首页> 图书频道> 经管> 投资理财

10.5.4  常见网络安全技术

2025年09月26日
版权
10.5.4 常见网络安全技术

1.防火墙系统

(1)防火墙的概念 防火墙一词源于古代人们建造房屋之间的隔墙,发生火灾时这道墙可以防止火灾的蔓延。借此概念,计算机网络中的“防火墙”在内部网和外部网之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。通常,防火墙是一个软件和硬件组合而成的设备,如图10-9所示。

978-7-111-51949-2-Part03-25.jpg

图10-9 防火墙示意图

通过部署防火墙,内部网络和外部网络之间的所有网络数据流都必须经过防火墙,且只有符合安全策略的数据流才能通过防火墙。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对攻击者、非法用户的入侵,所以防火墙必须具备非常强的抗击入侵能力。除此之外,防火墙还具有强化网络安全策略、对网络存取和访问进行监控审计、防止内部信息外泄等功能。

(2)防火墙的分类 根据不同的分类原则,防火墙产品有很多分类方式:

1)根据防火墙产品所使用的技术原理,即防火墙技术所处的网络协议层次,分为包过滤防火墙、电路网关防火墙、状态检查防火墙、应用代理网关防火墙、混合防火墙等。

2)根据防火墙产品所保护的设备数量,可以分为保护单机的个人/桌面防火墙和保护多个主机的网络防火墙。

3)根据防火墙产品的形态,可以分为软件防火墙和硬件防火墙。

(3)防火墙的原理

1)包过滤防火墙:对通过防火墙的每个IP数据报文(简称数据包)的头部、协议、地址、端口、类型等信息进行检查,与预先设定好的防火墙过滤规则进行匹配,一旦发现某个数据包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个数据包就会被丢弃。因此,这种防火墙的规则设置尤为重要,过滤规则设置合理可以使防火墙工作更安全、更有效。

2)应用代理防火墙:这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器,但它并不是单纯地在一个代理设备中嵌入包过滤技术,而是具有“应用协议分析”能力,能看到应用数据的最终格式。代理防火墙把自身映射为一条透明线路,从用户和外部线路角度来看,它们之间的连接并没有任何阻碍,但是这个连接的数据收发实际上是经过了代理防火墙转发的。当外界数据进入代理防火墙的客户端时,“应用协议分析”模块根据应用层协议处理这个数据,检查是否有害。由于能够获得完整的应用层数据,所以不仅能根据数据层提供的信息判断数据,更能像管理员分析服务器日志那样“看”内容辨危害。而且由于工作在应用层,防火墙还可以实现双向限制,在过滤外部网络有害数据的同时也可以监控内部网络流出的数据,防止内部网络重要信息的泄露。

3)状态监视防火墙:这种防火墙在对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上,进一步发展了“会话过滤”功能。在每个连接建立时,防火墙会为这个连接构造一个会话状态,包含了这个连接数据包的所有信息,之后基于连接状态信息对每个数据包的内容进行分析和监视。状态监视技术结合了包过滤技术和应用代理技术,因此实现相对复杂,相对于传统包过滤防火墙也会占用更多的资源。

(4)防火墙的体系结构

1)双宿主机结构:用一台装有两块或多块网卡的堡垒主机做防火墙,将其连接在受保护网络和外部网络之间。从一块网卡上传来的IP包,经过防火墙安全模块的检查后,转发到另一块网卡上,以实现网络的正常通信,如图10-10所示。这种结构的一个致命弱点是,一旦入侵者进入堡垒主机并使其具有路由功能,则任何网上用户均可随便访问内网。

978-7-111-51949-2-Part03-26.jpg

图10-10 双宿主机结构防火墙

2)屏蔽主机结构:由包过滤路由器和堡垒主机组成。堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,确保了内部网络不受未授权的外部用户的攻击,如图10-11所示。这种防火墙安全与否的关键是过滤路由器的配置是否正确,如果路由表遭到破坏,堡垒主机就可能被越过,使内部网完全暴露。

