第一篇:防火墙和入侵检测系统在电力企业信息网络中的应用
防火墙和入侵检测系统在电力企业信息网络中的应用
摘要:文中通过分析电力企业信息网络的结构和对网络安全的要求,在归纳了防火墙和入侵检测系统在网络中的防御功能的基础上,提出了将防火墙和入侵检测系统运用到电力企业信息网络的具体方案,并对相关技术和网络安全体系的建设进行了讨论。
0 引言
当前,电力系统已基本形成了自己的生产过程自动化和管理现代化信息网络,并在实际生产和管理中发挥着巨大的作用。随着全球信息化的迅猛发展,电力系统必将加强与外部世界的信息交流,以提高生产和管理效率,开拓更广阔的发展空间。然而,网络开放也增加了网络受攻击的可能性。与外部网络的连接必然面临外来攻击的威胁。对于关系到国计民生的电力系统而言,网络安全必须作为一个重大战略问题来解决。目前,防火墙技术作为防范网络攻击最基本的手段已经相当成熟,是抵御攻击的第一道防线,入侵检测系统(intrusion detective system,缩写为IDS)作为新型的网络安全技术,有效地补充了防火墙的某些性能上的缺陷,两者从不同的角度以不同的方式确保网络系统的安全。
本文首先分析电力企业信息网络的结构,并结合其特点和对网络安全的特殊要求,就如何有效地将防火墙和入侵检测技术运用到电力企业信息网络中进行探讨。1 电力系统的信息网络
电力系统的信息网络[1]分为两大模块:监控信息系统(supervisory information system,缩写为 SIS)和管理信息系统(management information system,缩写为MIS)。
SIS对生产现场进行实时监控,从分布在生产现场的许多点采集数据,再由系统中的计算单元进行性能计算、故障诊断等,将结果存放到实时数据服务器,为生产现场实时提供科学、准确的数据,以控制整个生产过程。SIS包括CRT监控系统、DCS(数据通信系统)、FCS(现场总线控制系统)等子系统。
MIS的功能是实现企业自动化管理,包括若干子系统,分别实现生产经营管理、财务和人事管理、设备和维修管理、物资管理、行政管理等功能。较完善的MIS还包括辅助决策子系统,为管理人员提供智能支持,是企业管理规范化、科学化的基础。
目前电力系统的信息网络一般将SIS和MIS分做同一网络中的两个子网,并分别配置服务器,两子网之间用网关连接,如图1所示。
DPU(分散过程控制单元)从生产现场采集数并发送到高速数据网供DCS各工作站分析处理,同时为了保证SIS的网络安全,SIS以太网通过网关与MIS服务器连接,作为MIS到SIS的入口并管理MIS对SIS的访问。
SIS和MIS功能各异,对安全的要求也有所不同。SIS由于与现场生产息息相关,一旦遭到入侵,势必影响生产甚至造成恶性事故,所以其安全性要求更高。现行的网络结构也充分体现了这一特点,对 SIS实施更高级别的保护。
当局域网与外部网络连接后,MIS要向外界提供服务,网络面临的威胁将空前广泛、尖锐,这时原有的安全系统显然过于单薄,必须在原有基础上制定更严密、可靠的防御体系。
在安全的操作系统基础上,防火墙结合IDS是一种较为理想的解决方案。2 防火墙
防火墙[2]是防范网络攻击最常用的手段,是构造安全网络环境的基础工程。它通常被安置在内部网络与外部网络的连接点上,将内部网络与外部网络隔离,强制所有内部与外部之间的相互通信都通过这一节点,并按照设定的安全策略分析,限制这些通信,以达到保护内部网络的目的。
2.1 防火墙的体系结构[3] 构造防火墙时通常根据所要提供的服务、技术人员的技术、工程的性价比等因素采用多种技术的组合,以达到最佳效果。
目前常见的防火墙体系结构有以下几种:
a.双重宿主主机体系结构。在内部网络与外部网络之间配置至少有两个网络接口的双重宿主主机,接口分别与内部、外部网络相连,而主机则充当网络之间的路由器。这样,内部、外部网络的计算机之间的IP通信完全被阻隔,只能通过双重宿主主机彼此联系。
b.屏蔽主机体系结构。这种结构的防火墙由路由器和堡垒主机构成,路由器设置在内部、外部网络之间,实现数据包过滤。堡垒主机设置在内部网络中,外部网络的计算机必须连接到堡垒主机才能访问内部网络。
c.屏蔽子网体系结构。利用两个路由器(内部路由器和外部路由器)将内部网络保护到更深一层,而在两个路由器之间形成一个虚拟网络,称之为周边网络,堡垒主机连接在周边网络上,通过外部路由器与外部网络相连。这样,如果入侵者突破了外层的防火墙,甚至侵入堡垒主机,内部网络依然安全。
2.2 电力企业信息网防火墙的结构设计
电力系统对安全性的高度要求,企业信息网络的安全问题应该予以格外关注。必须组建科学、严密的防火墙体系,为企业内部网络尤其是内部网络中的SIS子网提供高度的网络安全。
电力企业内部网络由两个安全级别不同的子网 MIS和SIS构成,其中SIS对安全要求更高,因此它仅向MIS提供服务而不直接与外部网络相连,由 MIS向外界提供服务。基于这个特点,防火墙宜采用屏蔽子网的体系结构,如图2所示。
MIS作为体系中的周边网,SIS作为内部网。设置两台屏蔽路由器,其中外部路由器设在MIS与外部网络之间,内部路由器设在SIS与MIS之间,对进出的数据包进行过滤。另外,堡垒主机连接在
MIS中,对外作为访问的入口,对内则作为代理服务器,使内部用户间接地访问外部服务器。
应该强调的是,MIS的堡垒主机极有可能受到袭击,因为所有对内部网络的访问都要经过它,因此,在条件允许的情况下,可以在MIS中配置两台堡垒主机,当一台堡垒主机被攻击而导致系统崩溃时,可以由另一台主机提供服务,以保证服务的连续性。同时,在MIS中配置一台处理机,与内部路由器组成安全网关,可以作为整个防火墙体系的一部分,控制MIS向SIS的访问以及对数据传输进行限制,提供协议、链路和应用级保护。网关还应考虑安全操作系统问题,Win2000[4]是一个可行的选择。尽管可能还存在一些潜在的漏洞,Win2000依然是目前业界最安全的操作系统之一。由于SIS仅对MIS的固定用户提供服务,同时考虑到SIS的安全要求,对网关的管理可以采取Client/Server方式,这样虽然在实现上较Browser/Server方式复杂一些,但却具有更强的数据操纵和事务处理能力,以及对数据的安全性和完整性的约束能力。2.3 防火墙的缺陷
尽管防火墙在很大程度上实现了内部网络的安全,但它的以下几个致命的缺陷使得单一采用防火墙技术仍然是不可靠的。
a.无法防范病毒。虽然防火墙对流动的数据包进行严格的过滤,但针对的是数据包的源地址、目的地址和端口号,对数据的内容并不扫描,因此对病毒的侵入无能为力。
b.无法防范内部攻击。从防火墙的设计思想来看,防范内部攻击从来就不是它的任务,它在这方面是一片空白。
c.性能上的限制。防火墙只是按照固定的工作模式来防范已知的威胁,从这一点来说,防火墙虽然“勤恳”,但是过于“死板”。
所以,安装了防火墙的系统还需要其他防御手段来加以充实。3 IDS IDS(入侵检测系统)是一种主动防御攻击的新型网络安全系统,在功能上弥补了防火墙的缺陷,使整个安全防御体系更趋完善、可靠。
3.1 入侵检测原理与实践
IDS以检测及控制[5]为基本思想,为网络提供实时的入侵检测,并采取相应的保护措施。它的设计原理一般是根据用户历史行为建立历史库,或者根据已知的入侵方法建立入侵模式,运行时从网络系统的诸多关键点收集信息,并根据用户行为历史库和入侵模式加以模式匹配、统计分析和完整性扫描,以检测入侵迹象,寻找系统漏洞。
IDS一般分为基于主机的IDS和基于网络的IDS两种。基于主机的IDS其输入数据来源于系统的审计日志,用于保护关键应用的服务器;基于网络的IDS输入数据来源于网络的信息流,用于实时监控网络关键路径的信息。目前的入侵检测产品通常都包括这两个部件。
在实践中,IDS一般分为监测器和控制台两大部分。为了便于集中管理,一般采用分布式结构,用户在控制台管理整个检测系统、设置监测器的属性、添加新的检测方案、处理警报等。监测器部署在网络中的关键点,如内部网络与外部网络的连接点、需重点保护的工作站等,根据入侵模式检测异常行为,当发现入侵时保存现场,并生成警报上传控制台。3.2 在电力企业信息网中运用IDS 电力企业的安全涉及国家安全和社会稳定,建议尽可能使用国产检测系统,如北京中科网威“天眼”入侵检测系统[6]清华紫光Unis入侵检测系统等,这些产品在技术上已相当成熟,且在不断升级。
安装IDS的关键步骤是部署检测器与控制台。针对电力企业网络的特点,首先,可以在外部路由器与外部网络的连接处部署监测器(如图3所示),以监测异常的入侵企图。在防火墙与MIS之间部署监测器,以监视和分析MIS与外部网络的通信流。然后,分别在MIS和SIS中部署一台监测器,监视各子网的内部情况;控制台设置在MIS中。最后,根据实际情况为个别需重点保护的服务器、工作站安装基于主机的入侵检测软件,保护重要设备。
