.5 应急响应103.2.1.6 恢复103.2.2 网络与信息安全防范体系模型流程103.2.3 网络与信息安全防范体系模型各子部分介绍123.2.3.1 安全服务器123.2.3.2 预警123.2.3.3 网络防火墙123.2.3.4 系统漏洞检测与安全评估软件133.2.3.5 病毒防范133.2.3.6 VPN142.3.7 PKI143.2
3、.3.8 入侵检测143.2.3.9 日志取证系统153.2.3.10 应急响应与事故恢复153.2.4 各子部分之间的关系及接口15第三部分 相关网络安全产品和功能17第一章防火墙171.1防火墙的概念及作用171.2防火墙的任务181.3防火墙术语191.4用户在选购防火墙的会注意的问题:211.5防火墙的一些参数指标231.6防火墙功能指标详解231.7防火墙的局限性271.8防火墙技术发展方向27第二章防病毒软件3121病毒是什么3122病毒的特征3223病毒术语3324病毒的发展的趋势3525病毒入侵渠道3626防病毒软件的重要指标3727防病毒软件的选购38第三章入侵检测系统(ID
4、S)393.1入侵检测含义393.2入侵检测的处理步骤403.3入侵检测功能433.4入侵检测系统分类443.5入侵检测系统技术发展经历了四个阶段443.6入侵检测系统的缺点和发展方向45第四章VPN(虚拟专用网)系统454.1 VPN基本概念454.2 VPN产生的背景464.3 VPN的优点和缺点46第五章安全审计系统465.1、安全审计的概念465.2:安全审计的重要性475.3、审计系统的功能特点47第六章 漏洞扫描系统486.1网络漏洞扫描评估系统的作用486.2 网络漏洞扫描系统选购的注意事项: 1、是否通过国家的各种认证 目前国家对安全产品进行认证工作的权威部门包括公安部信息安全
5、产品测评中心、国家信息安全产品测评中心、解放军安全产品测评中心、国家保密局测评认证中心。 2、漏洞数量和升级速度 漏洞数量是考查漏洞扫描器的重要指标,最新漏洞的数量、漏洞更新和升级的方法以及升级方法是否能够被非专业人员掌握,使得漏洞库升级的频率显得更为重要。比如RJ-iTop网络隐患扫描系统每周一次,漏洞数量达1502之多(截止到2004年7月9日)。 3、产品本身的安全性 扫描产品运行的操作系统平台是否安全以及产品本身的抗攻击性能如何都是用户应该需要考虑的因素。比如RJ-iTop网络隐患扫描系统采用软硬结合、专门优化的linux系统,关闭了不必要的端口和服务,并且传输的数据加密。 4、是否支
6、持CVE国际标准 其目的是给所有已知的漏洞和安全泄露提供一个标准化的命名。给企业提供更好的覆盖、更容易的协同和加强的安全。 5、是否支持分布式扫描 产品具有灵活、携带方便、穿透防火墙的特性。因为现在不再有没有划分VLAN的单一 网络存在;扫描器发出的数据包有些会被路由器、防火墙过滤,降低扫描的准确性。 在网络内进行防火墙与IDS的设置,并不意味着我们的网络就绝对安全,但是设置得当的防火墙和IDS,至少会使我们的网络更为坚固一些,并且能提供更多的攻击信息供我们分析。防火墙、防病毒、入侵检测、漏洞扫描分别属于PDR和P2DR模型中的防护和检测环节。这几种安全技术围绕安全策略有序地组织在一起,相互协
7、同,相互作用,构成一个动态自适应的防范体系。49第七章 身份认证系统 (PKI 系统)497.1 PKI的体系结构49第一部分 公司简介 第二部分 网络安全的背景第一章 网络安全的定义国际标准化组织(ISO)将计算机安全定义为“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。” 我国自己提出的定义是:“计算机系统的硬件、软件、数据受到保护 ,不因偶然的或恶意的原因而遭到破坏、更改、显露 ,系统能连续正常运行。”因此,所谓网络安全就是指基于网络的互联互通和运作而涉及的物理线路和连接的安全,网络系统的安全,操作系统的安全,应用服务
8、的安全和人员管理的安全等几个方面。但总的说来,计算机网络的安全性 ,是由数据的安全性、通信的安全性和管理人员的安全意识三部分组成。随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。传统的信息安全技术都集中在系统本身的加固和防护上,如采用安全级别高的操作系统与数据库,在网络的出口处配置防火墙,在信息传输和存储方面采用加密技术,使用集中的身份认证产品等。传统的信息系统安全模型是针对单机系统环境而制定的,对网络环境安
