第４章網(wǎng)絡(luò)基本安全防護(hù)

4.1網(wǎng)絡(luò)安全防護(hù)體系4.2防火墻4.3入侵檢測4.4審計(jì)日志4.5漏洞檢測技術(shù)4.6網(wǎng)絡(luò)故障管理探析4.7數(shù)據(jù)備份與恢復(fù)4.8可生存性和容忍入侵4.9系統(tǒng)分區(qū)隔離信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第1頁。

4.1網(wǎng)絡(luò)安全防護(hù)體系

作為Internet技術(shù)的核心，盡管TCP/IP協(xié)議在連通性上非常成功，但在安全性方面卻暴露了很多問題。由于TCP/IP沒有一個(gè)整體的安全體系，各種安全技術(shù)(如防火墻、SSL通用協(xié)議等)雖然能夠在某一方面保護(hù)網(wǎng)絡(luò)資源或保證網(wǎng)絡(luò)通信的安全，但是各種技術(shù)相對(duì)獨(dú)立，冗余性大，在可管理性和擴(kuò)展性方面都存在很多局限。從安全防護(hù)體系的角度研究怎樣有機(jī)地組合各種單元技術(shù)，計(jì)劃出一個(gè)合理的安全體系，為各種層次不同的應(yīng)用提供唯一的安全服務(wù)，滿足不同強(qiáng)度的安全需求，這對(duì)于網(wǎng)絡(luò)安全的設(shè)計(jì)、實(shí)現(xiàn)與管理都非常重要。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第2頁。開放式系統(tǒng)互連參考模型(OSI/RM)擴(kuò)展部分中增加了有關(guān)安全體系結(jié)構(gòu)的描述。安全體系結(jié)構(gòu)(SecurityArchitecture)是指對(duì)網(wǎng)絡(luò)安全功能的抽象描述，從整體上定義網(wǎng)絡(luò)系統(tǒng)所提供的安全服務(wù)和安全機(jī)制。然而這一體系只為安全通信環(huán)境提出了一個(gè)概念性框架。事實(shí)上，安全體系結(jié)構(gòu)不僅應(yīng)該定義一個(gè)系統(tǒng)安全所需要的各種元素，還應(yīng)該包括這些元素之間的關(guān)系，以構(gòu)成一個(gè)有機(jī)的整體，正像Architecture這個(gè)詞的本意，一堆磚瓦不能稱為建筑。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第3頁。美國國防信息系統(tǒng)安全計(jì)劃(DISSP)提出了一個(gè)反映網(wǎng)絡(luò)安全需求的安全框架。該框架是一個(gè)由安全屬性、OSI各協(xié)議層和系統(tǒng)部件組成的三維矩陣結(jié)構(gòu)。但是該框架中系統(tǒng)部件維所包括的系統(tǒng)部件(端系統(tǒng)、接口、網(wǎng)絡(luò)系統(tǒng)和安全管理)并不能反映網(wǎng)絡(luò)工程中的實(shí)際需求，也沒有給出安全屬性維中個(gè)安全實(shí)行的邏輯關(guān)系。本節(jié)介紹一個(gè)針對(duì)TCP/IP網(wǎng)絡(luò)由安全服務(wù)、協(xié)議層次和實(shí)體單元組成的三維框架結(jié)構(gòu)，它是在DISSP三維安全模型基礎(chǔ)上的改進(jìn)模型，從三個(gè)不同的角度闡述不同實(shí)體、不同層次的安全需求以及它們之間的邏輯關(guān)系。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第4頁。4.1.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)的相關(guān)概念

1．安全服務(wù)

安全服務(wù)是一個(gè)系統(tǒng)各功能部件所提供的安全功能總和。從協(xié)議分層的角度來看，底層協(xié)議實(shí)體為上層實(shí)體提供安全服務(wù)，而對(duì)外屏蔽安全服務(wù)的具體實(shí)現(xiàn)。OSI安全體系結(jié)構(gòu)模型中定義了五組安全服務(wù)：認(rèn)證(Authentication)服務(wù)、保密(Confidentiality)服務(wù)、數(shù)據(jù)完整性(Integrity)服務(wù)、訪問控制(AccessControl)服務(wù)、抗抵賴(Non-repudiation)服務(wù)(或稱作不可否認(rèn)服務(wù))。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第5頁。

2．安全機(jī)制

安全機(jī)制是指安全服務(wù)的實(shí)現(xiàn)機(jī)制。一種安全服務(wù)可以由多種安全機(jī)制來實(shí)現(xiàn)。一種安全機(jī)制也可以為多種安全服務(wù)所用。

3．安全管理

安全管理包括兩方面的內(nèi)容，一是安全的管理(ManagementofSecurity)，網(wǎng)絡(luò)和系統(tǒng)中各種安全服務(wù)和安全機(jī)制的管理，如認(rèn)證或加密服務(wù)的激活、密鑰等參數(shù)的配置、更新等；二是管理的安全(SecurityofManagement)，是指各種管理活動(dòng)自身的安全，如管理系統(tǒng)本身和管理信息的安全。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第6頁。4.1.2網(wǎng)絡(luò)安全體系的三維框架結(jié)構(gòu)

描述計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系結(jié)構(gòu)的三維框架結(jié)構(gòu)如圖4-1所示。

(1)安全服務(wù)平面取自國際標(biāo)準(zhǔn)化組織制訂的安全體系結(jié)構(gòu)模型。我們在五類基本的安全服務(wù)以外增加了可用性(Availability)服務(wù)。不同的應(yīng)用環(huán)境對(duì)安全服務(wù)需求是不同的，各種安全服務(wù)之間也不是完全獨(dú)立的。后面將介紹各種安全服務(wù)之間的依賴關(guān)系。

(2)協(xié)議層次平面參照TCP/IP協(xié)議的分層模型，旨在從網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)角度考察安全體系結(jié)構(gòu)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第7頁。圖4-1網(wǎng)絡(luò)安全防護(hù)體系的三維框架結(jié)構(gòu)信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第8頁。

(3)實(shí)體單元平面給出了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的基本組成單元，各種高單元安全技術(shù)或安全系統(tǒng)也可以劃分成這幾個(gè)層次。

(4)安全管理涉及所有協(xié)議層次、所有實(shí)體單元的安全服務(wù)和安全機(jī)制管理。安全管理操作不是正常的通信業(yè)務(wù)，但為正常通信所需的安全服務(wù)提供控制與管理機(jī)制，是各種安全機(jī)制有效性的重要保證。

信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第9頁。從(X，Y，Z)三個(gè)平面各取一點(diǎn)，比如：取(認(rèn)證服務(wù)，網(wǎng)絡(luò)層，計(jì)算機(jī))，表示計(jì)算機(jī)系統(tǒng)在網(wǎng)絡(luò)層采取的認(rèn)證服務(wù)，如端到端的、基于主機(jī)地址的認(rèn)證，如系統(tǒng)登錄時(shí)的用戶名/口令保護(hù)等；取(訪問控制服務(wù)，網(wǎng)絡(luò)層，計(jì)算機(jī)網(wǎng)絡(luò))，表示網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)層采取的訪問控制服務(wù)，比如防火墻系統(tǒng)。

信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第10頁。4.1.3安全服務(wù)之間的關(guān)系

如圖4-1中的X平面所示，一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全需求包括以下幾個(gè)方面：主體與客體的標(biāo)識(shí)與認(rèn)證，主體的授權(quán)與訪問控制，數(shù)據(jù)存儲(chǔ)與傳輸?shù)耐暾?，?shù)據(jù)存儲(chǔ)與傳輸?shù)谋Ｃ苄裕捎眯员ＷC，抗抵賴服務(wù)(不可否認(rèn)性)。各種安全需求之間存在相互依賴關(guān)系，孤立地選取某種安全服務(wù)常常是無效的。這些安全服務(wù)之間的關(guān)系如圖4-2所示。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第11頁。圖4-2安全服務(wù)關(guān)系圖信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第12頁。在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)通信中，參與交互或通信的實(shí)體分別被稱為主體(Subject)和客體(Object)。對(duì)主體與客體的標(biāo)識(shí)與認(rèn)證是計(jì)算機(jī)網(wǎng)絡(luò)安全的前提。認(rèn)證服務(wù)用來驗(yàn)證實(shí)體標(biāo)識(shí)的合法性，不經(jīng)認(rèn)證的實(shí)體和通信數(shù)據(jù)都是不可信的。不過目前Internet網(wǎng)絡(luò)中從底層協(xié)議到高層的應(yīng)用許多都沒有認(rèn)證機(jī)制，如IPv4無法驗(yàn)證對(duì)方IP地址的真實(shí)性，SMTP協(xié)議也沒有對(duì)收到的E-mail中源地址和數(shù)據(jù)的驗(yàn)證能力。沒有實(shí)體之間的認(rèn)證，所有的訪問控制措施、數(shù)據(jù)加密手段等等都是不完備的。比如，目前絕大多數(shù)基于包過濾的防火墻由于沒有地址認(rèn)證能力，無法防范假冒地址類型的攻擊。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第13頁。訪問控制是許多系統(tǒng)安全保護(hù)機(jī)制的核心。任何訪問控制措施都應(yīng)該以一定的訪問控制策略(Policy)為基礎(chǔ)，并依據(jù)對(duì)應(yīng)該策略的訪問控制模型(AccessControlModel)。網(wǎng)絡(luò)資源的訪問控制和操作系統(tǒng)類似，比如需要一個(gè)參考監(jiān)控器(ReferenceMonitor)，控制所有主體對(duì)客體的訪問。防火墻系統(tǒng)可以看成外部用戶(主體)訪問內(nèi)部資源(客體)的參考監(jiān)控器，然而，集中式的網(wǎng)絡(luò)資源參考監(jiān)控器很難實(shí)現(xiàn)，特別是在分布式應(yīng)用環(huán)境中。與操作系統(tǒng)訪問控制的另外一點(diǎn)不同是，信道、數(shù)據(jù)包、網(wǎng)絡(luò)連接等都是一種實(shí)體，有些實(shí)體(如代理進(jìn)程)既是主體又是客體，這都是導(dǎo)致傳統(tǒng)操作系統(tǒng)的訪問控制模型很難用于網(wǎng)絡(luò)環(huán)境。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第14頁。數(shù)據(jù)存儲(chǔ)于傳輸?shù)耐暾允钦J(rèn)證和訪問控制有效性的重要保證，比如，認(rèn)證協(xié)議的設(shè)計(jì)一定要考慮認(rèn)證信息在傳輸過程中不被篡改；同時(shí)，訪問控制又常常是實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)完整性的手段之一。與數(shù)據(jù)保密性相比，數(shù)據(jù)完整性的需求更為普遍。數(shù)據(jù)保密性一般也要和數(shù)據(jù)完整性結(jié)合才能保證保密機(jī)制的有效性。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第15頁。保證系統(tǒng)高度的可用性是網(wǎng)絡(luò)安全的重要內(nèi)容之一，許多針對(duì)網(wǎng)絡(luò)和系統(tǒng)的攻擊都是破壞系統(tǒng)的可用性，而不一定損害數(shù)據(jù)的完整性與保密性。目前，保證系統(tǒng)可用性的研究還不夠充分，許多拒絕服務(wù)類型的攻擊還很難防范?？沟仲嚪?wù)在許多應(yīng)用(如電子商務(wù))中非常關(guān)鍵，它和數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性緊密相關(guān)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第16頁。

