网络安全与防范技术
摘 要 随着网络的普及,网络安全日显重要,本文从网络不安全因素入手,探讨了网络安全防范理论技术、主流网络常用的防火墙和入侵检测技术。
关键词 网络安全、防火墙、入侵检测系统
近年来,计算机网络技术不断发展,网络应用逐渐普及。网络已成为一个无处不在、无所不用的工具。越来越多的计算机用户足不出户则可访问到全球网络系统丰富的信息资源,经济、文化、军事和社会活动也强烈依赖于网络,一个网络化的社会已呈现在我们面前。
然而,随着网络应用的不断增多,网络安全问题也越来越突出,由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与畅通,研究计算机网络的安全与防范措施已迫在眉捷。本人结合实际经验,谈一谈网络安全与防范技术。
1 网络不安全因素
网络的安全因素主要有:
(1)网络资源的共享性。资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着联网需求的日益增长,外部服务请求不可能做到完全隔离,攻击者利用服务请求的机会很容易获取网络数据包。
(2)网络的开放性。网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的敏感性信息。
(3)网络操作系统的漏洞。网络操作系统是网络协议和网络服务得以实现的最终载体之一,它不仅负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。
(4)网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。
(5)恶意攻击。就是人们常见的黑客攻击及网络病毒.是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也是越来越多,影响越来越大。
2 网络安全防御方式
网络安全技术的主要代表是防火墙和入侵检测技术。下面简要介绍一下这两种技术。
2.1 防火墙技术
网络安全所说的防火墙是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访,用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet(外部网)的传输信息或从内部网发出的信息都必须穿过防火墙。
2.1.1 防火墙的主要功能
防火墙的主要功能包括:
(1)防火墙可以对流经它的网络通信进行扫描,从而过滤掉一些攻击,以免其在目标计算机上被执行。
(2)防火墙可以关闭不使用的端口,而且它还能禁止特定端口的输出信息。
(3)防火墙可以禁止来自特殊站点的访问,从而可以防止来自不明入侵者的所有通信,过滤掉不安全的服务和控制非法用户对网络的访问。
(4)防火墙可以控制网络内部人员对Internet上特殊站点的访问。
(5)防火墙提供了监视Internet安全和预警的方便端点。
2.1.2 防火墙的主要优点
防火墙的主要优点包括:
1)可作为网络安全策略的焦点
防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心,极大地加强了网络安全,并简化了网络管理。
2)可以有效记录网络活动
由于防火墙处于内网与外网之间,即所有传输的信息都会穿过防火墙。所以,防火墙很适合收集和记录关于系统和网络使用的多种信息,提供监视、管理与审计网络的使用和预警功能。
3)为解决IP地址危机提供了可行方案
由于Internet的日益发展及IP地址空间有限,使得用户无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓和IP地址空间的不足。
2.1.3 防火墙的主要缺陷
由于互联网的开放性,防火墙也有一些弱点,使它不能完全保护网络不受攻击。防火墙的主要缺陷有:
(1)防火墙对绕过它的攻击行为无能为力。
(2)防火墙无法防范病毒,不能防止感染了病毒的软件或文件的传输,对于病毒只能安装反病毒软件。
(3)防火墙需要有特殊的较为封闭的网络拓扑结构来支持。网络安全性的提高往往是以牺牲网络服务的灵活性、多样性和开放性为代价。
2.1.4 防火墙的分类
防火墙的实现从层次上大体可分为三类:包过滤防火墙,代理防火墙和复合型防火墙。
1)包过滤防火墙
包过滤防火墙是在IP层实现,它可以只用路由器来实现。包过滤防火墙根据报文的源IP地址,目的IP地址、源端口、目的端口和报文传递方向等报头信息来判断是否允许有报文通过。
包过滤路由器的最大优点是:对用户来说是透明的,即不需要用户名和密码来登陆。
包过滤路由器的弊端是明显的,由于它通常没有用户的使用记录,我们不能从访问中发现黑客的攻击记录。它还有一个致命的弱点,就是不能在用户级别上进行过滤,即不能识别用户与防止IP地址的盗用。如果攻击者将自己的主机设置为一个合法主机的IP地址,则很容易地通过包过滤防火墙。
2)代理防火墙
代理服务是设置在Internet防火墙网关上的应用,是在网管员允许下或拒绝的特定的应用程序或者特定服务,一般情况下可应用于特定的互联网服务,如超文本传输、远程文件传输等。同时还可应用于实施较强的数据流监控、过滤、记录和报告等功能。
应用层网关包括应用代理服务器、回路级代理服务器、代管服务器、IP通道、网络地址转换器、隔离域名服务器和邮件技术等。
3)复合型防火墙
复合型防火墙是将数据包过滤和代理服务结合在一起使用,从而实现了网络安全性、性能和透明度的优势互补。
随着技术的发展,防火墙产品还在不断完善、发展。目前出现的新技术类型主要有以下几种:状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和一些新技术是未来防火墙的趋势。
