[转载]网络安全概念内容和主要技术纵览
作者:[url]www.feedom.net[/url]21世纪全世界的计算机都将通过Internet联到一起,随着Internet的发展,网络丰富的信息资源给用户带来了极大的方便,但同时也给上网用户带来了安全问题。由于Internet的开放性和超越组织与国界等特点,使它在安全性上存在一些隐患。而且信息安全的内涵也发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。
一、网络安全的概念
国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
二、Internet的安全隐患主要体现在下列几方面:
1. Internet是一个开放的、无控制机构的网络,黑客(Hacker)经常会侵入网络中的计算机系统,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。
2. Internet的数据传输是基于TCP/IP通信协议进行的,这些协议缺乏使传输过程中的信息不被窃取的安全措施。
3. Internet上的通信业务多数使用Unix操作系统来支持,Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。
4.在计算机上存储、传输和处理的电子信息,还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的服务协议中是凭着君子协定来维系的。
5.电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。
6.计算机病毒通过Internet的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。
三、网络安全防范的内容
一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题,实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方面:一是计算机病毒,二是黑客犯罪。
计算机病毒是我们大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。黑客犯罪是指个别人利用计算机高科技手段,盗取密码侵入他人计算机网络,非法获得信息、盗用特权等,如非法转移银行资金、盗用他人银行帐号购物等。随着网络经济的发展和电子商务的展开,严防黑客入侵、切实保障网络交易的安全,不仅关系到个人的资金安全、商家的货物安全,还关系到国家的经济安全、国家经济秩序的稳定问题,因此各级组织和部门必须给予高度重视。
四、确保网络安全的主要技术
1,防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换-NAT、代理型和监测型。具体如下:
(1)包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
(2)网络地址转化-NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
NAT的工作过程是:在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
(3)代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
(4)监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
2.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。具体如下:
(1)对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。
(2)非对称加密技术
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
3.虚拟专用网技术
虚拟专用网(Virtual Private Network,VPN)是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务,乃至培训、合作等活动。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟专用网。
虚拟专用网实际上就是将Internet看作一种公有数据网,这种公有网和PSTN网在数据传输上没有本质的区别,从用户观点来看,数据都被正确传送到了目的地。相对地,企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
(1)隧道技术
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装,传输和解包在内的全过程。