4.2防火墻

4.2.1防火墻概述

1．防火墻的概念

防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)設(shè)備，常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)并被連接到Internet的點(diǎn)上。它對(duì)傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對(duì)其進(jìn)行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許。防火墻能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和對(duì)不良信息的過濾。防火墻的位置如圖4-3所示。防火墻服務(wù)于如下的兩個(gè)目的：信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第17頁。

(1)限制人們從一個(gè)特別的控制點(diǎn)進(jìn)入，防止侵入者接近內(nèi)部設(shè)施；

(2)限定人們從一個(gè)特別的點(diǎn)離開，有效地保護(hù)內(nèi)部資源。

防火墻的功能要求所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻，所有穿過防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)。防火墻按照規(guī)定好的配置和規(guī)則，監(jiān)測并過濾所有通向外部網(wǎng)和從外部網(wǎng)傳來的信息，只允許授權(quán)的數(shù)據(jù)通過，防火墻還應(yīng)該能夠記錄有關(guān)的聯(lián)接來源、服務(wù)器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第18頁。圖4-3防火墻的位置信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第19頁。目前業(yè)界優(yōu)秀的防火墻產(chǎn)品有CheckPoint的Firewall-1，Cisco的PIX防火墻、NetScreen防火墻等。國產(chǎn)防火墻主要有東軟NetEye防火墻、天融信NGFW防火墻、南大蘇富特Softwall防火墻等。

2．防火墻的優(yōu)點(diǎn)和缺點(diǎn)

防火墻具有以下優(yōu)點(diǎn)。

(1)防止易受攻擊的服務(wù)。防火墻可以過濾不安全的服務(wù)來降低子網(wǎng)上主系統(tǒng)所冒的風(fēng)險(xiǎn)。如禁止某些易受攻擊的服務(wù)(如NFS)進(jìn)入或離開受保護(hù)的子網(wǎng)。防火墻還可以防護(hù)基于路由選擇的攻擊，如源路由選擇和企圖通過ICMP改向把發(fā)送路徑轉(zhuǎn)向遭致?lián)p害的網(wǎng)點(diǎn)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第20頁。

(2)控制訪問網(wǎng)點(diǎn)系統(tǒng)。防火墻還有能力控制對(duì)網(wǎng)點(diǎn)系統(tǒng)的訪問。例如，除了郵件服務(wù)器或信息服務(wù)器等特殊情況外，網(wǎng)點(diǎn)可以防止外部對(duì)其主系統(tǒng)的訪問。

(3)集中安全性。防火墻閉合的安全邊界保證可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間的流量只有通過防火墻才有可能實(shí)現(xiàn)，因此，可以在防火墻設(shè)置唯一的策略管理，而不是分散到每個(gè)主機(jī)中。

(4)增強(qiáng)保密性和強(qiáng)化私有權(quán)。使用防火墻系統(tǒng)，站點(diǎn)可以防止finger以及DNS域名服務(wù)。finger會(huì)列出當(dāng)前使用者名單，他們上次登錄的時(shí)間，以及是否讀過郵件等等。防火墻也能封鎖域名服務(wù)信息，從而使Internet外部主機(jī)無法獲取站點(diǎn)名和IP地址。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第21頁。

(5)具有有關(guān)網(wǎng)絡(luò)使用、濫用的記錄和統(tǒng)計(jì)功能。如果對(duì)Internet的往返訪問都通過防火墻，那么防火墻可以記錄各次訪問，并提供有關(guān)網(wǎng)絡(luò)使用率的有價(jià)值的統(tǒng)計(jì)數(shù)字。如果一個(gè)防火墻能在可疑活動(dòng)發(fā)生時(shí)發(fā)出音響報(bào)警，則還提供防火墻和網(wǎng)絡(luò)是否受到試探或攻擊的細(xì)節(jié)。采集網(wǎng)絡(luò)使用率統(tǒng)計(jì)數(shù)字和試探的證據(jù)是很重要的，這有很多原因。最為重要的是可知道防火墻能否抵御試探和攻擊，并確定防火墻上的控制措施是否得當(dāng)。網(wǎng)絡(luò)使用率統(tǒng)計(jì)數(shù)字也很重要的，因?yàn)樗勺鳛榫W(wǎng)絡(luò)需求研究和風(fēng)險(xiǎn)分析活動(dòng)的輸入。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第22頁。

(6)防火墻可提供實(shí)施和執(zhí)行網(wǎng)絡(luò)訪問政策的工具。事實(shí)上，防火墻可向用戶和服務(wù)提供訪問控制。因此，網(wǎng)絡(luò)訪問政策可以由防火墻執(zhí)行，如果沒有防火墻，這樣一種政策完全取決于用戶的協(xié)作。網(wǎng)點(diǎn)也許能依賴其自己的用戶進(jìn)行協(xié)作，但是，它一般不可能，也不依賴Internet用戶。

防火墻的缺點(diǎn)主要表現(xiàn)在以下5點(diǎn)。

(1)不能防范內(nèi)部攻擊。內(nèi)部攻擊是任何基于隔離的防范措施都無能為力的。

(2)不能防范不通過它的連接。防火墻能夠有效地防止通過它進(jìn)行傳輸信息，然而不能防止不通過它而傳輸?shù)男畔?。信息安全?章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第23頁。

(3)不能防備全部的威脅。防火墻被用來防備已知的威脅，但沒有一個(gè)防火墻能自動(dòng)防御所有的新的威脅。

(4)防火墻不能防范病毒。防火墻不能防止感染了病毒的軟件或文件的傳輸。

(5)防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。如果用戶抓來一個(gè)程序在本地運(yùn)行，則那個(gè)程序很可能就包含一段惡意的代碼。隨著Java、JavaScript和ActiveX控件的大量使用，這一問題變得更加突出和尖銳。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第24頁。4.2.2網(wǎng)絡(luò)政策

有兩級(jí)網(wǎng)絡(luò)政策會(huì)直接影響防火墻系統(tǒng)的設(shè)計(jì)、安裝和使用。高級(jí)政策是網(wǎng)絡(luò)訪問政策，它用來定義那些受限制的網(wǎng)絡(luò)許可或明確拒絕的服務(wù)，如何使用這些服務(wù)以及這種政策的例外條件。低級(jí)政策描述防火墻實(shí)際上如何盡力限制訪問，并過濾在高層政策所定義的服務(wù)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第25頁。

1．服務(wù)訪問政策

Internet防火墻是機(jī)構(gòu)總體安全策略的一部分。機(jī)構(gòu)總體安全策略定義了安全防御的方方面面。為確保成功，機(jī)構(gòu)必須知道其所有保護(hù)的是什么。安全策略必須建立在精心設(shè)計(jì)的安全分析、風(fēng)險(xiǎn)評(píng)估以及商業(yè)需求分析基礎(chǔ)之上。如果機(jī)構(gòu)沒有詳盡的安全策略，則無論如何精心構(gòu)建的防火墻都會(huì)被繞過去。

