分布式網絡安全研究及關鍵模塊設計與實現(xiàn)

1、東北大學碩士學位論文分布式網絡安全研究及關鍵模塊設計與實現(xiàn)姓名:梁大功申請學位級別:碩士專業(yè):計算機系統(tǒng)結構指導教師:高福祥20051201 的服務可自由地通過。即:沒有明確禁止的行為都是允許的。(2缺省拒絕策略阻斷所有進出于一個邊界出入點的業(yè)務流(雖然一般情況下它們僅僅阻斷入站,而不是出站的業(yè)務流,僅有指定的服務被允許通過防火墻。即:沒有明確允許的行為都是禁止的。為保證最大安全,通常建議運行缺省拒絕模式。對于運行缺省允許策略防火墻來說,這可以提高網絡的性能,但它的問題是當新的安全攻擊出現(xiàn)時,防火墻管理員將不得不化費很多時間來應付攻擊者,這將加大安全風險。防火墻的主要作用是過濾出入內部網的包,

2、以達到訪問控制的目的。對包的過濾或屏蔽的方法主要有以下兩種17】,第一種方法是在出入口處設置包過濾器來過濾包,其示意圖參見圖2.2。包過濾器既可以用硬件實現(xiàn),也可以用軟件實現(xiàn),一般工作在網絡層。它根據(jù)一系列的過濾規(guī)則來做出是否允許IP協(xié)議包在網絡問通過的判定。通信主機的IP連接依賴于一個唯一的源和目標IP地址。對于網絡層防火墻來說,傳輸層端口號也是常常用到的?；贗P協(xié)議和端口號等屬性,防火墻能夠做出過濾的判定。包過濾器具有成本較低,比較靈活且對用戶透明的優(yōu)點。因此,它可以設置比較復雜的過濾策略。 圖2.2包過濾不意圖第二種是應用層代理服務器,其示意圖見圖2.3所示。它是目前安全性較高的網絡安

3、全機制。應用層代理服務器也稱為應用層網關,代理服務器可以理解為一種應用協(xié)議,可以實施更細粒度的訪問控制,如內容過濾等。它為每一種服務需求實現(xiàn)一個代理服務器,如:HTTP,FTP和Telnet代理服務器。對于不同的網絡服務,代理服務器要啟動相應的服務程序。代理服務器體系結構中共有三種角色:客戶,服務器,代理服務器?？蛻舨荒苤苯优c服務器進行通信,只能利用代理服務器作為中介與服務器進行對話。代理服務器為網絡間直接通過的業(yè)務流提供保護,并且由于代理服務器常常是為某一指定的協(xié)議而設置的,它們能夠為通過它們的數(shù)據(jù)執(zhí)行嚴密復雜的日志和審計。應用層防火東北欠學碩士學位論文第二章網絡安全的概念以及主要技術墻的缺

4、點是對希望通過防火墻的每一種協(xié)議必需要有一個代理。如果沒有相應協(xié)議的代理,那么這種協(xié)議將不能使用。有些協(xié)議,如用于mail的SMTP協(xié)議有固有的代理。但是其他一些協(xié)議,如用于文件傳輸?shù)腇TP則不是。 圖2.3代理防火墻示意圖Steven等在其著作【7J中認為,常見的邊界防火墻系統(tǒng)體系結構有以下幾種。屏蔽主機防火墻屏蔽主機防火墻由包過慮路由器和堡壘主機組成,參見圖2.4所示。這種防火墻系統(tǒng)提供的安全等級比包過濾防火墻系統(tǒng)要高,因為它不僅實現(xiàn)了網絡層安全而且還實現(xiàn)了應用層安全。通常,堡壘主機部署在內部網絡,包過濾路由器部署在內部網和外部網之間。通過在路由器上設置適當?shù)倪^濾規(guī)則,就可使

5、得外部系統(tǒng)只能訪問堡壘主機,直接發(fā)往內部網絡其它主機的包將全部被阻擋:由于內部主機與堡壘主機處于同一個網絡,內部系統(tǒng)是否允許直接訪問外部網,或者是要求使用堡壘主機上的代理服務來訪問外部網則由機構的安全策略來決定。 圖2.4屏蔽主機防火墻體系結構屏蔽子網防火墻屏蔽子網防火墻見圖2.5所示。兩個包過濾器之間部分為非軍事區(qū)DMZ (Demilitarized Zone。通常情況下,堡壘主機、信息服務器、其它服務器被部署在DMZ 中。對流入的包,外部路由器用于防范通常的外部攻擊,并負責管理和維護外部網到DMZ網絡的訪問。它只允許外部系統(tǒng)訪問堡壘主機。內部路由器一般只接受來自堡壘東北走學碩

