第7章 网络安全技术.ppt

第7章网络安全技术,本章将介绍网络安全中的一些常用技术手段，包括防火墙技术、入侵检测技术、VPN技术、电子邮件的安全，反病毒技术和内外网隔离技术。,7.1防火墙技术,7.1.1防火墙基础知识因特网防火墙是这样的（一组）系统，它能增强机构内部网络的安全性，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往因特网的信息都必须经过防火墙，接受防火墙的检查。,,Internet防火墙是一种装置，它是由软件或硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限,它的基本系统模型如下图所示,,从实现上来看，防火墙实际上是一个独立的进程或一组紧密联系的进程，运行于路由服务器上，控制经过它们的网络应用服务及数据。防火墙作为内部网与外部网之间的一种访问控制设备，常常安装在内部网和外部网交流的点上。防火墙系统可以是路由器，也可以是个人主机、主系统或一批主系统，用于把网络或子网同那些子网外的可能是不安全的系统隔绝。防火墙系统通常位于等级较高网关或网点与Internet的连接处。Internet防火墙是路由器、堡垒主机、或任何提供网络安全的设备的组合，是安全策略的一个不分。,,防火墙的主要组成部分有（1）网络政策；（2）先进的验证工具；（3）包过滤；（4）应用网关。,,防火墙能提高主机或网络整体的安全性，主要表现在（1）防止易受攻击的服务；（2）控制访问网点系统；（3）集中安全性；（4）增强保密，强化私有权；（5）有关网络使用、滥用的记录和统计；（6）政策执行。,,防火墙一般实施两个基本设计方针之一（1）只允许访问特定的服务。一切未被允许的就是禁止的。（2）只拒绝访问特定的服务。一切未被禁止的就是允许的。,,一个好的防火墙系统应具有以下五方面的特性（1）所有在内部网络和外部网络之间传输的数据都必须能够通过防火墙；（2）只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙；（3）防火墙本身不受各种攻击的影响；（4）使用目前新的信息安全技术，比如现代密码技术、一次口令系统、智能卡；（5）人机界面良好，用户配置使用方便，易管理。,,防火墙也有它不可避免的缺陷（1）不能防范恶意的知情者。（2）防火墙不能防范不通过它的连接。（3）防火墙几乎不能防范病毒。（4）防火墙不能防备全部的威胁。,7.1.2防火墙体系结构,一、双宿主主机防火墙双宿主主机（Dual-HomedHost）结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信，但内外网络之间不可直接通信，内外部网络之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。,,双宿主机的结构如下图所示。,,1．双宿主主机的特性双宿主主机是外部网络用户进入内部网络的唯一通道，因此双宿主机的安全是关键。2．双宿主主机缺点双宿主主机让用户直接登录到双宿主主机上来提供服务，需要在双宿主主机上开许多帐号，是不安全的（1）用户帐号的存在会给入侵者提供相对容易的入侵通道。（2）由于双宿主主机上帐号较多，管理员维护困难。（3）支持用户帐号会降低机器本身的稳定性和可靠性。（4）用户的行为的不可预知性会给入侵检测带来很大的麻烦。,双宿网关防火墙（Dual-homedGatewayFirewall）,双宿主网关防火墙是一个具有两个网络适配器的主机系统，并且主机系统中的寻径功能被禁止，而对外部网络的服务和访问则由网关上的代理服务器提供。它是一种结构非常简单，但安全性很高的防火墙系统，是对双宿主主机防火墙的一个改进。其结构如下图所示。,,3．一个双宿主主机防火墙例子我们以实现Telnet代理的双宿主主机防火墙为实例来介绍一下在双宿防火墙上实现对某种服务的代理的方法。Telnet是TCP/IP协议簇的简单远程终端协议，Telnet提供三种服务（1）定义一个远程系统标准接口的“网络虚拟终端”；（2）包含有允许客户和服务器商议选项的机制；（3）对称的对待建立连接的双方。当用户调用Telnet时，作为客户机的用户机器和欲通信的服务器建立一条TCP连接。连接建立后，服务接受来自客户机的击键字符，并在用户终端回显。根据这条TCP连接，进行数据传输。,,在服务器方，必须处理多条并发连接。