论文部分内容阅读
摘要:网络带给人们的便利之一就是信息资源共享,然而,与之俱来的是来自各方的网络安全问题。网络安全预警系统针对大规模的网络进行预警,但传统的系统存在对未知的攻击缺乏有效的检测方法、对安全问题的检测通常处于被动阶段.本文主要介绍NAT技术的特点及网络安全预警系统中穿越防火墙/NAT技术的实现方法,使网络信息传递更安全、更快速、更准确。
关键词:网络安全预警;NAT;防火墙/NAT的穿越
0网络安全预警系统
0.1功能及体系结构
目前的网络安全预警系统通常采用多层式结构,以入侵检测系统作为中心,对受保护的网络进行安全预警。该类系统通常由嗅探器模块、安全管理中心、远程管理系统服务器、远程终端管理器组成。嗅探器模块按一定策略检测网络流量,对非法的流量进行记录以便审计,并按照安全策略进行响应;安全管理中心管理嗅探器运行,并生成及加载嗅探器需要的安全策略,接受嗅探器的检测信息,生成审计结果;远程管理系统服务器负责监听控制信息,接收控制信息传递给安全管理中心,为实现远程管理实现条件;远程终端管理器为用户提供远程管理界面。
0.2局限性
(1)目前的网络安全预警系统主要以入侵检测系统的检测结果作为预警信息的主要来源。由于入侵检测系统检测的被动性,使得预警自身就存在被动性,无法积极对受保护的网络实施预警。
(2)新的攻击手段层出不穷,而作为中心的入侵检测系统在新的攻击面前显得力不从心。虽然目前也出现了一些启发式的检测方法,但是由于误报率或者漏报率比较高,在实际使用时也不太理想。
(3)预警信息传送的时效性。目前令人可喜的是用户己经注意到了安全问题,所以采用了一些安全部件如防火墙、入侵检测系统等对网络进行保护。
(4)传统的网络预警系统中着重在预警,相应的响应很少或者没有。
1 NAT技术
1.1概念
NAT,即Networ Address Translation,可译为网络地址转换或网络地址翻译。它是一个IETF标准,允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址,反之亦然。它也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备。同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet地址和私有IP地址的使用。
1.2分类
1.2.1静态NAT(Static NAT)
即静态转换静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应关系由管理员手工指定。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问,并使该设备在外部用户看来变得“不透明”。
1.2.2动态地址NAT(Pooled NAT)
即动态转换动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对并不是一一对应的,而是随机的。所有被管理员授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。每个地址的租用时间都有限制。这样,当ISP提供的合法IP地址略少于网络内部的计算机数量时,可以采用动态转换的方式。
1.2.3网络地址端口转换NAPT(Port-Level NAT)
即端口多路复用通过使用端口多路复用,可以达到一个公网地址对应多个私有地址的一对多转换。在这种工作方式下,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,来自不同内部主机的流量用不同的随机端口进行标示,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自Internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
1.3常用穿越技术
由于NAT的种类不同,所以具体对于NAT的穿越技术也有所不同。目前比较典型的穿越技术是协议隧道传输和反弹木马穿透。前者,采用直接从外网往内网连接的方式,利用防火墙通常允许通过的协议(如HTTP协议),将数据包按协议进行封装,从而实现从外网向内网进行数据传输,但是如果数据在通过防火墙时经过了NAT转换,就会失效;后者是采用由内向外的连接方式,通常防火墙会允许由内向外的连接通过,但是没有真正解决防火墙的穿越问题,无法解决对于由外向内的对实时性要求较高的数据传输,并且对于应用代理型防火墙,穿越时也比较困难。