服務(wù)訪問政策應(yīng)當(dāng)是整個(gè)機(jī)構(gòu)有關(guān)保護(hù)機(jī)構(gòu)信息資源政策的延伸。要使防火墻取得成功，服務(wù)訪問政策必須既切合實(shí)際，又穩(wěn)妥可靠，而且應(yīng)當(dāng)在實(shí)施防火墻前草擬出來。切合實(shí)際的政策是一個(gè)平衡的政策，既能防護(hù)網(wǎng)絡(luò)免受已知風(fēng)險(xiǎn)，又能使用戶利用網(wǎng)絡(luò)資源。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第26頁。防火墻可以實(shí)施各種不同的服務(wù)訪問政策。一個(gè)典型的政策可以不允許從Internet訪問內(nèi)部網(wǎng)點(diǎn)，但要允許從內(nèi)部網(wǎng)點(diǎn)訪問Internet。另一個(gè)典型政策是允許從Internet進(jìn)行某些訪問，但是或許只許可訪問經(jīng)過選擇的系統(tǒng)，如Web服務(wù)器和電子郵件服務(wù)器。防火墻常常實(shí)施允許某些用戶從Internet訪問經(jīng)過選擇的內(nèi)部主系統(tǒng)的服務(wù)訪問政策，但是這種訪問只是在必要時(shí)，而且只能與認(rèn)證措施組合時(shí)才允許進(jìn)行。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第27頁。

2．防火墻設(shè)計(jì)政策

防火墻設(shè)計(jì)政策是防火墻專用的。它定義用來實(shí)施服務(wù)訪問政策的規(guī)則，闡述了一個(gè)機(jī)構(gòu)對(duì)安全的看法。Internet防火墻可能會(huì)具有兩種截然相反的姿態(tài)：

(1)拒絕除明確許可以外的任何一種服務(wù)，即拒絕一切未予特許的東西。需要確定所有可以被提供的服務(wù)以及它們的安全特性，然后，開放這些服務(wù)，并將所有其它未被列入的服務(wù)排斥在外，禁止訪問。

(2)允許除明確拒絕以外的任何一種服務(wù)，即允許一切未被特別拒絕的東西。需要確定那些認(rèn)為是不安全的服務(wù)，禁止其訪問，而其它服務(wù)則被認(rèn)為是安全的，允許訪問。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第28頁。第一種姿態(tài)比較保守，這是一個(gè)受推薦的方案。遵循“我們所不知道的都會(huì)傷害我們”的觀點(diǎn)，因此能提供一個(gè)非常安全的環(huán)境。但是，能穿過防火墻的服務(wù)，無論在數(shù)量上還是類型上，都受到很大的限制。

第二種姿態(tài)則較靈活，可以提供較多的服務(wù)。由于將易使用這個(gè)特點(diǎn)放在了安全性的前面，所以存在的風(fēng)險(xiǎn)較大。當(dāng)受保護(hù)網(wǎng)絡(luò)的規(guī)模增大時(shí)，很難保證網(wǎng)絡(luò)的安全。例如有一用戶，他有權(quán)不從標(biāo)準(zhǔn)的Telnet端口(port23)來提供Telnet服務(wù)，而是從另一個(gè)Port來提供此服務(wù)，由于標(biāo)準(zhǔn)的Telnet端口已被防火墻所禁止，而另一Port沒有被禁止。這樣，雖然防火墻主觀上想禁止提供Telnet服務(wù)，但實(shí)際上卻沒有達(dá)到這種效果。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第29頁。

4.2.3防火墻體系結(jié)構(gòu)

目前，防火墻的體系結(jié)構(gòu)一般有以下3種：雙重宿主主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)、屏蔽子網(wǎng)體系結(jié)構(gòu)。

1．雙重宿主主機(jī)體系結(jié)構(gòu)

雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，如圖4-4所示該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而，實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能。因而，IP數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)(例如外部網(wǎng))并不是直接發(fā)送到其它網(wǎng)信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第30頁。絡(luò)(例如內(nèi)部的被保護(hù)的網(wǎng)絡(luò))。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻外部的系統(tǒng)能與雙重宿主主機(jī)通信，但是這些系統(tǒng)不能直接互相通信。它們之間的IP通信被完全阻止。

雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)是相當(dāng)簡單的：雙重宿主主機(jī)位于兩者之間，并且被連接到外部網(wǎng)和內(nèi)部網(wǎng)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第31頁。圖4-4雙重宿主主機(jī)體系結(jié)構(gòu)信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第32頁。

2．屏蔽主機(jī)體系結(jié)構(gòu)

雙重宿主主機(jī)體系結(jié)構(gòu)提供來自與多個(gè)網(wǎng)絡(luò)相連的主機(jī)的服務(wù)(但是路由關(guān)閉)，而被屏蔽主機(jī)體系結(jié)構(gòu)使用一個(gè)單獨(dú)的路由器提供來自僅僅與內(nèi)部的網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。如圖4-5所示，在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供(例如，數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第33頁。圖4-5屏蔽主機(jī)體系結(jié)構(gòu)信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第34頁。在屏蔽的路由器上的數(shù)據(jù)包過濾是按這樣一種方法設(shè)置的：堡壘主機(jī)是Internet上的主機(jī)能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的橋梁(例如，傳送進(jìn)來的電子郵件)。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問內(nèi)部的系統(tǒng)或者服務(wù)將必須連接到這臺(tái)堡壘主機(jī)上。因此，堡壘主機(jī)需要擁有高等級(jí)的安全。

數(shù)據(jù)包過濾也允許堡壘主機(jī)開放可允許的連接(什么是“可允許”將由用戶的站點(diǎn)的安全策略決定)到外部世界。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第35頁。因?yàn)檫@種體系結(jié)構(gòu)允許數(shù)據(jù)包從Internet向內(nèi)部網(wǎng)的移動(dòng)，所以，它的設(shè)計(jì)比沒有外部數(shù)據(jù)包能到達(dá)內(nèi)部網(wǎng)絡(luò)的雙重宿主主機(jī)體系結(jié)構(gòu)似乎是更冒風(fēng)險(xiǎn)。實(shí)際上雙重宿主主機(jī)體系結(jié)構(gòu)在防備數(shù)據(jù)包從外部網(wǎng)絡(luò)穿過內(nèi)部的網(wǎng)絡(luò)也容易產(chǎn)生失敗(因?yàn)檫@種失敗類型是完全出乎預(yù)料的，不大可能防備黑客侵襲)。進(jìn)而言之，保衛(wèi)路由器比保衛(wèi)主機(jī)較易實(shí)現(xiàn)，因?yàn)樗峁┓浅Ｓ邢薜姆?wù)組。多數(shù)情況下，被屏蔽的主機(jī)體系結(jié)構(gòu)提供比雙重宿主主機(jī)體系結(jié)構(gòu)具有更好的安全性和可用性。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第36頁。

3．屏蔽子網(wǎng)體系結(jié)構(gòu)

屏蔽子網(wǎng)體系結(jié)構(gòu)通過添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開。如圖4-6所示，在這種結(jié)構(gòu)下，即使攻破了堡壘主機(jī)，也不能直接侵入內(nèi)部網(wǎng)絡(luò)(它將仍然必須通過內(nèi)部路由器)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第37頁。圖4-6屏蔽子網(wǎng)體系結(jié)構(gòu)信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第38頁。堡壘主機(jī)是用戶的網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。任憑用戶盡最大的力氣去保護(hù)它，它仍是最有可能被侵襲的機(jī)器，因?yàn)樗举|(zhì)上是能夠被侵襲的機(jī)器。如果在屏蔽主機(jī)體系結(jié)構(gòu)中，用戶的內(nèi)部網(wǎng)絡(luò)對(duì)來自用戶的堡壘主機(jī)的侵襲門戶洞開，那么用戶的堡壘主機(jī)是非常誘人的攻擊目標(biāo)。在它與用戶的其它內(nèi)部機(jī)器之間沒有其它的防御手段時(shí)(除了它們可能有的主機(jī)安全之外，這通常是非常少的)，如果有人成功地侵入屏蔽主機(jī)體系結(jié)構(gòu)中的堡壘主機(jī)，那就毫無阻擋地進(jìn)入了內(nèi)部系統(tǒng)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第39頁。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)上侵入的影響。可以說，它只給入侵者一些訪問的機(jī)會(huì)，但不是全部。屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為，兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間(通常為Internet)。為了侵入用這種類型的體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須要通過兩個(gè)路由器。即使侵襲者設(shè)法侵入堡壘主機(jī)，他將仍然必須通過內(nèi)部路由器。在此情況下，沒有損害內(nèi)部網(wǎng)絡(luò)的單一的易受侵襲點(diǎn)。作為入侵者，只是進(jìn)行了一次訪問。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第40頁。

1)周邊網(wǎng)絡(luò)

周邊網(wǎng)絡(luò)是另一個(gè)安全層，是在外部網(wǎng)絡(luò)與用戶的被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間附加的網(wǎng)絡(luò)。如果侵襲者成功地侵入用戶的防火墻的外層領(lǐng)域，則周邊網(wǎng)絡(luò)在那個(gè)侵襲者與用戶的內(nèi)部系統(tǒng)之間提供一個(gè)附加的保護(hù)層。

在許多網(wǎng)絡(luò)結(jié)構(gòu)中，用給定網(wǎng)絡(luò)上的任何機(jī)器來查看這個(gè)網(wǎng)絡(luò)上的每一臺(tái)機(jī)器的通信是可能的，如以太網(wǎng)、令牌環(huán)和FDDI。探聽者可以監(jiān)聽Telnet、FTP以及rlogin會(huì)話期間使用過的口令，偷看敏感信息等；探聽者能完全監(jiān)視何人在使用網(wǎng)絡(luò)。

對(duì)于周邊網(wǎng)絡(luò)，如果攻擊者侵入周邊網(wǎng)絡(luò)上的堡壘主機(jī)，則他也僅能探聽到周邊網(wǎng)上的通信，內(nèi)部網(wǎng)絡(luò)的通信仍是安全的。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第41頁。

2)堡壘主機(jī)