通常，主服务器进程等待新的连接，并产生一个新的从属服务器处理每条连接。每个从属服务器把一个TCP数据流从一个客户连到一个具体伪终端上。伪终端（Pseudoterminal）是一个操作系统入口点。服务器中代理服务器程序，既是一个服务器程序，同时也是一个客户机程序。对于用户端来说它接受客户的服务请求，并完成服务，起着服务器的功能；对于服务器申请服务，并接受服务，相当于一个客户端。因此同时实现这两个功能，是设计的关键。,,程序的简要流程（有关winsocket编程的详细内容请参见有关文献。）（1）建立初始套接字，绑定相应的端口，使该socket处于侦听状态；（2）收到客户服务请求，建立新的套接字；（3）通过新的套接字向客户发出身份验证的信息，等待用户的回答；（4）根据用户的反馈，判断用户是否合法；（5）如果用户合法，系统和服务器方建立套接字进行连接，开始通信，并记录用户的请求信息；若否，则回应用户拒绝信息，并记录非法登录过程；（6）系统进行数据转接，实现“透明”的数据传输。,,两个需要注意的问题（1）关闭双宿主主机原有的IP数据包转发功能，使得特定服务的数据包完全由代理程序来进行判断转发处理。（2）源路由。源路由是一个有用的调试工具，但同样是一个危险的功能。一般情况下，IP数据包的头信息中只有源和目的地址，路由的功能由路由器来完成。在IP包头信息中有一个任选项，在任选项中，可以加上路由信息，从而数据包的路由就由数据包本身决定，而不受路由器的路由信息的影响。即使关闭了IP转发功能，源路由照样可以进行。入侵者可以为数据包加上源路由信息，从而使该数据包有可能绕过堡垒主机，而且目的主机也会答复发送主机，并且使用相反的路由。,,4．双宿主主机防火墙的安全讨论双宿主主机是唯一的隔开内部网和外部因特网之间的屏障，如果入侵者得到了双重宿主主机的访问权，内部网络就会被入侵，所以为了保证内部网的安全，双宿主主机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。为了防止防火墙被入侵，在系统中，应尽量地减少防火墙上用户的帐户数目。使用双宿主机应注意的是，首先要禁止IP转发，还应清除一些UNIX系统中的工具程序和服务。由于双宿主机是外部用户访问内部网络系统的中间转接点，它必须支持很多用户的访问，因此双宿主机的性能非常关键。,二、被屏蔽主机,1．概念及模型被屏蔽主机体系结构提供来自多个网络相连的主机的服务，被屏蔽主机体系结构使用一个单独的路由器来提供来自仅仅与内部网络相连的主机的服务，另外被屏蔽主机结构还有一台单独的过滤路由器。这一台路由器的意义就在于强迫所有到达路由器的数据包被发送到被屏蔽主机。这种体系结构中，主要的安全由数据包过滤提供。它的结构如下图所示。,被屏蔽主机体系结构示意图,,屏蔽的路由器上的数据包过滤的设置（1）允许其他的内部主机为了某些服务开放到因特网上的主机的连接；（2）不允许来自内部主机的所有连接；（3）用户可以混合使用以上两种配置。某些服务可以被允许直接经由数据包过滤，其他服务可以被允许仅仅间接地经由代理。,,不同的Internet服务中被屏蔽主机的配置（1）Telnet服务对Telnet服务的过滤是通过包过滤器来实现。（2）Ftp服务如果内部网的用户支持Ftp的被动模式，则通过包过滤器方便、安全地提供Ftp服务。如果要支持普通的Ftp服务，就要在被屏蔽主机上建立代理。（3）SMTP服务进入的邮件应当通过DNSMX记录被引导到被屏蔽主机上，外出的邮件也应该通过被屏蔽主机发出。（4）NNTP服务可以把另一台内部主机当成新闻服务器，并允许NNTP直接指向它，或是把被屏蔽主机作为新闻服务器。,,（5）HTTP服务HTTP服务可以通过包过滤来提供或通过代理服务器间接实现。性能更好的实现方式是通过带缓冲的代理服务器（CERNHTTP服务器）来间接地提供服务。（6）DNS服务主DNS服务器应当位于被屏蔽主机上，而且内部网所在域应有一个外部的次（secondary）DNS服务器，这里不需要任何DNS信息隐藏。2.被屏蔽主机结构的优缺点路由器只提供非常有限的服务，保护路由器比保护主机更容易实现，所以被屏蔽主机结构能提供比双宿主主机更好的安全性和可用性。但是，如果侵袭者设法侵入堡垒主机，则在堡垒主机和其余内部主机之间没有任何保护网络安全的东西。,三、被屏蔽子网,被屏蔽子网结构就是在被屏蔽主机结构中再增加一台路由器的安全机制。