信息农业中的网络安全.docx
- 文档编号:29036107
- 上传时间:2023-07-20
- 格式:DOCX
- 页数:22
- 大小:73.28KB
信息农业中的网络安全.docx
《信息农业中的网络安全.docx》由会员分享,可在线阅读,更多相关《信息农业中的网络安全.docx(22页珍藏版)》请在冰豆网上搜索。
信息农业中的网络安全
信息农业中的网络安全
1背 景
中国农业科学院土壤肥料研究所在网络建设上一直走在同类研究所的前头,1995年3月我所就有14台计算机以专线方式与科学院连接,1997年11月我所改用3兆微波,同时上网用户发展为40台,2000年11月我们的网络再一次升级,以100兆光纤接入中国科技网(CSTNet)的,当时网上计算机已经发展到100多台,在土肥所办公楼内各楼层间用100兆交换机连接,真正作到100兆速度到桌面。
目前已有可以独立运行的网络环境,在网络上运行和将要运行各种档次的服务器有:
CompaqAlphaServerDS20E小型机SUNEnterprise250、HP4服务器等,我们拥有一个255个的C类IP地址段,多个网站如和两个邮件服务器。
我们的大型数据库SQLServer和很快就要投入运行的Oracle将在网上为科研人员和广大用户提供服务,由于我所建网较早(图1),与此同时经常举办与网络、计算机、数据库技术有关的培训,科研人员对网络已有了很长时间的思考,计算机技术和用网水平普遍较高。
上述网络设施和计算机数据库系统,及我所的整体计算机水平,为我们参与国家知识基础设施建设,开展网上交流与服务的目标打下基础。
但近年来,随着Internet的迅猛发展,Internet的安全问题也越来越成为人们关注的焦点。
最初的Internet和它的通信协议群是为一个良好的环境而设计的,即一个君子的环境。
用户和主机之间相互信任,旨在进行自由开放的信息交换。
随着时间的推移,越来越多的用户加入Internet的行列,而在这个环境中君子的风度和信任感已经所剩无几。
Internet的开放性成为一把双刃剑,在提供方便的信息交换的同时也使它成为众矢之的。
每一秒钟都有成千上万的攻击事件发生,可以说如今Internet上的每一个人都是不安全的,Internet需要更好的安全机制。
(图:
图1中国农业科学院土壤肥料研究所改造前的网络结构图)
中国农业科学院土壤肥料研究所的网络也不例外,随着网络速度的提升,网络上陆续出现了一些问题:
黑客利用邮件服务器转发大量的垃圾邮件,还利用FTP和Web端口(80口)传输大量的与我所无关的数据,同时也有借用农业信息研究室重新安装的代理服务器下载数据。
上述现象我们统统叫黑客攻击,黑客攻击造成我们的网络速度大大减慢,同时也花了许多冤枉钱。
另外,我们所网络内部还常常出现IP冲突,域用户的账户管理列表也常出现混乱。
因此,提高网络的安全性,增设防火墙、建立防范机制已经是必须作的一件事。
设立防火墙目的在于:
①防止黑客恶意攻击,②控制内部网络和外部Internet之间的连接,③隐藏内部网络的拓扑结构,④在应用层进行适当控制,⑤内部账户实现统一的管理。
2选择软件防火墙的原理与具体方案
实施时间为2001年7月26~8月1日。
主要实施过程有:
①提出并讨论防火墙设计总体方案;②安装和调试防火墙硬件设备;③建立已经运行的网络拓扑结构图;④设计增设防火墙后的网络拓扑结构图;⑤设计服务器端口开禁策略;⑥搜集土肥所网络用户的网卡物理地址;⑦在DHCP服务器上建立Mac地址与内部网络地址的对应关系;⑧对cisco2924c交换机进行划分虚网段;⑨按新的拓扑关系重新连接所有设备和⑩对网上所有服务器和个人计算机的IP设置等。
2.1防火墙基本准则
防火墙的主要目标是控制内部网络和外部网络的Internet之间的连接,有限制的允许内部网络中的计算机访问Internet上的服务,限制外部的网络访问内部计算机。
防火墙的基本准则如下:
①一切未被允许的就是禁止的。
基于这个准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。
这是一种非常有效实用的方法,可以造成一种十分安全的环境,因为只有经过仔细挑选的服务才能允许使用。
它的不足是安全性高于用户使用的方便性,用户所能使用的服务范围受到限制。
②一切未被禁止的就是允许的。
基于这个准则,防火墙应转发所有信息流,然后逐项屏蔽可能有害的服务。
这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务。
它的不足是在日益增多的网络服务面前,网络管理员疲于奔命,特别是受保护的网络范围增大时,很难提供可靠的安全防护。
2.2防火墙类型的选定
2.2.1包过滤型
包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤功能,另外计算机上同样可以安装包过滤软件。
包过滤规则以IP(InternetProtocol)包信息为基础,对IP源地址、IP目标地址、封装协议端口号等进行筛选。
用路由器实现包过滤和用PC机实现包过滤均在OSI(OpenSystemInterconnection)协议网络层进行。
2.2.2网络地址转换(NAT)