6、士學位論文第二章網絡安全的概念以及主要技術主機的包,并負責管理和維護DMZ到內部網的訪問。對于發(fā)往外部網的包,內部路由器管理內部網絡到DMZ網絡的訪問,同時,它只允許內部系統(tǒng)訪問堡壘主機。 圖2.5屏蔽子網防火墻體系結構雙宿堡壘主機結構雙宿堡壘主機體系結構示意圖見圖2,6,其通常有兩個網絡接口,般具有封閉兩個端口之間直接轉發(fā)信息的功能。雙宿堡壘主機結構強制所有去往內部網絡的信息必須經過堡壘主機,當外部網用戶具有直接訪問內部服務器的權力時,將需要附加其它的安全措施。由于堡壘主機是唯能從外部網直接訪問的內部系統(tǒng),因此,往往受到攻擊的主機就只有堡壘主機本身。牢固可靠,避免被滲透和不允許

7、用戶注冊對堡壘主機來說是至關重要的。用雙宿堡壘主機可以構造安全的防火墻系統(tǒng)。 圈2.6雙宿堡壘體系結構傳統(tǒng)的邊界防火墻要求網絡對外的所有流量都經過防火墻,而且它依賴于一個基本假設:防火墻把一端的用戶看成是可信任的,而另一端的用戶則都被作為潛在的攻擊者來對待。很長一段時間以來,邊界防火墻在拓撲結構簡單的中小型網絡上工作得很好,但是,Sotiris loarmidis等指出【l”,網絡發(fā)展的兒個新趨勢使得它很難適應。(1網絡傳輸速度正迅速的增長,加上高計算強度協(xié)議(特別是IPSee的使用,使得防火墻越來越成為速度瓶頸。在不減少或轉移安全策略設置的前提下,盡管防火墻的 之間的防護產品。(3簸略控制中

8、心。邊界防火墻只是網絡中的單一設備,管理是局部的。對分布式防火墻來說,每個防火墻作為安全監(jiān)測機制可以根據(jù)安全性的不同要求布景在網絡中的任何需要的位煢上,但總體安全策略又是統(tǒng)一策劃和管理的,安全策略的分發(fā)及同志的匯總都是策略中心應具備的功能。策略中心是分布式防火墻系統(tǒng)的核心和重要特征之一。圖2.7是分布式防火墻的一個部署實例,從中可以得到策略控制中心在分布式防火墻中的核心地位。 圖2.7分布式防火墻的一個應用舉例2.3入侵檢測技術及發(fā)展入侵檢測系統(tǒng)主要通過監(jiān)控網絡、系統(tǒng)的狀態(tài)、行為以及系統(tǒng)的使用情況,來檢測系統(tǒng)用戶的越權使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖。2,3.2入

9、侵檢測系統(tǒng)的組成入侵檢測系統(tǒng)的組成結構因網絡環(huán)境和安全策略而不同。盡管在實現(xiàn)上有所不同,但它至少要包括三個基本組成部分:數(shù)據(jù)提取、入侵分析和響應處理。另外還可能包括安全知識庫、數(shù)據(jù)存儲等模塊,如圖2.8所示。其中,數(shù)據(jù)提取是入侵檢測系統(tǒng)的數(shù)據(jù) 東北大學碩士學位論文第三章分布式網絡安全體系的設計第三章分布式網絡安全體系的設計在本章中,首先提出了本課題設計的分布式的網絡安全的體系結構,分析了這種體系結構的優(yōu)勢,介紹了基于ACE來構建分布式的策略解析平臺的思想,進而討論了三種主要平臺:UNIX、Windows和Linux的包過濾的關鍵技術,并對ACE中間件進行了分析。3.1分布式安全體系結構通過對網絡安全技術的深入研究,本文提出了一種分布式網絡安全的體系結構,這種體系結構融合了防火墻與入侵檢測的概念,并加入了分布式的概念。這種體系結構以策略管理為核心,在網絡中既部署了位于網絡邊緣的中央防火墻,也有位于端系統(tǒng)的主機防火墻,同時還提供了入侵檢測系統(tǒng)(DS等安全防護手段,各安全部件通過策略服務器統(tǒng)一調度,協(xié)同工作。為能夠動態(tài)地適應網絡安全狀態(tài)的變化,體系結構中包含審計服務器,通過對防火墻日志及IDS事件的審計,為策略的制定、分發(fā)提供依據(jù)。體系結構的總體圖如圖3.1所示。 圖3.1分布式網絡安全的體系結構為了適應大規(guī)模分布式被保護網絡的安全需求,系統(tǒng)采用了一種層