978-7-111-51949-2-Part03-27.jpg

图10-11 屏蔽主机结构

3)屏蔽子网结构:采用了两个包过滤路由器和一个堡垒主机,在内外部网络之间建立了一个被隔离的子网,定义为“非军事区”网络,也称为周边网。网络管理员把堡垒主机、Web服务器、Mail服务器等公用服务器放置“非军事区”网络中,如图10-12所示。在这种结构中,即使堡垒主机被入侵者控制,内部网仍受到内部包过滤路由器的保护。

978-7-111-51949-2-Part03-28.jpg

图10-12 屏蔽子网结构

(5)防火墙的局限性 虽然防火墙能够在网络边界上进行极好地防范,但是针对某些攻击,防火墙却是无能为力的。例如,针对内部攻击者的攻击、附在电子邮件上的病毒、使用拨号上网绕过防火墙等。同时,由于防火墙的配置规则是在已知攻击模式下制定的,它不能防范一些新型的攻击方式。因此,不能把防火墙当作一劳永逸的安全措施。

2.入侵检测系统

入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术。它通过监视受保护系统的状态和活动,采用异常检测或滥用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段,是一个完备的网络安全体系的重要组成部分。

入侵检测的通用流程如图10-13所示。

978-7-111-51949-2-Part03-29.jpg

图10-13 入侵检测流程

入侵检测系统(Intrusion Detection System,简称IDS)的功能主要包括识别黑客常用入侵与攻击手段、监控网络异常通信、鉴别对系统漏洞及后门的利用、完善网络安全管理等。

(1)入侵检测系统的分类 根据系统数据来源的不同,可以将入侵检测系统分成三类:基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。

1)基于主机的入侵检测系统。通常被部署在被保护的主机上,对该主机的网络实时连接以及系统审计日志进行分析和检查,当发现可疑行为和安全违规事件时,系统就会向管理员报警,以便采取措施。这些受保护的主机可以是Web服务器、邮件服务器、DNS服务器等关键主机设备。

2)基于网络的入侵检测系统。一般安装在需要保护的网段中,实时监视网段中传输的各种数据包,并对这些数据包进行分析和检测。如果发现入侵行为或可疑事件,入侵检测系统就会发出警报甚至切断网络连接。

3)分布式入侵检测系统。其目标是既能检测网络入侵行为,又能检测主机的入侵行为。系统通常由数据采集模块、通信传输模块、入侵检测分析模块、响应处理模块、管理中心模块组成。例如,一个网络中心通常部署一个管理中心、若干个主机检测引擎和若干个网络检测引擎。其中网络检测引擎作为探测器放置在网络中监测其所在网段上的数据流,它根据集中安全管理中心指定的安全策略、响应规则等分析检测网络数据,同时向集中安全管理中心发回安全事件信息;主机检测引擎安装在重要服务器上,对主机进行实时审计,主机审计数据也定时传送到管理平台。管理平台通过综合信息确定入侵事件、制定响应策略;集中安全管理中心是整个分布式入侵检测系统面向用户的界面。

(2)入侵检测系统的工作原理 入侵检测系统中最重要的模块是数据分析模块,其工作原理主要有以下两种。

1)滥用检测。首先对入侵行为进行特征化描述,建立特征库。如果发现某个行为符合特征就说明发生了这种入侵,如图10-14所示。它的难点在于如何设计模式,使其既表达入侵又不会将正常模式包括进来,即减少漏报和误报率。

978-7-111-51949-2-Part03-30.jpg

图10-14 滥用检测数据分析原理

2)异常检测。入侵和滥用行为与正常行为有较大的差异,通过检查这些差异就能检测出入侵。首先为正常行为建立一个行为模式集合,当用户活动与正常行为模式有较大偏离的时候则认为是异常或入侵行为,如图10-15所示。异常检测的效率取决于用户正常行为模式的完备性和监控的频率。