9、全并不能很好描述,并且对动态的安全威胁、系统的脆弱性没有应对措施,传统的安全模型是静态安全模型。但随着网络的深入发展,它已无法完全反应动态变化的互联网安全问题。第二章 产生网络安全问题的几个方面21 信息安全特性概述2. 2 信息网络安全技术的发展滞后于信息网络技术。网络技术的发展可以说是日新月异,新技术、新产品层出不穷,世界各国及一些大的跨国公司都在这方面投入了不少心力,可对产品本身的安全性来说,进展不大,有的还在延续第一代产品的安全技术,以Cisco公司为例,其低端路由产品从cisco 2500系列到7500系列,其密码加密算法基本一致。而其他功能,特别是数据吞吐能力及数据交换速率提高之大
10、,令人瞠目。在我国,许多大的应用系统也是建立在国外大型操作系统的基础之上。如果我们的网络安全产品也从国外引进 ,会使我们的计算机信息系统完全暴露在外。后果堪忧。其次,网络应用的设计往往在应用方面考虑的比较多,这就是应用永远高于安全,因为一个系统的设计最终的目的是为了应用、其次才是安全。互联网的发展也一样,互联网上的应用系统的发展速度和规模远远大于安全系统的发展速度和规模。23TCP/IP协议未考虑安全性在TCP/IP协议设计之处,主要考虑的是互联和应用方便,所以TCP/IP协议是一个开放的互联网协议,它从一开始就是一种松散的、无连接的、不可靠的方式,这一特点造成在网上传送的信息很容易被拦截、偷
11、窥和篡改。TCP/IP协议的两个创始人Vinton G Cerf和Robert E. Kahn没有为这个协议的发明去申请专利,而是公开了源代码,这为互联网的飞速发展奠定了基础,也为网络安全留下了很多的隐患。我们的网络哨兵其实也是这个安全漏洞的产物,我们的抓包程序能获取到HUB或交换机中的数据包、然后进行分析处理,这本身就是TCP/IP协议的漏洞之一。TCP/IP协议中的数据是以明文形式发送的,这为安全留下了隐患。24操作系统本身的安全性目前流行的许多操作系统均存在网络安全漏洞,如UNIX, Windows、甚至包括一些安全系统的操作系统也存在安全漏洞。黑客往往就是利用这些操作系统本身所存在的安
12、全漏洞侵入系统。25未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制26忽略了来自内部网用户的安全威胁来自内部用户的安全威胁远大于外部网用户的安全威胁,特别是一些安装了防火墙的网络系统,对内部网用户来说一点作用也不起。27缺乏有效的手段监视、评估网络系统的安全性完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评
13、估、分析,并对发现的问题提出建议从而提高网络系统安全性能的过程。评估分析技术是一种非常行之有效的安全技术。28使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限 ,利用这些权限破坏网络安全的隐患也是存在的。如操作口令的泄漏 ,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,内部人员有意无意的泄漏给黑客带来可乘之机等,都可能使网络安全机制形同虚设。第三章 网络与信息安全防范体系模型以及对安全的应对措施如何才能使我们的
14、网络百分之百的安全呢?对这个问题的最简单的回答是:不可能。因为迄今还没有一种技术可完全消除网络安全漏洞。网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。从广泛的网络安全意义范围来看,网络安全不仅是技术问题,更是一个管理问题,它包含管理机构、法律、技术、经济各方面。安全解决方案不是简单产品的堆砌,而是从风险分析、需求分析、安全策略到安全意识教育与技术培训的系统工程。31信息与网络系统的安全管理模型3.2 网络与信息安全防范体系设计3.2.1 网络与信息安全防范体系模型网络与信息安全防范体系是一个动态的、基于时间变化的概念,为确保网络与信息系统的抗攻击性能,保证信息的完整性、可用性、