安装IDS后,更具挑战性的工作就是有效地运行IDS。防火墙在测试和设置后便开始工作了,而 IDS则不同。IDS提供实时检测需要管理员“实时”地配合,管理员要做好处理各种警报的准备工作;在系统发出警报时要判断是否误报,正确处理警报,决定是否关闭系统或是继续监视入侵者以收集证据等,都需要管理员就地解决。只有管理员及时采取恰当的处理方法,才能真正发挥IDS的功效。4 安全体系的运作与后期扩充
虽然防火墙的防护是被动的,而IDS是实时的,但安全体系(包括各单一主机自身的安全体系)是作为一个整体协同运作的。目前的主机和网络设备都具有完备的安全审计功能,IDS可以充分利用系统的网络日志文件作为必要的数据来源,而当 IDS发现可疑行为时又需要其他主机或防火墙采取相应的保护措施,例如通知防火墙对可疑IP地址发来的数据包进行过滤等。
当然,从技术方面来说,网络安全所涉及的范围是相当广泛的,包括安全的操作系统、防火墙、安全审计、入侵检测、身份认证、信息加密、安全扫描、灾难恢复等。防火墙结合IDS只是形成了安全体系基本内容,还需要在系统运行中运用多种技术不断充实安全体系的功能,例如在系统中配置扫描器,定期进行风险评估和查找漏洞,升级防火墙或者向IDS中添加新的攻击方式等。同时,任何防御体系都不可能保证系统的绝对安全,必须不断提高系统管理人员的技术水平,密切关注网络安全的发展动态,及时升级网络防御系统,提高系统的防御能力。5 结语
当前,电力企业正以原有设施为基础,构建企业与电力公司、企业与企业间的信息网络,网络安全是一个不可忽视的问题。防火墙与入侵检测技术相结合,为网络安全体系提供了一个良好的基础,对保障系统安全发挥不可忽视的作用。当然,完备的安全体系还需要其他多种安全技术从功能上进一步完善,同时,安全问题不仅是一个技术问题,也是一个系统工程,需从组织管理、法律规范等多方面予以支持。H-2002-5
〖关闭本页〗
第二篇:防火墙技术在企业财务管理系统中的应用
防火墙技术在企业财务管理系统中的应用
2010-06-10 09:02:02 作者:韩晓 来源:万方数据 分享 | 摘要: 目前企业局域网上存在的安全隐患中,黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。针对局域网中存在的众多隐患,企业必须实施了安全防御措施。主要包括防火墙技术,数据 关键词: 防火墙企业防火墙防火墙功能信息安全代理服务器
目前企业局域网上存在的安全隐患中,黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。针对局域网中存在的众多隐患,企业必须实施了安全防御措施。主要包括防火墙技术,数据加密技术、认证技术等,其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文就防火墙技术在财务管理信息系统中的应用进行较为深入的探讨。
1、防火墙技术
1.1防火墙的基本概念
防火墙是保护内部网络安全的一道防护墙。从理论上讲,网络防火墙是用来防止外部网上的各类危险程序传播到某个受保护网内,财务上主要用于保护计算机和服务器不受攻击。确保数据安全。从逻辑上讲,防火墙是分离器,限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是1组硬件设备(路由器、主机)和软件的多种组合,而从本质上看防火墙是1种保护装置,用来保护网络数据、资源和用户的声誉,从技术上来说,网络防火墙是1种访问控制技术,在某个机构的网络和不安垒的网络之间设置障碍,阻止对信息资源的非法访问,所以防火墙是一道门槛,控制进出2个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵。
1.2防火墙的工作原理
防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙的数据流,只允许授权的数据通过,同时记录有关的链接来源,服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪。
1.3防火墙的功能
防火墙主要有以下四种功能:(1)能够防止非法用户进入内部网络;(2)可以很方便地监视网络的安全性,并报警;(3)可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来。用来缓解地址空间短缺的问题;(4)可以连接到1个单独的网段上,从物理上和内部网段隔开,并在此部署www.xiexiebang.com)原创之作品(文字、图片、图表),转载请务必注明出处,违者本网将依法追究责任。
第三篇:防火墙与入侵检测技术的联动
山西xxxxxxxx学院
毕 业 论 文(设计)
防火墙与入侵检测技术的联动
———————————————————
论文指导教师姓名:
(职称)
所在系及专业名称: 计算机系计算机网络技术
班级:
论文提交日期: 2011年
月
日 论文答辩日期:
****年**月**日
答辩委员会主席:_____________
评 阅 人:_____________ 年 月 日
山西财贸职业技术学院毕业论文
论文题目:防火墙与入侵检测技术的联动 专 业:计算机网络技术
毕 业 生: 签名: 指导教师: 签名:
摘 要
网络的迅猛发展在给人们带来巨大的便利的同时,也给人们带来了众多的烦恼。防火墙与入侵检测的联动,使安全防御体系由静态防御升级为动态防御,提高了网络的整体防御能力,体现了网络安全的整体性和动态性,具有重要的研究意义和实用价值。
本文在深入研究和分析现有联动模型的基础上,结合它们的优点,并考虑联动系统的可实现性、易用性和可扩展性,设计并实现了NSS(Netfilter-Snort-Stunnel)防火墙与入侵检测联动模型。
本文首先介绍了课题研究的背景,并对目前代表性的联动技术进行了研究。接着根据联动系统的功能组成,分别分析了防火墙技术、入侵检测技术和联动技术,为 NSS 防火墙与入侵检测联动模型的设计与实现打下了坚实的理论基础。
其次,本文从功能角度详细描述了 NSS 联动模型各模块的详细设计包括各主要模块的设计思想、体系结构和具体软件配置等。
关键词:防火墙,入侵检测,联动,分析,动态规则,SSL
目录 绪论..............................................................................................................................................4
1.1 研究背景.......................................................................................................................4
1.1.1 网络安全现状...................................................................................................4 1.1.2 本文研究内容及结构安排...............................................................................5 防火墙与入侵检测联动技术分析.........................................................................................6
2.1
防火墙技术分析............................................................................................................6
2.1.1 防火墙简介.....................................................................................................6 2.1.2 防火墙关键技术.............................................................................................6 2.1.3 防火墙发展趋势.............................................................................................7 2.2 入侵检测技术分析.......................................................................................................7
