网络安全技术
防火墙技术
防火墙(Firewall)技术假设被保护网络具有明确定义的边界和服务。它通过监测、限制、更改通过“防火墙”的数据流,一方面尽可能地对外部网络屏蔽被保护网络的信息、结构,实现对内部网络的保护,以防“贼人放火”,另一方面对内屏蔽外部某些危险站点,防止“引火烧身”。因而,比较适合于相对独立、与外部网络互联单一、明确并且网络服务种类相对集中统一的互联网络系统。
在建立与Internet互联的单位内部网络系统中,Firewell已经得到广泛的应用。通常为了维护内部的信息系统安全,单位内部网安全系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一系列具体IP地址站点的访问,也可以接收或拒绝互联网络某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用Firewall过滤掉从该主机发出的IP包。如果内部用户只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在Firewall上设置只有这两类应用的数据包通过。这对于路由器来说,不仅要分析IP层的信息,而且还要进一步了解ICP传输层甚至应用层的信息以进行取舍。Firewall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。建立Firewall主要技术有:数据包过滤、应用层网关和代理服务器等。在此基础上合理的网络拓扑结构及有关技术的适度使用也是保证防火墙有效使用的重要手段。防火墙是连接内部网络和外部网络的桥梁。内部网络和外部网络都可以访问这台主机,但内部网络上的主机不可以直接和外部网络通信。
防火墙使用的主要的技术:
•包过滤技术 包过滤技术,即在网络的适当位置对数据包实施有选择的通过。 可以防止黑客利用不安全的服务对内部网络进行攻击。
•应用网关技术 是建立在网络应用层上的协议过滤、转发技术,针对特别的网络应用协议指定数据过滤逻辑,并可以将数据包分析结果和采取措施进行登记和统计,形成报告。
•代理服务技术 代理服务是设置在Internet防火墙网关的专用应用级编码。包过滤和应用网关技术仅仅依据特定的逻辑检查。一旦特定的网络数据流满足逻辑,则防火墙内外的计算机系统建立直接联系,因而保留了防火墙外部的计算机系统建立直接联系,因而保留了防火墙外部的计算机系统直接了解内部网络结构和运行状态的可能。代理服务是针对该缺陷的挽救措施。防火墙内外计算机系统的“连接”由两个终止于代理服务的“连接”来实现。外部计算机系统的隔离。代理服务的优点是,将被保护网络的内部结构屏蔽起来,同时实现较强的数据流监控、过滤、记录和报告功能。缺点是需要专门开发代理服务软件和相应的监控、过滤程序。
各种技术均有优缺点,现在的防火墙成熟产品大多是将各种技术结合起来,生成高效、通用、安全的防火墙。
存在的问题:
•限制服务类型和灵活性 防火墙最明显的缺点是可能封锁用户所需的某些服务,如,Telnet、FTP、NFS等。
•后门服务的可能性 防火墙不能防备从后门进入Intranet,如不加限制的调制解调器仍然许可对防火墙禁止网点的服务,那么攻击者可以跳过防火墙。在Intranet内的SLIP或PPP连接在本质上是基他网络的连接点和潜在后门。
•其他如人们不熟悉的软件、硬件、应用程序等,里面可能潜藏危险电路、致病模块、特络依木马等,不仅不能实施防火墙策略,而且破坏安全设施。还有上载和下载软件和文档中的病毒,防火墙不能扫描病毒特征。防火墙还是一个潜在的瓶颈,即制约信息传输的速度。还有防火墙不能防备内部人员的攻击。
3.3基于LAN的安全技术
从共享到交换,增强系统的扩展性
取消共享式HUB,代替为SWITCH,是系统的体系结构可扩充到每秒处理百万数据包。
采用多层交换体系