在屏蔽的子網(wǎng)體系結(jié)構(gòu)中，用戶把堡壘主機(jī)連接到周邊網(wǎng)；這臺(tái)主機(jī)便是接受來自外界連接的主要入口。例如：對(duì)于進(jìn)來的電子郵件(SMTP)會(huì)話，傳送電子郵件到站點(diǎn)；對(duì)于進(jìn)來的FTP連接，轉(zhuǎn)接到站點(diǎn)的匿名FTP服務(wù)器；對(duì)于進(jìn)來的域名服務(wù)(DNS)站點(diǎn)查詢，等等。

從內(nèi)部的客戶端到在Internet上的服務(wù)器的出站服務(wù)按如下任一方法處理：在外部和內(nèi)部的路由器上設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端直接訪問外部的服務(wù)器；設(shè)置代理服務(wù)器在堡壘主機(jī)上運(yùn)行來允許內(nèi)部的客戶端間接地訪問外部的服務(wù)器。用戶也可以設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端在堡壘主機(jī)上同代理服務(wù)器交談，反之亦然。但是禁止內(nèi)部的客戶端與外部世界之間直接通信(即撥號(hào)入網(wǎng)方式)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第42頁。

3)內(nèi)部路由器

內(nèi)部路由器有時(shí)被稱為阻塞路由器，它保護(hù)內(nèi)部的網(wǎng)絡(luò)，使之免受Internet和周邊網(wǎng)的侵犯。

內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。它允許從內(nèi)部網(wǎng)到Internet的有選擇的出站服務(wù)。

內(nèi)部路由器所允許的在堡壘主機(jī)和用戶的內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部路由器所允許的在Internet和用戶的內(nèi)部網(wǎng)之間的服務(wù)。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少了堡壘主機(jī)被攻破時(shí)對(duì)內(nèi)部網(wǎng)的危害。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第43頁。

4)外部路由器

外部路由器有時(shí)被稱為訪問路由器，保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)，使之免受來自Internet的侵犯。實(shí)際上，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾。保護(hù)內(nèi)部機(jī)器的數(shù)據(jù)包過濾規(guī)則在內(nèi)部路由器和外部路由器上基本上應(yīng)該是一樣的；如果在規(guī)則中有允許侵襲者訪問的錯(cuò)誤，則錯(cuò)誤就可能出現(xiàn)在兩個(gè)路由器上。

一般地，外部路由器由外部群組提供(例如用戶的Internet供應(yīng)商)，同時(shí)用戶對(duì)它的訪問被限制。外部群組可能愿意放入一些通用型數(shù)據(jù)包過濾規(guī)則來維護(hù)路由器，但是不愿意使用維護(hù)復(fù)雜或者頻繁變化的規(guī)則組。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第44頁。外部路由器能有效地執(zhí)行的安全任務(wù)之一是：阻止從Internet上偽造源地址進(jìn)來的任何數(shù)據(jù)包。這樣的數(shù)據(jù)包自稱來自內(nèi)部的網(wǎng)絡(luò)，但實(shí)際上是來自Internet。

建造防火墻時(shí)，一般很少采用單一的技術(shù)，通常是多種解決不同問題的技術(shù)的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù)，以及網(wǎng)管中心能接受什么等級(jí)風(fēng)險(xiǎn)。采用哪種技術(shù)主要取決于經(jīng)費(fèi)，投資的大小或技術(shù)人員的技術(shù)、時(shí)間等因素。一般有以下幾種形式：信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第45頁。

(1)使用多堡壘主機(jī)；

(2)合并內(nèi)部路由器與外部路由器；

(3)合并堡壘主機(jī)與外部路由器；

(4)合并堡壘主機(jī)與內(nèi)部路由器；

(5)使用多臺(tái)內(nèi)部路由器；

(6)使用多臺(tái)外部路由器；

(7)使用多個(gè)周邊網(wǎng)絡(luò)；

(8)使用雙重宿主主機(jī)與屏蔽子網(wǎng)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第46頁。通常建立防火墻的目的在于保護(hù)內(nèi)部網(wǎng)免受外部網(wǎng)的侵?jǐn)_，但內(nèi)部網(wǎng)絡(luò)中每個(gè)用戶所需要的服務(wù)和信息經(jīng)常是不一樣的，它們對(duì)安全保障的要求也不一樣。例如，財(cái)務(wù)部分與其它部分分開，人事檔案部分與辦公管理分開等。我們還需要對(duì)內(nèi)部網(wǎng)的部分站點(diǎn)再加以保護(hù)，以免受內(nèi)部的其它站點(diǎn)的侵襲，即在同一結(jié)構(gòu)的兩個(gè)部分之間，或者在同一內(nèi)部網(wǎng)的兩個(gè)不同組織結(jié)構(gòu)之間再建立防火墻，也就是內(nèi)部防火墻。許多用于建立外部防火墻的工具與技術(shù)也可用于建立內(nèi)部防火墻。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第47頁。

4.2.4代理服務(wù)技術(shù)

1．代理服務(wù)概述

代理服務(wù)是運(yùn)行在防火墻主機(jī)上的一些特定的應(yīng)用程序或者服務(wù)器程序。它是基于軟件的，和過濾數(shù)據(jù)包的防火墻、以路由器為基礎(chǔ)的防火墻的工作方式稍有不同。

代理服務(wù)具有網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的功能。NAT對(duì)所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)使用NAT的網(wǎng)絡(luò)，與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起，極大地提高了內(nèi)部網(wǎng)絡(luò)的安全性。NAT的另一用途是解決IP地址匱乏問題。防火墻利用NAT技術(shù)，不同的內(nèi)部主機(jī)向外連接時(shí)可以使用相同的IP地址；而內(nèi)部網(wǎng)絡(luò)信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第48頁。內(nèi)的計(jì)算機(jī)互相通信時(shí)則使用內(nèi)部IP地址。兩個(gè)IP地址不會(huì)發(fā)生沖突，內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)來說是透明的，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。

代理防火墻對(duì)互聯(lián)網(wǎng)暴露，又是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點(diǎn)。代理程序?qū)⒂脩魧?duì)互聯(lián)網(wǎng)絡(luò)的服務(wù)請(qǐng)求依據(jù)已制定的安全規(guī)則向外提交。代理服務(wù)替代了用戶與互聯(lián)網(wǎng)絡(luò)的連接。在代理服務(wù)中，內(nèi)外各個(gè)站點(diǎn)之間的連接被切斷了，都必須經(jīng)過代理方才能相互連通。代理服務(wù)在幕后操縱著各站點(diǎn)間的連接。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第49頁。目前Internet上最常使用的代理服務(wù)器產(chǎn)品多為軟件形式，如國內(nèi)的中網(wǎng)代理服務(wù)器系統(tǒng)和曙光信息產(chǎn)業(yè)公司推出的“天聯(lián)”Web服務(wù)器/Proxy服務(wù)器，國外的Apache、NetscapeProxyServer、MicrosoftProxy、WinGate、Sock5服務(wù)器等。這些產(chǎn)品都包括了以下功能：收集緩存Web頁面，防止黑客侵入網(wǎng)絡(luò)，允許IPX節(jié)點(diǎn)訪問IP功能，允許按IP地址過濾訪問，允許共享一個(gè)IP地址，URL過濾，病毒過濾和SOCKS客戶機(jī)等。有的代理服務(wù)器還支持二級(jí)代理。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第50頁。代理服務(wù)器是客戶端/服務(wù)器的中轉(zhuǎn)站，代理服務(wù)器必須完成以下功能：

(1)能夠接收和解釋客戶端的請(qǐng)求；

(2)能夠創(chuàng)建到服務(wù)器的新連接；

(3)能夠接收服務(wù)器發(fā)來的響應(yīng)；

(4)能夠發(fā)出或解釋服務(wù)器的響應(yīng)并將該響應(yīng)傳回給客戶端。

代理服務(wù)器工作模型如圖4-7所示。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第51頁。圖4-7代理服務(wù)器工作模型信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第52頁。以下以最常用的HTTP代理、SOCKS代理為例，比較不使用代理、使用一級(jí)代理、使用二級(jí)代理時(shí)客戶端與服務(wù)器的工作流程。

(1)不使用代理，正常上網(wǎng)的流程。

瀏覽WEB：HTTP客戶端(IE)HTTP服務(wù)器。

使用QQ：QQ客戶端QQ服務(wù)器。

(2)僅使用一級(jí)代理。

瀏覽WEB：HTTP客戶端(IE)代理服務(wù)器(HTTPProxy)HTTP服務(wù)器。

使用QQ：QQ客戶端代理服務(wù)器(SOCKS5Proxy)QQ服務(wù)器。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第53頁。

(3)使用二級(jí)代理。

瀏覽WEB：HTTP客戶端(IE)代理服務(wù)器(HTTPProxy)二級(jí)代理服務(wù)器(HTTPProxy或SOCKS5Proxy)HTTP服務(wù)器。

使用QQ：QQ客戶端代理服務(wù)器(SOCKS5Proxy)二級(jí)代理服務(wù)器(SOCKS5Proxy)QQ服務(wù)器。

代理技術(shù)的優(yōu)點(diǎn)如下：

(1)代理易于配置。代理因?yàn)槭且粋€(gè)軟件，所以它較過濾路由器更易配置，配置界面十分友好。如果代理實(shí)現(xiàn)得好，則可以對(duì)配置協(xié)議要求較低，從而避免了配置錯(cuò)誤。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第54頁。