2.2.1 入侵检测系统.................................................................................................7 2.2.2 入侵检测分析手段.........................................................................................8 2.2.3 入侵检测系统分类.........................................................................................8 NSS联动技术的设计与实施分析............................................................................................10 3.1 联动产生的背景.......................................................................................................10 3.2 联动模型的设计目标和设计思想...........................................................................10 3.2.1 NSS 联动模型的设计目标...........................................................................10 3.2.2 NSS 联动模型的设计思想.............................................................................11 3.3 NSS 联动模型的基本设计.........................................................................................11 3.4 NSS 联动模型各模块的具体设计.............................................................................12 3.4.1 入侵检测系统模块.........................................................................................12 3.4.2 防火墙模块...................................................................................................13 3.4.3 联动模块.........................................................................................................14 3.4.4 管理控制模块.................................................................................................15 4 总结与展望.............................................................................................................................16
山西财贸职业技术学院毕业论文 绪论
1.1 研究背景
1.1.1 网络安全现状
通信技术和计算机技术的迅猛发展,给 IT 及相关行业注入了新的生机和活力,给社会生产、生活方式带来了革命性的影响。众多的企业、组织、政府部门与机构都在组建和发展自己的网络,并连接到 Internet 上,以充分共享、利用网络的信息和资源。网络已经成为社会和经济发展强大动力,其地位越来越重要,已经成为国家的经济基础和命脉。但是伴随着网络的发展,网络安全的问题也越来越严重,网络入侵及安全事件更是频繁发生。
网络面临的主要威胁主要来自下面几方面: 1.黑客的攻击
黑客对于大家来说,不再是一个高深莫测的人物,黑客技术逐渐被越来越多的人掌握和发展,目前,世界上有 20 多万个黑客网站,这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞,因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,是网络安全的主要威胁。
2.管理的欠缺
网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA 的调查显示,美国90%的IT企业对黑客攻击准备不足。目前,美国75%-85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃,其中 25%的企业损失在25万美元以上。
3.网络的缺陷
因特网的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的
TCP/IP 协议族,缺乏相应的安全机制,而且因特网最初的设计考虑是该网不会 因局部故障而影响信息的传输,基本没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。
4.软件的漏洞或“后门” 随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存
在,比如我们常用的操作系统,无论是 Windows 还是 UNIX 几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。大家熟悉病毒大都是利用微软系统的漏洞给企业造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,这也是网络安全的主要威胁之一。
5.网络内部攻击
防火墙安全策略的设置的一个基本假设是,网络的一边即外部的人是不可信的,另一边即内部是可信的,但在实际网络中,据统计70%的攻击和越权访问来自与内部,内部人员的不当操作和恶意行为已经成为网络安全的主要威胁之一。
1.1.2 本文研究内容及结构安排
第一章:绪论。
首先介绍了本文的研究背景和内容现状,概述了网络安全的现状。最后介绍了本文的研究内容和结构安排。
第二章:联动技术及理论分析。
本章首先对防火墙和入侵检测进行了基本的阐述,然后分析研究了当前防火墙与入侵检测技术及发展趋势其理论模型,为 NSS(Netfilter-Snort-Stunnel)联动模型设计和实施打下了坚实的理论基础。
第三章:NSS 联动模型的设计与实施分析。
山西财贸职业技术学院毕业论文
本章在第二章对防火墙与入侵检测联动方式的研究分析基础上,结合现有联动模型的优点,着重对防火墙与入侵检测之间的整合方式进行了探讨,设计了NSS(Netfilter-Snort-Stunnel)防火墙与入侵检测系统联动模型,并给出了模型的体系结构图。第四章:联动系统与陷阱系统有机整合 本章结合实际,对防火墙与入侵检测系统联动模型在实际网络中的应用进行了研究,着重研究了联动系统与陷阱系统有机整合以实现更加全面的纵深防御体。第五章:总结和展望。对全文的主要工作进行了总结,并对未来的工作进行了展望。防火墙与入侵检测联动技术分析 2.1
防火墙技术分析
2.1.1 防火墙简介
在计算机科学中,防火墙是指位于可信网络和不可信网络之间并对经过其间的网络流量进行检查的网络安全设备,其核心思想是通过监测和控制网络之间的信息交换和访问行为来实现对网络安全的有效管理,在信任程度不同的网络之间(如Internet 或有着一定风险的局域网之间)构造一个相对安全的子网环境,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效的控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。典型防火墙系统应具有以下几个方面的特征:
1.内部网络和外部网络之间的所有网络数据流都必须经过防火墙。2.只有符合安全策略的数据流才能通过防火墙。3.防火墙能经受得起对其本身的攻击。
2.1.2 防火墙关键技术
1.数据包过滤(Packet Filtering)
数据包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置 的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