从物理和逻辑上将网络分成多个VLAN,在此基础上建立安全广播域,并在此性能上进行VLAN间通信扩展和安全访问控制。
VLAN
遏制机构范围内广播和组广播,进行跨全网的带宽和性能管理;减少网络变更造成的管理任务,既管理员可以减少在整个网络上添加用户、移动、和改变用户物理位置时的工作量。
划分标准:基于MAC,协议,端口等。
集成的网络管理
集成的网络管理对用户建立交换式网络非常重要,可以实施有效的远程监控和和控制功能。
3.4基于WAN的安全技术
为提高网络的安全性,网络研究人员研究和开发了多种网络安全技术和协议,有代表性的几种技术是:防火墙、Kerberos和SSL/SHTTP等。各种技术有一定的使用范围,提供不同程度的安全性。
防火墙是在被保护网络和Internet间设置的隔离软件,从而为地理上集中的网络提供抵抗外部入侵的能力。
Kerberos则为分布式数据库系统提供的认证方案,是美国麻省理工学院为雅典那工程设计的安全方案。
SSL/SHTTP技术是在电子商贸中发展起来的技术。Internet上开展商贸活动应解决的首要问题是安全,由Internet联盟投资,Terisa公司进行研究,SHTTP是在HTTP基础上扩展并增加安全功能的结果,限于维护与WWW服务器间的通信。Netscape公司设计的网络安全协议SSL,是作为传输通信协议TCP/IP上的安全协议实现的。Kerberos和SSL/SHTTP都是完整的安全协议,它保护通信信息安全,提供如下功能:对方确认、数据源的不可否认性、数据接收方的不可否认性、保护数据完整性、密码保护、防重传性等。
KERBEROS
Kerberos为每种服务提供可信任第三方认证服务。在该环境中,机器属于不同的组织,用户对机器拥有完全的控制权,因此用户对于所希望的服务,必须提供身份证明。同时,服务器也必须证明自己的身份,防止假冒。现介绍Kereros提供的成员身份验证和密钥管理。Kerberos内含数据库包含每个成员的口令的散列函数值。
SSL/SHTTP
SHTTP是HTTP的超集,可以要用各种方式封装信息,封装包括加密、签名、基于MAC的认证,并且信息可以被反复封装加密。SHTTP还定义了对信息进行密钥传输、认证传输和相应的过滤功能。SHTTP支持多种加密协议,还为程序员提供灵活的编程环境。SHTTP目前支持RSA、带内和带外以及Kerberos密钥交换。
SSL协议的目标是提供两个应用间通信的保密性和可靠性,SSL由两层组成:底层是SSL记录层,用于封装不同的上层协议。其中一个被封装协议为SSL握手协议,让服务器和客户在传输应用数据前,协商加密算法和加密键。SSL独立于应用协议,因而上层协议可以叠加于SSL协议上。SSL的安全协议集中于握手协议上,每个希望提供服务的厂家需要向CA申请证明书。在CA检验申请合法后,在申请上添加数字签名,作为证明书返回给申请厂家
3.5访问控制技术
除了计算机网络硬设备之外,网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者,如果它具有安全的控制策略和保护机制,便可以将非法入侵者拒之门外。否则,非法入侵者便可攻破设防而非法获取资源。网络操作系统安全保密的核心是访问控制,即确保主体对客体的访问只能是授权的,未经授权的访问是不允许的,而且操作是无效的。因此,授权策略和授权机制的安全性显得特别重要。
为此,许多学者提出了众多的安全模型,为网络操作系统的安全性设计提供了理论基础。在此基础上形成了多种安全控制与安全保护机制。其中最著名的有访问控制矩阵模型和BLP多级安全模型。对客体实行安全保护是网络操作系统的重要内容。保护可以从以下几个方面加以考虑:
•物理隔离:使必须隔离的进程使用不同的物理客体。
•时间隔离:使具有不同安全要求的进程在不同的时间运行。
•逻辑隔离:实施存取控制,使进程不能存取允许范围以外的客体。
•密码隔离:使进程以一种其它进程不能解密的方式隐蔽数据以及计算。