NAT(NetworkAddressTranslation)是网络地址翻译技术,它的出现在最初是为了解决日益紧张的IP地址空间,使用NAT可以让多个内部地址共享一个或多个外部合法IP地址,但网络地址翻译技术也是一个重要的防火墙技术,它对外隐藏了内部的网络结构,外部攻击者无法确定内部计算机的连接状态,并且不同时候,内部计算机向外连接使用的地址都是不同的,给外部攻击造成了困难,同样NAT也能通过定义各种映射规则,屏蔽外部的连接请求,并可以将连接请求映射到不同的计算集中。
由于NAT改变了内部计算机的IP地址,因此这种方式也可以称作网络层代理。
2.2.3代理服务型
代理服务是另一种防火墙技术,与包过滤不同,它直接和应用服务程序打交道。
它不会让数据包直接通过,而是自己接收了数据包并对其进行分析。
当代理服务理解了请求之后,它将自己启动另一个连接,向外部网络发送同样的请求,然后将返回的数据发送回那个提出请求的内部计算机。
代理服务器能够提供详细的日志和审计功能。
2.2.4复合型
把包过滤、地址翻译和代理服务几种方法结合起来,可以形成新的复杂的防火墙体系,能够提供更好的安全保证。
在不同类型的防火墙之间进行选择主要依赖于不同需要,一般情况下,内部网络的使用希望预防外部网上的入侵者,但又希望能够最大可能的使用各种网络应用程序来访问Internet,而同时也希望系统配置比较简单。
2.3确定使用的软件防火墙技术
2.3.1制定的策略
我们所受到的攻击类型主要是利用服务器传输大量的数据以及使用代理下载数据。
而网络内部用户对网络的使用主要是浏览网页、收发电子邮件、使用FTP下载数据。
综合以上情况我们采用了在DELL机上的三个界面下对进来的信息进行控制(图2)。
(图:
图2防火墙上的三个用户界面示意图)
(表:
1)策略1在第一界面:
eth1面对所有计算机和服务器对端口、时间所提出的策略,IN)
IP地址
服务及对应端口
时间
实现的功能
备注
159.226.254.46
telnet23
0:
00-24:
00
动态ACL
任意地址
Dns53
0:
00-24:
00
DNS服务
159.226.205.*
www80
0:
00-24:
00
WWW服务
159.226.205.*
www80
0:
00-24:
00
WWW服务
******
任意地址
Pop3110
0:
00-24:
00
POP3从外部接信
传输空闲60秒钟关闭连接
159.226.205.*
Smtp25
0:
00-24:
00
SMTP服务
159.226.205.*
Smtp25
0:
00-24:
00
SMTP服务
159.226.205.*
Smtp25
0:
00-24:
00
SMTP服务
159.226.205.128/26
大于1023端口
0:
00-24:
00
WWW浏览
159.226.205.64/26
大于1023端口
0:
00-24:
00
WWW浏览
(表:
2)策略2在第二界面:
eth2面对所有服务器对端口、时间所提出的策略,IN)
IP地址
服务及对应端口
时间
实现的功能
任意地址
Dns53
0:
00-24:
00
DNS服务
任意地址
Pop3110
0:
00-24:
00
POP3从外部接信
传输空闲60秒钟关闭连接
任意地址
Smtp25
0:
00-24:
00
使用外部SMTP发信
159.226.205.*
大于1023端口
0:
00-24:
00
WWW服务
*******
大于1023端口
0:
00-24:
00
WWW服务
在这样的策略下我们的服务器只开设与其所提供服务相关的端口,对于各个端口的数据流向也做了严格规定,同时还设置了个别服务的最大空闲时间。
普通的计算机可以浏览网页、收发电子邮件、在规则时间内通过FTP下载信息。
2.3.2防火墙的具体实现
根据现有的设备我们决定为土肥所网络增加2层防火墙,第一层防火墙作在cisco2600路由器上,第二层防火墙是在一台DELL机上运行FreeBSD操作平台上实现。
1)第一层防火墙在路由器cisco2600上实现 第一层防火墙在路由器上实现,我们的原有硬件是一台Cisco2600标准配置的路由器,此次设备改造是在原有基础上对硬件配置进行了升级:
①内存从32M升级到了64M;②FLASH从8M升级到了16M;③同时安装了ciscoIOSIP/FW/IDS防火墙特性集。
这个特性集具有以下的基本特性:
①基于上下文的访问控制(CBAC)提供基于应用的安全过滤,支持最新的协议和先进的应用程序。
②入侵检测实时监控、截取并对网络误用作出响应。
③动态的每用户验证和授权,适合基于局域网和广域网的用户及VPN客户。
④通过使用ConfigMaker安全向导进行图形配置和管理。
⑤作为基于CiscoIOS的整个VPN解决方案的一个重要组成部分,为广泛的Cisco路由器平台提供强大的周边安全,包括IPSec、QoS和隧道。
我们目前在CISCO2600路由器上做了对内部用户限时段使用FTP功能的设置。
2)第二层防火墙采用软硬结合的做法 第二层防火墙是在一台DELL机上运行FreeBSD操作平台上实现的理由主要是考虑使用网络地址转换技术和包过滤技术相结合来构件防火墙,再使用代理服务技术的大缓存区提高Internet的访问效率,减少对宝贵的Internet带宽的占用。