这台路由器能够在内部网和外部网之间构筑出一个安全子网，从而使得内部网与外部网之间有两层隔断。还可以在外部与内部网络之间建立分层系列的周边网。信任度低的和易受侵袭的服务被放置在外层的周边网上，远离内部网络，在周边网络中设置堡垒主机。这样可以增加内部网络的安全性，即使侵袭者侵入外层周边网的机器，由于在外层周边网和内部网络之间有了附加安全层，他将难于成功地侵袭内部的机器。而且由于外部网络和内部网络不能直接通信，防火墙系统管理方便，系统安全性高，但是对子网中堡垒主机安全性要求高。,屏蔽子网结构图,,被屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统，因为在定义了被屏蔽子网防火墙系统网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其他公用服务器放在周边网中。周边网很小，处于Internet和内部网络之间。通过被屏蔽子网防火墙系统网络直接进行信息传输是严格禁止的。对于进来的信息，外面的路由器用于防范通常的外部攻击，并管理Internet到周边网的访问。它只允许外部系统访问堡垒主机（还可能有信息服务器）。里面的这个路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理周边网到内部网络的访问。,,对于去往Internet的数据包，里面的路由器管理内部网络到周边网络的访问。它允许内部系统只访问堡垒主机（还可能有信息服务器）。外面的路由器上的过滤规则要求使用代理服务。如果入侵者仅仅侵入到周边网络中的堡垒主机，他只能偷看到周边中的信息流，而看不到内部网的信息流，因此即使堡垒主机受到损害也不会危及内部网的安全。内部路由器（又称阻塞路由器）位于内部网和周边之间，用于保护内部网不受周边因特网的侵害。它完成防火墙的大部分的过滤工作，在包过滤规则认为安全的前提下，它允许某些站点的服务在内外网之间互相传送。,,外部路由器的一个主要功能是保护周边上的主机。外部路由器还可以防止部分IP欺骗，因为内部路由器分辨不出一个声称从非军事区来的数据包是否真的从非军事区来，而外部路由器很容易分辨出真伪。在堡垒主机上，可以运行各种各样的代理服务器。采用了屏蔽子网体系结构的堡垒主机很坚固，不易被入侵者控制，万一堡垒主机被控制，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部过滤路由器的保护。,四、防火墙体系结构的其他形式,1．将屏蔽子网结构中的内外路由器合并只有用户拥有功能强大并且很灵活的路由器时才能将一个网络的内部路由器和外部路由器合并。这时用户仍有周边网连接在路由器的一个接口上，而内部网络连接在路由器的另一个接口上。2．合并屏蔽子网结构中堡垒主机与外部路由器这种结构是由双宿堡垒主机来执行原来的外部路由器的功能。双宿主机进行路由会缺乏专用路由器的灵活性及性能，但是在网速不高的情况下，双宿主机可以胜任路由的工作。所以这种结构同屏蔽子网结构相比没有明显的新弱点。但堡垒主机完全暴露在因特网上，因此要更加小心的保护它。,,3．使用多台堡垒主机出于对堡垒主机性能，冗余和分离数据或者分离服务考虑，用户可以用多台堡垒主机构筑防火墙，比如我们可以让一台堡垒主机提供一些比较重要的服务（SMTP服务，代理服务等），而让另一台堡垒主机出来由内部网向外部网提供的服务（如匿名Ftp服务）等。4．使用多台外部路由器连多个外部路由器到这样的外部网路上去不会带来明显的安全问题。外部路由器受损害的机会增加了，但在一个外部路由器受损害不会带来特别的威胁。,,5．使用多个周边网络用户还可以使用多个周边网络来提供冗余，设置两个（或两个以上）的外部路由器，两个周边网络，和两个内路由器可以保证用户与因特网之间没有单点失效的情况，加强了网络的安全和可用性。,五、防火墙体系中的堡垒主机,堡垒主机是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点（Checkpoint）,以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其他主机的安全的目的。从堡垒主机的定义我们可以看到，堡垒主机是网络中最容易受到侵害的主机。所以堡垒主机也必须是自身保护最完善的主机。1．设计构筑原则设计和构筑堡垒主机有两条基本原则（1）最简化原则；（2）随时作好堡垒主机被损害的准备。,,2．