防火墙(Firewall)技术假设被保护网络具有明确定义的边界和服务。它通过监测、限制、更改通过“防火墙”的数据流,一方面尽可能地对外部网络屏蔽被保护网络的信息、结构,实现对内部网络的保护,以防“贼人放火”,另一方面对内屏蔽外部某些危险站点,防止“引火烧身”。因而,比较适合于相对独立、与外部网络互联单一、明确并且网络服务种类相对集中统一的互联网络系统。
在建立与Internet互联的单位内部网络系统中,Firewell已经得到广泛的应用。通常为了维护内部的信息系统安全,单位内部网安全系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一系列具体IP地址站点的访问,也可以接收或拒绝互联网络某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用Firewall过滤掉从该主机发出的IP包。如果内部用户只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在Firewall上设置只有这两类应用的数据包通过。这对于路由器来说,不仅要分析IP层的信息,而且还要进一步了解ICP传输层甚至应用层的信息以进行取舍。Firewall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。建立Firewall主要技术有:数据包过滤、应用层网关和代理服务器等。在此基础上合理的网络拓扑结构及有关技术的适度使用也是保证防火墙有效使用的重要手段。防火墙是连接内部网络和外部网络的桥梁。内部网络和外部网络都可以访问这台主机,但内部网络上的主机不可以直接和外部网络通信。
防火墙使用的主要的技术:
•包过滤技术 包过滤技术,即在网络的适当位置对数据包实施有选择的通过。 可以防止黑客利用不安全的服务对内部网络进行攻击。
•应用网关技术 是建立在网络应用层上的协议过滤、转发技术,针对特别的网络应用协议指定数据过滤逻辑,并可以将数据包分析结果和采取措施进行登记和统计,形成报告。
•代理服务技术 代理服务是设置在Internet防火墙网关的专用应用级编码。包过滤和应用网关技术仅仅依据特定的逻辑检查。一旦特定的网络数据流满足逻辑,则防火墙内外的计算机系统建立直接联系,因而保留了防火墙外部的计算机系统建立直接联系,因而保留了防火墙外部的计算机系统直接了解内部网络结构和运行状态的可能。代理服务是针对该缺陷的挽救措施。防火墙内外计算机系统的“连接”由两个终止于代理服务的“连接”来实现。外部计算机系统的隔离。代理服务的优点是,将被保护网络的内部结构屏蔽起来,同时实现较强的数据流监控、过滤、记录和报告功能。缺点是需要专门开发代理服务软件和相应的监控、过滤程序。
各种技术均有优缺点,现在的防火墙成熟产品大多是将各种技术结合起来,生成高效、通用、安全的防火墙。
存在的问题:
•限制服务类型和灵活性 防火墙最明显的缺点是可能封锁用户所需的某些服务,如,Telnet、FTP、NFS等。
•后门服务的可能性 防火墙不能防备从后门进入Intranet,如不加限制的调制解调器仍然许可对防火墙禁止网点的服务,那么攻击者可以跳过防火墙。在Intranet内的SLIP或PPP连接在本质上是基他网络的连接点和潜在后门。
•其他如人们不熟悉的软件、硬件、应用程序等,里面可能潜藏危险电路、致病模块、特络依木马等,不仅不能实施防火墙策略,而且破坏安全设施。还有上载和下载软件和文档中的病毒,防火墙不能扫描病毒特征。防火墙还是一个潜在的瓶颈,即制约信息传输的速度。还有防火墙不能防备内部人员的攻击。
3.3基于LAN的安全技术
从共享到交换,增强系统的扩展性
取消共享式HUB,代替为SWITCH,是系统的体系结构可扩充到每秒处理百万数据包。
采用多层交换体系
从物理和逻辑上将网络分成多个VLAN,在此基础上建立安全广播域,并在此性能上进行VLAN间通信扩展和安全访问控制。