(2)代理能生成各項(xiàng)記錄。因代理工作在應(yīng)用層，它檢查各項(xiàng)數(shù)據(jù)，所以可以按一定準(zhǔn)則，讓代理生成各項(xiàng)日志、記錄。這些日志、記錄對(duì)于流量分析、安全檢驗(yàn)是十分重要和寶貴的。當(dāng)然，也可以用于記費(fèi)等應(yīng)用。

(3)代理能靈活、完全地控制進(jìn)出流量、內(nèi)容。通過采取一定的措施，按照一定的規(guī)則，我們可以借助代理實(shí)現(xiàn)一整套的安全策略，比如可說控制“誰”和“什么”，還有“時(shí)間”和“地點(diǎn)”。

(4)代理能過濾數(shù)據(jù)內(nèi)容。我們可以把一些過濾規(guī)則應(yīng)用于代理，讓它在高層實(shí)現(xiàn)過濾功能，例如文本過濾、圖像過濾、預(yù)防病毒或掃描病毒等。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第55頁。

(5)代理能為用戶提供透明的加密機(jī)制。用戶通過代理進(jìn)出數(shù)據(jù)，可以讓代理完成加解密的功能，從而方便用戶，確保數(shù)據(jù)的機(jī)密性。這點(diǎn)在虛擬專用網(wǎng)中特別重要。代理可以廣泛地用于企業(yè)外部網(wǎng)中，提供較高安全性的數(shù)據(jù)通信。

(6)代理可以方便地與其它安全手段集成。目前的安全問題解決方案很多，如認(rèn)證(Authentication)、授權(quán)(Authorization)、賬號(hào)(Accouting)、數(shù)據(jù)加密、安全協(xié)議(SSL)等。如果把代理與這些手段聯(lián)合使用，則將大大增加網(wǎng)絡(luò)安全性。這也是近期網(wǎng)絡(luò)安全的發(fā)展方向。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第56頁。代理技術(shù)的缺點(diǎn)如下：

(1)代理速度較路由器慢。路由器只是簡單察看TCP/IP報(bào)頭，檢查特定的幾個(gè)域，不作詳細(xì)分析、記錄。而代理工作于應(yīng)用層，要檢查數(shù)據(jù)包的內(nèi)容，按特定的應(yīng)用協(xié)議(如HTTP)進(jìn)行審查、掃描數(shù)據(jù)包內(nèi)容，并進(jìn)行代理(轉(zhuǎn)發(fā)請(qǐng)求或響應(yīng))，故其速度較慢。

(2)代理對(duì)用戶不透明許多代理要求客戶端作相應(yīng)改動(dòng)或安裝定制客戶端軟件，這給用戶增加了不透明度。為龐大的互異網(wǎng)絡(luò)的每一臺(tái)內(nèi)部主機(jī)安裝和配置特定的應(yīng)用程序既耗費(fèi)時(shí)間，又容易出錯(cuò)，原因是硬件平臺(tái)和操作系統(tǒng)都存在差異。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第57頁。

(3)對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器?？赡苄枰獮槊宽?xiàng)協(xié)議設(shè)置一個(gè)不同的代理服務(wù)器，因?yàn)榇矸?wù)器不得不理解協(xié)議以便判斷什么是允許的和不允許的，并且還裝扮一個(gè)對(duì)真實(shí)服務(wù)器來說是客戶、對(duì)代理客戶來說是服務(wù)器的角色。挑選、安裝和配置所有這些不同的服務(wù)器也可能是一項(xiàng)較大的工作。

(4)代理服務(wù)通常要求對(duì)客戶、過程之一或兩者進(jìn)行限制。除了一些為代理而設(shè)的服務(wù)，代理服務(wù)器要求對(duì)客戶與/或過程進(jìn)行限制，每一種限制都有不足之處，人們無法經(jīng)常按他們自己的步驟使用快捷可用的工作。由于這些限制，代理應(yīng)用就不能像非代理應(yīng)用運(yùn)行得那樣好，它們往往可能曲解協(xié)議的說明，并且一些客戶和服務(wù)器比其他的要缺少一些靈活性。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第58頁。

(5)代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制。作為一個(gè)安全問題的解決方法，代理取決于對(duì)協(xié)議中哪些是安全操作的判斷能力。每個(gè)應(yīng)用層協(xié)議，都或多或少存在一些安全問題，對(duì)于一個(gè)代理服務(wù)器來說，要徹底避免這些安全隱患幾乎是不可能的，除非關(guān)掉這些服務(wù)。

代理取決于在客戶端和真實(shí)服務(wù)器之間插入代理服務(wù)器的能力，這要求兩者之間交流的相對(duì)直接性。而且有些服務(wù)的代理是相當(dāng)復(fù)雜的。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第59頁。

(6)代理不能改進(jìn)底層協(xié)議的安全性。因?yàn)榇砉ぷ饔赥CP/IP之上，屬于應(yīng)用層，所以它并不能改善底層通信協(xié)議的能力。如IP欺騙、SYN泛濫、偽造ICMP消息和一些拒絕服務(wù)的攻擊。而這些方面，對(duì)于一個(gè)網(wǎng)絡(luò)的健壯性是相當(dāng)重要的。

許多防火墻產(chǎn)品軟件混合使用包過濾與代理服務(wù)這兩種技術(shù)。對(duì)于某些協(xié)議如Telnet和SMTP用包過濾技術(shù)比較有效，而其他的一些協(xié)議如FTP、Archie、Gopher、WWW則用代理服務(wù)比較有效。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第60頁。

2．應(yīng)用層網(wǎng)關(guān)及HTTP代理

代理防火墻分為應(yīng)用層網(wǎng)關(guān)、電路層網(wǎng)關(guān)。

應(yīng)用層網(wǎng)關(guān)代理防火墻工作于應(yīng)用層，且針對(duì)特定的應(yīng)用層協(xié)議，如超文本傳輸(HTTP)、文件傳輸(FTP)，等等。它提供的控制最多，但是不靈活，必須要有相應(yīng)的協(xié)議支持。如果協(xié)議不支持代理(如SMTP和POP)，那么就只能在應(yīng)用層以下代理。代理防火墻通過編程來弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層提供訪問控制。而且，還可用來保持一個(gè)所有應(yīng)用程序使用的記錄。記錄和控制所有進(jìn)出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一。應(yīng)用層網(wǎng)關(guān)代理防火墻工作原理如圖4-8所示。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第61頁。圖4-8應(yīng)用層網(wǎng)關(guān)信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第62頁。對(duì)每種不同的應(yīng)用層(如E-mail、FTP、Telnet、WWW等)都應(yīng)用一個(gè)相應(yīng)的代理，所有的代理服務(wù)都需要客戶軟件的支持。

在TCP/IP網(wǎng)絡(luò)中，傳統(tǒng)的通信過程是這樣的：客戶端向服務(wù)器請(qǐng)求數(shù)據(jù)，服務(wù)器響應(yīng)該請(qǐng)求，將數(shù)據(jù)傳送給客戶端。在引入了代理服務(wù)器以后，這一過程變成了這樣：在客戶端，代理服務(wù)給用戶的假象是：用戶是直接與真正的服務(wù)器相連的；而在服務(wù)器端代理服務(wù)給出的假象是：服務(wù)器是直接面對(duì)連在代理服務(wù)器上的用戶。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第63頁。當(dāng)某用戶(不管是遠(yuǎn)程的還是本地的)想和一個(gè)運(yùn)行代理的網(wǎng)絡(luò)建立聯(lián)系時(shí)，此代理(應(yīng)用層網(wǎng)關(guān))會(huì)阻塞這個(gè)連接，然后對(duì)連接請(qǐng)求的各個(gè)域進(jìn)行檢查。代理服務(wù)器并非將用戶的全部網(wǎng)絡(luò)服務(wù)請(qǐng)求提交給互聯(lián)網(wǎng)絡(luò)上的真正的服務(wù)器，因?yàn)榇矸?wù)器能依據(jù)安全規(guī)則和用戶的請(qǐng)求做出判斷是否代理執(zhí)行該請(qǐng)求，所以它能控制用戶的請(qǐng)求。有些請(qǐng)求可能會(huì)被否決，比如：FTP代理就可能拒絕用戶把文件往遠(yuǎn)程主機(jī)上送?；蛘咚辉试S用戶將某些特定的外部站點(diǎn)的文件下載。還有的代理服務(wù)可能對(duì)于不同的主機(jī)執(zhí)行不同的安全規(guī)則，而不對(duì)所有主機(jī)執(zhí)行同一標(biāo)準(zhǔn)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第64頁。最常用的應(yīng)用層網(wǎng)關(guān)是HTTP代理服務(wù)器，端口通常為80或8080。如：瀏覽器IE可以使用HTTP代理瀏覽網(wǎng)頁，下載工具NetAnts、CuteFTP可以使用HTTP代理下載文件，網(wǎng)絡(luò)尋呼工具QQ可以使用HTTP代理進(jìn)行通信。