978-7-111-51949-2-Part03-31.jpg

图10-15 异常检测数据分析原理

(3)入侵检测系统的局限性 入侵检测系统是一种很好的安全防护手段,但也有很多自身的限制。在实时监视网络活动时,可能会有一些情况虽已发现,但是采取措施却为时已晚。此外,漏报和误报问题,以及隐私和安全问题也在困扰着入侵检测系统的使用和发展。

3.入侵防御系统

(1)入侵防御系统的概念 防火墙和入侵检测系统的应用为网络安全提供了基本的安全防护,但由于它们各自的局限性仍有一些无法解决的问题。所以一种新的思路被提出,即将IDS的深层分析能力和防火墙的在线部署能力结合起来,这就是入侵防御系统(Intrusion Prevention System,简称IPS),一种能防御防火墙所不能防御的深层入侵威胁(入侵检测)的在线部署(防火墙方式)安全产品。IPS的技术特征包括嵌入式运行、深入分析和控制IPS、入侵特征库、高效处理能力。

准确地讲,IPS和IDS都基于检测技术,但前者是通过检测防护,后者是基于检测监控。两者主要区别如下:

1)使用方式不同:IPS是串行链路安装,是网关控制类产品,只关注串行线路上的入侵防护;IDS是旁路安装,是安全检测、监控分析类产品,帮助用户发现、统计、分析入侵威胁情况。前者重控制,后者重管理。

2)设计思路不同:与IDS相比,IPS增加了数据转发环节,对系统资源要求更高。因此,为了保证IPS数据处理效率,其事件响应机制要比IDS更精确、更迅速。同时IPS中统计分析、报表呈现等管理特性为提高效率也必须做出一定的让步。

3)发展目标不同:IPS重在深层防御,追求精确阻断,是防御入侵的最佳方案。IDS重在全面检测,追求有效呈现,是了解入侵情况的最佳方案。

(2)入侵防御系统的分类 根据IPS的应用场合不同,将IPS划分为基于主机的入侵防御系统、基于网络的入侵防御系统和基于应用的入侵防御系统。

1)基于主机的入侵防御系统:通过在主机/服务器上安装软件代理程序,根据自定义的安全策略以及分析学习机制阻断对服务器、主机发起的恶意入侵。这类入侵防御系统不但能够利用特征和行为规则检测阻止诸如缓冲区溢出之类的已知攻击,还可以防范未知攻击,防止针对Web页面、应用和资源的未授权的任何非法访问。其与具体的主机/服务器操作系统平台紧密相关,不同的平台需要不同的软件代理程序。

2)基于网络的入侵防御系统:通过检测流经的网络流量,提供对网络系统的安全保护。由于它采用在线连接方式,所以一旦辨识出入侵行为,就可以去除整个网络会话。同样由于实时在线,这类入侵防御系统需要很高的性能,以免成为网络瓶颈,因此通常被设计成类似于交换机的网络设备。

3)基于应用的入侵防御系统:被设计成一种高性能的设备,配置在应用数据的网络链路上,把基于主机的入侵防御扩展为位于应用服务器之前的网络设备,以确保用户遵守设定好的安全策略,保护服务器安全。这种入侵防御系统工作在网络上,直接对数据包进行检测与阻断,与具体的主机/服务器操作系统平台无关。

(3)入侵防御系统的原理 IPS直接嵌入到网络流量中,通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包都能在IPS设备中被清除掉。

当数据流进入IPS引擎后,首先根据数据包首部信息和流信息对每个数据包进行检查、分类。IPS可以做到逐一字节的检查数据包。通过检查的数据包被放行,含有恶意内容的则被丢弃。

IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。根据数据包的分类,相关的过滤器将会被用于检查数据包的流状态信息。针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。所有过滤器都是并行使用的,如果任何数据包符合匹配条件,则被丢弃。

