网络安全技术的发展_网络安全技术的发展和展望
摘 要:随着信息网络技术的应用日益普及和深入,网络安全成为网络应用的重大隐患。由于网络安全的脆弱性而导致的经济损失,每年都在快速增长。为了有效地保护企业网络,大多数企业部署了涉及到多层的网络安全产品,其中包括防火墙,入侵检测系统,和病毒检测网关等。在本文中,我们首先了解下目前常用的网络安全技术,通过深入学习各个层的不同的安全技术能过更好地解决网络系统的安全问题。
关键词:网络;安全;数据包;防火墙;入侵防御;防病毒网关
网络安全技术的现状
目前我们使用各种网络安全技术保护计算机网络,以降低恶意软件和各种攻击给企业带来的风险。使用的网络安全技术大致可以分为四类:
1. 数据包层保护:如路由器的访问控制列表和无状态防火墙;
2. 会话层保护:如状态检测防火墙;
3. 应用层保护:如代理防火墙和入侵防御系统;
4. 文件层保护:如防病毒网关系统。
在表-1中对四类网络安全技术进行了比较,并且评估各种技术涉及的协议,安全机制,以及这些技术对网络性能的影响。
表-1 网络安全技术的比较
数据包过滤保护
数据包过滤保护是目前应用最广的控制网络访问的一种方式。这种技术的原理很简单:通过比较数据包头的基本信息来确定数据包是否允许通过。Cisco IOS的访问控制列表(ACL)是应用最广泛的一种包过滤工具。Linux操作系统中的IPChains也是一种常用的包过滤工具。
对于某些应用协议,在传输数据时,需要服务器和客户端协商一个随机的端口。例如FTP,RPC和H323.包过滤设备不能保护此类协议。为了保证此类应用的数据包通过包过滤设备,需要在访问控制列表上打开一个比较大的"漏洞",这样也就消弱了包过滤系统的保护作用。
状态检测防火墙
会话层的保护技术通过追踪客户端和服务器之间的会话状态来控制双向的数据流。状态检测防火墙记录会话状态信息,而且安全策略是也是对会话状态的允许或拒绝。对于基于面向连接的TCP协议应用程序,状态检测防火墙提供更丰富的安全策略:
1. 直接丢弃来自客户端/服务器的数据包;
2. 向客户端,或服务器,或者双方发送RST包,从而关闭整个TCP连接;
3. 提供基本的QoS功能。
状态检测防火墙能够监测到客户端和服务器之间的动态端口的协商,从而能够控制动态协议的数据流。 例如,对于FTP协议,状态检测防火墙通过监测控制会话中的协商动态端口的命令,从而控制它的数据会话的数据传输。
应用层保护
为了实现应用层保护,需要两个重要的技术:应用层协议分析器和内容匹配技术。应用层保护技术通过应用层协议分析器分析数据流的,从而过滤掉应用。目前,安全设备厂商提供多种安全产品提供应用层保护技术,其中部署比较广泛的产品有:入侵防御系统、Proxy防火墙。
1.入侵检测
入侵检测技术是一种主动保护自己免受黑客攻击的一种新型网络安全技术。入侵检测技术不但可以帮助系统对付网络攻击,而且扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全结构的完整性。它从计算机网络系统中的苦干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络监测,从而提供对内部攻击、外部攻击和误操作的实时保护。此外,它还可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,是网络安全中极其重要的部分。
入侵防御系统根据网络流量的IP地址,网络协议和应用层的分析和检测决定是否允许或拒绝网络访问。入侵防御系统接受数据包后,需要重组数据包,分析应用协议的命令和原语,然后发现可疑的网络攻击的特征码。如果监测到网络攻击的特征码,则执行预定策略的动作。这些动作可以是入侵日志,中断连接,或者禁止特定的应用协议的某些行为(例如,禁止使用MSN传输文件)。
2. 代理防火墙
代理防火墙也叫应用层网关防火墙。这种防火墙通过一种代理技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是 源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
代理防火墙在网络中代理客户端访问网络服务屏蔽客户端和服务器之间的直接通信。首先客户端和代理防火墙建立连接,并且代理防火墙和远程服务器建立连接。然后代理防火墙转发双方发送的数据。
代理防火墙和入侵防御系统都需要具有分片重组和TCP包重组功能,并且能够丢弃异常网络层数据包。这些异常的数据包可能被用于隐藏网络入侵。应用层安全产品具有理解应用协议的命令和原语的能力,这能够使应用层安全产品监测到异常的应用层内容。然而这些产品却受限于它们支持的应用层协议。对于常用的代理防火墙,仅支持一般的互联网协议,如HTTP,FTP,EMAIL,TELNET,RLOGIN等。入侵防御系统支持更广泛的应用协议。
代理防火墙和入侵防御系统通过分析应用协议,可以监测某些病毒和木马。例如,入侵防御系统通过分析EMAIL中的主体,附件文件名,以及附件的文件类型来监测某些已知的病毒。但是应用层安全保护不能进行文件层面,更深入的监测。文件层的安全监测可以发现更多的恶意代码。
现今有许多应用程序是以网页应用服务(Web Application)方式呈现的,所使用的HTTP端口。此外,许多软件开发人员已经懂得在开发应用程序时透过这些端口,以规避状态检测防火墙的阻挡。状态检测防火墙把透过这两个端口传输的服务?当成WWW服务,因此无法?解并控制在网络上使用的应用程序。
3. 新一代应用层保护系统
应用层保护系统(包括入侵防御系统和应用层防火墙)通过对HTTP协议和嵌入HTTP协议的应用程序的特征码的分析,具备对此类应用的控制能?。应用层保护系统提供的这种识别网页应用服务的能力可以准确的识别应用程序,无论这应用程序是否透过网页服务、SSL加密或其他规避技术。这让防火墙的策略建?可以依据应用程序,而?像传统防火墙只可以针对远程服务器的TCP端口来控管。这是新一代应用层保护系统的核心功能。