例如，在Web瀏覽器中設(shè)置了一個(gè)HTTP代理服務(wù)器后，訪問Internet上任何站點(diǎn)時(shí)所發(fā)出的請(qǐng)求，都不會(huì)直接發(fā)給遠(yuǎn)程的WWW服務(wù)器，而是被送到了代理服務(wù)器上。代理服務(wù)器分析該請(qǐng)求，先查看自己緩存中是否有請(qǐng)求數(shù)據(jù)，如果有，就直接傳送給客戶端，如果沒有，就代替客戶端向遠(yuǎn)程的WWW服務(wù)器提出申請(qǐng)。服務(wù)器響應(yīng)以后，代理信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第65頁。服務(wù)器將響應(yīng)的數(shù)據(jù)傳送給客戶端，同時(shí)在自己的緩存中保留一份該數(shù)據(jù)的拷貝。如果下一次有人再訪問該站點(diǎn)，這些內(nèi)容便會(huì)直接從代理服務(wù)器中獲取，而不必再連接相應(yīng)的網(wǎng)站了。代理服務(wù)器在此過程中充當(dāng)了網(wǎng)絡(luò)緩沖的作用，可以節(jié)約網(wǎng)絡(luò)帶寬，提高訪問速度。

3．電路層網(wǎng)關(guān)及SOCKS代理

另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)(CircuitGateway)。電路層網(wǎng)關(guān)在網(wǎng)絡(luò)的傳輸層上實(shí)施訪問策略，在內(nèi)、外網(wǎng)絡(luò)主機(jī)之間建立一個(gè)虛擬電路，進(jìn)行通信，相當(dāng)于在防火墻上直接開了個(gè)口子進(jìn)行傳輸，不像應(yīng)用層防火墻那樣能嚴(yán)密地控制應(yīng)用層的信息。如圖4-9所示。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第66頁。圖4-9電路層網(wǎng)關(guān)信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第67頁。電路層網(wǎng)關(guān)只依賴于TCP連接，并不進(jìn)行任何附加的包處理或過濾。電路層網(wǎng)關(guān)就像電線一樣，只是在內(nèi)部連接和外部連接之間來回拷貝字節(jié)。但由于連接似乎是起源于防火墻，從而隱藏了受保護(hù)網(wǎng)絡(luò)的有關(guān)信息。

電路層網(wǎng)關(guān)常用于向外連接，這時(shí)網(wǎng)絡(luò)管理員對(duì)內(nèi)部用戶是信任的。其優(yōu)點(diǎn)是堡壘主機(jī)可以被設(shè)置成混合網(wǎng)關(guān)，對(duì)于內(nèi)連接支持應(yīng)用層或代理服務(wù)，而對(duì)于外連接支持電路層功能。這使防火墻系統(tǒng)對(duì)于要訪問Internet服務(wù)的內(nèi)部用戶來說使用起來很方便，同時(shí)又能提供保護(hù)內(nèi)部網(wǎng)絡(luò)免于外部攻擊的防火墻功能。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第68頁。在電路層網(wǎng)關(guān)中，特殊的客戶機(jī)軟件可能要安裝，用戶可能需要一個(gè)可變用戶接口來相互作用或改變他們的工作習(xí)慣。

電路層網(wǎng)關(guān)實(shí)現(xiàn)的一個(gè)例子是SOCKS軟件包。SOCKSV5在RFC1928中定義。

SOCKSV5不僅支持基于TCP連接的應(yīng)用協(xié)議的代理，而且支持基于UDP傳輸?shù)膽?yīng)用協(xié)議代理。它提供了一個(gè)標(biāo)準(zhǔn)的安全驗(yàn)證方式和對(duì)請(qǐng)求響應(yīng)的方式。這個(gè)協(xié)議從概念上來講是介于應(yīng)用層和傳輸層之間的“薄層(shim-layer)”，因而不提供如傳遞ICMP信息之類由網(wǎng)絡(luò)層網(wǎng)關(guān)所提供的服務(wù)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第69頁。

SOCKSV4為TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP協(xié)議的客戶/服務(wù)器程序提供了一個(gè)不安全的防火墻。SOCKSV5擴(kuò)展了SOCKSV4以使其支持UDP，擴(kuò)展了框架以包含一般的強(qiáng)安全認(rèn)證方案，擴(kuò)展了尋址方案以包括域名和IPv6地址。SOCKSV5可根據(jù)規(guī)則過濾數(shù)據(jù)流，包括JavaApplet和ActiveX控件。缺點(diǎn)是SOCKSV5通過代理服務(wù)器來增加一層安全性，因此其性能往往比低層協(xié)議的差。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第70頁。當(dāng)基于TCP的客戶要與防火墻外的一個(gè)目標(biāo)建立連接時(shí)，它必須先建立一個(gè)與SOCKS服務(wù)器上SOCKS端口的TCP連接。通常這個(gè)TCP端口是1080。當(dāng)連接建立后，客戶端進(jìn)入?yún)f(xié)議的協(xié)商過程：首先進(jìn)行認(rèn)證方式的選擇，根據(jù)選中的方式進(jìn)行認(rèn)證，然后發(fā)送轉(zhuǎn)發(fā)(relay)的要求。SOCKS服務(wù)器評(píng)估這個(gè)要求，根據(jù)結(jié)果，或建立合適的連接，或拒絕。

一旦建立了一個(gè)到SOCKS服務(wù)器的連接，客戶端就發(fā)送詳細(xì)的請(qǐng)求信息。請(qǐng)求包括協(xié)議版本、命令(CONNECT、BIND、UDPASSOCIATE)、地址類型(可以是基于IPV4的IP地址、基于域名的地址或基于IPv6的IP地址)、目的地址DST.ADDR、目的端口號(hào)DST.PORT。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第71頁。

SOCKS服務(wù)器會(huì)根據(jù)源地址和目的地址來分析請(qǐng)求，然后根據(jù)請(qǐng)求類型返回一個(gè)或多個(gè)應(yīng)答。應(yīng)答包括協(xié)議版本、應(yīng)答(成功、普通的SOCKS服務(wù)器請(qǐng)求失敗、現(xiàn)有的規(guī)則不允許的連接、網(wǎng)絡(luò)不可達(dá)、主機(jī)不可達(dá)、連接被拒、TTL超時(shí)、不支持的命令、不支持的地址類型等)、地址類型、服務(wù)器綁定的地址BND.ADDR、服務(wù)器綁定的端口號(hào)BND.PORT等。

在對(duì)一個(gè)CONNECT命令的應(yīng)答中，由于SOCKS服務(wù)器通常有多個(gè)IP，應(yīng)答中的BND.ADDR常與客戶端連到SOCKS服務(wù)器的IP不同。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第72頁。

BIND請(qǐng)求通常被用在那些要求客戶端接受來自服務(wù)器的連接的協(xié)議上。如FTP，它建立一個(gè)從客戶端到服務(wù)器端的連接來執(zhí)行命令以及接受狀態(tài)的報(bào)告，而使用另一個(gè)從服務(wù)器到客戶端的連接來接受傳輸數(shù)據(jù)的要求(如LS，GET，PUT)。只有在一個(gè)應(yīng)用協(xié)議的客戶端在使用CONNECT命令建立主連接后，才可以使用BIND命令建立第二個(gè)連接。在一個(gè)BIND請(qǐng)求的操作過程中，SOCKS服務(wù)器要發(fā)送兩個(gè)應(yīng)答給客戶端。當(dāng)服務(wù)器建立并綁定一個(gè)新的套接口時(shí)發(fā)送第一個(gè)應(yīng)答。BND.PORT字段包含SOCKS服務(wù)器，用來監(jiān)聽進(jìn)入的連接的端口號(hào)。BAND.ADDR字段包含了對(duì)應(yīng)的IP地址?？蛻舳送ǔＪ褂眠@些信息來告訴(通過主連接或控制連接)應(yīng)用服務(wù)器連接的匯接點(diǎn)。第二個(gè)應(yīng)答僅發(fā)生在所期望到來的連接成功或失敗之后。在第二個(gè)應(yīng)答中，BND.PORT和BND.ADDR字段包含了連上來的主機(jī)的IP地址和端口號(hào)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第73頁。

UDPASSOCIATE請(qǐng)求通常是要求建立一個(gè)UDP轉(zhuǎn)發(fā)進(jìn)程來控制到來的UDP數(shù)據(jù)報(bào)。DST.ADDR和DST.PORT字段包含客戶端所希望的用來發(fā)送UDP數(shù)據(jù)報(bào)的IP地址和端口號(hào)。

對(duì)基于UDP的客戶來說，一般都是在建立TCP的主連接后再發(fā)送UDP報(bào)文，在UDPASSOCIATE應(yīng)答中由BND.PORT指明了服務(wù)器所使用的UDP端口，一個(gè)基于UDP協(xié)議的客戶必須發(fā)送數(shù)據(jù)報(bào)至UDP轉(zhuǎn)發(fā)服務(wù)器的端口上。

SOCKS代理服務(wù)器的端口為1080，支持SOCKS代理服務(wù)器的網(wǎng)絡(luò)工具常見的有Web瀏覽器(如IE)、下載工具(如NetAnts、CuteFTP)、網(wǎng)絡(luò)尋呼工具(如QQ)、電子郵件客戶端軟件(如Foxmail)、網(wǎng)絡(luò)游戲軟件(如聯(lián)眾、邊鋒)等。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第74頁。

SOCKS代理服務(wù)器并不像HTTP代理服務(wù)器那么普及。有些局域網(wǎng)網(wǎng)管因?yàn)榘踩蚱渌?，往往只開通了HTTP代理而關(guān)閉了SOCKS代理。在這種情況下，像瀏覽器、下載工具等可以使用HTTP代理服務(wù)器的軟件是沒有任何問題的，可是那些必須依靠SOCKS代理服務(wù)器的網(wǎng)絡(luò)工具軟件就不能直接使用了。例如QQ支持HTTP代理，但只提供給會(huì)員使用，普通用戶只可以使用SOCKS代理，F(xiàn)oxmail只支持SOCKS代理。有沒有一個(gè)簡單的方法在內(nèi)部網(wǎng)也可以使用這些軟件呢？這就需要用到協(xié)議轉(zhuǎn)換軟件SOCKS2HTTP，它的作用可以將HTTP代理變成客戶端的SOCKS代理，把對(duì)客戶端SOCKS代理的請(qǐng)求轉(zhuǎn)換成對(duì)HTTP代理的請(qǐng)求。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第75頁。常用的協(xié)議轉(zhuǎn)換軟件有國產(chǎn)的SocksOnline()、國外的Socks2HTTP(/)。

