论文部分内容阅读
摘 要:随着信息网络技术的应用日益普及和深入,网络安全成为网络应用的重大隐患。由于网络安全的脆弱性而导致的经济损失,每年都在快速增长。为了有效地保护企业网络,大多数企业部署了涉及到多层的网络安全产品,其中包括防火墙,入侵检测系统,和病毒检测网关等。在本文中,我们首先了解下目前常用的网络安全技术,通过深入学习各个层的不同的安全技术能过更好地解决网络系统的安全问题。
关键词:网络;安全;数据包;防火墙;入侵防御;防病毒网关
网络安全技术的现状
目前我们使用各种网络安全技术保护计算机网络,以降低恶意软件和各种攻击给企业带来的风险。使用的网络安全技术大致可以分为四类:
1. 数据包层保护:如路由器的访问控制列表和无状态防火墙;
2. 会话层保护:如状态检测防火墙;
3. 应用层保护:如代理防火墙和入侵防御系统;
4. 文件层保护:如防病毒网关系统。
在表-1中对四类网络安全技术进行了比较,并且评估各种技术涉及的协议,安全机制,以及这些技术对网络性能的影响。
表-1 网络安全技术的比较
数据包过滤保护
数据包过滤保护是目前应用最广的控制网络访问的一种方式。这种技术的原理很简单:通过比较数据包头的基本信息来确定数据包是否允许通过。Cisco IOS的访问控制列表(ACL)是应用最广泛的一种包过滤工具。Linux操作系统中的IPChains也是一种常用的包过滤工具。
对于某些应用协议,在传输数据时,需要服务器和客户端协商一个随机的端口。例如FTP,RPC和H323.包过滤设备不能保护此类协议。为了保证此类应用的数据包通过包过滤设备,需要在访问控制列表上打开一个比较大的"漏洞",这样也就消弱了包过滤系统的保护作用。
状态检测防火墙
会话层的保护技术通过追踪客户端和服务器之间的会话状态来控制双向的数据流。状态检测防火墙记录会话状态信息,而且安全策略是也是对会话状态的允许或拒绝。对于基于面向连接的TCP协议应用程序,状态检测防火墙提供更丰富的安全策略:
1. 直接丢弃来自客户端/服务器的数据包;
2. 向客户端,或服务器,或者双方发送RST包,从而关闭整个TCP连接;
3. 提供基本的QoS功能。
状态检测防火墙能够监测到客户端和服务器之间的动态端口的协商,从而能够控制动态协议的数据流。 例如,对于FTP协议,状态检测防火墙通过监测控制会话中的协商动态端口的命令,从而控制它的数据会话的数据传输。
应用层保护
为了实现应用层保护,需要两个重要的技术:应用层协议分析器和内容匹配技术。应用层保护技术通过应用层协议分析器分析数据流的,从而过滤掉应用。目前,安全设备厂商提供多种安全产品提供应用层保护技术,其中部署比较广泛的产品有:入侵防御系统、Proxy防火墙。
1.入侵检测
入侵检测技术是一种主动保护自己免受黑客攻击的一种新型网络安全技术。入侵检测技术不但可以帮助系统对付网络攻击,而且扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全结构的完整性。它从计算机网络系统中的苦干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络监测,从而提供对内部攻击、外部攻击和误操作的实时保护。此外,它还可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,是网络安全中极其重要的部分。
入侵防御系统根据网络流量的IP地址,网络协议和应用层的分析和检测决定是否允许或拒绝网络访问。入侵防御系统接受数据包后,需要重组数据包,分析应用协议的命令和原语,然后发现可疑的网络攻击的特征码。如果监测到网络攻击的特征码,则执行预定策略的动作。这些动作可以是入侵日志,中断连接,或者禁止特定的应用协议的某些行为(例如,禁止使用MSN传输文件)。
2. 代理防火墙
代理防火墙也叫应用层网关防火墙。这种防火墙通过一种代理技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是 源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