2网络安全预警系统中防火墙/NAT的穿越
2.1应用代理型防火墙检测及信息注册模块
本模块主要用于验证发送方和接收方的报文是否能通过自身所在网络的防火墙,尤其是穿越应用代理服务器的注册相关信息,并获取必要的信息。
当发送方或接收方存在应用代理型防火墙时,可由发送方或接收方连接代理服务器,从而建立映射关系。由于发送方或接收方采用TCP连接方式连接代理服务器,所以映射关系可以一直保持。所以当代理服务器与主机连接时只需要知道相应的代理服务器地址、端口即可,而这些信息又可以从全局预警中心的注册信息中获得,从而解决了穿越应用代理型防火墙的问题。
2.2 NAT映射维持模块
本模块主要根据NAT及包过滤、状态检测型防火墙检测模块的检测结果,反映出不同的映射维持。
当接收方所在网络存在NAT时,经过映射维持,使得在接收方所在网络的NAT处始终保持了一条接收方外网地址与内网地址的映射关系,从而使得发送方只要根据接收方的外网地址和端口即可与接收方直接通信,从而解决了外网与内网直接通信的问题。
当接收方所在的网络不存在NAT,但存在状态检测、包过滤类型的防火墙时,由于不断发送的NAT维持报文的存在,相应地在防火墙处开放了相应的端口,使得发送方可以从外到内通过此端口进行信息传送。
2.3信息传送模块
防火墙的问题。对于一般类型的包过滤、状态检测防火墙,因为通信内容已封装成HTTPS协议的格式,所以对于从防火墙内部向外部的连接可穿越此类型的防火墙。对于从防火墙外部到内部的连接, NAT映射维持模块中NAT映射报文的存在也巧妙的解决了信息传送的问题。
3结束语
本文采用HTTPS封装实际传输数据,可以使得数据安全传送,保证了信息可以穿越防火墙/NAT进行。但也存在着增加硬件额外开销、NAT映射相对维持报文较频繁等缺点,这些有待在进一步的研究中予以解决。
参考文献
[1]肖枫涛.网络安全主动预警系统关键技术研究与实现 [D].长沙:国防科学技术大学,2009.
[2]张险峰等.网络安全分布式预警体系结构研究[J].计算机应用,2011(,05).
[3]裴晋泽,肖枫涛,胡华平等.统一入侵检测报警信息格式提案及其实现[J].计算机应用,2010,(04).
[4]何保宏.浅析NAT的类型[J].电信网技术,2009(,08).
关键词:网络安全预警;NAT;防火墙/NAT的穿越
0网络安全预警系统
0.1功能及体系结构
目前的网络安全预警系统通常采用多层式结构,以入侵检测系统作为中心,对受保护的网络进行安全预警。该类系统通常由嗅探器模块、安全管理中心、远程管理系统服务器、远程终端管理器组成。嗅探器模块按一定策略检测网络流量,对非法的流量进行记录以便审计,并按照安全策略进行响应;安全管理中心管理嗅探器运行,并生成及加载嗅探器需要的安全策略,接受嗅探器的检测信息,生成审计结果;远程管理系统服务器负责监听控制信息,接收控制信息传递给安全管理中心,为实现远程管理实现条件;远程终端管理器为用户提供远程管理界面。
0.2局限性
(1)目前的网络安全预警系统主要以入侵检测系统的检测结果作为预警信息的主要来源。由于入侵检测系统检测的被动性,使得预警自身就存在被动性,无法积极对受保护的网络实施预警。
(2)新的攻击手段层出不穷,而作为中心的入侵检测系统在新的攻击面前显得力不从心。虽然目前也出现了一些启发式的检测方法,但是由于误报率或者漏报率比较高,在实际使用时也不太理想。
(3)预警信息传送的时效性。目前令人可喜的是用户己经注意到了安全问题,所以采用了一些安全部件如防火墙、入侵检测系统等对网络进行保护。
(4)传统的网络预警系统中着重在预警,相应的响应很少或者没有。
1 NAT技术
1.1概念
NAT,即Networ Address Translation,可译为网络地址转换或网络地址翻译。它是一个IETF标准,允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址,反之亦然。它也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备。同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet地址和私有IP地址的使用。
1.2分类
1.2.1静态NAT(Static NAT)