15、可控性和不可否认性,本安全体系提供这样一种思路:结合不同的安全保护因素,例如防病毒软件、防火墙和安全漏洞检测工具,来创建一个比单一防护有效得的多的综合的保护屏障。多层、安全互动的安全防护成倍地增加了黑客攻击的成本和难度,从而大大减少了他们对网络系统的攻击。图1: 网络与信息安全防范模型网络与信息安全防范模型如图1所示,它是一个可扩展的结构。3.2.1.1 安全管理一个成功的安全防范体系开始于一个全面的安全政策,它是所有安全技术和措施的基础,也是整个体系的核心。3.2.1.2 预警是实施安全防范体系的依据,对整个网络安全防护性能给出科学、准确的分析评估,有针对性的给出防范体系的建设方案才是可行的
16、。3.2.1.3 攻击防范攻击防范是用于提高安全性能,抵抗入侵的主动防御手段,通过建立一种机制来检查、再检查系统的安全设置,评估整个网络的风险和弱点,确保每层是相互配合而不是相互抵触地工作,检测与政策相违背的情况,确保与整体安全政策保持一致。使用扫描工具及时发现问题并进行修补,使用防火墙、VPN、PKI等技术和措施来提高网络抵抗黑客入侵的能力。3.2.1.4 攻击检测攻击检测是保证及时发现攻击行为,为及时响应提供可能的关键环节,使用基于网络和基于主机的IDS,并对检测系统实施隐蔽技术,以防止黑客发现防护手段进而破坏监测系统,以及时发现攻击行为,为响应赢得时间。采用与防火墙互联互动、互动互防的技
17、术手段,形成一个整体策略,而不是单一的部分。设立安全监控中心,掌握整个网络的安全运行状态,是防止入侵的关键环节。3.2.1.5 应急响应在发现入侵行为后,为及时切断入侵、抵抗攻击者的进一步破坏行动,作出及时准确的响应是必须的。使用实时响应阻断系统、攻击源跟踪系统、取证系统和必要的反击系统来确保响应的准确、有效和及时,预防同类事件的再发生并为捕获攻击者提供可能,为抵抗黑客入侵提供有效的保障。3.2.1.6 恢复W 恢复是防范体系的又一个环节,无论防范多严密,都很难确保万无一失,使用完善的备份机制确保内容的可恢复,借助自动恢复系统、快速恢复系统来控制和修复破坏,将损失降至最低。6个环节互为补充,构
18、成一个有机整体,形成较完善的网络与信息安全体系。3.2.2 网络与信息安全防范体系模型流程网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程。图2:网络与信息安全防范体系工作流程网络与信息安全防范体系的工作流程为:攻击前的防范部分负责对日常的防御工作及对实时的消息进行防御:防火墙作为第一道关口,负责控制进入网络的访问控制,即进行了日常的防御工作,也对事实的消息进行了防御;系统漏洞检测系统、安全评估软件一个从内一个从外,非常详细地扫描安全漏洞并将系统漏洞一一列表,给出最佳解决方法。邮件过滤系统、PKI、VPN等都是进行日常的防御工作。攻
19、击过程中的防范部分负责对实时的攻击做出反应。预警系统、入侵检测系统检测通过防火墙的数据流进行进一步检查,综合分析各种信息,动态分析出那些时黑客对系统做出的进攻,并立即做出反应。通过分析系统审计日志中大量的跟踪用户活动的细节记录来发现入侵,分别在网络级和系统级共同探测黑客的攻击并及时做出反击,防止黑客进行更深一步的破坏。攻击过程后的应对部分主要是造成一定损害时,则由应急响应与灾难恢复子系统进行处理。3.2.3 网络与信息安全防范体系模型各子部分介绍网络与信息安全防御体系是一个动态的、基于时间变化的概念,是一种互联互动、多层次的黑客入侵防御体系:以预警、攻击防范、攻击检测、应急响应、恢复和安全管理
20、为子部分构成一个整体。3.2.3.1 安全服务器作为一种重要的基础网络设备,安全服务器产品广泛应用于电子商务和电子信息服务等关键领域。目前国内服务器产品大都为国外设备,在信息安全构建过程中必然存在着潜在的危险,因而发展民族服务器产业,构建民族信息长城是国家亟待解决的重大问题。所谓的安全服务器,即是指运行安全程序的计算机。众所周知,Internet 是伴随着TCP/IP 设计的网络,不管是访问控制层还是数据链路层,安全问题基本没有被考虑。TCP/IP是以明文方式传输数据的,这在开放的Internet 环境里很容易被窃听。安全服务器即是:通过对传输中的数据流进行加密,保证数据即使被窃听也不能被解密
21、;通过电子证书和密钥算法进行身份确认,防止了身份欺诈;通过对数据流的校验,保证数据在传输过程中不被篡改,使得非法进入网上秘密程序无机可乘。其主要涉及的技术有:容量大,稳定性高的磁盘阵列;大内存,以提高系统的处理与运算能力;系统的容错能力;故障的在线修复技术;服务器集群技术;对称多处理技术;安全SSL 技术;安全服务器网络技术( SSN)等。3.2.3.2 预警预警子系统的目的就是采用多检测点数据收集和智能化的数据分析方法检测是否存在某种恶意的攻击行为,并评测攻击的威胁程度、攻击的本质、范围和起源,同时预测敌方可能的行动。预警过程是基于收集和分析从开放信息资源收集而获得,提取重要的信息来指导计划