堡垒主机主要结构作为主要用于提供过滤功能和其它各种网络服务的堡垒主机，它的结构主要可以分为以下三种（1）无路由双宿主主机无路由双宿主主机有多个网络接口，但这些接口之间没有信息流。无路由双宿主主机既可以作为一台单独的防火墙使用，也可以成为一个更复杂的防火墙的一部分。（2）牺牲主机牺牲主机是一种上面没有任何需要保护信息的主机，而它也不与任何入侵者想要攻击的内部网主机相连。它通过用于向外部网提供信息服务，它可以让用户随意登陆。,,（3）内部堡垒主机内部堡垒主机是专门向内部网主机提供服务的服务器。它由内部网的某些主机进行交互，如它可以向内部网的邮件服务器传输邮件，向内部网的新闻传送新闻，及与内部网的域名服务器协同工作等等。,,3．堡垒主机的选择我们在选择堡垒主机时，应遵循如下原则（1）选择主机时，应选择一个可以支持多个网络接口能够向部网用户提供多个网络服务的机器；（2）建议用户选择自己版本较为熟悉的UNIX系统作为堡垒主机的操作系统；（3）选择堡垒主机的硬件时，内存和硬盘足够大，以保证足够的交换空间；（4）堡垒主机应没有机密信息流；（5）在配置时，除了不得不提供的基本网络服务（如SMTP，FTP，WAIS，HTTP，NNTP，Gopher）外，应把那些内部网不使用的服务统统关闭。尽量减少堡垒主机上的用户帐户数。,,4．堡垒主机的建立我们在建立堡垒主机时，应遵循如下步骤（1）尽量使用最小、最干净、最标准的操作系统，并保存好系统日志；（2）关闭堡垒主机上所以不需要的服务；（3）安装或修改必须的服务；（4）根据最终需要重新配制堡垒主机；（5）检查堡垒主机的安全保障机制，充分地利用手头掌握的资料来弥补操作系统已知的可能被黑客利用的安全漏洞。,7.1.3防火墙的实现,防火墙的实现从层次上大体上可以分两种数据包过滤和应用层网关，其中数据包过滤设计在网络层，而应用层网关工作在应用层。一、数据包过滤1.包过滤的实现包过滤防火墙一般作用在网络层（IP层），故也称网络层防火墙（NetworkLevFirewall）或IP过滤器（IPfilters）。它是对进出内部网络的所有信息进行分析，并按照一定的安全策略（信息过滤规则）对进出内部网络的去处进行限制，允许授权信息通过，拒绝非授权信息通过。包过滤的核心是安全策略即包过滤算法的设计。,,包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目的地址、内装协议（ICP、UDP、ICMP、或IPTunnel）、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位。包的进入接口和输出接口如果有匹配，并且规则允许该数据包通过，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。,,由于多数的服务收听者都在已知的TCP/UDP端口号上，包过滤路由器能够根据特定的服务允许或拒绝流动的数据。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听连接。为了阻塞所有进入的Telnet连接，路由器只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。,2.过滤路由器型防火墙的优点,处理包的速度比较快，过滤路由器为用户提供了一种透明的服务，用户不用改变客户端程序或改变自己的行为。（1）实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中。由于Internet访问一般都是在WAN接口上提供，因此在流量适中并定义较少过滤器时对路由器的性能几乎没有影响。（2）包过滤路由器对用户和应用来讲是透明的，所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。,3.包过滤路由器型防火墙的缺点,（1）防火墙的维护比较困难，定义数据包过滤器会比较复杂。（2）对于外部主机伪装其他可信任的外部主机IP的IP欺骗不能阻止。（3）不能过滤用做数据驱动式攻击的数据包。（4）一些包过滤网关不支持有效的用户认证。（5）不可能提供有用的日志，或根本就不提供。（6）随着过滤器数目的增加，路由器的吞吐量会下降。（7）IP包过滤器可能无法对网络上流动的信息提供全面的控制。,4.过滤规则制定,（1）按地址过滤最简单的数据包过滤结构是按地址过滤。