即静态转换静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应关系由管理员手工指定。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问,并使该设备在外部用户看来变得“不透明”。
1.2.2动态地址NAT(Pooled NAT)
即动态转换动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对并不是一一对应的,而是随机的。所有被管理员授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。每个地址的租用时间都有限制。这样,当ISP提供的合法IP地址略少于网络内部的计算机数量时,可以采用动态转换的方式。
1.2.3网络地址端口转换NAPT(Port-Level NAT)
即端口多路复用通过使用端口多路复用,可以达到一个公网地址对应多个私有地址的一对多转换。在这种工作方式下,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,来自不同内部主机的流量用不同的随机端口进行标示,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自Internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
1.3常用穿越技术
由于NAT的种类不同,所以具体对于NAT的穿越技术也有所不同。目前比较典型的穿越技术是协议隧道传输和反弹木马穿透。前者,采用直接从外网往内网连接的方式,利用防火墙通常允许通过的协议(如HTTP协议),将数据包按协议进行封装,从而实现从外网向内网进行数据传输,但是如果数据在通过防火墙时经过了NAT转换,就会失效;后者是采用由内向外的连接方式,通常防火墙会允许由内向外的连接通过,但是没有真正解决防火墙的穿越问题,无法解决对于由外向内的对实时性要求较高的数据传输,并且对于应用代理型防火墙,穿越时也比较困难。
2网络安全预警系统中防火墙/NAT的穿越
2.1应用代理型防火墙检测及信息注册模块
本模块主要用于验证发送方和接收方的报文是否能通过自身所在网络的防火墙,尤其是穿越应用代理服务器的注册相关信息,并获取必要的信息。
当发送方或接收方存在应用代理型防火墙时,可由发送方或接收方连接代理服务器,从而建立映射关系。由于发送方或接收方采用TCP连接方式连接代理服务器,所以映射关系可以一直保持。所以当代理服务器与主机连接时只需要知道相应的代理服务器地址、端口即可,而这些信息又可以从全局预警中心的注册信息中获得,从而解决了穿越应用代理型防火墙的问题。
2.2 NAT映射维持模块
本模块主要根据NAT及包过滤、状态检测型防火墙检测模块的检测结果,反映出不同的映射维持。
当接收方所在网络存在NAT时,经过映射维持,使得在接收方所在网络的NAT处始终保持了一条接收方外网地址与内网地址的映射关系,从而使得发送方只要根据接收方的外网地址和端口即可与接收方直接通信,从而解决了外网与内网直接通信的问题。
当接收方所在的网络不存在NAT,但存在状态检测、包过滤类型的防火墙时,由于不断发送的NAT维持报文的存在,相应地在防火墙处开放了相应的端口,使得发送方可以从外到内通过此端口进行信息传送。
2.3信息传送模块
防火墙的问题。对于一般类型的包过滤、状态检测防火墙,因为通信内容已封装成HTTPS协议的格式,所以对于从防火墙内部向外部的连接可穿越此类型的防火墙。对于从防火墙外部到内部的连接, NAT映射维持模块中NAT映射报文的存在也巧妙的解决了信息传送的问题。
3结束语
本文采用HTTPS封装实际传输数据,可以使得数据安全传送,保证了信息可以穿越防火墙/NAT进行。但也存在着增加硬件额外开销、NAT映射相对维持报文较频繁等缺点,这些有待在进一步的研究中予以解决。
参考文献
[1]肖枫涛.网络安全主动预警系统关键技术研究与实现 [D].长沙:国防科学技术大学,2009.
[2]张险峰等.网络安全分布式预警体系结构研究[J].计算机应用,2011(,05).
[3]裴晋泽,肖枫涛,胡华平等.统一入侵检测报警信息格式提案及其实现[J].计算机应用,2010,(04).
[4]何保宏.浅析NAT的类型[J].电信网技术,2009(,08).