2.状态检测(State Detecting)状态检测防火墙在不断开C/S的模式的前提下,提供一个完全的应用层感知。在状态检测防火墙里,信息包在网络层就被截取了,然后,防火墙从接收到的数据包中提取与安全策略相关的状态信息,并将这些信息保存在一个动态状态表中,用于验证后续的连接请求。
3.代理服务(Proxy)代理服务(Proxy)是运行在防火墙上的一种服务器程序,防火墙主机可以是一个具有两个网络接口的双重宿主主机,也可以是一个堡垒主机。代理服务器(ProxyServer)作用在应用层上,它用来提供应用层服务的控制,利用代理服务器起到内部网络向外部网络申请服务时中间转接作用。
2.1.3 防火墙发展趋势
防火墙从技术发展上来看,提高性能和采用模块化设计是主要方向。防火墙处理能力的提高主要集中在两个方面,硬件结构的优化和软件算法的更新。硬件结构的优化是走向软硬件一体化,充分发挥硬件最高效能,又提高系统自身的安全性。功能设计的模块化提高了防火墙的适应能力,处理能力提高是追求防火墙性能的线速处理能力,达到对整个会话过曾中所有传输内容进行检查。审计报告也向智能化方向发展,在报告的基础上对整个网络安全状况进行全盘的把握,并进行总结改进,依据充分的日志记录,为用户提供详细又灵活的使用情况分析报告,为网络管理人员提供一个全局的视角。网络安全不能单一的依靠防火墙,而应与其他安全技术相融合。所以与入侵检测、防病毒技术、反垃圾邮件技术、信息加密技术的协同联动,形成一个立体全面的网络安全防御体系,也是未来防火墙的一个发展趋势。
2.2 入侵检测技术分析
2.2.1 入侵检测系统
实施入侵检测的系统称为入侵检测系统(IDS)。衡量入侵检测系统的两个基
山西财贸职业技术学院毕业论文
本指标为检测率和误报率,两者分别从正、反两方面表明检测系统的检测准确性和有效性。实用的入侵检测系统应尽可能地提高系统的检测率而降低误报率,但在实际的检测系统中这两个指标存在一定的矛盾,实现上需要综合考虑。除检测率和误报率外,在实际设计和实现具体的入侵检测系统时还应考虑操作方便性、抗攻击 能力、系统开销大小、可扩展性、自适应能力、自学习能力以及实时性等。从系统组成上看,入侵检测系统一般由三个部分组成:数据采集、入侵检测、入侵响应。
2.2.2 入侵检测分析手段
目前,IDS 分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征匹配、统计分析、完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则常用于事后分析。
1.特征匹配
特征匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
2.完整性分析
完整性分析主要关注某个文件或对象是否被篡改,包括文件和目录的内容及属性。它在发现被更改的、被特洛伊化的应用程序方面特别有效。
3.统计分析
统计分析首先给信息对象(如用户、连接、文件、目录和设备等)创建一个
统计描述,统计正常使用时的一些测量属性(如访问次数、读写次数、操作失败 次数和延时等)。
2.2.3 入侵检测系统分类
从入侵检测系统所采用的分析技术来看,它可以分为采用异常检测的入侵检测系统和采用误用检测的入侵检测系统。1.误用检测(Misuse Detection)误用检测是指根据已知入侵所独有的模式或特征,监视特定目标的特定行为,通过对检测数据的模式匹配来进行的检测。误用检测的关键是如何发现并表
达入侵独有的模式或特征,把真正的入侵与正常行为区分开来。误用检测的优点是可明确地指出入侵的类型,误报少,准确性高。而局限性是它只能发现已知的攻击,对未知的攻击无能为力。误用检测模型如图 2.1 所示。
2.异常检测(Anomaly Detection)异常检测假设入侵者活动异常于正常的活动。为实现该类检测,IDS 建立正常活动的“规范集(Normal profile)”,当主体的活动违反其统计规律时,认为可能是“入侵”行为。异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。这种能力不受系统以前是否知道这种入侵与否的限制,所以能够检测新的入侵行为。
山西财贸职业技术学院毕业论文
常用的入侵检测统计模型为:操作模型、方差、计算参数的方差、多元模型、马尔柯夫过程模型和时间序列分析。统计方法的最大优点是它可以“学习”用户的 使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机 会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。异常检测的模型如图 2.2 所示。
2.2.4 入侵检测技术发展趋势
入侵检测在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术、主动的自主代理方法、智能技术以及免疫学原理的应用。其主要的发展方向可概括为:
1.大规模分布式入侵检测 2.宽带高速网络的实时入侵检测 3.入侵检测的数据融合技术 4.与其它网络安全技术相结合 NSS联动技术的设计与实施分析
3.1 联动产生的背景
真正的网络安全应该是一个综合的、动静结合的、关联互动的安全体系。不但应有多种相关技术的有机集成,也应该有多种安全产品之间的动态联动,若仅仅是相关安全产品的简单叠加是远远不够的。正因如此,联动思想应运而生,并逐渐成为网络安全研究的热点。
3.2 联动模型的设计目标和设计思想
3.2.1 NSS 联动模型的设计目标
一个有效的联动模型需要考虑和解决以下问题: 1.联动的有效性
针对具体入侵行为,联动系统所采取的响应措施应该能够有效阻止入侵的延续和最大限度降低系统损失,这也是联动的目的。
2.联动的实时性
联动的目标是及时地采取措施以尽量降低入侵对系统造成的危害,需要尽可能地缩短入侵发现和响应实施之间的时间窗口,即缩短响应时间。这一方面要求 响应决策和响应执行的计算复杂度不能太高,另一方面要求系统有预测攻击者意图的能力。
3.联动系统自身的安全性
联动系统的作用在于保护网络及主机免遭非法入侵,显然其自身的安全性是最基本的要求。安全性的要求使入侵响应策略不能是简单的静态策略,而是能够具有时效性和自删除性。
3.2.2 NSS 联动模型的设计思想
在 NSS 联动模型中,防火墙作为网络的第一道安全屏障,根据预先设定好的安全策略来控制网络流量,并阻挡一部分外来的入侵。另外,入侵检测系统时刻检测网络动态信息,一旦发现异常情况或者攻击行为,便通过加密通道向联动模块发送告警信息,联动模块提取其中的重要信息(入侵事件类型、源地址、源端口、目的地址、目的端口)等,对其进行综合分析,拟定合适的响应策略发送给防火墙模块,防火墙模块根据接收到的控制信息添加阻断规则以实现动态响应。NSS 联动模型中通过联动模块来进行防火墙模块与入侵检测模块之间的信息交互。联动模块作为整个系统的核心的部分,需要对入侵告警信息进行综合、分析、处理,并制定、调整相关的响应策略。经过联动模块的综合分析,不仅能减少误报率,防止对防火墙模块造成 Dos 攻击。而且可以减少安全组件间的通信流量,有效提高系统的性能。
3.3 NSS 联动模型的基本设计
本章根据通用的安全联动系统的决策流程,采用间接联动、开放接口的方式设计了一种基于 Linux平台的 NSS(Netfilter-Snort-Stunnel)防火墙与入侵检测系统的联动模型。并对联动模型的主要的功能模块的设计进行了详细的分析 描述。NSS 联动模型主要由四部分组成,分别为防火墙模块,入侵检测模块,联动模块以及管理控制模块。
图 3.1 为 NSS 联动模型的基本架构图。
山西财贸职业技术学院毕业论文
3.4 NSS 联动模型各模块的具体设计
3.4.1 入侵检测系统模块
入侵检测系统模块主要完成入侵检测、入侵告警及日志记录等功能。入侵检测系统模块结构如图 3.2 所示,包括数据采集模块、规则匹配模块、入侵告警模块和日志记录模块。
1.数据采集模块
数据采集模块截获网络数据包从而获得网络事件,并对事件进行预处理,以便规则匹配模块进行进一步处理;
2.规则匹配模块
规则匹配模块采用误用检测的方法把从数据采集模块中所获得的事件记录与规则库中的规则一一匹配。
3.入侵告警模块
此模块负责按照规则匹配的结果生成入侵告警信息。该告警信息应包括入侵发生时间、入侵种类、协议类型、入侵源 IP 地址与端口、入侵目的 IP 地址与端口等,为联动做准备。
4.日志记录模块
日志记录模块负责将入侵告警信息存入日志记录库,为进一步的分析入侵事件或日后取证提供必要的依据。
3.4.2 防火墙模块
防火墙模块主要负责执行数据包处理的功能,并且根据联动模块发送的策略
山西财贸职业技术学院毕业论文