这种方法的过滤要用户限制基于数据包源或目的地址的数据包流，而不考虑包括什么协议。例如，如果用户想要阻止引入有伪造源地址的数据包，用户就可以做这样的规定按地址过滤最大的好处就是可以将一些不希望内部用户登陆的站点屏蔽掉，例如黄色网站，反动言论网站等。,,按地址过滤的另一个应用就是防止内部网络中的某主机对外部网络中一目标主机进行拒绝服务攻击。拒绝服务（DenialofService,简称DOS），是一种简单的破坏性攻击，通常攻击者利用TCP/IP协议中的某个弱点，或者系统存在的某些漏洞，对目标系统发起大规模的进攻，致使攻击目标无法对合法用户提供正常的服务，攻击模型如下图所示。,,在对目标系统的攻击中，必须伪造源地址，目标主机对伪造的源地址是不能识别的，因为它并不能判断这些数据包的真正来源，也不知道其实来自同一台主机，但攻击者的出口路由器却能发现，因为一般伪造源地址都是随机的，不可能都选用攻击者所在内部网络主机的IP地址，所以，出口路由器能发现一个出站方向的数据包源地址居然是外部网络的主机地址。这台路由器上的包过滤防火墙就可以加一个规则,,（2）按服务过滤按地址对数据包过滤并不能消除所有的安全隐患，或者虽然消除了这些安全隐患，却限制了很多的服务。如果我们只想屏蔽某台外部主机对内部主机的Telnet服务，而允许该外部主机其他的服务，用地址过滤的办法是无法做到这一点的，要么禁止该主机的一切服务，要么屏蔽一切该主机的一切服务。在这样的情况下，可以使用按服务过滤。,,如果不希望自己内网主机对外部主机特定服务的请求，例如远程登录Telnet。或者屏蔽自己内部主机对外的服务，则可以做如下规定,,（3）综合过滤更多的时候，访问限制的规则比以上两种情况要复杂得多，譬如，需要对某台特定主机而不是所有主机的特定服务做限制，对与该主机的其他服务，或着其他主机的这种服务是允许的，那么就需要做综合的过滤。,,二、应用层防火墙在应用层实现防火墙，方式多种多样，下面介绍几种应用层防火墙的设计实现。1.代理与代管服务（1）应用代理服务器（ApplicationGatewayProxy）在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络时，必须先在防火墙上经过身份认证。通过身份认证后，防火墙运行一个专门为该网络设计的程序，把外部主机与内部主机连接。,,在连接过程中，防火墙可以限制用户访问的主机、访问时间及访问的方式。同样，受保护网络内部用户访问外部网时也需先登录到防火墙上，通过验证后，才可访问。优点既可以隐藏内部IP地址，也可以给单个用户授，即使攻击者盗用了一个合法的IP地址，也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明，用户每次连接都要受到认证，这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。,,（2）回路级代理服务器回路级代理服务器即通常意义的代理服务器，它适用于多个协议，但不能解释应用协议，需要通过其他方式来获得信息。套接字服务器（SocketsServer）就是回路级代理服务器。套接字Sockets是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时，在防火墙上的套服务器检查客户的UserID、IP源地址和IP目的地址，经过确认后，套服务器才与外部的服务器建立连接。对用户来说，受保护网与外部网的信息交换是透明的，但是客户端的应用软件必须支持“SocketsifiedAPI”。,,（3）代管服务器代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上，使它同时充当服务器，对外部的请求作出回答。与应用层代理实现相比，代管服务器技术不必为每种服务专门写程序。而且，受保护网内部用户想对外部网访问时，也需先登录到防火墙上，再向外提出请求，这样从外部网向内就只能看到防火墙，从而隐藏了内部地址，提高了安全性。,,2、地址扩充与地址保护（1）网络地址转换器（NATNetworkAddressTranslate）当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法InternetIP地址有限，而且受保护网络往往有自己的一套IP地址规划（非正式IP地址）。