通过设置,可以使FREEBSD系统能够具有更高的安全性,防止外界入侵者进入系统,即使入侵者进入系统,FREEBSD严密的保护也将使它们无所作为,不能对系统造成严重的破坏。
除了用于保护系统本身以外,FREEBSD还能用于保护同一个网络内的其他机器。
此时这个FREEBSD系统就必须作为内部网络的缺省网关,担负将内部网络连接到外部网络的任务。
我所采用的主要是包过滤和网络地址转换技术。
使用了IPFILTER工具实现包过滤和地址转换功能。
IPFILTER是内核级对IP数据包进行处理的系统,首先,需要重新定制内核添加设置,还需设置内核具有数据转发能力。
设置地址转换:
首先创建一个地址转换设置文件,最基本的方法是使用一个外部地址转换所有内部地址,此时必须进行端口转换。
map规则是用于转换外出数据包的源地址,使得被转换后的地址好像是从外部地址中发起的。
而另一个规则rdr用于转换数据包中目的地址,这样就能使得一个数据包被转发到某个特定计算机上进行处理[1]。
Ipfilter.nat中应该包含的NAT规则为:
mapfxp1192.168.3.0/24→202.102.245.60/32protmaptcp/udp10000:
65000
在这个设置中,首先使用map关键字指明是进行地址转换的设置,此后的fxp1为连接外部网络的网络界面,在这个网络界面上执行数据包的IP地址和端口地址转换,第三个参数为进行转换的内部地址的范围,此后跟随的→符号表示进行地址转换,第五个参数为要转换为的外部地址,当指定子网掩码长度为32位时就表示这只是一个主机而非子网范围,后面的portmap关键字对tcp/udp协议进行端口转换,其使用的映射端口范围在10000到65000之间,也可以对tcp或udp协议分别指定转换端口的范围。
因为我们有多个合法的外部IP地址,所以也设置了一个地址池,为向外部连接的计算机动态的分配合法的外部地址,这样的设置更简单,不需要指定portmap进行地址转换:
mapfx1192.168.3.0/24→202.102.245.0/26
我们使用动态分配外部IP地址和端口转换结合起来的方法,每次内部网络需要外部连接的时候就通过防火墙获得一个端口或者是合法的外部地址。
这样使得内部计算机和外部连接时隐藏了IP和内部的网络结构。
我们所设置的地址分配规则为(在Dell机上实现):
#DNSServer
rdrfxp0159.226.205.*/32port53->192.168.0.*port53tcp/udp
rdrfxp1159.226.205.*/32port53->192.168.0.*port53tcp/udp
#MailServer()
rdrfxp0159.226.205.*/32port25->192.168.0.*port25tcp/udp
rdrfxp0159.226.205.*/32port110->192.168.0.*port110tcp/udp
rdrfxp1159.226.205.*/32port25->192.168.0.*port25tcp/udp
rdrfxp1159.226.205.*/32port110->192.168.0.*port110tcp/udp
#MailServer()
rdrfxp0159.226.205.*/32port25->192.168.0.*port25tcp/udp
rdrfxp0159.226.205.*/32port110->192.168.0.*port110tcp/udp
rdrfxp1159.226.205.*/32port25->192.168.0.*port25tcp/udp
rdrfxp1159.226.205.*/32port110->192.168.0.*port110tcp/udp
#WWWServer
rdrfxp0159.226.205.*/32port80->192.168.0.*port80
rdrfxp0159.226.205.*/32port80->192.168.0.*port80
rdrfxp0159.226.205.*/32port80->192.168.0.*port80
rdrfxp0159.226.205.*/32port80->192.168.0.*port80
rdrfxp0159.226.205.*/32port80->192.168.0.*port80
rdrfxp1159.226.205.*/32port80->192.168.0.*port80
rdrfxp1159.226.205.*/32port80->192.168.0.*port80
rdrfxp1159.226.205.*/32port80->192.168.0.*port80
rdrfxp1159.226.205.*/32port80->192.168.0.*port80
rdrfxp1159.226.205.*/32port80->192.168.0.*port80
rdrfxp0159.226.205.3/32port80->192.168.0.56port80