响应控制信息生成相应的防火墙动态阻断规则,以实现对网络攻击的实时阻断。根据上述功能需求,我们设计了图 3.4 所示防火墙模块。该模块包括控制信息解析子模块、动态规则处理子模块及数据包处理模块。
1.控制信息解析模块 2.动态规则处理模块 3.数据包处理模块 最后,为实现系统的完整性,还需开发防火墙系统的日志审计系统。日志审计系统包括响应事件存储数据库及防火墙流量记录数据库,并提供显示查询的 WEB 接口,本文将这一部分功能集成到了管理控制模块。
3.4.3 联动模块
联动模块是 NSS 模型最为重要的部分,它不仅承担为入侵检测系统模块和防火墙模块提供安全可信的信息交互通道,并且还需对入侵事件进行综合分析和响应决策。联动模块主要完成对入侵检测系统生成的告警信息进行分类和优先级标定,然后根据不同的告警事件提供不同的响应策略。另外,联动模块还负责信息交互的安全性。模块间的信息交互需采用统一的格式,当有入侵事件发生时,从入侵事件中提取相关信息,生成特定的控制信息,然后通过安全通信方式发送给防火墙。
针对联动模块的主要功能需求,我们分别加以阐述。1.联动模块的安全通信
由于防火墙对于防火墙与入侵检测系统之间的通信,应考虑以下问题: 1)交互的信息应有标准的表示机制,并能够支持扩展。2)保证信息交互的安全性。3)应该保证传输的实时性。
基于以上考虑,本文采取基于 XML [14]国际标准的信息格式进行控制信息的传递处理,底层通过 SSL [15]等加密方式对报文进行加密传输。
2.联动模块的策略管控
由于入侵检测系统不可避免的存在误报和漏报,所以若是对入侵检测系统生成的入侵告警事件不加区分,一概发送给防火墙添加动态规则加以阻断,这无疑会大大加重防火墙的负担,浪费两者之间宝贵的通信带宽,实在是得不偿失。并且攻击者有可能利用入侵检测误报率高的弱点,不断的发送攻击数据包,入侵检测系统不断产生告警信息,则这就会对防火墙形成 Dos 攻击。具体架构如图 3.3
3.4.4 管理控制模块
管理控制模块是用户与系统的一个交互平台,主要提供对联动模块的配置及
山西财贸职业技术学院毕业论文
管理功能,日志审计功能等。管理控制模块可以分为以下几个子模块:配置信息读写模块,日志审计模块,人工控制模快。配置信息读写模块:主要负责对联动模块的配置加以设和查看,包括联动组件的 IP 地址设定、联动模块的加密通信的证书设定等。另外新联动组件的加入或移除也需通过该模块更改相关的配置。日志审计模块:主要提供查看入侵告警日志及防火墙日志的功能,用户可根据日志信息调整安全策略以因应安全形势的变化。人工控制模块:根据实际需求更改、添加或删除策略响应,或者在遇到紧急情况下断开联动机制,实施人工干预,以保证系统安全。总结与展望
当前,单一的网络安全防御技术已无法适应网络安全形势的发展,急需多种安全技术整合构建全面的防御体系。本文研究的防火墙与入侵检测的联动技术,可以实现网络的动态和全面安全防护,具有十分重要的现实意义。本文的主要工作有: 1.分析了联动技术的研究现状、对现存的代表性联动技术进行了研究。对防火墙与入侵检测联动技术的关键技术进行了深入的研究和分析,着重对防火墙与入侵检测的不同整合方式进行了探讨和比较。2.结合现有联动模型的优点,设计了采用通用开放接口、间接联动方式的 NSS(Netfilter-Snort-Stunnel)防火墙与入侵检测系统联动模型,并给出 了模型的体系结构图。然后从功能的角度对 NSS 联动模型进行了划分,并详细介绍了各个模块的体系结构和功能设计。
3.详细介绍和阐述了 NSS 联动模型各模块的实现细节,包括模块架构,具体算法,决策流程图、信息交互格式及所需软件的配置并附上一些模块具体实现代码。在入侵检测模块的实现中,针对入侵检测误报率高的问题提出了一个简单的改进机制,并对告警信息的格式进行了定义。在今后的工作中要: 1.进一步完善 NSS 模型的入侵检测系统的效率,减少误报率。研究神经网络及其他智能检测手段在入侵检测系统中的应用。
2.对事件分析,策略决策和响应模型需进行更深入的研究,完善和优化
NSS模型的策略决策与响应流程。3.研究不同安全产品之间的数据交换标准。目前国际上还没有安全产品间数据交互的通用标准,如何使防火墙、IDS、防病毒系统、VPN 等不同安全产品之间进行“无缝”的数据交换是困扰联动技术发展的一大问题。4.继续深入研究网络安全纵深防御体系,并在防火墙与入侵检测系统的联动之外和其他的安全技术实现更加完善的整合。5.研究分布式防火墙与分布式入侵检测系统的联动模型,针对分布式的联动模块的策略决策与响应进行深入的研究。
由于本人的水平与时间所限,许多工作还处于探索阶段,论文中的疏漏与错误在所难免,敬请各位专家,老师,同学指正。谢谢!
山西财贸职业技术学院毕业论文
第四篇:防火墙技术在电子商务中的应用
防火墙技术在电子商务中的应用
目 录
目录............................................................................(1)内容摘要.........................................................................(2)关键词..........................................................................(2)正文............................................................................(2)
一、电子商务的概念及交易问题.....................................................(2)
(一)、什么是电子商务............................................................(2)(二)、电子商务的交易过程.................................................(2)
二、电子商务中的信息安全问题、特性及威胁...............................(3)(一)、电子交易的安全概念、安全特性.........................................(3)
(二)、电子商务中的信息安全问题及威胁.....................................(4)
三、防火墙的技术与体系结构.............................................(6)
四、防火墙的简介与使用的益处.........................................(6)
五、防火墙常用技术和性能......................................................(11)
六、结论........................................................................(14)参考文献........................................................................(14)
浅谈防火墙技术在电子商务中的应用
内容摘要:防火墙技术作为保证电子商务活动中信息安全的第一道有效屏障,受到越来越多的关注。本文介绍了电子商务的概念、电子商务的交易过程、交易过程中的信息安全问题及威胁、重点介绍了电子商务交易系统的防火墙技术,讨论了建立网上安全信任机制的基础。
关键词:防火墙
电子商务
应用 正文:
一、电子商务的概念及交易问题(一)什么是电子商务
电子商务源于英文Electronic Commerce,简写为EC。是指一个机构利用信息和技术手段,改变其和供应商、用户、员工、合作伙伴、管理部门的互动关系,从而使自己变成为机动响应、快速响应、有效响应的响应性机构。电子商务的核心是商务;本质上是创造更多商机、提供更好商业服务的一种电子交易智能化手段。眼下,电子商务的含义已不仅仅是单纯的电子购物,电子商务以数据(包括文本、声音和图像)的电子处理和传输为基础,包含了许多不同的活动(如商品服务的电子贸易、数字内容的在线传输、电子转账、商品拍卖、协作、在线资源利用、消费品营销和售后服务)。它涉及产品(消费品和工业品)和服务(信息服务、财务与法律服务);它包含了使用Internet和Web技术进行的所有的商务活动。
(二)、电子商务的交易过程
企业间电子商务交易过程大致可以分为交易前准备、交易谈判和签订合同、办理交易前手续以及交易合同的履行和索赔四个阶段。
(1)交易前的准备