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户。对于内部的某些服务器，网络地址转换器为其分配一个固定的合法地址。外部网络的用户可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。,,（2）隔离域名服务器（SplitDomainNameServer）隔离域名服务器是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。（3）基于防火墙的虚拟专用网（VPN）,,3、邮件技术（MailForwarding）当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上。这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。,,三、代理服务代理服务就是将内部所有的用户通过单一主机来访问Internet。代理不要求任何硬件，但对于大部分服务它要求特殊的软件，安装了一个特殊协议或一组协议的代理服务器运行在一个双宿主主机或一个堡垒主机上，这个代理服务器判断来自自己用户的要求并决定哪个可以传送，哪个可以忽略。对于许可的要求，代理服务器就会代表用户与真正的服务器交互而将要求从用户传给真实服务器，也将真实服务器的应答传给用户。,,优点（1）代理服务允许用户直接进入到Internet服务中。（2）代理服务优化日志服务。缺点（1）代理服务落后于非代理服务。（2）对于每项代理可能要求不同的代理服务器。（3）代理服务器可能会限制用户或过程。,7.2虚拟专用网技术,7.2.1VPN定义和分类VPN被定义为通过一公共网络Internet建立的临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,它是对企业内部网的扩展。根据不同的需要,可以构造3种类型的VPN（1）内部网VPN公司和它的分支机构之间建立的VPN；（2）远程访问VPN公司和远地职员或移动中的职员之间建立的VPN；（3）外联网VPN公司与商业伙伴、顾客、供应商、投资者之间建立的VPN。,7.2.2VPN作用与特点,一个VPN至少提供如下功能（1）数据加密；（2）信息认证和身份认证；（3）访问权限控制。VPN有以下特点（1）使用VPN专用网的构建将使费用大幅降低；（2）VPN灵活性大；（3）VPN易于管理维护。,7.2.3VPN技术的实现,VPN系统被设计成通过Internet提供安全的点到点或端到端的“隧道”。在VPN中,PPP数据包流由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再达到另一个LAN上的路由器。基于Internet的VPN使用下面一些技术来实现内部数据网。1．隧道协议TunnelProtocolsVPN技术中的隧道是由隧道协议形成的,隧道协议用来建立通过Internet的安全的点到点传输,大多数的VPN系统使用点到点隧道协议PPTPPointtoPointTunnelingProtocol、第二层隧道协议L2TPLayer2TunnelingProtocol以及IPsecSecureIP标准。,,L2TP协议综合了PPTP协议和L2FLayer2Forwarding协议的优点,并且支持多路隧道,这样可以使用户同时访问Internet和企业网。一般而言,PPTP/L2TP的特点是（1）封装的PPP数据包中包含用户信息；（2）支持隧道交换,隧道交换可以根据用户权限,开启并分配新的隧道,将PPP数据包在网络中传输；（3）便于企业在防火墙和内部服务器上实施访问控制。,,IPSec是一个广泛的、安全的VPN协议,IPsec包含了用户身份认证、查验和数据完整性内容。该协议规定了用以在两个IP工作站之间进行加密、数字签名等而使用的一系列IP级协议。IPSec能够实现来自不同厂商的设备在进行隧道开通和终止时的互操作。同时,IPsec的安全性功能与密钥管理系统松散耦合,当密钥管理系统发生变化时,IPsec的安全机制不需要进行修改。IPsec适应向Ipv6迁移,预计它今后将成为VPN的主要标准。,,2．隧道服务器TunnelSevers隧道服务器位于企业网的中心站点,用于集中隧道连接。隧道服务器具备高性能,这些高性能设备可以同时处理几百或几千个用户连接。同时隧道服务器往往具有一些访问控制、认证和加密能力。,3．