具體的操作流程如下：在SOCKS2HTTP客戶端代理服務(wù)器軟件的網(wǎng)絡(luò)設(shè)置中填上使用的HTTP代理服務(wù)器的地址和端口，啟動(dòng)依靠SOCKS代理服務(wù)器的客戶端軟件。在客戶端軟件中設(shè)置SOCKS代理服務(wù)器的地址和端口為：localhost:1080，即本地地址?？蛻舳塑浖腟OCKS請(qǐng)求將通過SOCKS2HTTP客戶端代理服務(wù)器轉(zhuǎn)化成HTTP請(qǐng)求。SOCKS2HTTP的工作流程如下：信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第76頁?？蛻舳?SOCKS5請(qǐng)求)SOCKS2HTTP客戶端代理服務(wù)器HTTP代理服務(wù)器SOCKS2HTTP服務(wù)端服務(wù)器服務(wù)器

在上面的流程中，HTTP代理服務(wù)器也是二級(jí)代理服務(wù)器，但關(guān)鍵的地方是Sock2HTTP服務(wù)端服務(wù)器。SOCKS2HTTP的軟件在本地首先開始SOCKS5服務(wù)，然后將客戶端發(fā)來的SOCKS5數(shù)據(jù)包變成HTTP的請(qǐng)求包，通過HTTP代理服務(wù)器再發(fā)送到SOCKS2HTTP服務(wù)端，接著由SOCKS2HTTP服務(wù)端將收到的HTTP數(shù)據(jù)包還原成SOCKS5數(shù)據(jù)包，再將數(shù)據(jù)發(fā)送到目的地址。數(shù)據(jù)的回復(fù)過程正好相反。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第77頁。下面具體分析一個(gè)實(shí)例。該網(wǎng)絡(luò)的配置如下：內(nèi)部網(wǎng)絡(luò)可以自由訪問內(nèi)部網(wǎng)絡(luò)開放的資源，防火墻為HTTP代理，用戶可以通過HTTP代理訪問國內(nèi)的WWW，但不能訪問國外的WWW。我國境內(nèi)的計(jì)算機(jī)信息網(wǎng)絡(luò)進(jìn)行國際聯(lián)網(wǎng)，必須使用(前)郵電部國家公用電信網(wǎng)提供的國際出入口信道。在出入口處安裝的防火墻屏蔽了國外的某些Web網(wǎng)站。

使用協(xié)議轉(zhuǎn)換代理實(shí)際上是通過國內(nèi)的SOCKS2HTTP服務(wù)端服務(wù)器訪問遠(yuǎn)端服務(wù)器的，所以能夠通過協(xié)議轉(zhuǎn)換代理使用國外的資源。如Web瀏覽器的使用流程如下：

Web瀏覽器(SOCKS5請(qǐng)求)SOCKS2HTTP客戶端代理服務(wù)器(本機(jī))本地HTTP代理服務(wù)器SOCKS2HTTP服務(wù)端服務(wù)器(國內(nèi))Web服務(wù)器(國外)信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第78頁。由于出入口防火墻具有包過濾、應(yīng)用層過濾等功能，訪問國外被屏蔽的Internet資源就必須使用具有加密功能的代理，如基于CGI的SSL代理。目前，國內(nèi)還沒有人提供基于CGI的SSL代理服務(wù)，使用國外的基于CGI的SSL代理(如/)還需要配合使用國內(nèi)的代理。Web瀏覽器可以使用以下多級(jí)方式訪問國外被屏蔽的站點(diǎn)C：

Web瀏覽器(SOCKS5請(qǐng)求)SOCKS2HTTP客戶端代理服務(wù)器(本機(jī))本地HTTP代理服務(wù)器SOCKS2HTTP服務(wù)端服務(wù)器(國內(nèi))基于CGI的SSL代理服務(wù)器(國外)Web服務(wù)器(國外)信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第79頁。

4.3入侵檢測

4.3.1入侵檢測概述

1．入侵檢測的概念

安全領(lǐng)域的一句名言是：“預(yù)防是理想的，但檢測是必需的”。入侵是任何企圖破壞資源的完整性、保密性和可用性的行為集合。只要允許內(nèi)部網(wǎng)絡(luò)與Internet相連，攻擊者入侵的危險(xiǎn)就是存在的。新的漏洞每周都會(huì)發(fā)現(xiàn)，而保護(hù)網(wǎng)絡(luò)不被攻擊者攻擊的方法很少。如何識(shí)別那些未經(jīng)授權(quán)而使用計(jì)算機(jī)系統(tǒng)的非法用戶和那些對(duì)系統(tǒng)有訪問權(quán)限但濫用其特權(quán)的用戶，就需要進(jìn)行入侵檢測。入侵檢測(IntrusionDetection)是對(duì)入侵行為的發(fā)覺，是一種試圖通過觀察行為、安全日志或?qū)徲?jì)數(shù)據(jù)來檢測入侵的技術(shù)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第80頁。入侵者進(jìn)入系統(tǒng)主要有三種方式：

(1)物理入侵：入侵者以物理方式訪問一個(gè)機(jī)器進(jìn)行破壞活動(dòng)。例如，趁人不備進(jìn)入機(jī)房并試圖闖入操作系統(tǒng)，拿著鉗子改錐卸掉硬盤裝在另一臺(tái)機(jī)器上進(jìn)行研究。

(2)系統(tǒng)入侵：入侵者在擁有系統(tǒng)的一個(gè)低級(jí)賬號(hào)權(quán)限下進(jìn)行的破壞活動(dòng)。通常，如果系統(tǒng)沒有及時(shí)打補(bǔ)丁，那么擁有低級(jí)權(quán)限的用戶就可能利用系統(tǒng)漏洞獲取更高的管理特權(quán)。

(3)遠(yuǎn)程入侵：入侵者通過網(wǎng)絡(luò)滲透到一個(gè)系統(tǒng)中。這種情況下，入侵者通常不具備任何特殊權(quán)限，他們要通過漏洞掃描或端口掃描等技術(shù)發(fā)現(xiàn)攻擊目標(biāo)，再利用相關(guān)技術(shù)執(zhí)行破壞活動(dòng)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第81頁。入侵檢測的內(nèi)容包括試圖闖入、成功闖入、冒充其他用戶、違反安全策略、合法用戶的泄露、獨(dú)占資源以及惡意使用。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)。它通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象并且對(duì)其做出反應(yīng)。有些反應(yīng)是自動(dòng)的，它包括通知網(wǎng)絡(luò)安全管理員(通過控制臺(tái)、電子郵件)來中止入侵進(jìn)程、關(guān)閉系統(tǒng)以及斷開與互聯(lián)網(wǎng)的連接，使該用戶無效，或者執(zhí)行一個(gè)準(zhǔn)備好的命令等。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第82頁。入侵檢測技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一。傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。入侵檢測技術(shù)通過對(duì)入侵行為的過程與特征的研究，使安全系統(tǒng)對(duì)入侵事件和入侵過程能做出實(shí)時(shí)響應(yīng)。

利用防火墻，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠：入侵者可尋找防火墻背后可能敞開的后門；入侵者可能就在防火墻內(nèi)；由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測能力。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第83頁。入侵檢測是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)：

(1)監(jiān)視、分析用戶及系統(tǒng)活動(dòng)，查找非法用戶和合法用戶的越權(quán)操作；

(2)系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)，并提示管理員修補(bǔ)漏洞；

(3)識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警，能夠?qū)崟r(shí)對(duì)檢測到的入侵行為進(jìn)行反應(yīng)；信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第84頁。

(4)異常行為模式的統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律；

(5)評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性，如計(jì)算和比較文件系統(tǒng)的校驗(yàn)和；

(6)操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。

對(duì)一個(gè)成功的入侵檢測系統(tǒng)來講，它應(yīng)該能夠使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更；為網(wǎng)絡(luò)安全策略的制訂提供指南；它應(yīng)該管理、配置簡單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全；入侵檢測的規(guī)模應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變；入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第85頁。最早的通用入侵檢測模型由D.Denning于1987年提出，如圖4-10所示。該模型由以下6個(gè)主要部分構(gòu)成：

(1)主體(Subjects)：在目標(biāo)系統(tǒng)上活動(dòng)的實(shí)體，如用戶。

(2)對(duì)象(Objets)：系統(tǒng)資源，如文件、設(shè)備、命令等。

(3)審計(jì)記錄(Auditrecords)：由如下的一個(gè)六元組構(gòu)成?<Subject，Action，Object，Exception-Condition，Resource-Usage，Time-Stamp>?；顒?dòng)(Action)是主體對(duì)目標(biāo)的操作，對(duì)操作系統(tǒng)而言，這些操作包括讀、寫、登錄、退出等；異常條件(Exception-Condition)是指系統(tǒng)對(duì)主體的該活動(dòng)的異常報(bào)告，如違反系統(tǒng)讀寫權(quán)限；資源使用狀況(Resource-Usage)是系統(tǒng)的資源消耗情況，如CPU、內(nèi)存使用率等；時(shí)間戳(Time-Stamp)是活動(dòng)發(fā)生時(shí)間。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第86頁。