2.1.5 防火墙的部署
防火墙是网络安全的关口设备,只有在关键网络流量通过防火墙的时候,防火墙才能对此实行检查,防护功能。
(1)防火墙的位置一般是内网与外网的接合处,用来阻止来自外部网络的入侵。
(2)如果内部网络规模较大,并且设置虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙。
(3)通过公网连接的总部与各分支机构之间应该设置防火墙。
(4)主干交换机至服务器区域工作组交换机的骨干链路上。
(5)远程拨号服务器与骨干交换机或路由器之间。
总之,在网络拓扑上,防火墙应当处在网络的出口与不同安全等级区域的结合处。安装防火墙的原则是:只要有恶意侵入的可能,无论是内部网还是外部网的连接处都应安装防火墙。
2.2 入侵检测技术
入侵检测技术是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为,入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应,从而将攻击行为带来的破坏和影响降至最低。同时,入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为(通过异常检测和模式匹配等技术)、对攻击行为或异常行为进行响应、审计和跟踪等。
典型的IDS系统模型包括4个功能部件:
(1) 事件产生器,提供事件记录流的信息源。
(2) 事件分析器,这是发现入侵迹象的分析引擎。
(3) 响应单元,这是基于分析引擎的分析结果产生反应的响应部件
(4) 事件数据库,这是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
2.2.1入侵检测系统的分类
入侵检测系统根据数据来源不同,可分为基于网络的入侵检测系统和基于主机的入侵检测系统。
网络型入侵检测系统的实现方式是将某台主机的网卡设置成混杂模式,监听本网段内的所有数据包并进行判断或直接在路由设备上放置入侵检测模块。一般来说,网络型入侵检测系统担负着保护整个网络的任务。
主机型入侵检测系统是以系统日志、应用程序日志等作为数据源,当然也可以通过其它手段(如检测系统调用)从所有的主机上收集信息进行分析。
入侵检测系统根据检测的方法不同可分为两大类:异常和误用。
异常入侵检测根据用户的异常行为或对资源的异常存放来判断是否发生了入侵事件。
误用入侵检测通过检查对照已有的攻击特征、定义攻击模式、比较用户的活动来了解入侵。例如,着名的Internet蠕虫事件是利用fingerd(FreeBSD)上的守护进程,允许用户远程读取文件系统,因而存在可以查看文件内容的漏洞和Sendmail(Linux上的守护进程,利用其漏洞可取得root权限)的漏洞进行攻击。对这种攻击可以使用这种检测方法。
2.2.2 目前入侵检测系统的缺陷
入侵检测系统作为网络安全防护的重要手段,目前的IDS还存在很多问题,有待于我们进一步完善。
1) 高误报率
误报率主要存在于两个方面:一方面是指正常请求误认为入侵行为;另一方面是指对IDS用户不关心事件的报警。导致IDS产品高误报率的原因是IDS检测精度过低和用户对误报概念的不确定。
2) 缺乏主动防御功能
入侵检测技术作为一种被动且功能有限的安全防御技术,缺乏主动防御功能。因此,需要在一代IDS产品中加入主动防御功能,才能变被动为主动。
2.2.3 防火墙与入侵检测系统的相互联动
综合所述:防火墙是一个跨接多个物理网段的网络安全关口设备。它可以对所有流经它的流量进行各种各样最直接的操作处理,如无通告拒绝、ICMP拒绝、转发通过(可转发至任何端口)、各以报头检查修改、各层报文内容检查修改、链路带宽资源管理、流量统计、访问日志、协议转换等。
当我们实现防火墙与入侵检测系统的相互联动后,IDS就不必为它所连接的链路转发业务流量。因此,IDS可以将大部分的系统资源用于对采集报文的分析,而这正是IDS最眩目的亮点。IDS可以有足够的时间和资源做些有效的防御工作,如入侵活动报警、不同业务类别的网络流量统计、网络多种流量协议恢复(实时监控功能)等。IDS高智能的数据分析技术、详尽的入侵知识描述库可以提供比防火墙更为准确、更严格、更全面的访问行为审查功能。
综上所述,防火墙与IDS在功能上可以形成互补关系。这样的组合较以前单一的动态技术或静态技术都有了较大的提高。使网络的防御安全能力大大提高。防火墙与IDS的相互联动可以很好地发挥两者的优点,淡化各自的缺陷,使防御系统成为一个更加坚固的围墙。在未来的网络安全领域中,动态技术与静态技术的联动将有很大的发展市场和空间。
3 结语
网络安全是一个很大的系统工程,除了防火墙和入侵检测系统之外,还包括反病毒技术和加密技术。反病毒技术是查找和清除计算机病毒技术。其原理就是在杀毒扫描程序中嵌入病毒特征码引擎。然后根据病毒特征码数据库来进行对比式查杀。加密技术主要是隐藏信息、防止对信息篡改或防止非法使用信息而转换数据的功能或方法。它是将数据信息转换为一种不易解读的模式来保护信息,除非有解密密钥才能阅读信息。加密技术包括算法和密钥。算法是将普通的文本(或是可以理解的信息)与一串数字(密钥)的结合,产生不可理解的密文的步骤。密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。
参考文献
[1] 郑成兴着. 《网络入侵防范的理论与实践》. 机械工业出版社
[美] Merike Kaeo 着.《网络安全性设计》. 人民邮电出版社
下一篇:基于负载均衡的路由协议的设计