22、、训练和提前做准备。3.2.3.3 网络防火墙防火墙是保护网络安全最主要的手段之一,它是设置在被保护网络与外部网络之间的一道屏障,以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部地结构、信息和运行情况,以此来实现内部网络地安全保护。防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据相应的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,可有效地监控内部网和外部网之间地活动,保证了内部网络地安全。研
23、制与开发防火墙子系统地关键技术主要是实现防火墙地安全、高性能与可扩展。防火墙一般具有以下几种功能:允许网络管理员定义一个中心点来防止非法用户进入内部网络。可以很方便地监视网络的安全性,并报警。可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT 技术,将有限的IP地址动态或静态地与内部的IP 地址对应起来,用来缓解地址空间短缺的问题。是审计和记录Internet 使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet 连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。可以连接到一个单独的
24、网段上,从物理上和内部网段隔开,并在此部署WWW 服务器和FTP 服务器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。3.2.3.4 系统漏洞检测与安全评估软件系统漏洞检测可以探测网络上每台主机乃至路由器的各种漏洞;安全评估软件从系统内部扫描安全漏洞和隐患。安全评估软件还主要涉及到网络安全检测,其主要是系统提供的网络应用和服务及相关的协议分析和检测。系统漏洞检测与安全评估软件完成的功能主要有:对网络的拓扑结构和环境的变化必须进行定期的分析,并且及时调整安全策略;定期分析有关网络设备的安全性,检查配置文件和日志文件;定期分析操作系统和应用软件,一旦发现安全漏洞,
25、应该及时修补;检测的方法主要采用安全扫描工具,测试网络系统是否具有安全漏洞和是否可以抗击有关攻击,从而判定系统的安全风险。3.2.3.5 病毒防范病毒防范子系统主要包括计算机病毒预警技术、已知与未知病毒识别技术、病毒动态滤杀技术等。能同时从网络体系的安全性、网络协议的安全性、操作系统的安全性等多个方面研究病毒免疫机理。加强对计算机病毒的识别、预警以及防治能力,形成基于网络的病毒防治体系。网络病毒发现及恶意代码过滤技术主要是研究已知与未知病毒识别技术、网上恶意代码发现与过滤技术。主要的功能为开发网络病毒疫情实时监控系统、主动网络病毒探查工具。能对疫情情况进行统计分析,能主动对INTERNET 中
26、的网站进行病毒和病毒源代码检测;可利用静态的特征代码技术和动态行为特征综合判定未知病毒。3.2.3.6 VPNVPN 是集合了数字加密验证和授权来保护经过INTERNET 的信息的技术。它可以在远程用户和本信息系统网络之间建立一个安全管道。主要的技术包括隧道技术、隧道交换技术与公钥基础设施( PKI)的紧密集成技术以及质量保证技术等。隧道技术主要研究合适的封装协议、加解密算法、密钥交换协议以及认证协议等。隧道交换技术研究将隧道如何延伸到防火墙内,并可以在任意位置终止的技术。2.3.7 PKI公钥技术设施集成技术:提出与国际接轨的PKI和密钥KMI技术标准,提供基于PKI和KMI技术的安全服务平
27、台和公共安全接口,开发PKI技术产品和应用系统。其中PKI的安全核心部件包括不同规模的CA系统、RA系统和KM系统。3.2.3.8 入侵检测入侵检测子系统是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测子系统被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。具有以下的功能:监视、分析用户及系统活动;系统构造和