VLAN
遏制机构范围内广播和组广播,进行跨全网的带宽和性能管理;减少网络变更造成的管理任务,既管理员可以减少在整个网络上添加用户、移动、和改变用户物理位置时的工作量。
划分标准:基于MAC,协议,端口等。
集成的网络管理
集成的网络管理对用户建立交换式网络非常重要,可以实施有效的远程监控和和控制功能。
3.4基于WAN的安全技术
为提高网络的安全性,网络研究人员研究和开发了多种网络安全技术和协议,有代表性的几种技术是:防火墙、Kerberos和SSL/SHTTP等。各种技术有一定的使用范围,提供不同程度的安全性。
防火墙是在被保护网络和Internet间设置的隔离软件,从而为地理上集中的网络提供抵抗外部入侵的能力。
Kerberos则为分布式数据库系统提供的认证方案,是美国麻省理工学院为雅典那工程设计的安全方案。
SSL/SHTTP技术是在电子商贸中发展起来的技术。Internet上开展商贸活动应解决的首要问题是安全,由Internet联盟投资,Terisa公司进行研究,SHTTP是在HTTP基础上扩展并增加安全功能的结果,限于维护与WWW服务器间的通信。Netscape公司设计的网络安全协议SSL,是作为传输通信协议TCP/IP上的安全协议实现的。Kerberos和SSL/SHTTP都是完整的安全协议,它保护通信信息安全,提供如下功能:对方确认、数据源的不可否认性、数据接收方的不可否认性、保护数据完整性、密码保护、防重传性等。
KERBEROS
Kerberos为每种服务提供可信任第三方认证服务。在该环境中,机器属于不同的组织,用户对机器拥有完全的控制权,因此用户对于所希望的服务,必须提供身份证明。同时,服务器也必须证明自己的身份,防止假冒。现介绍Kereros提供的成员身份验证和密钥管理。Kerberos内含数据库包含每个成员的口令的散列函数值。
SSL/SHTTP
SHTTP是HTTP的超集,可以要用各种方式封装信息,封装包括加密、签名、基于MAC的认证,并且信息可以被反复封装加密。SHTTP还定义了对信息进行密钥传输、认证传输和相应的过滤功能。SHTTP支持多种加密协议,还为程序员提供灵活的编程环境。SHTTP目前支持RSA、带内和带外以及Kerberos密钥交换。
SSL协议的目标是提供两个应用间通信的保密性和可靠性,SSL由两层组成:底层是SSL记录层,用于封装不同的上层协议。其中一个被封装协议为SSL握手协议,让服务器和客户在传输应用数据前,协商加密算法和加密键。SSL独立于应用协议,因而上层协议可以叠加于SSL协议上。SSL的安全协议集中于握手协议上,每个希望提供服务的厂家需要向CA申请证明书。在CA检验申请合法后,在申请上添加数字签名,作为证明书返回给申请厂家
3.5访问控制技术
除了计算机网络硬设备之外,网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者,如果它具有安全的控制策略和保护机制,便可以将非法入侵者拒之门外。否则,非法入侵者便可攻破设防而非法获取资源。网络操作系统安全保密的核心是访问控制,即确保主体对客体的访问只能是授权的,未经授权的访问是不允许的,而且操作是无效的。因此,授权策略和授权机制的安全性显得特别重要。
为此,许多学者提出了众多的安全模型,为网络操作系统的安全性设计提供了理论基础。在此基础上形成了多种安全控制与安全保护机制。其中最著名的有访问控制矩阵模型和BLP多级安全模型。对客体实行安全保护是网络操作系统的重要内容。保护可以从以下几个方面加以考虑:
•物理隔离:使必须隔离的进程使用不同的物理客体。
•时间隔离:使具有不同安全要求的进程在不同的时间运行。
•逻辑隔离:实施存取控制,使进程不能存取允许范围以外的客体。
•密码隔离:使进程以一种其它进程不能解密的方式隐蔽数据以及计算。
浙公网安备 33010602011771号