论文部分内容阅读
摘要:随着全球网络Internet 用户数量的迅猛增长,网络信息的安全已面临日益严重的威胁,而有关安全的侦测与防范手段尚不健全。越来越多的证据表明, 对国家安全部门计算机系统的攻击已构成对国家安全的严重威胁。本文详细讨论了基于防火墙的Internet网络信息安全体系结构,并指出了防火墙自身的局限性以及未来安全体系结构的发展趋势。
关键词:网络 防火墙 安全体系结构
一般对网络安全,目前主要采用防火墙为主的体系结构,欲最大限度地保证网络安全,应将重点放在加强自身网络的健壮性与安全性方面。安全体系结构的设计基于现有的数据处理DP基础设施的规定,比如在操作系统、网络拓扑学、网络协议/网络操作系统以及外部数据链路、通信协议等基础上,应针对每项的安全寻找解决方案,将这些方案归纳起来,即建立起防火墙体系结构与详细的安全系统规范。
一.基于防火墙的网络信息安全体系结构
1.防火墙的定义
“防火墙系统”为网络组成部件,用于连接内部与外部、专用网络与公用网络,比如Internet 的连接部件。防火墙系统能保障网络用户最低风险地访问公用网络,同时,也保护专用网络免遭外部攻击。欲做到这一点,防火墙必须是外部进入专用网络的唯一通道。根据用户的服务需要,保证一定的安全系数,防火墙系统通常由许多软件与硬件构成。
2.防火墙的主要设计特征
防火墙系统是外部网络与内部网络(需受保护)之间的物理与逻辑界面。从外部来看, 防火墙借助于不同的传输接口打开了进入内部网络的通道,比如ISDN (综合业务数字网络) 线、Modem(调制解调器) 线、X25线/帧中继线以及专用线等通信接口支配着控制装置,允许内部与外部网络之间建立连接。完成上述功能的系统被称为访问控制系统。目前使用的防火墙构件,可分成信息包过滤器、线路中继器及应用网关三种不同的访问控制系统,它们可单独使用,也可结合在一起共同使用。信息包过滤器是根据发/收地址、协议、协议端口以及用户定义的位特征码等属性来过滤信息包。采用基于线路中继器的防火墙部件确实能增强网络的安全性。线路中继器能够保证用户安全使用基于TCP/ IP 通信协议上的应用软件, 比如WWW、Gopher 、Telnet 等, 而不需要传送协议层上的任何指令。也就是说, 线路中继器作为相关协议的代理,所有输入的连接在此结束,并被重新组成相对应的输出。该系统的缺陷是,在使用线路中继器工作之前,必须修改客户的应用软件。应用网关比线路中继器更前进一步。它允许人们使用应用软件, 而不允许通信链路穿过协议层上的防火墙系统。就涉及到的客户软件而言,其作用更像从事有关业务的服务器系统,而不需要修改客户系统。
3.防火墙系统的体系结构
信息包过滤器系统能够检查数据包是否违反标准,并决定其是否被传递。原则上,信息包过滤器处于本地网与Internet 之间,用于建立链路,只要配置正确,该过滤器将成为抵御外部入侵的第一道防线。信息包过滤器由路由器或配置相应软件的计算机系统实现,是一种专用网络部件,它同其它系统(防御性主机、筛选性网络等) 一起共同提高网络的自我保护能力。因路由器在网络协议层中具有过滤器与转发器的功能,所以也可作为防火墙使用。信息流不仅能根据协议地址(广播、站组或主机地址),而且能按照高层协议(与采用的模型有关) 参数进行过滤。对于Internet 协议路由器, 正是由TCP 或UDP 协议端口完成过滤,输入过滤以防止地址欺骗、区分T CP 的发送与应答信息包以及变换过滤条件—“路由器访问表”。在构造信息包过滤器之前,首先应明确各客户允许享受的服务级别,接着需了解采用怎样的过滤方法实现既定方针,最后必须将过滤的需求要点按所采用的路由器或过滤软件可识别的句法形式输入。信息包过滤器的设计相当复杂, 尤其位于主干网中的信息包过滤器的设计需花费大量的时间和精力。CERT 协作中心建议对TFT P( 普通文件传输协议) 、Windows、FTP、UDP 以及碎片IP 信息包装服务进行过滤。信息包过滤器防火墙可采用各种配置结构。
4.防火墙系统的控制与监视
与访问控制一样,防火墙系统的工作就是监视不寻常事件的发生,并及时报警给系统管理员,这需利用特殊的控制与监视软件完成。监控系统应具备以下特点:显示用户与服务器的连接、 当启动安全功能时给出显示 、有反复企图通过防火墙系统的情况时给出显示。