28、弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。3.2.3.9 日志取证系统通过对网络上发生的各种访问过程进行记录和产生日志,并对日志进行统计分析,从而对资源使用情况进行分析,对异常现象进行追踪监视。3.2.3.10 应急响应与事故恢复本子系统主要的目标是在开放的互联网环境下构造基于生存性的多样化动态漂移网络,当信息系统遭受攻击时,快速反应和对遭到的系统、文件和数据进行快速恢复。为建立信息安全应急反应服务体系提供方法。并且能提供自我诊断与自我恢复相结合的功能。主要涉及的技术有:
29、故障分析诊断技术。将入侵检测、病毒防治和安全管理等系统相配合,研究攻击和破坏事件自动报警和保护技术、攻击事件信息记录和破坏现场保护技术、黑客追踪和病毒源分析技术。攻击避免与故障隔离技术。研究信息系统、网络系统的仿真、诱骗和隐蔽技术;研究具有抗攻击和破坏能力的网络与系统的体系结构和技术,如隔离技术等。3.2.4 各子部分之间的关系及接口各子部分的关系如图:图3:各子部分之间关系图各子部分之间的接口规范如下:1. 内容安全使用CVP(Content Vectoring Protocol)内容安全允许用户扫描经过网络的所有数据包内容。例如:病毒、恶意Java 或AcitveX 程序等。本体系可提供的
30、CVP API 定义了异步接口将数据包转发到服务器应用程序去执行内容验证。用户可以根据多种标准来验证内容的安全。2、Web 资源管理使用UFP(URL Filtering Protocol)UFP 定义了Client/Server 异步接口来分类和控制基于特定URL 地址的通信。防火墙上的UFP 客户端将URL传送到UFP 服务器上,UFP 服务器使用动态分类技术将URL 进行分类,防火墙则根据安全规则的定义对分类进行处理。对客户来说,通过中央的安全策略管理即可实现高效的Web 资源管理。3、入侵检测采用SAMP(Suspicious Activity Monitorng Protocol)S
31、AMP API 定义了入侵检测应用同VPN 和网络防火墙通信的接口。入侵检测引擎使用SAMP 来识别网络中的可疑行为,并通知防火墙处理。另外SAMP 应用可以发送日志、告警和状态信息到安全管理子系统。4、事件集成可提供两个API:LEA(Log Export API)和ELA(Event Logging API)允许第三方来访问日志数据。报表和事件分析采用LEA API,而安全与事件整合采用ELA API。5、管理和分析采用OMI(OPSEC Management Interface)OMI 提供到安全管理子系统的中央策略数据库的接口,允许第三方应用安全地访问存储在管理服务器上的安全策略。OM
32、I 能够访问以下资源: 存储在管理服务器上的安全策略 管理服务器上定义的网络、服务、资源和服务器对象 用户、摸板和用户组 允许登录到管理服务器的管理员列表6、认证采用OPSEC PKI 集成本体系提供了一个开放式集成环境,第三方的Public Key Infrastructure(PKI)能紧密的与总体系集成在一起(VPN Gateway、VPN SecureClient、防火墙C/S 之间的通信等)。VPN Gateway 能同时多个不同的CA。开放的PKI 使得管理员能够选择最大限度满足要求的PKI 解决方案。第三部分 相关网络安全产品和功能第一章 防火墙1.1防火墙的概念及作用防火墙的本
33、义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误
34、或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如Intranet等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上,在Internet上的Web网站中,超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任
