网络安全从其本质上来讲就是网络上的信息安全,网络安全涉及的内容有三个方面:包括安全管理、安全技术、安全设备。从技术上来说,网络安全由安全的操作系统、应用软件、防火墙、网络监控、通信加密、灾难恢复、安全扫描等多个安全组件来保证的。本文分析了防火墙、入侵检测、VPN、安全审计等安全技术及原理,提出了一套安全防护体系。该安全防护体系有机地融合了以上的安全技术,使之集成为一套整体性的技术体系,并在基于TCP/IP的网络中设计实现了该安全防护体系――GateGod系列安全产品。本文的工作如下:设计并实现了防火墙系统的状态包过滤功能模块以及防火墙系统的地址伪装和端口映射功能模块。设计并实现了智能防火墙的入侵检测系统——guarder。该系统采用了“事件检测”引擎技术,并定义了一套入侵特征模式描述语言及相应的规则语法解释器。这样,可以用模式描述语言描述新的攻击并增加到攻击特征模式库中,同时增加新的事件检测引擎来识别此攻击,保证了系统的可扩展性要求,方便升级。仔细分析了IPSec在Linux操作系统中的实现,以及Linux操作系统中网络实现的部分源代码,在此基础上设计和实现IP隧道模块。该模块提供了一种自动协商、添加隧道配置信息的机制,从而提高了隧道的协商效率;并且遵循ISAKMP/OAKLEY密钥协商和管理协议,实现安全可靠的密钥分发与管理,支持X.509证书和PKCS12证书格式,支持严格的PKI身份认证。 <WP=3>设计并实现了防火墙包过滤系统与入侵检测系统协同工作的机制,大大提高了防火墙自身及网络的安全性。使用Cache技术、数字水印技术与安全审计技术,提供了对整套系统的日志和事件审计日志的安全控制。定制了整套安全防护系统运行的Linux操作系统——NisecLinux。该系统定制内核,做到功能最小化,去除了众多不安全的服务,使安全防护体系建立在一个安全的操作系统上。采用DOM盘构建硬件平台进一步为整个体系提供安全可靠性。设计并实现了安全防护体系的管理配置系统。配置系统使用C/S模式,客户端管理工具位于管理员熟悉的Windows平台,可以方便用户配置管理防火墙模块、入侵检测模块、IP隧道模块以及日志审计模块。整套系统中防火墙、入侵检测与IP隧道实现了无缝集成,提供了安全可靠的数据访问控制和数据传输环境。