代理防火墙在网络中代理客户端访问网络服务屏蔽客户端和服务器之间的直接通信。首先客户端和代理防火墙建立连接,并且代理防火墙和远程服务器建立连接。然后代理防火墙转发双方发送的数据。
代理防火墙和入侵防御系统都需要具有分片重组和TCP包重组功能,并且能够丢弃异常网络层数据包。这些异常的数据包可能被用于隐藏网络入侵。应用层安全产品具有理解应用协议的命令和原语的能力,这能够使应用层安全产品监测到异常的应用层内容。然而这些产品却受限于它们支持的应用层协议。对于常用的代理防火墙,仅支持一般的互联网协议,如HTTP,FTP,EMAIL,TELNET,RLOGIN等。入侵防御系统支持更广泛的应用协议。
代理防火墙和入侵防御系统通过分析应用协议,可以监测某些病毒和木马。例如,入侵防御系统通过分析EMAIL中的主体,附件文件名,以及附件的文件类型来监测某些已知的病毒。但是应用层安全保护不能进行文件层面,更深入的监测。文件层的安全监测可以发现更多的恶意代码。
现今有许多应用程序是以网页应用服务(Web Application)方式呈现的,所使用的HTTP端口。此外,许多软件开发人员已经懂得在开发应用程序时透过这些端口,以规避状态检测防火墙的阻挡。状态检测防火墙把透过这两个端口传输的服务?当成WWW服务,因此无法?解并控制在网络上使用的应用程序。
3. 新一代应用层保护系统
应用层保护系统(包括入侵防御系统和应用层防火墙)通过对HTTP协议和嵌入HTTP协议的应用程序的特征码的分析,具备对此类应用的控制能?。应用层保护系统提供的这种识别网页应用服务的能力可以准确的识别应用程序,无论这应用程序是否透过网页服务、SSL加密或其他规避技术。这让防火墙的策略建?可以依据应用程序,而?像传统防火墙只可以针对远程服务器的TCP端口来控管。这是新一代应用层保护系统的核心功能。 然而,“应用程序”没有RFC标准的定义,大部分网页应用程序的协议都是由服务提供商自己定义的。例如,iGoogle网页服务可以依据每个使用者的喜好,定制个人iGoogle的首页。此首页可以启动多个网页应用程序,如Gmail、Gtalk、Google Docs,和网页游戏等。对传统状态检测防火墙设备而言,看见的是单一网页的会话,但应用层安全保护系统将之视为多个应用程序。从而对这些应用程序采用不同的策略。
文件层的保护
文件层的保护可以从网络数据包中提取文件,从而可以使用病毒查杀引擎对这些文件进行扫描。防病毒网关是文件层保护技术的常用安全产品。
防病毒系统查找恶意软件的特征码:确定恶意软件的唯一字节序列,从而杀掉文件中的恶意软件。防病毒网关可以扫描HTTP协议中的WEB 下载,Email协议的附件,FTP文件传输,以及各种即时通信软件的文件传输,甚至一些明文的P2P协议。如果监测到被感染的文件,防病毒网关可以删除此文件,并可以告知客户端文件删除的原因。为了扫描网络流量中的文件,防病毒网关必须支持各种文件压缩和文件编码协议,如MIME,Base64等。
防病毒网关需要重组TCP数据包,并从应用数据流中将文件提取出来;而且恶意软件的数量日益俱增。这些因素导致防病毒网关会影响网络性能。
网络安全技术的展望
随着云计算技术的深入发展,各个云计算服务提供商提出了数据中心就是计算机的概念。这为网络安全领域提供了新的挑战。目前的包过滤防火墙、状态监测防火墙和防病毒网关一般部署在网络访问入口处;应用层保护系统部署在服务器群的前面。显然,这些安全设备的部署不能很好的解决公共云计算系统的网络安全问题。首先,公共云计算系统弱化了传统安全领域中的可信域,不可信域和军事地带的概念,也就消弱了防火墙对公共云的作用。其次,目前的应用层保护系统部署会限制公共云计算系统的可用性和可扩展性。这需要安全设备厂商转变观念,将网络安全产品融入到云计算系统中。云计算系统需要的是能够提供从网络层到应用层安全保护的服务系统,此系统和其他云计算节点一样提供为云计算客户提供安全服务。
参考文献