35、何关键性的服务器,都建议放在防火墙之后。1.2防火墙的任务防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合四个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。防火墙要能确保满足以下四个目标:u 实现一个公司的安全策略防火墙的主要意图是强制执行你的安全策略。在前面的课程提到过在适当的网络安全中安全策略的重要性。举个例子,也许你的安全策略只需对MAIL服务器的SMTP流量作些限制,那么你要直接在防火墙强制这些策略。u 创建一个阻塞点防火墙在一个公司私有网络和分网问建立一个检查点。这种实现要求所有的流量都要通过这个检
36、查点。一旦这些检查点清楚地建立,防火墙设备就可以监视,过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。通过强制所有进出流量都通过这些检查点,网络管理员可以集中在较少的方来实现安全目的。如果没有这样一个供监视和控制信息的点,系统或安全管理员则要在大量的地方来进行监测。检查点的另一个名字叫做网络边界。u 记录Internet活动防火墙还能够强制日志记录,并且提供警报功能。通过在防火墙上实现日志服务,安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现适当网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。u 限制网络暴露防火墙在你的网络周围创建了一个
37、保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量时行源检查,以限制从外部发动的攻击。1.3防火墙术语在我们继续讨论防火墙技术前,我们需要对一些重要的术语有一些认识: 网关网关是在两上设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关。这个术语是非常常见的,而且在本课会用于一个防火墙组件里,在两个不同的网络路由和处理数据。 电路级网关电路级网关用来
38、监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外,电路级网关还提供一个重要的安全功能:网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。有两种方法来实现这种类型的网关,一种是由一台主机充当筛选路由器而另一台充当应用级防火墙。另一种是在第一个防火墙主机和第二个之间建立安全的连接。这种结构的好处是当一次攻击发生时能提供容错功能。 应用级网关应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防
39、止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。通常是在特殊的服务器上安装软件来实现的。 包过滤包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备允许或阻止包,典型的实施方法是通过标准的路由器。包过滤是几种不同防火墙的类型之一,在本课后面我们将做详细地讨论。 代理服务器代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个应用级的网关,虽然电路级网关也可作为代理服务器的一种。 网络地址翻译(NAT)网络地址解释是对Internet隐藏内部地址,防止内部地址公开。这一
40、功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。对于NAT的另一个名字是IP地址隐藏。RFC1918概述了地址并且IANA建议使用内部地址机制,以下地址作为保留地址:10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 如果你选择上述例表中的网络地址,不需要向任何互联网授权机构注册即可使用。使用这些网络地址的一个好处就是在互联网上永远不会被路由。互联网上所有的路由器发现源或目标地址含有这些私有网络ID时都会自动
41、地丢弃。 堡垒主机堡垒主机是一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。从堡垒主机的定义我们可以看到,堡垒主机是网络中最容易受到侵害的主机。所以堡垒主机也必须是自身保护最完善的主机。你可以使用单宿主堡垒主机。多数情况下,一个堡垒主机使用两块网卡,每个网卡连接不同的网络。一块网卡连接你公司的内部网络用来管理、控制和保护,而另一块连接另一个网络,通常是公网也就是Internet。堡垒主机经常配置网关服务。网关服务是一个进程来提供对从公网到私有网络的特殊协议路由,反之亦