认证Authentication,认证包括对用户身份进行认证,而不仅是认证IP地址,认证后决定是否允许用户对网络资源的访问。VPN的认证技术大部分是使用RADIUS来进行用户认证。在RADIUS服务器中设立一个中心数据库,这个中心数据库包括用户身份证信息比如用户名,口令,RADIUS根据这个中心数据库来认证用户。当远程用户拨入远程访问服务器时,RAS或VPN获得认证信息并将认证信息传给RADIUS服务器。如果用户在中心数据库中并有权访问网络,RADIUS通知远程访问服务器继续处理,同时RADIUS发送一些关于用户的概要信息给远程访问服务器,RAS或VPN根据这些信息来检查用户是否符合所有的条件,只有当拨入用户符合所有的条件,用户才能访问网络。,,4．加密Encrytion当数据包传递时,加密技术用来隐藏数据包。如果数据包要通过不安全的Internet,那么即使已建立了用户认证,VPN也不完全是安全的。因为如果没有加密的话,普通的嗅探技术也能捕获、甚至更改信息流。所以在隧道的发送端,认证用户要先加密,再传送数据；在接收端,认证用户接收后再解密。,7.3入侵检测技术,7.3.1入侵检测原理入侵企图或威胁可以被定义为未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。或者是只有关试图破坏资源的完整性、机密性及可用性的活动。一般说来，按照入侵者的角度，我们可以将入侵分为六种类型（1）尝试性闯入（Attemptedbreak-in）；（2）伪装攻击（Masqueradeattack）；（3）安全控制系统渗透（Penetrationofthesecuritycontrolsystem）；（4）泄露（Leakage）；（5）拒绝服务（Denialofservice）；（6）恶意使用（Malicioususe）。,IDES模型,,,在IDES模型中，主体要对客体访问必须通过一个安全监控器，该模型独立于任何特殊的系统和应用环境，提供了一个通用的入侵检测专家系统框架。它能够检测出黑客入侵、越权操作及非正常使用计算机系统的行为。该模型基于这样的假设计算机安全的入侵行为可以通过检查一个系统的审计记录、从中辨识异常使用系统的入侵行为。IDES模型有主体（subject）、客体（object）、审计记录（auditrecords）、参数（profile）、异常记录（anomalyrecords）和活动规则（activityrules）六部分组成。,,（1）主体是指系统操作中的主动发起者。（2）客体指的是系统所管理的资源，如文件等。（3）审计数据指的是主体（subject）对客体（object）的实施操作时，系统产生的数据。IDES审计记录的格式由六元组构成（4）系统参数是IDES模型用来刻划主体对客体的行为，并使用随机变量（metrics）和统计模型来定量描述观测到主体对客体的行为活动特征。,,系统参数定义三种类型变量a）事件记数器EventCounter简单地记录特定事件的发生次数。b）间隔计时器IntervalTimer记录特定事件此次发生和上次发生之间的时间间隔。c）资源计量器（ResourceMeasure）记录某个时间内特定动作所消耗的资源量。设xi是随机变量x从审计记录中观测到的n个值，其中i0,,n。然后选择适当的统计模型,IDES就能判断新观测到的值xn1是否异常。而统计模型对这个参数x的分布是未知的，有关x的所有的知识都来自于审计记录。,,IDES用到了几种统计模型。一般情况下，计算机中的参数常被用作组成部分，典型的信息有注册系统频度、命令执行参数、文件访问等几种，系统参数的结构由10部分组成，即Variable-Name变量名称识别系统参数的标志。Action-Pattern（动作模式）用来匹配审计记录中的零个或多个动作的模式。Exception-Pattern（例外模式）用来匹配审计记录中的资源使用的模式。Resource-Usage-Pattern（资源使用模式）用来定义一种特定的变量和统计模型。Period测量的间隔时间或者取样时间。,,Variable-Type一种抽象的数据类型，用来匹配审计记录中的主体的模式，识别系统参数的标志。Threshold（门槛，阈值）统计测试中有异常的参数值。Subject-Pattern（主体模式）用来匹配审计记录中的主体的模式，识别系统参数的标志。Object-pattern（客体模式）用来匹配审计记录中的客体模式，识别系统参数的标志。