(4)入侵防御系统的局限性 IPS在设计、配置或管理不当时,也会表现出一定的局限性,例如造成网络单点故障、性能存在瓶颈、误报率和漏报率较高等。

4.VPN系统

(1)VPN的概念 虚拟专用网络(Virtual Private Network,简称VPN)是建立在现有物理网络之上的虚拟网络,它为网络间传送的数据和控制信息提供了一种安全的通信机制。简单地说,VPN是通过公共网络对专用内联网的扩展,并且确保两个通信端点间安全和有效的连接,如图10-16所示。使用VPN进行远程网络连接具有安全性和便捷性的特点。VPN的应用场景主要有以下几种。

1)远程访问。远程移动用户通过VPN技术可以在任何时间、地点采用多种方式与公司内联网的VPN设备建立起隧道或秘密信道,实现访问连接。

2)组建内联网。公司总部网络与跨地域的分支机构在公共网络上采用隧道技术和密码技术等VPN技术构成公司内部的虚拟专用网络,也叫内联网VPN。

3)构建外联网。使用VPN技术在公共网络上将合作伙伴的主机或网络联网,实施内联网的特定主机和网络资源与外部特定主机和网络资源的相互共享,也叫外联网VPN。

978-7-111-51949-2-Part03-32.jpg

图10-16 典型的VPN应用

(2)VPN的分类 根据组网技术,VPN可分为远程访问VPN、内联网VPN和外联网VPN。

1)远程访问VPN。为组织机构的远程、移动和远程办公员工提供对组织机构网络资源的随时访问。

2)内联网VPN。将远程分支办公室互联至组织机构内联网中。

3)外联网VPN。允许合作伙伴、客户和供应商等外部商业实体可控访问所需的网络资源。

根据VPN体系结构,可分为网关到网关体系结构、主机到网关体系结构和主机到主机体系结构。

1)网关到网关体系结构。在每个网络上部署一个VPN网关,在他们之间建立VPN连接。这两个网络之间需要安全保护的流量通过两个VPN网关所建立的VPN连接进行传输。

2)主机到网关体系结构。在公司其网络上部署一个VPN网关,员工在外网办公时可以建立一个办公计算机和公司VPN网关之间的VPN连接。

3)主机到主机体系结构。在一台主机上配置服务器提供VPN服务,另一台主机作为VPN客户端,实现客户端到主机之间的加密连接。

根据VPN技术所处的协议层次,VPN可以在第二层、第三层、第四层和应用层上实现。

1)数据链路层VPN。可以保护各种网络协议,因此通常用于非IP协议。

2)网络层VPN。可以保护两台主机或网络间的所有通信而不用修改客户端或服务器上的任何应用。

3)传输层VPN。常用于保护单独的HTTP应用通信的安全,并且也保护其他应用的通信。

4)应用层VPN。保护单个应用的部分或全部通信。

(3)VPN的技术原理 VPN主要采用4种技术来保证安全,分别是隧道技术、加解密技术、密钥管理技术和身份认证技术。其中,隧道技术是VPN的基本技术。

1)隧道技术。类似于点对点连接技术,在公共网建立一套数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层隧道协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F形成。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层协议有VTP、IPSec等。

2)加解密技术。利用比较成熟的加解密算法对通信过程中的数据进行加解密。

3)密钥管理技术。实现在公共网上安全的传递密钥而不被窃取。

4)身份认证技术。常用用户名与密码或卡片式认证等方式来实现用户与设备身份认证。

(4)VPN的局限性 VPN是基于互联网的虚拟专用网,其可靠性和性能不在企业的直接控制之下。用户必须依赖互联网服务商提供的服务来实现VPN的启动和运行。这就要求用户必须和互联网服务提供商签署协议,确保其能够提供实现VPN的各种性能指标。