(2)加解密技术
对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
(3)密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
(4)使用者与设备身份认证技术
VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
VPN整合了范围广泛的用户,从家庭的拨号上网用户到办公室连网的工作站,直到ISP的Web服务器。用户类型、传输方法,以及由VPN使用的服务的混合性,增加了VPN设计的复杂性,同时也增加了网络安全的复杂性。如果能有效地采用VPN技术,是可以防止欺诈、增强访问控制和系统控制、加强保密和认证的。选择一个合适的VPN解决方案可以有效地防范网络黑客的恶意攻击。
4.安全隔离
网络的安全威胁和风险主要存在于三个方面:物理层、协议层和应用层。网络线路被恶意切断或过高电压导致通信中断,属于物理层的威胁;网络地址伪装、Teardrop碎片攻击、SYNFlood等则属于协议层的威胁;非法URL提交、网页恶意代码、邮件病毒等均属于应用层的攻击。从安全风险来看,基于物理层的攻击较少,基于网络层的攻击较多,而基于应用层的攻击最多,并且复杂多样,难以防范。
面对新型网络攻击手段的不断出现和高安全网络的特殊需求,全新安全防护理念--"安全隔离技术"应运而生。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成网间信息的安全交换。
隔离概念的出现,是为了保护高安全度网络环境,隔离产品发展至今共经历了五代。
第一代隔离技术,完全的隔离。采用完全独立的设备、存储和线路来访问不同的网络,做到了完全的物理隔离,但需要多套网络和系统,建设和维护成本较高。
第二代隔离技术,硬件卡隔离。通过硬件卡控制独立存储和分时共享设备与线路来实现对不同网络的访问,它仍然存在使用不便、可用性差等问题,有的设计上还存在较大的安全隐患。
第三代隔离技术,数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间较长,甚至需要手工完成,不仅大大降低了访问速度,更不支持常见的网络应用,只能完成特定的基于文件的数据交换。
第四代隔离技术,空气开关隔离。该技术是通过使用单刀双掷开关,通过内外部网络分时访问临时缓存器来完成数据交换的,但存在支持网络应用少、传输速度慢和硬件故障率高等问题,往往成为网络的瓶颈。
第五代隔离技术,安全通道隔离。此技术通过专用通信硬件和专有交换协议等安全机制,来实现网络间的隔离和数据交换,不仅解决了以往隔离技术存在的问题,并且在网络隔离的同时实现高效的内外网数据的安全交换,它透明地支持多种网络应用,成为当前隔离技术的发展方向。
技术天地:此文有一个遗漏便是在安全技术中还有一个重要的组成部分--入侵监测技术。为了使内容更加翔实,如果您感兴趣请参见入侵检测概念、过程分析和布署 很棒的文章,但是作者在防火墙方面的理解有一定的误差,
[color=blue]原文:
1,防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。 [/color]
[color=red]首先,防火墙由于其名字的原因,人们容易认为防火墙是一个单一的设备或者软件产品。然而即使在最简单的情况下也应该把防火墙看作为一个系统。该系统基于网站的安全规则,在内部网络和外部网络之间提供访问控制。由于网络防火墙提供了类似大楼防火墙防止火灾蔓延的屏蔽功能,所以采用术语“防火墙”来描述内部网络和外部世界之间的那些组件。
最初开发的防火墙基本上是由一个路由器和一个规则库组成,路由器被配置成包过滤器,规则库由网络管理员构造。随着功能的增加实现了在工作站或服务器上运行的软件防火墙,如我们大家现在常见的天网防火墙等。更新的是硬件和软件配置结合在一起的防火墙。这些新的硬件箱有时又称为防火墙设备,由安装在标准操作系统如UNIX上的专用软件应用组成。有些厂商甚至还设计自己的操作系统,他们知道黑客总将会掌握一些常见操作系统中存在的弱点。
而防火墙设备一词意指全集成(all-in-one)因特网安全解决方案。大多数产品都声称是具有以下特点的防火墙设备:
.安装简捷,有些可以既插即用。
.管理界面简单,可能有支持远程管理的能力。
.全都安装在一个设备里。
.支持多种接口,从拨号电话线到以太网和T1。
.缺省的安全策略,用户无须弄清楚细节
.具有包过滤和应用代理功能。
.具有网络地址转换功能(NAT)
.具有容易使用的报告功能,通常有一套固定的报告。具有报警能力。
.支持构建虚拟专用网络(VPN)。
.完善的技术支持。
所以大家要理解防火墙技术和防火墙设备之间的差别,以前我在安全焦点的防火墙版块上见到一些人在骂国产的一些防火墙设备,说那不过是装了LINVX系统的没有显示器的电脑主机箱罢了,说得的确没错,防火墙设备其实就那样,差别不过是一些设备好,而一些设备垃圾而已。