[1] 石志国等,计算机网络安全教程,清华大学出版社,2007.2
[2] 张同光等,信息安全技术实用教程,机械工业出版社,2008.7
[3] 王常吉等,信息与网络安全实验教程,清华大学出版社,2007.10
关键词:网络;安全;数据包;防火墙;入侵防御;防病毒网关
网络安全技术的现状
目前我们使用各种网络安全技术保护计算机网络,以降低恶意软件和各种攻击给企业带来的风险。使用的网络安全技术大致可以分为四类:
1. 数据包层保护:如路由器的访问控制列表和无状态防火墙;
2. 会话层保护:如状态检测防火墙;
3. 应用层保护:如代理防火墙和入侵防御系统;
4. 文件层保护:如防病毒网关系统。
在表-1中对四类网络安全技术进行了比较,并且评估各种技术涉及的协议,安全机制,以及这些技术对网络性能的影响。
表-1 网络安全技术的比较
数据包过滤保护
数据包过滤保护是目前应用最广的控制网络访问的一种方式。这种技术的原理很简单:通过比较数据包头的基本信息来确定数据包是否允许通过。Cisco IOS的访问控制列表(ACL)是应用最广泛的一种包过滤工具。Linux操作系统中的IPChains也是一种常用的包过滤工具。
对于某些应用协议,在传输数据时,需要服务器和客户端协商一个随机的端口。例如FTP,RPC和H323.包过滤设备不能保护此类协议。为了保证此类应用的数据包通过包过滤设备,需要在访问控制列表上打开一个比较大的"漏洞",这样也就消弱了包过滤系统的保护作用。
状态检测防火墙
会话层的保护技术通过追踪客户端和服务器之间的会话状态来控制双向的数据流。状态检测防火墙记录会话状态信息,而且安全策略是也是对会话状态的允许或拒绝。对于基于面向连接的TCP协议应用程序,状态检测防火墙提供更丰富的安全策略:
1. 直接丢弃来自客户端/服务器的数据包;
2. 向客户端,或服务器,或者双方发送RST包,从而关闭整个TCP连接;
3. 提供基本的QoS功能。
状态检测防火墙能够监测到客户端和服务器之间的动态端口的协商,从而能够控制动态协议的数据流。 例如,对于FTP协议,状态检测防火墙通过监测控制会话中的协商动态端口的命令,从而控制它的数据会话的数据传输。
应用层保护
为了实现应用层保护,需要两个重要的技术:应用层协议分析器和内容匹配技术。应用层保护技术通过应用层协议分析器分析数据流的,从而过滤掉应用。目前,安全设备厂商提供多种安全产品提供应用层保护技术,其中部署比较广泛的产品有:入侵防御系统、Proxy防火墙。
1.入侵检测
入侵检测技术是一种主动保护自己免受黑客攻击的一种新型网络安全技术。入侵检测技术不但可以帮助系统对付网络攻击,而且扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全结构的完整性。它从计算机网络系统中的苦干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络监测,从而提供对内部攻击、外部攻击和误操作的实时保护。此外,它还可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,是网络安全中极其重要的部分。
入侵防御系统根据网络流量的IP地址,网络协议和应用层的分析和检测决定是否允许或拒绝网络访问。入侵防御系统接受数据包后,需要重组数据包,分析应用协议的命令和原语,然后发现可疑的网络攻击的特征码。如果监测到网络攻击的特征码,则执行预定策略的动作。这些动作可以是入侵日志,中断连接,或者禁止特定的应用协议的某些行为(例如,禁止使用MSN传输文件)。
2. 代理防火墙
代理防火墙也叫应用层网关防火墙。这种防火墙通过一种代理技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是 源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
代理防火墙在网络中代理客户端访问网络服务屏蔽客户端和服务器之间的直接通信。首先客户端和代理防火墙建立连接,并且代理防火墙和远程服务器建立连接。然后代理防火墙转发双方发送的数据。