买卖双方和参与交易的双方在这一阶段所作的签约前的准备活动。买方根据自己要买的商品,准备购货款,制订购货计划,进行货源的市场调查和分析,反复进行市场查询,通过交换信息来比较价格和条件,了解各个卖方国家的贸易政策,反复修改购货计划和进货计划,确定和审批购货计划。利用Internet和各种电子商务网络寻找自己满意的商品和商家。然后修改并最后确定和审批购货计划,再按计划确定购买商品的种类、规格、数量、价格、购货地点和交易方式等。而卖方则对自己所销售的商品,进行全面的市场调查和分析,了解各个买方国家的贸易政策,制订各种销售策略和销售方式,制作广告进行宣传,召开商品新闻发布会,利用Internet和各种电子商务网络发布商品广告等手段扩大影响,寻找贸易伙伴和交易机会,扩大贸易范围和商品所占市场的份额。
参加交易的其他各方如中介、银行金融机构、信用卡、商检系统、海关系统、保险、税务系统、运输公司等,买卖双方都少不了要为电子商务交易做好准备。
(2)交易谈判和签订贸易合同
买卖双方在这一阶段利用电子商务系统对所有交易细节在网上谈判,将双方磋商的结果做成文件,即以书面文件形式和电子文件形式签订贸易合同。交易双方可以利用现代电子通信设备和通信方法,经过认真谈判和磋商后,将双方在交易中的权利、所承担的义务、所购买商品的种类、数量、价格、交货地点、交货期、交易方式和运输方式、违约和索赔等均有明确的条款。全部以电子交易合同作出全面详细的规定,合同双方可以利用电子数据交换(EDI)进行签约,也可以通过数字签名等方式签约。
(3)办理交易进行前的手续
买卖双方从签订合同到开始履行合同要办理各种手续,这也是双方在交易前的准备过程。交易中要涉及到有关各方,即可能要涉及到中介、银行金融机构、信用卡、商检系统、海关系统、保险、税务系统、运输公司等与交易有关的各方。买卖双方要利用EDI与有关各方进行各种电子票据和电子单证的交换,直到办理完一切手续、商品开始发货为止。
(4)交易合同的履行和索赔
这一阶段是从买卖双方办完所有各种手续之后开始,卖方要备货、组货,进行报关、保险、取证、信用卡等手续,然后卖方将所购商品交付给运输公司包装、起运、发货。买卖双方可以通过电子商务服务器跟踪发出的货物,金融机构和银行也按照合同,处理双方收付款、并进行结算,出具相应的银行单据等,当买方收到所购的商品,整个交易过程就完成了。索赔是在买卖双方交易过程中出现违约时,需要进行违约处理的工作,受损方按贸易合同有关条款向违约方进行索赔。
二、电子商务中的信息安全问题、特性及威胁(一)、电子交易的安全概念、安全特性
电子商务安全是一个系统概念,不仅与计算机系统结构有关,还与电子商务应用的环境、人员素质和社会因素有关。其中交易的安全又是电子商务发展的核心和关键问题。交易对安全性的要求有如下几个方面:(1)有效性,因为交易对于交易双方都是一件十分严肃的事情,双方都对交易的信息认可。(2)保密性,即要求交易的信息只有交易双方知道,第三方不能通过网络获得。(3)完整性,包括过程的完整和数据资料的完整。(4)交易者身份的确定性,这是信用的前提。(5)交易的不可否认性,要求在交易信息的传输过程中为参与交易的个人,企业和国家提供可靠的标识。数据的安全主要包括数据的完整,不受损坏,不丢失。系统运行的可靠性要求保证电子商务参与者能在交易的过程始终能与交易对象进行信息资金的交换,保证交易不得中断。
虽然各种有效的手段可以保证电子商务的基本安全,但是层出不穷的病毒入侵和黑客攻击使得电子商务安全仍然是一个令人头痛的问题,那么如何加强电子商务的安全呢?
防火墙可以保证对主机和应用安全访问,保证多种客户机和服务器的安全性,保护关键部门不受到来自内部和外部的攻击,为通过Internet与远程访问的雇员、客户、供应商提供安全渠道。
与传统商务相比,电子商务具有许多特点:
其一,电子商务是一种快速、便捷、高效的交易方式。在电子商务中,信息的传递通过网络完成,速度很快,可以节省宝贵的交易时间。
其二,电子商务是在公开环境下进行的交易,其可以在全球范围内进行交易。由于借助互联网,这就使得经济交易突破了空间的限制;公开环境下的信息公开,使所有的企业可以平等地参与市场竞争。
其三,在电子商务中,电子数据的传递、编制、发送、接收都由精密的电脑程序完成,更加精确、可靠。
(二)、电子商务中的信息安全问题及威胁
1、电子商务的安全问题。总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安 全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕 传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。
在Internet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:
(1)窃取信息。由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
(2).恶意代码。它们将继续对所有的网络系统构成威胁,并且,其数量将随着Internet 的发展和编程环境的丰富而增多,扩散起来也更加便利,因此,造成的破坏也就越大。
(3)篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
(4)假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
(5)恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
2、电子商务面临的安全威胁。根据攻击能力的组织结构程度和使用的手段,可以将威胁归纳为四种基本类型:无组织结构的内部和外部威胁与有组织结构的内部和外部威胁。一般来讲,对外部威胁,安全性强调防御;对内部威胁,安全性强调威慑。
(1)病毒。病毒是由一些不正直的程序员所编写的计算机程序,它采用了独特的设计,可以在受到某个事件触发时,复制自身,并感染计算机。如果在病毒可以通过某个外界来源进入网络时,网络才会感染病毒。
(2)恶意破坏程序。网站会提供一些软件应用的开发而变得更加活泼。这些应用可以实现动画和其他一些特殊效果,从而使网站更具有吸引力和互动性。恶意破坏程序是指会导致不同程度破坏的软件应用或者 Java 小程序。
(3)攻击。目前已经出现了各种类型的网络攻击,它们通常被分为三类:探测式攻击,访问攻击和拒绝服务(DOS)攻击。a.探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网。b.访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件账号、数据库和其他保密信息。c.DOS 攻击可以防止用户对于部分或者全部计算机系统的访问。
(4)数据阻截。通过任何类型的网络进行数据传输都可能会被未经授权的一方截取。犯罪分子可能会窃听通信信息,甚至更改被传输的数据分组。犯罪分子可以利用不同的方法来阻截数据。
(5)垃圾信件。垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为。垃圾信件通常是无害的,但是它可能会浪费接收者的时间和存储空间,带来很多麻烦。
因此,随着电子商务日益发展和普及,安全问题显得异常突出,解决安全问题已成为我国电子商务发展的当务之急。
三、防火墙的技术与体系结构
(一)、什么是防火墙
防火墙是一个或一组在两个网络之间执行安全访问控制策略的系统,包括硬件和软件,目的是保护内部网络资源不被可疑人侵扰,防止内部受到外部的非法攻击。本质上,它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通讯。
(二)、使用防火墙的益处
(1)保护脆弱的服务
通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。例如,防火墙可以禁止NIS、NFS服务通过,防火墙同时可以拒绝源路由和ICMP重定向封包。
(2)集中的安全管理
防火墙对企业内部网实现集中的安全管理,在防火墙定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。防火墙可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。
(3)控制对系统的访问
防火墙可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的Mail Server和Web Server。
(4)策略执行
防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时,网络安全取决于每台主机的用户。
(5)增强的保密性
使用防火墙可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。防火墙可以提供统计数据,来判断可能的攻击和探测。并且,防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据。