42、然。在一个应用级的网关里,你想使用的每一个应用程协议都需要一个进程。因此,你想通过一台堡垒主机来路由Email,Web和FTP服务时,你必须为每一个服务都提供一个守护进程。 强化操作系统防火墙要求尽可能只配置必需的少量的服务。为了加强操作系统的稳固性,防火墙安装程序要禁止或删除所有不需要的服务。多数的防火墙产品,包括Axent Raptor(),CheckPoint()和Network Associates Gauntlet ()都可以在目前较流行的操作系统上运行。如Axent Raptor防火墙就可以安装在Windows NT Server4.0,Solaris及HP-UX操作系统上。理论上
43、来讲,让操作系统只提供最基本的功能,可以使利用系统BUG来攻击的方法非常困难。最后,当你加强你的系统时,还要考虑到除了TCP/IP协议外不要把任何协议绑定到你的外部网卡上。 非军事化区域(DMZ)DMZ是一个小型网络存在于公司的内部网络和外部网络之间。这个网络由筛选路由器建立,有时是一个阻塞路由器。DMZ用来作为一个额外的缓冲区以进一步隔离公网和你的内部私有网络。DMZ另一个名字叫做Service Network,因为它非常方便。这种实施的缺点在于存在于DMZ区域的任何服务器都不会得到防火墙的完全保护。 筛选路由器筛选路由器的另一个术语就是包过滤路由器并且至少有一个接口是连向公网的,如Inte
44、rnet。它是对进出内部网络的所有信息进行分析,并按照一定的安全策略信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的。采用这种技术的防火墙优点在于速度快、实现方便,但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。 阻塞路由器阻塞路由器(也叫内部路由器)保护内部的网络使之免受Internet和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网络到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全
45、支持和安全提供的服务。内部路由器所允许的在堡垒主机(在周边网上)和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。1.4用户在选购防火墙的会注意的问题:一、防火墙自身的安全性 防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的,同时防火墙自身的安全实现也直接影响整体系统的安全性。 二、系统的稳定性 目前,由于种种原因,有些防火墙尚未最后
46、定型或经过严格的大量测试就被推向了市场,其稳定性可想而知。防火墙的稳定性可以通过几种方法判断: 1 从权威的测评认证机构获得。例如,你可以通过与其它产品相比,考察某种产品是否获得更多的国家权威机构的认证、推荐和入网证明(书),来间接了解其稳定性。 2 实际调查,这是最有效的办法:考察这种防火墙是否已经有了使用单位、其用户量如何,特别是用户们对于该防火墙的评价。 3 自己试用。在自己的网络上进行一段时间的试用(一个月左右)。 4 厂商开发研制的历史。一般来说,如果没有两年以上的开发经历,很难保证产品的稳定性。 5 厂商实力,如资金、技术开发人员、市场销售人员和技术支持人员多少等等。 三、是否高效
47、 高性能是防火墙的一个重要指标,它直接体现了防火墙的可用性。如果由于使用防火墙而带来了网络性能较大幅度的下降,就意味着安全代价过高。一般来说,防火墙加载上百条规则,其性能下降不应超过5(指包过滤防火墙)。 四、是否可靠 可靠性对防火墙类访问控制设备来说尤为重要,直接影响受控网络的可用性。从系统设计上,提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件,这要求有较高的生产标准和设计冗余度。五、是否功能灵活 对通信行为的有效控制,要求防火墙设备有一系列不同级别,满足不同用户的各类安全控制需求的控制注意。例如对普通用户,只要对 IP 地址进行过滤即可;如果是内部有不同安全级别的子网,有时则必须允许高级别子网对低级别子网进行单向