防火墙系统上必须安装控制与监视系统以及工作记录文件,以阻止未授权的访问,但决定监控系统有效程度的主要因素取决于监控软件的配置是否合理。在工作日志中选择记录的事件非常重要,若没有仔细选择,随意记录,用不了多久, 防火墙系统的工作记录就会占用上百万字节。但选择需存储的事件比较困难, 很难事先预料究竟哪些事件将会对安全破坏行为的分析有用。防火墙系统的另一工作就是一直连续不断地监视自身文件系统的完整性,以实现自我保护。它们利用特殊的软件如“Tripwire”完成此工作。该特殊软件可对选择的文件产生特殊的校验和(即文件的特征)。被监视文件的任何修改都能被立刻识别出来。
二.防火墙系统的局限性与未来发展趋势
1.防火墙系统的局限性
防火墙的所有作用在于监视OSI 2 层与7 层之间网络的活动状况,既不能阻止内部应用软件所携带数据的传递,也不能保护网络免受病毒或其它方式(协议欺骗式) 的攻击。另外防火墙对于内部计算机系统未授权的物理攻击,也不能提供安全保证。
欲阻止这些攻击,需要:无漏洞的访问控制系统、确实真正保护关键性部件、以光纤代替铜导线(尤其是采用共享媒介技术, 比如以太网与令牌环网) 、高度机密数据在发送前应加密。
2.防火墙系统未来的发展趋势
近年来计算机安全的基础研究力图将专家系统与防火墙系统体系结构相结合。其目的在于采用神经网络、判定树之类的智能手段来辨认“黑客”,以抵抗不断变化的攻击方法与新的安全漏洞。这种智能化的防火墙系统目前已处于试验阶段,预计到下一阶段将成为现实。防火墙系统能以怎样的程度覆盖整个网络的结论目前还无法断言。然而随着计算机功能的日益强大与传输带宽的不断加宽,计算机系统将进入一个全新的时代。它不仅具有强大的计算能力,而且具有强有力的认证与加密机制,每个系统都将装备自己的防火墙与严密有效的攻击分析检测工具,使攻击者无法得逞,从而使网络达到真正意义上的百分之百的安全。
三.结语
计算机的迅速应用就注定了计算机安全也将成为一个大的课题。本文从理论上讨论了Internet 网络安全的体系构造,相信随着时间的推移、反攻击技术的不断进步, 网络安全的体系结构会越来越完善、越来越健壮。我们胜利油田测井公司信息档案中心的计算机安全系统也一定会更加完善,跟上领先的水平。
参考文献:
[1] 陈兵 王立松.网络安全体系结构研究[J] 计算机工程与应用 2002 (07).
[2]古利勇 黄元飞 罗万伯络安全运行管理平台体系结构研究[J].电信科学 2006 (02).
关键词:网络 防火墙 安全体系结构
一般对网络安全,目前主要采用防火墙为主的体系结构,欲最大限度地保证网络安全,应将重点放在加强自身网络的健壮性与安全性方面。安全体系结构的设计基于现有的数据处理DP基础设施的规定,比如在操作系统、网络拓扑学、网络协议/网络操作系统以及外部数据链路、通信协议等基础上,应针对每项的安全寻找解决方案,将这些方案归纳起来,即建立起防火墙体系结构与详细的安全系统规范。
一.基于防火墙的网络信息安全体系结构
1.防火墙的定义
“防火墙系统”为网络组成部件,用于连接内部与外部、专用网络与公用网络,比如Internet 的连接部件。防火墙系统能保障网络用户最低风险地访问公用网络,同时,也保护专用网络免遭外部攻击。欲做到这一点,防火墙必须是外部进入专用网络的唯一通道。根据用户的服务需要,保证一定的安全系数,防火墙系统通常由许多软件与硬件构成。
2.防火墙的主要设计特征
防火墙系统是外部网络与内部网络(需受保护)之间的物理与逻辑界面。从外部来看, 防火墙借助于不同的传输接口打开了进入内部网络的通道,比如ISDN (综合业务数字网络) 线、Modem(调制解调器) 线、X25线/帧中继线以及专用线等通信接口支配着控制装置,允许内部与外部网络之间建立连接。完成上述功能的系统被称为访问控制系统。目前使用的防火墙构件,可分成信息包过滤器、线路中继器及应用网关三种不同的访问控制系统,它们可单独使用,也可结合在一起共同使用。信息包过滤器是根据发/收地址、协议、协议端口以及用户定义的位特征码等属性来过滤信息包。采用基于线路中继器的防火墙部件确实能增强网络的安全性。线路中继器能够保证用户安全使用基于TCP/ IP 通信协议上的应用软件, 比如WWW、Gopher 、Telnet 等, 而不需要传送协议层上的任何指令。也就是说, 线路中继器作为相关协议的代理,所有输入的连接在此结束,并被重新组成相对应的输出。该系统的缺陷是,在使用线路中继器工作之前,必须修改客户的应用软件。应用网关比线路中继器更前进一步。它允许人们使用应用软件, 而不允许通信链路穿过协议层上的防火墙系统。就涉及到的客户软件而言,其作用更像从事有关业务的服务器系统,而不需要修改客户系统。