代理防火墙和入侵防御系统都需要具有分片重组和TCP包重组功能,并且能够丢弃异常网络层数据包。这些异常的数据包可能被用于隐藏网络入侵。应用层安全产品具有理解应用协议的命令和原语的能力,这能够使应用层安全产品监测到异常的应用层内容。然而这些产品却受限于它们支持的应用层协议。对于常用的代理防火墙,仅支持一般的互联网协议,如HTTP,FTP,EMAIL,TELNET,RLOGIN等。入侵防御系统支持更广泛的应用协议。
代理防火墙和入侵防御系统通过分析应用协议,可以监测某些病毒和木马。例如,入侵防御系统通过分析EMAIL中的主体,附件文件名,以及附件的文件类型来监测某些已知的病毒。但是应用层安全保护不能进行文件层面,更深入的监测。文件层的安全监测可以发现更多的恶意代码。
现今有许多应用程序是以网页应用服务(Web Application)方式呈现的,所使用的HTTP端口。此外,许多软件开发人员已经懂得在开发应用程序时透过这些端口,以规避状态检测防火墙的阻挡。状态检测防火墙把透过这两个端口传输的服务?当成WWW服务,因此无法?解并控制在网络上使用的应用程序。
3. 新一代应用层保护系统
应用层保护系统(包括入侵防御系统和应用层防火墙)通过对HTTP协议和嵌入HTTP协议的应用程序的特征码的分析,具备对此类应用的控制能?。应用层保护系统提供的这种识别网页应用服务的能力可以准确的识别应用程序,无论这应用程序是否透过网页服务、SSL加密或其他规避技术。这让防火墙的策略建?可以依据应用程序,而?像传统防火墙只可以针对远程服务器的TCP端口来控管。这是新一代应用层保护系统的核心功能。 然而,“应用程序”没有RFC标准的定义,大部分网页应用程序的协议都是由服务提供商自己定义的。例如,iGoogle网页服务可以依据每个使用者的喜好,定制个人iGoogle的首页。此首页可以启动多个网页应用程序,如Gmail、Gtalk、Google Docs,和网页游戏等。对传统状态检测防火墙设备而言,看见的是单一网页的会话,但应用层安全保护系统将之视为多个应用程序。从而对这些应用程序采用不同的策略。
文件层的保护
文件层的保护可以从网络数据包中提取文件,从而可以使用病毒查杀引擎对这些文件进行扫描。防病毒网关是文件层保护技术的常用安全产品。
防病毒系统查找恶意软件的特征码:确定恶意软件的唯一字节序列,从而杀掉文件中的恶意软件。防病毒网关可以扫描HTTP协议中的WEB 下载,Email协议的附件,FTP文件传输,以及各种即时通信软件的文件传输,甚至一些明文的P2P协议。如果监测到被感染的文件,防病毒网关可以删除此文件,并可以告知客户端文件删除的原因。为了扫描网络流量中的文件,防病毒网关必须支持各种文件压缩和文件编码协议,如MIME,Base64等。
防病毒网关需要重组TCP数据包,并从应用数据流中将文件提取出来;而且恶意软件的数量日益俱增。这些因素导致防病毒网关会影响网络性能。
网络安全技术的展望
随着云计算技术的深入发展,各个云计算服务提供商提出了数据中心就是计算机的概念。这为网络安全领域提供了新的挑战。目前的包过滤防火墙、状态监测防火墙和防病毒网关一般部署在网络访问入口处;应用层保护系统部署在服务器群的前面。显然,这些安全设备的部署不能很好的解决公共云计算系统的网络安全问题。首先,公共云计算系统弱化了传统安全领域中的可信域,不可信域和军事地带的概念,也就消弱了防火墙对公共云的作用。其次,目前的应用层保护系统部署会限制公共云计算系统的可用性和可扩展性。这需要安全设备厂商转变观念,将网络安全产品融入到云计算系统中。云计算系统需要的是能够提供从网络层到应用层安全保护的服务系统,此系统和其他云计算节点一样提供为云计算客户提供安全服务。
参考文献
[1] 石志国等,计算机网络安全教程,清华大学出版社,2007.2
[2] 张同光等,信息安全技术实用教程,机械工业出版社,2008.7
[3] 王常吉等,信息与网络安全实验教程,清华大学出版社,2007.10