基于VPN的分布式防火墙的研究Word格式文档下载.docx
- 文档编号:15711003
- 上传时间:2022-11-15
- 格式:DOCX
- 页数:7
- 大小:236.07KB
基于VPN的分布式防火墙的研究Word格式文档下载.docx
《基于VPN的分布式防火墙的研究Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《基于VPN的分布式防火墙的研究Word格式文档下载.docx(7页珍藏版)》请在冰豆网上搜索。
国际标准化组织(150)对计算机系统安全的定义是:
为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
由此可以将计算机网络的安全理解为:
通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
1.2网络安全现状
随着计算机的网络化和全球化,人们日常生活中的许多活动将逐步转移到网络上来由于网络交易的实时性、方便性、快捷性及低成本性。
位于世界各地互联网上的每一个人均可方便的与另一端的用户通讯。
企业用户可以通过网络进行信息发布、广告、营销、娱乐和客户支持等,同时可以与商业伙伴直接进行合同签订和商品交易,用户通过网络可以获得各种信息资源和服务,如购物、娱乐、求知、教育、医疗、投资等。
然而,伴随着信息互联网的发展,信息领域的犯罪也随之而来,窃取信息、篡改数据和非法攻击等对系统使用者及全社会造成的危害和损失也特别巨大,并且日益增加。
据统计,全球约20秒钟就有一次计算机人侵事件发生,Internet上的网络防火墙约114被突破,70%以上的网络信息主管人员报告因机密信息泄露而受到了损失。
大多数信息犯罪采用先进的技术手段,多于45%的攻击和高级黑客技术有关,如窃听器,口令文件窃取、漏洞扫描探测、特洛伊木马等互联网上可以免费得到的黑客工具,黑客工具和技术手段迅速泛滥,难以通过传统方式约束。
事件发生的频率快速增加,攻击方法和手段不断翻新,一个破解的系统漏洞会造成所有采用该系统的用户处于危险之中。
1.3网络安全策略
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必需遵守的规则,它包括了政策、计划、产品、过程、人员五个基本要素。
网络安全策略就是为了保护网络安全而制定的一系列政策、计划,安全产品和实施人员的总和,是一个系统的概念,它是网络安全系统的灵魂与核心。
当前制定的网络安全策略主要包含5个方面的策略。
1)物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件设备和通信链路免受自然灾害、人为破坏和搭线攻击;
验证用户的身份和使用权限,防止用户越权操作;
确保计算机系统有一个良好的电磁兼容工作环境;
建立完备的安全管理制度,防止非法进入计算机控制室和各种盗窃、破坏活动的发生。
2)访问控制策略
访问控制策略的主要任务是保证网络资源不被非法使用和访问。
它是维护网络系统安全、保护网络资源的重要手段。
访问控制策略主要由入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络检测和锁定控制及网络端口和结点安全控制组成。
3)防火墙策略
它是控制网络信息进出两个方向的门槛。
在网络边界上通过建立起相应的网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。
4)信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
常用的方法有链路加密、端到端加密和节点加密3种。
链路加密的目的是保护网络节点之间的链路信息安全;
端到端加密的目的是对源端用户到目的端用户的数据提供保护;
节点加密的目的是对源节点到目的节点之间的传输链路提供保护。
5)网络安全管理策略
在网络安全中,除了采用上述措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全和可靠的运行,将起到十分有效的作用。
网络的安全管理策略包括:
确定安全管理的等级和安全管理的范围;
制定有关网络使用规程和人员出入机房管理制度;
制定网络系统的维护制度和应急措施等。
1.4网络安全的关键技术
先进的网络安全技术是网络安全的根本保证,网络安全技术涉及的内容非常广泛,这里只介绍几种关键的网络安全技术。
1)密码技术
密码技术是信息安全的核心,除了用于数据的保密之外,也是身份认证、数字签名、访问控制等网络安全技术的基础。
加密就是利用加密算法和密钥将明文转变为密文,解密就是加密的逆过程。
按照收发双方使用的密钥是否相同,密码技术可以分为对称密码技术和非对称密码技术。
●对称密码技术
在对称密码技术中,加密密钥和解密密钥相同,解密算法是加密算法的逆运算。
加密信息的安全性取决于密钥的安全性,与算法的安全性无关,即由密文和加密算法不可能得到明文。
对称密码技术的典型代表有古典密码技术、序列密码技术、分组密码技术(如DES、IDEA、AES等)。
●非对称密码技术
非对称密码技术也称为公钥密码技术,其特点是将加密能力和解密能力分开,用作加密的密钥不同于用作解密的密钥,而且解密密钥不能根据加密密钥计算出来(至少在合理假定的长时间内),加密密钥、加密算法和解密算法都是公开的,而解密密钥是保密的。
典型的公钥密码技术有RAS公钥密码技术、EIGamal公钥密码技术和椭圆曲线公钥密码技术。
2)身份认证技术
单机状态下的身份认证技术有口令、密码、智能卡、指纹识别、虹膜识别等。
而在网络环境下,一般采用高强度的密码认证协议技术来进行身份认证。
Kerberos就是一个被广泛使用的身份认证系统。
Kerberos是为TCP/IP网络设计的可信第三方鉴别协议。
网络上的Kerberos服务起着可信仲裁的作用。