rdrfxp1159.226.205.3/32port80->192.168.0.56port80
#openatelnetserveronmailserverforinternalnetwork
rdrfxp1159.226.205.*/32port23->192.168.0.*port23tcp
rdrfxp1159.226.205.*/32port23->192.168.0.*port23tcp
#Outtransition
mapfxp0192.168.1.0/24->159.226.205.*/32proxyportftpftp/tcp
mapfxp0192.168.1.0/24->159.226.205.*/32
mapfxp0192.168.0.0/24->159.226.205.*/32proxyportftpftp/tcp
mapfxp0192.168.0.0/24->159.226.205.*/32
mapfxp0192.168.2.0/24->159.226.205.*/32proxyportftpftp/tcp
mapfxp0192.168.2.0/24->159.226.205.*/32
设置包过滤[1]:
包过滤的规则保存在一个特定的文件中的。
block参数用于屏蔽符合过滤条件数据包,pass用于指定数据包可以通过,in和out表明数据包的方向。
proto用于指定不同的协议,设置使用不同协议的数据包能否通过防火墙。
由于内部和外部的数据交换都是要经过防火墙这台机器实现的,通过增加这些规则的设置就使得不符合规定的带有不安全隐患的数据包不可以通过防火墙进入内部网络
我们所设置的具体包过滤规则如下(在Dell机上实现):
#三个网络界面
#fxp0:
连接Internet
#fxp1:
连接客户网络
#fxp2:
连接服务器网络
#fxp0设置
blockinquickonfxp0from192.168.0.0/16toany#阻止非法地址进入
blockinquickonfxp0from172.16.0.0/12toany
blockinquickonfxp0from10.0.0.0/8toany
blockinquickonfxp0from0.0.0.0/8toany
blockinquickonfxp0from169.254.0.0/16toany
blockinquickonfxp0from192.0.2.0/24toany
blockinquickonfxp0from204.152.64.0/23toany
blockinquickonfxp0from224.0.0.0/3toany
passinonfxp0all
passoutquickonfxp0prototcp/udpfrom159.226.205.0/26toanykeepstate
passoutquickonfxp0protoicmpfrom159.226.205.0/26toanykeepstate
#fxp2设置
passoutquickonfxp2prototcpfromanyto192.168.0.*/32port=53flagsSkeepstate
passoutquickonfxp2protoudpfromanyto192.168.0.*/32port=53keepstate
passoutquickonfxp2prototcpfromanyto192.168.0.*/32port=25flagsSkeepstate
passoutquickonfxp2protoudpfromanyto192.168.0.*/32port=25keepstate
passoutquickonfxp2prototcpfromanyto192.168.0.*/32port=110flagsSkeepstate
passoutquickonfxp2protoudpfromanyto192.168.0.*/32port=110keepstate
passoutquickonfxp2prototcpfromanyto192.168.0.*/32port=25flagsSkeepstate
passoutquickonfxp2protoudpfromanyto192.168.0.*/32port=25keepstate
passoutquickonfxp2prototcpfromanyto192.168.0.*/32port=110flagsSkeepstate
passoutquickonfxp2protoudpfromanyto192.168.0.*/32port=110keepstate
passoutquickonfxp2prototcpfromanyto192.168.0.*/32port=80flagsSkeepstate
passoutquickonfxp2prototcpfromanyto192.168.0.*/32port=80flagsSkeepstate
passoutquickonfxp2prototcpfromanyto192.168.0.*/32port=80flagsSkeep
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 农业 中的 网络安全