5.防病毒

(1)计算机病毒概述 计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”,一般具有寄生性、隐蔽性、传染性、破坏性、可触发性等特点。计算机病毒会造成对计算机数据信息的破坏,还会占用磁盘空间,抢占系统资源,影响计算机运行速度。

计算机病毒按不同的分类标准,可分类如下:

1)按病毒依附的媒体,可分为引导性病毒、文件病毒、宏病毒、网络病毒、混合病毒等。

2)按激活方式,可分为自动病毒和可控病毒。

3)按危害程度,可分为微小危害型、微小危险型、危险型、非常危险型。

4)按病毒特有的算法,可分为伴随型病毒、蠕虫型病毒、寄生型病毒、练习型病毒。

5)按病毒的特性,可分为系统病毒、蠕虫病毒、木马病毒、脚本病毒等。

(2)计算机病毒的检测与防范 计算机病毒进行传染必然会留下痕迹。病毒检测主要有特征代码法、校验和法、行为监测法、软件模拟法、比较法、感染实验法等。现代杀毒软件一般是利用其中的一种或几种手段进行检测。严格地说,随着计算机技术的不断发展,想绝对地检测和预防病毒是很难实现的。

计算机病毒的预防是指通过建立合理的计算机病毒预防体系,及时发现计算机病毒入侵,并采取有效措施阻止计算机病毒的传播和破坏。常用的防范技术有以下几种:

1)操作系统漏洞的检测和补丁安装。

2)操作系统安全设置。

3)升级病毒特征库。

4)关闭无用端口。

5)谨慎安装各种插件。

6)不随意访问未知网站。

7)不随意下载文件和打开陌生人的电子邮件。

8)删除系统默认共享资源。

(3)计算机杀毒软件 计算机杀毒软件是一种专门针对各种类型计算机病毒进行防范和清除的工具软件,主要功能是查找病毒并清除病毒、提供病毒防火墙、隔离病毒文件。此外,杀毒软件大多具有查杀木马功能以及部分的防黑客功能。

目前,计算机行业的杀毒软件种类非常丰富,国际著名的防杀毒软件有卡巴斯基(Kaspersky)、迈克菲(McAfee)、诺顿(Norton)等,国内的防病毒软件主要有江民、金山毒霸、瑞星、趋势等。国外的防病毒软件主要集中在高端的信息安全领域,有强大的病毒防御功能,而国内的防病毒软件能够查杀到的病毒数量相对来说更多,查杀的速度相对更快。选购防病毒、杀毒软件,需要注意的指标包括扫描速度、正确识别率、误报率、技术支持水平、升级的难易度、可管理性和警示手段等多个方面[17]。

6.抗拒绝服务攻击系统

拒绝服务攻击可能给企业带来巨大的损失。带宽耗尽型的攻击可能极大浪费企业骨干网络宝贵的带宽资源,严重增加核心设备的工作负荷,造成关键业务的中断或网络服务质量的大幅降低。商业银行的门户网站或者电子商务网站经常是黑客实施DDoS攻击的对象,一旦攻击成功将对商业银行的经济利益和声誉造成严重损害。常见的防火墙、入侵检测、路由器等安全产品,由于设计之初就没有考虑相应的DDoS防护,所以无法针对复杂的DDoS攻击进行有效地检测和防护。而至于退让策略或是系统调优等方法只能应付小规模DDoS攻击,对大规模DDoS攻击还是无法提供有效的防护。

DDoS防护一般包含两个方面,一是针对不断发展的攻击形式,尤其是采用多种欺骗技术的技术,能够有效地进行检测;二是如何降低其对业务系统或者是网络的影响,从而保证业务系统的连续性和可用性。