Kerberos可提供安全的网络鉴别,允许个人访问网络中不同的机器。
Kerberos基于对称密码学(采用的是DES,但也可以用其他算法代替),它与网络上的每个实体分别共享一个不同的秘密密钥,是否知道该秘密密钥便是身份的证明。
3)虚拟专用网(VirtualPrivateNetwork,VPN)技术
VPN技术是指在公共网络中建立专用网络,以一种安全的方式,并运用各种加密协议传输数据。
VNP主要采用5项技术来保证安全,这5项技术分别是隧道技术(Tunneling)、加密/解密技术(Encryption&
Decryption)、密钥管理技术(KeyManagement),使用者与设备身份认证技术(Authentication)和访问控制技术(AccessControl)。
4)入侵检测系统(IntrusionDetectionsystem,IDS)
DIS通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,如果检测到入侵或攻击,则进行相应的响应。
工DS最常见的分类有按照信息源分类和按照分析方法分类两种。
按照信息源的不同,可以把工DS分为基于主机的IDS和基于网络的工DS。
基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。
基于网络的DIS在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。
按照分析方法的不同,可以把工DS分为误用检测型IDS和异常检测型IDS。
误用检测分析系统的活动,发现那些与被预先定义好的攻击特征相匹配的事件或事件集。
异常检测是根据预先建立好的系统正常行为的轮廓,发现异常的活动模式,识别主机或网络中异常的或不寻常的行为。
5)安全扫描技术
安全扫描技术也称为脆弱性评估(VulnerabilityAssessment),其基本原理是,采用模拟黑客攻击的形式对目标可能存在的已知的安全漏洞进行逐项检查(目标是工作站、服务器、交换机、数据库的结构),然后根据扫描结果向系统管理员提供周密可靠的安全分析报告,为网络安全整体水平的评估产生重要的依据[3]。
目前安全扫描技术主要分为基于主机的安全扫描和基于网络的安全扫描两类。
基于主机的扫描技术主要是针对操作系统的扫描检测,它采用被动的、非破坏性的办法对系统进行检测。
通常涉及到系统的内核、文件的属性、操作系统的补丁等问题,还包括口令解密,把一些简单的口令剔出,因此,可以非常准确地定位系统的问题,发现系统的漏洞。
它的缺点是与平台相关,升级复杂。
基于网络的扫描技术采用积极的、非破坏性的办法来检测系统是否有可能被攻击崩溃,它利用一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析。
它还针对已知的网络漏洞进行检验。
网络扫描技术常被用来进行穿透实验和安全审计。
这种技术可用来发现一系列平台的漏洞,也容易安装。
但是,它可能会影响网络的性能。
6)防火墙(Firewall)技术
防火墙实际上是一种隔离技术,它将网络分为内部网(专用网)和外部网(公众网),认为内部网是可信赖的,而外部网是不可信赖的,在两个网络通信时进行访问控制来保证内部网的安全。
目前,有3种主要的防火墙技术,分别是数据包过滤、状态检测和应用层网关。
数据包过滤技术是在网络中适当的位置根据系统内设置的过滤规则(即访问控制表)对数据包实施有选择的通过,只有满足过滤规则的数据包才被转发至相应的网络接口,其余的数据包则从数据流中删除。
状态检测技术允许防火墙保留每一条连接的状态,这些状态信息保留在一
个动态的状态表中,为下一次的连接进行决策,如果防火墙收到一个处于非预期状态的数据包,这个数据包就会被丢弃。
应用层网关也称为应用层代理,工作在051模型的应用层。
使用这种技术时,每个应用程序都有一个代理服务程序,一个数据包进入防火墙后被交给相应的代理服务程序,由它检测该数据包的有效性和自身的应用级请求。
1.5分布式防火墙的研究现状
目前,国内外许多著名安全专家和学术组织已经开始在分布式防火墙技术领域进行深入的研究和探讨,一些网络设备开发商也开始开发商用的分布式防火墙产品。
就分布式防火墙产品而言,有纯软件方式和“软件十硬件”方式两种。
纯软件方式的分布式防火墙产品,主机防火墙和防火墙服务器(策略中心)都是采用软件的方式来实现的。
以美国瑞安软件有限公司的CyberwallPLUS系列产品为代表。
该系列包括了以下的产品:
主机防火墙有CyberwallPLUS-SV服务器防火墙,CyberwallPLUS-WS工作站防火墙,该防火墙是唯一获得CISA认证的桌面防火墙。
策略中心为CyberwallPLUS-CM中心管理服务器。
此系列产品具有多极状态检测和入侵预防的功能,能对网络层、传输层和部分应用层协议进行状态检测,并能防止监视扫描、拒绝服务和Web服务器URL攻击等网络攻击。
其它的纯软件方式的分布式防火墙产品还有CA公司的eTrustFirewall和CheckPoint公司的Firewall-1等。
“软件+硬件”方式的产品,主机防火墙为集成了分布式防火墙技术的硬件产品,而防火墙服务器(策略中心)则采用软件形式,以适应更加灵活和高智能的要求。
以3COM公司的嵌入式防火墙产品为代表,这是一种基于硬件的分布式防火墙解决方案,主机防火墙功能被嵌入到网卡中,通过嵌入式防火墙策略服务器来实现集中管理。
这种嵌入式防火墙技术把硬件解决方案的强健性和集中管理式软件解决方案的灵活性结合在一起,从而提供了分布式防火墙技术,并创建了一种更完善的安全基础架构。
CISCO和美国网络安全系统公司也推出了各自的此类嵌入式分布式防火墙产品。
在我国,也已经有公司开发了自主的分布式防火墙产品,如北京安软科技有限公司就推出了具备三层过滤结构的E
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 VPN 分布式 防火墙 研究