四、防火墙的简介与使用的益处
(一)、防火墙的简介
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。防火墙同时可以保护网络免受基于路由的攻击。
防火墙是为防止非法访问或保护专用网络而设计的一种系统。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙可用于硬件、软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。所有的数据在进入或离开内部网络时都要经过防火墙,防火墙会检查每个数据包,并且阻止那些不符合指定安全标准的数据包。
一般来说,配置防火墙是为了防止外部无权限的交互式登录。这有助于防止“黑客”从机器登录到你的网络。更复杂的防火墙能够阻止从外部到内部的流量,但允许内网用户更自由的与外部交流。
防火墙非常重要因为它可以提供单一的阻止点,在这一点上可以采取安全和审计措施。防火墙提供了一个重要的记录和审计功能;它们经常为管理员提供关于已处理过的流量类型和数值的摘要。这是个非常重要的“点”,因为阻止点在网络中的作用相当于警卫保卫财产。
从理论上说,有两种类型的防火墙:应用层防火墙和网络层防火墙
它们的区别可能与你所想的不一致。二者的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。国际标准化组织(ISO)开放系统互联(OSI)模型把网络分成七层,每一层都为上一层服务。更重要的是要认识到转发机制所在的层次越低,防火墙的检查就越少。
(1)应用层防火墙
应用层防火墙通常是代理服务器运行的主机,它不允许网络之间直接的流量,并在流量通过时做详细的记录和检查。由于代理应用程序只是防火墙上运行的软件,所以可在这做大量的记录和访问控制。应用层防火墙可用于网络地址转换,是因为在应用程序有效地伪装初始连接的来源之后流量可以从一边进入,另一边出去。
在某些情况下,有一个应用程序的方式可能会影响防火墙的性能,并可能会使防火墙降低透明度。早期的应用层防火墙对终端用户不是特别透明,并且还可能需要进行一些培训。然而,许多现代应用层防火墙是完全透明的。与网络层防火墙相比,应用层防火墙趋于提供更细化的审计报告,实行更保守的安全模型。
(2)网络层防火墙
这种类型决定了它的判定一般是基于源地址、目的地址及独立IP包中的端口。一个简单的路由器就是一个传统意义上的网络层防火墙,因为它不能做出复杂的判断,如数据包的发送目标和来源。现代的网络层防火墙变得更复杂得多,并且会随时关注通过防火墙的连接状态的信息。
另一个重要的不同于许多网络层防火墙的是它们可使流量直接通过,因此在使用时,你需要一个有效分配的IP地址块,或者是专用网络地址块。网络层防火墙的发展很迅速,对于用户来说几乎是透明的。
未来的防火墙将处于应用层防火墙和网络层防火墙之间。网络层防火墙可能会逐渐意识到经过它们的信息,应用层防火墙可能会变得越来越透明。最终将会是一种在数据通过时进行记录和检查的快速分组筛选系统。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测,也可以是软件类型,软件在电脑上运行并监控,其实硬件型也就是芯片里固化了的软件,但是它不占用计算机CPU处理时间,可以功能作的非常强大处理速度很快,对于个人用户来说软件型更加方便实在。
(二)、防火墙的体系结构
防火墙对于企业网络的防御系统来说,是一个不可缺少的基础设施。在选择防火墙防火墙时,我们首先考虑的就是需要一个什么结构的产品,防火墙发展到今天,很多产品已经越来越象是一个网络安全的工具箱,工具的多少固然很重要,但系统的结构却是一个起决定性作用的前提。因为防火墙的结构决定了这些工具的组合能力,决定了当你在某种场合需要一个系统声称提供的功能的时候是不是真的能够用得上。
防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护,而应用代理则更关心应用层的保护。
包过滤是历史最久远的防火墙技术,从实现上分,又可以分为简单包过滤和状态检测的包过滤两种。
简单包过滤是对单个包的检查,目前绝大多数路由器产品都提供这样的功能,所以如果你已经有边界路由器,那么完全没有必要购买一个简单包过滤的防火墙产品。由于这类技术不能跟踪TCP的状态,所以对TCP层的控制是有漏洞的,比如当你在这样的产品上配置了仅允许从内到外的TCP访问时,一些以TCP应答包的形式进行的攻击仍然可以从外部通过防火墙对内部的系统进行攻击。简单包过滤的产品由于其保护的不完善,在99年以前国外的防火墙市场上就已经不存在了,但是目前国内研制的产品仍然有很多采用的是这种简单包过滤的技术,从这点上可以说,国内产品的平均技术水准至少比国外落后2到3年。
状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用,状态检测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的大型网络上。
顺便提一下免费软件中的包过滤技术,比较典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有较强技术能力的网络管理人员喜欢利用这样的软件自己配置成防火墙。但是从实现的原理上分析,虽然它们提供了对TCP状态位的检查,但是由于没有跟踪TCP的状态,所以仍然是简单包过滤。值得关注的是Linux2.4中的IP Table,从其名称就可以看出,它在进行过滤时建立了一个用来记录状态信息的Table,已经具备了状态检测技术的基本特征。
包过滤结构的最大的优点是部署容易,对应用透明。一个产品如果保护功能十分强大,但是不能加到你的网络中去,那么这个产品所提供的保护就毫无意义,而包过滤产品则很容易安装到用户所需要控制的网络节点上,对用户的应用系统则几乎没有影响。特别是近来出现的透明方式的包过滤防火墙,由于采用了网桥技术,几乎可以部署在任何的以太网线路上,而完全不需要改动原来的拓扑结构。
包过滤的另一个优点是性能,状态检测包过滤是各种防火墙结构中在吞吐能力上最具优势的结构。
但是对于防火墙产品来说,毕竟安全是首要的因素,包过滤防火墙对于网络控制的依据仍然是IP地址和服务端口等基本的传输层以下的信息。对于应用层则缺少足够的保护,而大量的网络攻击是利用应用系统的漏洞实现的。
应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术,最初的代表是TIS工具包,现在这个工具包也可以在网络上免费得到,它是一组代理的集合。代理的原理是彻底隔断两端的直接通信,所有通信都必须经应用层的代理转发,访问者任何时候都不能直接与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说,状态检测包过滤规范了网络层和传输层行为,而应用代理则是规范了特定的应用协议上的行为。
对于使用代理防火墙的用户来说,在得到安全性的同时,用户也需要付出其它的代价。代理技术的一个主要的弱点是缺乏对应用的透明性,这个缺陷几乎可以说是天生的,因为它只有位于应用会话的中间环节,才会对会话进行控制,而几乎所有的应用协议在设计时都不
认为中间应该有一个防火墙存在。这使得对于许多应用协议来说实现代理是相当困难的。代理防火墙通常是一组代理的集合,需要为每一个支持的应用协议实现专门的功能,所以对于使用代理防火墙的用户来说经常遇到的问题是防火墙是不支持某个正在使用的应用协议,要么放弃防火墙,要么放弃应用。特别是在一个复杂的分布计算的网络环境下,几乎无法成功的部署一个代理结构的防火墙,而这种情况在企业内部网进行安全区域分割是尤其明显。
代理的另一个无法回避的缺陷是性能很差。代理防火墙必须建立在操作系统提供的socket服务接口之上,其对每个访问实例的处理代价和资源消耗接近于Web服务器的两倍。这使得应用代理防火墙的性能通常很难超过45Mbps的转发速率和1000个并发访问。对于一个繁忙的站点来说,这是很难接受的性能。
代理防火墙的技术发展远没有包过滤技术活跃,比较一下几年以前的TIS和现在的代理类型的商用产品,在核心技术上几乎没有什么变化,变化的主要是增加了协议的种类。同时为了克服代理种类有限的局限性,很多代理防火墙同时也提供了状态检测包过滤的能力,当用户遇到防火墙不能支持的应用协议时,就以包过滤的方式让其通过。由于很难将这两者的安全策略结合在一起,所以混合型的产品通常更难于配置,也很难真正的结合两者的长处。