Value当前观测值和统计模式所用的参数值。系统参数格式〈Variable-Name,Action-Pattern,Exception-Pattern,Reaource-Usage-pattern,Period,Variable-Type,Threshold,Subject-pattern,Object-Pattern,Value〉,7.3.2入侵检测方法,从检测入侵的方法来分，可以分为异常检测和误用入侵检测。一、异常入侵检测技术异常检测指的是根据非正常行为（系统或用户）和使用计算机资源非正常情况检测出入侵行为。异常检测试图用定量方式描述常规的或可接受的行为，以标记非常规的，潜在的入侵行为。这种非常规的，潜在的入侵行为我们可以定义为“威胁”。典型的威胁模型将威胁分为外部闯入、内部渗透和不当行为三种类型。,,（1）外部闯入指的是未经授权计算机系统用户的入侵；（2）内部渗透是指已授权的计算机用户访问未经授权的数据；（3）不当行为指的是用户虽经授权，但对授权数据和资源的使用不合法或滥用授权。异常活动集与入侵活动集之间的关系如下图所示,,异常入侵检测的主要前提是入侵活动作为异常活动的子集。可是，入侵性活动并不总是与异常活动相符合。这里存在四种可能性，每种情况的概率都不为零。（1）入侵性而非异常。（2）非入侵性且是异常的。（3）非入侵性非异常。（4）入侵且异常。,,异常入侵要解决的问题就是构造异常活动集并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立，不同模型就构成不同的检测方法。异常检测通过观测到的一组测量值偏离度来预测用户行为的变化，然后作出决策判断的检测技术。1.统计异常检测方法统计异常检测方法根据异常检测器观察主体的活动，然后产生描述这些活动行为的参数。每一个参数保存记录主体当前某种行为，并定时地将当前的参数与存储的参数合并。通过比较当前的参数与已存储的参数判断异常行为，从而检测出网络入侵。,,下面以IDES入侵检测系统为例来说明一般统计异常检测方法处理的过程。设M1，M2，，Mn为参数集的特征变量，这些变量可以是CPU的使用、I/O的使用、使用地点及时间，邮件使用，文件访问数量，网络会话时间等。用S1,S2,,Sn分别表示参数集中变量M1，M2，，Mn的异常测量值。这些值表明了异常程度，若Si的值越高，则表示Mi异常性就越大。将这些异常测量值的平方后加权计算得出参数异常值a1S12a2S22anSn2,ai0这里ai表示参数与变量Mi相关的权重，∑ai1。一般而言，变量M1，M2，，Mn不是相互独立，需要更复杂的函数处理其相关性。,,异常性测量值仅仅是数字，没有明确的理论根据支持那样处理方式。例如，使用多个独立的异常性变量作为结合的依据，理论上概率计算是正确的。但是，异常性测量和贝叶斯概率计算的关系并不是很清晰。常见的几种测量类型如下（1）活动强度测量ActivityIntensityMeasures描述活动处理速度。通常用作检测突发性行为，而检测不出这种长时期的平均行为效果。（2）审计记录分布测量AuditRecordDistributionMeasures描述最近审计记录中所有活动类型分布状况。如特定的用户在整个系统使用中文件访问和I/O活动分布。,,（3）类型测量CategoricalMeasures描述特定的活动在各种类型分布状况。如在系统中，从各个物理位置来的远程登录相关频度，每个邮件发送者、编译器、Shell、编辑器的相关使用。测量关注的是活动的出现的次数多少。（4）顺序测量OrdinalMeasures描述活动的输出结果，以数字值来表示。如特定的用户CPU和I/O使用总量。,,统计异常检测方法的有利之处是的应用的技术方法在统计学得到很好的研究。但是这种方法有几点不利（1）统计测量对事件的发生的次序不敏感，单纯的统计入侵检测系统可能不会发觉事件当中互相依次相连的入侵行为。（2）单纯的统计入侵检测系统将逐渐地训练成单一点，要么行为是异常的，要么是正常的。如果入侵者知道自己的入侵行为被这样的异常检测器监视，那么他就可以诱导这个系统，使得那些大部分依靠行为统计测量的入侵检测方法对监视的特定的事件模式失效。（3）难以确定异常阈值，阈值设置偏低或高均会导致误报警事件。（4）统计异常检测行为类型模型是有限的。,,2.基于特征选择异常检测方法基于特征选择异常检测方法是通过从一组参数数据