3.防火墙系统的体系结构
信息包过滤器系统能够检查数据包是否违反标准,并决定其是否被传递。原则上,信息包过滤器处于本地网与Internet 之间,用于建立链路,只要配置正确,该过滤器将成为抵御外部入侵的第一道防线。信息包过滤器由路由器或配置相应软件的计算机系统实现,是一种专用网络部件,它同其它系统(防御性主机、筛选性网络等) 一起共同提高网络的自我保护能力。因路由器在网络协议层中具有过滤器与转发器的功能,所以也可作为防火墙使用。信息流不仅能根据协议地址(广播、站组或主机地址),而且能按照高层协议(与采用的模型有关) 参数进行过滤。对于Internet 协议路由器, 正是由TCP 或UDP 协议端口完成过滤,输入过滤以防止地址欺骗、区分T CP 的发送与应答信息包以及变换过滤条件—“路由器访问表”。在构造信息包过滤器之前,首先应明确各客户允许享受的服务级别,接着需了解采用怎样的过滤方法实现既定方针,最后必须将过滤的需求要点按所采用的路由器或过滤软件可识别的句法形式输入。信息包过滤器的设计相当复杂, 尤其位于主干网中的信息包过滤器的设计需花费大量的时间和精力。CERT 协作中心建议对TFT P( 普通文件传输协议) 、Windows、FTP、UDP 以及碎片IP 信息包装服务进行过滤。信息包过滤器防火墙可采用各种配置结构。
4.防火墙系统的控制与监视
与访问控制一样,防火墙系统的工作就是监视不寻常事件的发生,并及时报警给系统管理员,这需利用特殊的控制与监视软件完成。监控系统应具备以下特点:显示用户与服务器的连接、 当启动安全功能时给出显示 、有反复企图通过防火墙系统的情况时给出显示。
防火墙系统上必须安装控制与监视系统以及工作记录文件,以阻止未授权的访问,但决定监控系统有效程度的主要因素取决于监控软件的配置是否合理。在工作日志中选择记录的事件非常重要,若没有仔细选择,随意记录,用不了多久, 防火墙系统的工作记录就会占用上百万字节。但选择需存储的事件比较困难, 很难事先预料究竟哪些事件将会对安全破坏行为的分析有用。防火墙系统的另一工作就是一直连续不断地监视自身文件系统的完整性,以实现自我保护。它们利用特殊的软件如“Tripwire”完成此工作。该特殊软件可对选择的文件产生特殊的校验和(即文件的特征)。被监视文件的任何修改都能被立刻识别出来。
二.防火墙系统的局限性与未来发展趋势
1.防火墙系统的局限性
防火墙的所有作用在于监视OSI 2 层与7 层之间网络的活动状况,既不能阻止内部应用软件所携带数据的传递,也不能保护网络免受病毒或其它方式(协议欺骗式) 的攻击。另外防火墙对于内部计算机系统未授权的物理攻击,也不能提供安全保证。
欲阻止这些攻击,需要:无漏洞的访问控制系统、确实真正保护关键性部件、以光纤代替铜导线(尤其是采用共享媒介技术, 比如以太网与令牌环网) 、高度机密数据在发送前应加密。
2.防火墙系统未来的发展趋势
近年来计算机安全的基础研究力图将专家系统与防火墙系统体系结构相结合。其目的在于采用神经网络、判定树之类的智能手段来辨认“黑客”,以抵抗不断变化的攻击方法与新的安全漏洞。这种智能化的防火墙系统目前已处于试验阶段,预计到下一阶段将成为现实。防火墙系统能以怎样的程度覆盖整个网络的结论目前还无法断言。然而随着计算机功能的日益强大与传输带宽的不断加宽,计算机系统将进入一个全新的时代。它不仅具有强大的计算能力,而且具有强有力的认证与加密机制,每个系统都将装备自己的防火墙与严密有效的攻击分析检测工具,使攻击者无法得逞,从而使网络达到真正意义上的百分之百的安全。
三.结语
计算机的迅速应用就注定了计算机安全也将成为一个大的课题。本文从理论上讨论了Internet 网络安全的体系构造,相信随着时间的推移、反攻击技术的不断进步, 网络安全的体系结构会越来越完善、越来越健壮。我们胜利油田测井公司信息档案中心的计算机安全系统也一定会更加完善,跟上领先的水平。
参考文献:
[1] 陈兵 王立松.网络安全体系结构研究[J] 计算机工程与应用 2002 (07).
[2]古利勇 黄元飞 罗万伯络安全运行管理平台体系结构研究[J].电信科学 2006 (02).