状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术,但两种技术正在形成一种融合的趋势,演变的结果也许会导致一种新的结构名称的出现。我们在NetEye防火墙中以状态检测包过滤为基础实现了一种我们暂时称之为“流过滤”的结构,其基本的原理是在防火墙外部仍然是包过滤的形态,工作在链路层或IP层,在规则允许下,两端可以直接的访问,但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话,数据是以“流”的方式从一个会话流向另一个会话,由于防火墙的应用层策略位于流的中间,因此可以在任何时候代替服务器或客户端参与应用层的会话,从而起到了与应用代理防火墙相同的控制能力。比如在NetEye防火墙对SMTP协议的处理中,系统可以在透明网桥的模式下实现完全的对邮件的存储转发,并实现丰富的对SMTP协议的各种攻击的防范功能。
“流过滤”的另一个优势在于性能,完全为转发目的而重新实现的TCP协议栈相对于以自身服务为目的的操作系统中的TCP协议栈来说,消耗资源更少而且更加高效,如果你需要一个能够支持几千个,甚至数万个并发访问,同时又有相当于代理技术的应用层防护能力的系统,“流过滤”结构几乎是唯一的选择。
防火墙技术发展这么多年,已经成为了网络安全中最为成熟的技术,是安全管理员手中有效的防御工具。但是防火墙本身的核心技术的进步却从来没有停止过,事实上,任何一个
安全产品或技术都不能提供永远的安全,因为网络在变化,应用在变化,入侵的手段在变化。对于防火墙来说,技术的不断进步才是真实的保障。
五、防火墙常用技术和性能
(一)、防火墙的四种基本类型
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
(1)、包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
(2)、网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。
网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
(3)、代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
(4)、监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
(二)、防火墙的选择
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数代理服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。选择防火墙的标准有很多,但最重要的是以下几条:(1)总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
(2)防火墙本身是安全的。作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
(3)管理与培训。管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
(4)可扩充性。在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
(5)防火墙的安全性。防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
六、结论
随着电子商务的不断发展,安全是保证电子商务健康有序发展的关键因素,防火墙技术必将在网络安全方面着发挥更加重要的作用和价值。
七、参考文献
1、《电子商务》 翟才喜 杨敬杰主编 东北财经大学出版社 2002.2
2、《中国电子商务年鉴》2003 卷
第五篇:网络安全入侵检测系统设计思路论文
【摘要】随着计算机病毒、攻客入侵等网络信息安全事件发生频率的逐渐增高,人们越来越意识到网络安全的重要性。网络安全已成为当前计算机网络领域所面临的一个最为主要的问题。入侵检测系统作为时下IT领域内网络信息安全的一门新型热门技术,在保障网络安全方面占有举足轻重的地位。本文主要介绍了入侵检测有关内容,入侵检测的主要方法,以及基于计算机网络安全入侵检测系统的设计。
【关键词】计算机网络;安全;入侵检测系统;研究;设计
计算机网络在人们生活中的渗透,不仅改变了人类具体的生活方式,更重要的是改变了人类获取信息的方式。它的出现在给人们带来巨大方便的同时,也给人们的信息安全带来了诸多隐患和威胁。一旦计算机网络发生安全问题,势必会造成信息泄露,给人们带来不同程度的经济损失,尤其是企业内部重要的信息,且情况严重时将很可能导致整个计算机系统崩溃。因此,为避免病毒等入侵到计算机网络系统中,就必须采取有效的入侵检测方法,设计出相应的入侵检测系统。
1入侵检测相关概述
所谓入侵,指的是一切试图对资源的可用性、完整性和机密性等产生危害行为的统称。它既包括发起恶意攻击行为的人(恶意攻客),也包括对计算机网络与系统造成危害的各种行为(计算机病毒、木马等)。而入侵检测则指对所有入侵行为的识别与诊断。其具体操作是对计算机网络等中的若干关键点的数据信息进行收集与分析,通过该分析结果对网络中是否存在攻击对象或违反网络安全行为的迹象进行判断。入侵检测所使用的软件与硬件组成了入侵检测系统。它具有必须对采集的数据进行安全分析,并从中得出有用的结果和采取相应的保护措施的功能,比其他网络安全工具具有更多的智能[1]。
2入侵检测的主要方法
2.1异常检测法
异常检测法主要用于检测用户的异常行为及其对计算机资源的异常使用。使用这种检测方法需要建立相应的目标系统和用户活动模型,以便通过该模型对系统与用户的实际行为进行检测,从而对用户行为是否对计算机网络和系统具有攻击性进行判断。它具有良好的适应性和检测未知攻击模式的能力,但误报率高、检测结果准确性差,使得其应用受到了一定限制[2]。此外,必须对计算机网络与系统中合法授权用户的行为等正常特征进行精确的定义、对非法与合法代码与数据之间的界限进行精确的划分,是当前异常检测技术所面临的主要技术难点。
2.2混合检测法
混合检测法是对异常检测法与滥用检测法两者优点的综合利用。由于这两种方法在实际应用过程中呈现出一定的互补关系,因而两者的有机结合可以达到取长补短、相互弥补的检测效果,可以在很大程度上提高整体入侵检测的性能与效率[3]。
3基于计算机网络安全入侵检测系统的设计
3.1网络入侵检测系统的设计
将网络入侵检测系统装在被保护的计算机网络中,将原始网络报文作为数据源对入侵对象进行分析。在网络入侵检测系统的设计当中,对于所有通过网络传输数据的实时监控与分析通常采用一个网络适配器即可;对于数据采集模块的设计,需要配备有过滤器、探测器、网络接口引擎等元器件。数据采集模块主要实现的功能是,按照一定网络协议从网络上获取与入侵事件有关的全部数据信息,获取后将其传送至入侵检测系统分析引擎模块,对其安全性进行详细全面的分析,以判断其是否存在攻击性。入侵分析引擎模块的主要功能是,结合计算机网络安全数据库,对从数据采集模块传送来的数据信息进行安全分析,并将分析结果传送至配置与管理模块。配置与管理模块实现的主要功能是,对其他功能模块的配置工作进行管理,并将从入侵分析引擎模块传送来的安全分析结果以有效的方式向网络管理员告知,从而为网络管理员及时做出入侵应对措施提供依据和支持。当网络入侵系统检测到攻击时,相应的功能模块会立刻以报警、广播、中断连接等方式来对入侵者做出反应,向人们发出提示信息。
3.2主机入侵检测系统的设计
主机入侵检测系统的数据源通常包括应用程序日志、系统日志等。其入侵检测功能的实现主要是通过对这些审计记录文件所记录的内容与攻击内容进行匹配。若不匹配说明该入侵对象不具有攻击性,若匹配则入侵检测系统及时向网络管理员发出警报,同时做出相应的保护行为。审计数据记录的是系统用户行为信息,在系统运行过程中必须要保证其不会被修改或泄露。然而当系统遭受攻击时,这些数据很可能发生修改或泄露,因此主机入侵检测系统的设计必须要具备一项功能,即检测系统在完全被攻击者控制之前,完成对审计数据的分析,并及时发出警报采取一定防护手段。主机入侵检测系统具有精确判断入侵事件、针对不同操作系统的特点准确判断出计算机网络应用层的入侵事件等优点。
4总结
总之,在计算机网络安全问题的处理过程中,入侵检测系统的研究与设计是非常关键的一个环节。一个性能良好的入侵检测系统可以有效弥补防火墙存在的不足,可以为计算机网络的安全提供可靠的保障,是现代网络安全措施中一种较为有效的防护技术。虽然,现阶段入侵检测技术仍处于发展阶段,但随着社会各界对计算机网络入侵检测系统设计的越来越高度重视,入侵检测系统的应用范围和检测性能必将会上升到一个新的台阶。
参考文献
[1]唐静.计算机网络安全中入侵检测系统的研究[J].网络安全技术与应用,2015,08:21~22.[2]库宇.高速网络入侵检测系统的研究与设计[D].吉林大学,2008.[3]郑关胜,李含光.基于动态网络安全模型的入侵检测系统的研究[J].计算机应用,2006(S1):160~161+185.作者:吴卉男 单位:贵州师范大学数学与计算机科学学院