[/color]
[color=blue]原文:
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。 [/color]
[color=red]创建一个网络防火墙时常用两种方法:包过滤和应用代理。某些管理员喜欢加进其他技术,但都是在这两个基本技术上简单变化的结果。包过滤一般由路由器来完成,而应用网关或应用代理是一个运行在防火墙上的软件程序,它为某种特别的应用来拦截或者转发信息流。
[b]防火墙策略[/b]
在决定了站点的安全需求并形成一个书面的规则之后,可以开始设计防火墙了。
当“构造”防火墙时,有两种构件是常用的。
.包过滤器
.应用代理服务器
可能只想使用其中的一种,或者两种都要。这些构件能以很多种方式来实现不同级别的安全。使用这些构件配置防火墙的方法称为防火墙的“体系结构”。在体系结构中,应该认识以下的部件的概念:
.有包过滤功能的路由器或主机
.双宿网关/主机:路由器至少含有两个接口,一个连接局域网,一个连接因特网,每个接口都有自己的唯一IP地址。双宿主机(dual-homed host)的功能也差不多,一个计算机配有两个网络接口,(就是插两块网卡啦)象路由器一样,一个适配器接局域网,一个适配器接因特网。然而与路由器不同的是,许多操作系统在识别已安装的两个网络适配器后,如果包从某个接口出去可以到达目的地的话,就会自动地把包从一个接口转发到这个接口。换句话来说,双宿主机就象一个路由器,这个寻径功能由一个叫“IP转发”的进程来完成。如果准备把该计算机当作一个防火墙构件,则该进程必须禁用。双宿主机常常用作应用代理服务器,这与包过滤器不同,包过滤器基于规则来决定接口之间包的转发,而双宿主机则靠运行一个或者多个代理程序来实现。
.屏蔽主机:屏蔽主机的体系结构利用了包过滤器和应用代理网关二者的保护能力,在配置中,用包过滤器连接因特网,在包过滤器的后面用应用代理服务器为局域网上的客户机提供服务。
.屏蔽子网:把屏蔽主机的概念稍微提升一点,就可以大概猜出屏蔽子网的体系结构。就是在局域网和应用代理服务器之间再加入一个包过滤器。这种路由器组合在因特网和局域网之间产生了一个附加的网段。从而引申出一个重要的概念-----非军事区(demilitarized zone,DMZ),它有时是指位于因特网和局域网之间的屏蔽子网,可以在DMZ中加入一些服务器如代理服务器,WEB服务器,MAIL服务器等。
堡垒主机(bastion host):通常指那些特别为某种工作而准备的计算机,如WEB服务器,由于堡垒主机比局域网上的客户机更加暴露在因特网上,所以必须采取一切办法来加强它的安全性。堡垒主机位于DMZ中,成功的关键在于堡垒主机的操作系统的安全机制。
牺牲主机(sacrificial host):可放置在DMZ中的另一种主机是与堡垒主机相反的牺牲主机。它是用来引诱一些可预料攻击的计算机,它不是将一个潜在的攻击者挡在外面而是有意让他们进来,并在大多数情况下追踪入侵者的行动步骤,记录一些有助于稍后进一步跟踪或者更好的保护网络的信息。生成一个牺牲主机不是一个很昂贵的建议,由于不作什么重要的服务,简单的用一些老机器组装一个就可以了。所要做的重要事情就是让这个计算机并不太难就能被攻击,然而,难办的是如何让这个“黑客”忙个不停,以至于你能找到他。
[/color]
[color=blue]原文:
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
[/color]
[color=red]
应用代理工作在应用层,包过滤器工作在网络层。应用层网关是理解协议或者服务的内部工作的代理服务器。电路层网关,并不明白它为之提供的代理服务的服务或者协议。电路层网关是管理员用来修补通过防火墙的某一特殊连接而配置的。尽管电路层网关不能控制其可以使用的特征,但它提供了记录和报警功能。
补充一下防火墙的功能:
地址导航:这一功能使防火墙可以修改请求如HTTP请求,并用与请求包中不同的地址把它们发送到主机,这样当在因特网上出现单个主机对许多用户时就可以把负载分布到几个服务器上去。[/color]
由于时间关系不可能详细的一一解释清楚以上阐述的概念,如果想深入学习防火墙原理的可以参见Terry William ogletree [美]所著的《Practical Firewalls》,作者的Email([email]ogletree@bellsouth.net[/email]) 我不知你指的是什么误区,
详细说说看
我也看了一下,,没有什么大问题呀
技术的话,,仅仅是在表 达上的一些不同
这是可以理解的呀, 其实也没有什么,只是一些理解上的误区........
重点在于防火墙或者说防火墙技术和防火墙设备以及防火墙结构体系上的一些差别,我上面的帖子把概念解释得比较清楚了,你可以仔细对比一下...
页:
[1]