完善的DDoS攻击防护应该从4个方面考虑:能够从背景流量中精确地区分攻击流量;降低攻击对服务的影响,而不仅仅是检测;能够支持在各类网络入口点进行部署;系统具备很强的扩展性和良好的可靠性。基于此,抗拒绝服务攻击系统应具有如下特性:通过集成的检测和阻断机制对DDoS攻击实时响应;采用基于行为模式的异常检测,从背景流量中识别攻击流量;提供针对海量DDoS攻击的防护能力;提供灵活的部署方式保护现有投资,避免单点故障或者增加额外投资;对攻击流量进行智能处理,保证最大程度的可靠性和最低限度的投资;降低对网络设备的依赖及对设备配置的修改;尽量采用标准协议进行通讯,保证最大程度的互操作性和可靠性。

抗拒绝服务攻击系统采用串行或旁路部署在用户网络环境中,通过采样、特征码分析、智能对比等多种技术手段检测拒绝服务攻击流量,然后根据攻击类型的不同,采用拦截、接管、黑名单等方式对这些攻击流量进行处理及阻断,保护服务主机免于攻击所造成的损失。

目前国内市场上的抗拒绝服务攻击工具主要有绿盟的黑洞、中新软件的金盾、天融信的网络卫士等,对SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、Fragment Flood、HTTP Proxy Flood、CCProxy Flood等常见的拒绝服务攻击行为均可有效识别和防护。

7.UTM系统

随着信息安全威胁的不断出现,必要的安全产品和解决方案不断增加。对于企业来说,逐一采购和部署每项安全产品已成为非常具有挑战性的事情。这些安全产品包括但不限于防火墙、反垃圾邮件、反恶意软件、IDS/IPS、内容过滤、数据防泄露、VPN等。而与此同时,网络安全威胁也在不断变化中体现出新的复合性特点,使传统的面对单一威胁的解决方案力不从心。因此,业界推出了统一威胁管理(Unified Threat Manage-ment,简称UTM)系统。

UTM通常定义为由硬件、软件和网络技术组成的具有专门用途的设备。它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。UTM产品应该具备的基本功能包括网络防火墙、入侵检测/防御和网关防病毒功能。不同厂商之间提供的功能会有所差异,有些UTM产品还可以为有线、无线和互联网协议语音电话(VoIP)类型的流量进行安全防护。虽然UTM产品将多数安全功能集于一身,但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模,UTM产品分为不同的级别。也就是说,如果用户需要同时开启多项功能,则需要配置性能比较高、功能比较丰富的产品。

UTM系统提供对整网安全事件的实时监控,集中采集并显示各种DDos攻击、用户访问控制、漏洞攻击、病毒攻击、蠕虫攻击等事件,实时显示近期安全事件状态,并提供基于攻击事件、病毒事件、源地址和目的地址等的TopN列表。为用户提供当前网络安全事件的概览信息,帮助管理员直观地了解最新安全状况,易于实时监控正在发生的安全事件,对安全威胁做出快速排查,保障整网的安全性。

UTM的目标是简便、简化地安装和维护、集中控制,并可以从整体的角度识别网络安全状况,其优点主要体现在:

(1)整合所带来的成本降低 将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用,相比于单个功能的累加功效更强。

(2)降低信息安全工作强度 由于UTM安全产品可以一次性地获得以往多种产品的功能,并且只要插接在网络上就可以完成基本的安全防御功能,所以无论在部署还是使用过程中均较传统的安全产品更为简单。

(3)降低技术复杂度 由于UTM产品集成了很多的安全产品的功能,所以为提高易用性进行了很多考虑,无形中降低了掌握和管理各种安全功能的难度以及用户误操作的可能。

当然,UTM也存在一定的缺点,例如,网关型防御为主的UTM设备无法防范内部威胁、安全产品的过度集成带来单点风险、性能和稳定性需要提升等。

目前,市场上主要的UTM系统产品有:Check Point的Safe@ Office、启明星辰的天清汉马、Fortinet的FortiGate-800等。企业应结合自身实际情况,选择合适的UTM系统,并在使用过程中规避UTM的单点故障等风险。