(4)活動(dòng)簡檔(ActivityProfile)：用以保存主體正?；顒?dòng)的有關(guān)信息。具體實(shí)現(xiàn)依賴于檢測方法，在統(tǒng)計(jì)方法中從事件數(shù)量、頻度、資源消耗等方面度量；可以使用方差、馬爾可夫模型等方法實(shí)現(xiàn)。

(5)異常記錄(AnomalyRecord)：由?<Event，Time-stamp，Profile>?組成。用以表示異常事件的發(fā)生情況。

(6)活動(dòng)規(guī)則：規(guī)則集是檢查入侵是否發(fā)生的處理引擎，結(jié)合活動(dòng)簡檔，用專家系統(tǒng)或統(tǒng)計(jì)方法等分析接收到的審計(jì)記錄，調(diào)整內(nèi)部規(guī)則或統(tǒng)計(jì)信息，在判斷有入侵發(fā)生時(shí)采取相應(yīng)的措施。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第87頁。圖4-10

Denning的通用入侵檢測模型信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第88頁。

Denning模型基于這樣一個(gè)假設(shè)：由于襲擊者使用系統(tǒng)的模式不同于正常用戶的使用模式，通過監(jiān)控系統(tǒng)的跟蹤記錄，可以識(shí)別襲擊者異常使用系統(tǒng)的模式，從而檢測出襲擊者違反系統(tǒng)安全性的情況。

Denning模型獨(dú)立于特定的系統(tǒng)平臺(tái)、應(yīng)用環(huán)境、系統(tǒng)弱點(diǎn)以及入侵類型，為構(gòu)建入侵檢測系統(tǒng)提供了一個(gè)通用的框架。

1988年，SRI/CSL的TeresaLunt等人改進(jìn)了Denning的入侵檢測模型，并開發(fā)出了一個(gè)IDES，如圖4-11所示。該系統(tǒng)包括一個(gè)異常檢測器和一個(gè)專家系統(tǒng)，分別用于統(tǒng)計(jì)異常模型的建立和基于規(guī)則的特征分析檢測。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第89頁。圖4-11

SRI/CSL的IDES信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第90頁。

1990年加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM(NetworkSecurityMonitor)。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成唯一格式的情況下監(jiān)控異種主機(jī)。從此之后，入侵檢測系統(tǒng)兩大陣營正式形成：基于網(wǎng)絡(luò)的IDS(NetworkIDS，NIDS)和基于主機(jī)的IDS(HostIDS，HIDS)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第91頁。

2．入侵檢測系統(tǒng)的分類

1)按采用技術(shù)分類

根據(jù)其采用的技術(shù)可以分為異常檢測和特征檢測。

(1)異常檢測：假設(shè)入侵者活動(dòng)異常于正常主體的活動(dòng)，建立正常活動(dòng)的“活動(dòng)簡檔”。當(dāng)前主體的活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為可能是“入侵”行為。通過檢測系統(tǒng)的行為或使用情況的變化來完成。

(2)特征檢測：假設(shè)入侵者活動(dòng)可以用一種模式來表示，然后將觀察對(duì)象與之進(jìn)行比較，判別是否符合這些模式。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第92頁。

2)按監(jiān)測的對(duì)象分類

根據(jù)其監(jiān)測的對(duì)象是主機(jī)還是網(wǎng)絡(luò)分為基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。

(1)基于主機(jī)的入侵檢測系統(tǒng)：通過監(jiān)視與分析主機(jī)的審計(jì)記錄檢測入侵。能否及時(shí)采集到審計(jì)是這些系統(tǒng)的弱點(diǎn)之一，入侵者會(huì)將主機(jī)審計(jì)子系統(tǒng)作為攻擊目標(biāo)以避開入侵檢測系統(tǒng)。

(2)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)：通過在共享網(wǎng)段上對(duì)通信數(shù)據(jù)的偵聽采集數(shù)據(jù)，分析可疑現(xiàn)象。這類系統(tǒng)不需要主機(jī)提供嚴(yán)格的審計(jì)，對(duì)主機(jī)資源消耗少，并可以提供對(duì)網(wǎng)絡(luò)通用的保護(hù)而無需顧及異構(gòu)主機(jī)的不同架構(gòu)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第93頁。

3)按工作方式分類

根據(jù)工作方式分為離線檢測系統(tǒng)與在線檢測系統(tǒng)。

(1)離線檢測系統(tǒng)：非實(shí)時(shí)工作的系統(tǒng)，它在事后分析審計(jì)事件，從中檢查入侵活動(dòng)。事后入侵檢測由網(wǎng)絡(luò)管理人員進(jìn)行，他們具有網(wǎng)絡(luò)安全的專業(yè)知識(shí)，根據(jù)計(jì)算機(jī)系統(tǒng)對(duì)用戶操作所做的歷史審計(jì)記錄判斷是否存在入侵行為，如果有就斷開連接，并記錄入侵證據(jù)和進(jìn)行數(shù)據(jù)恢復(fù)。事后入侵檢測是管理員定期或不定期進(jìn)行的，不具有實(shí)時(shí)性。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第94頁。

(2)在線檢測系統(tǒng)：在線檢測系統(tǒng)是實(shí)時(shí)聯(lián)機(jī)的檢測系統(tǒng)，它包含對(duì)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包分析，實(shí)時(shí)主機(jī)審計(jì)分析。其工作過程是：實(shí)時(shí)入侵檢測在網(wǎng)絡(luò)連接過程中進(jìn)行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專家知識(shí)以及神經(jīng)網(wǎng)絡(luò)模型對(duì)用戶當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡象便立即斷開入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。這個(gè)檢測過程是不斷循環(huán)進(jìn)行的。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第95頁。4.3.2入侵檢測技術(shù)分析

1．入侵檢測的過程

1)入侵信息的收集

入侵檢測的第一步是信息收集。收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。通常需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息，這除了盡可能擴(kuò)大檢測范圍的因素外，還有一個(gè)重要的因素就是從一個(gè)源來的信息有可能看不出疑點(diǎn)，但從幾個(gè)源來的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第96頁。入侵檢測很大程度上依賴于收集信息的可靠性和正確性，因此，有必要利用所知道的真正的和精確的軟件來報(bào)告這些信息。因?yàn)槿肭终呓?jīng)常替換軟件以搞混和移走這些信息，例如替換被程序調(diào)用的子程序、庫和其它工具。入侵者對(duì)系統(tǒng)的修改可能使系統(tǒng)功能失常而看起來卻跟正常的一樣。這需要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第97頁。入侵檢測利用的信息一般來自以下四個(gè)方面：

(1)系統(tǒng)和網(wǎng)絡(luò)日志。如果不知道入侵者在系統(tǒng)上都做了什么，那是不可能發(fā)現(xiàn)入侵的。日志提供了當(dāng)前系統(tǒng)的細(xì)節(jié)，哪些系統(tǒng)被攻擊了，哪些系統(tǒng)被攻破了。因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶ID改變、用戶對(duì)文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容。很顯然，對(duì)用戶活動(dòng)來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件，等等。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第98頁。由于日志的重要性，所有重要的系統(tǒng)都應(yīng)定期做日志，而且日志應(yīng)被定期保存和備份，因?yàn)椴恢螘r(shí)會(huì)需要它。許多專家建議定期向一個(gè)中央日志服務(wù)器上發(fā)送所有日志，而這個(gè)服務(wù)器使用一次性寫入的介質(zhì)來保存數(shù)據(jù)，這樣就避免了攻擊者篡改日志。系統(tǒng)本地日志與發(fā)到一個(gè)遠(yuǎn)端系統(tǒng)保存的日志提供了冗余和一個(gè)額外的安全保護(hù)層?，F(xiàn)在兩個(gè)日志可以互相比較，任何的不同顯示了系統(tǒng)的異常。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第99頁。

(2)目錄和文件中的不期望的改變。網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件。包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是攻擊者修改或破壞的目標(biāo)。目錄和文件中的不期望的改變(包括修改、創(chuàng)建和刪除)，特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)。攻擊者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第100頁。

(3)程序執(zhí)行中的不期望行為。網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動(dòng)的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫服務(wù)器。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來實(shí)現(xiàn)。每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進(jìn)程可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行時(shí)執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計(jì)算、文件傳輸、設(shè)備和其它進(jìn)程，以及與網(wǎng)絡(luò)間其它進(jìn)程的通信。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第101頁。一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明攻擊者正在入侵系統(tǒng)。攻擊者可能會(huì)將程序或服務(wù)的運(yùn)行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。

(4)物理形式的入侵信息。這包括兩個(gè)方面的內(nèi)容，一是未授權(quán)的對(duì)網(wǎng)絡(luò)硬件連接；二是對(duì)物理資源的未授權(quán)訪問。入侵者會(huì)想方設(shè)法去突破網(wǎng)絡(luò)的周邊防衛(wèi)，如果他們能夠在物理上訪問內(nèi)部網(wǎng)，就能安裝他們自己的設(shè)備和軟件。依此，入侵者就可以知道網(wǎng)上的由用戶加上去的不安全(未授權(quán))設(shè)備，然后利用這些設(shè)備訪問網(wǎng)絡(luò)。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)全文共248頁，當(dāng)前為第102頁。

2)信號(hào)分析

對(duì)上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測，而完整性分析則用于事后分析。信息安全第4章網(wǎng)絡(luò)基本安全防護(hù)