网络层安全保密技术一般从网络结构、网络协议、安全设备部署等方面设计安全保密的网络系统,主要包括网络隔离技术、网络边界保护技术、网络安全监测技术,以及网络数据加密技术等。其中,网络隔离技术是最基础的安全保密技术,可以利用网段隔离、交换网络、WLAN等技术实现,具体应用有安全隔离网闸技术;网络边界保护技术是通过在网络边界部署包过滤、应用层网关、状态监测等手段来实现,具体应用是防火墙技术;网络安全监测技术则是利用入侵检测系统、网络日志审查等技术手段实时监测系统的安全状态,主要包括入侵检测技术和安全态势感知技术;网络数据加密技术则是对敏感数据以密文的形式进行传输,能够有效应对旁路窃听等攻击,具体应用有匿名通信技术。
(一)安全隔离网闸技术
互联网在为人们工作带来便利的同时,其安全问题也逐渐凸显出来。当一个内部网络既需要保证其数据的安全,又需要与外部网络进行数据交换时,可以采用以网闸技术为核心技术的网络安全隔离系统来保证内网与外网的物理隔离,同时又能够根据业务需求实现内外网之间多种形式的信息和数据交换。
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有读和写两种命令。
网闸技术的工作流程可分为以下几个步骤:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获得所需数据。这样就在安全隔离两个网络的基础上实现了安全的信息交换和资源共享。
(二)防火墙技术
“防火墙”原指汽车上防止引擎发生爆炸而用来隔离引擎和乘客的装置。在被引入计算机安全领域之后,指用来保护内部网络不受来自外部的非法或非授权侵入的逻辑装置,其核心思想是在不安全的网间环境中构造一个相对安全的子网环境。“防火墙”种类很多,大致可分为两大类。一类是包过滤型(packet filter),通常直接转发报文,对用户完全透明,速度较快;另一类是代理服务(proxy service),通过代理服务器(proxy service)建立网络连接,具有较强的身份验证和日志功能。但不论哪一类“防火墙”,都不能做到无隙可击。目前,防火墙主要技术有如下几种。
1、包过滤(packet filter)技术
包过滤技术,是指在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,即访问控制表(access control table),检查数据流中每个数据包后,根据数据包的的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等字段来确定是否允许数据包通过,其核心是安全策略,即过滤算法的设计。例如,基于特定服务的服务器使用特定的端口号(TCP端口23用于telnet连接),包过滤器可以通过简单地规定适当的端口号来达到阻止或允许一定类型的连接的目的,并可进一步组成一套数据包过滤规则。包过滤器的应用非常广泛,因为CPU用来处理报文过滤的时间可以忽略不计。此外,这种防护措施对用户透明,合法用户的数据在进出网络时,根本感觉不到它的存在。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容。正是由于这种工作机制,包过滤防火墙存在以下缺陷:(1)数据包的源IP地址、目的IP地址以及IP的端口号都在数据包的头部,很有可能被伪造;(2)通信和应用状态信息:由于包过滤防火墙是无状态的,不能根据通讯的上下文或应用的上下文来进行过滤;(3)信息处理:难于配置,不具备监视和审计能力,信息处理能力极弱。
2. 应用网关技术
该技术又称为双主机技术(dual homed host),采用主机取代路由器执行控管功能。主机是内外网络连接的桥梁,起着网关的作用,也被称为堡垒主机(bastion host)。应用层网关(application level gateways)是建立在网络应用层上的基于主机的协议转发器,它的原理是建立一个子网-----内部网络和外部网络之间的一个单独区域,一个路由器或更复杂的网关位于内部网络和该区域之间,其他的位于该区域和外部网络之间。在该子网上有一个代理主机,进出用户必须在应用层和该代理主机连接。代理主机可以进行预先的鉴别,针对特定的网络应用服务协议指定数据过滤逻辑,限制进出的通信,并在进行应用协议所指定的数据过滤逻辑的同时,对数据包分析的结果及采取的措施做登记和统计,形成报告,提供审计的功能。
应用层网关不使用通用目标机制来服务不同种类的通信,而是针对每个应用使用专用的代码。它在网络应用层上建立协议过滤和转发功能,针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计。通过采用这种专用的程序代码,应用层网关可以提供高可靠性的安全机制。为了使用应用层网关,用户需要在应用层网关上登录请求,或者在本地机器上使用一个为该服务特别编制的程序代码。每当一个新的需要保护的应用程序加入网络中时,必须为其编写专门的程序代码。正因如此,许多应用层网关只能提供有限的应用和服务功能,同时必须为每一项应用编写专用程序。但从安全角度上看,这也是一个优点,因为除非明确地提供了应用层网关,否则就不可能通过防火墙。这也是在实践“拒绝访问除明确许可以外的任何一种服务”的原则。
应用层网关的优点是容易记录和控制所有进出的通信,应用层网关可以去掉内部设备的名字,隐藏可能有价值的数据,通信分析、内容分析和记录都可以用来寻找信息漏洞,不必担心不同过滤规则集之间的相互影响,也不必担心对外提供安全服务的主机中的漏洞。应用层网关的缺点是对提供的大部分服务都需要专业化的用户程序或不同用户接口,这意味着只能支持最重要的服务,而且一旦特定的网络数据满足逻辑,则会导致防火墙内外的计算机系统建立直接联系,这一点也给网络带来安全隐患。
3. 代理服务器技术
代理服务器也称链路级网关或TCP通道,它作用在应用层,提供对应用层服务的控制,起到内部网络向外部网络申请服务时中间转接的作用。内部网络只接受代理提出的服务请求,拒绝外部网络其他结点的直接请求。
具体地说,代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序。防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问互联网并被内部主机访问的堡垒主机。这些程序接受用户对互联网服务的请求(诸如FTP、Telent),并按照一定的安全策略转发它们到实际的服务器。
代理服务应用于特定的互联网服务,如超文本传输(HTTP)、远程文件传输(FTP)等。代理服务器通常运行在两个网络之间,对于客户来说像是一台真的服务器一样,而对于外界的服务器来说,它又是一台客户机。当代理服务器接收到用户的请求后,会检查用户请求的站点是否符合公司的要求,如果公司允许用户访问该站点的话,代理服务器会像一个客户端一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存,这个缓存存储有用户经常访问站点的内容,在下一个用户要访问同样的站点时,服务器就不用重复查找同样的内容,既节约时间,也节约网络资源。
代理服务器像一堵墙一样挡在内部用户和外界之间,从外面只能看到代理服务器而看不到任何内部资源,诸如用户的IP等。代理工作在客户机和真实服务器之间,完全控制会话,所以可以提供很详细的日志和安全审计功能。通过代理访问internet可以解决合法的IP地址不够用的问题,因为internet所见到的只是代理服务器的地址,内部不合法的IP通过代理可以访问internet。然而代理服务器也有明显的缺点,主要包括它的有限连接性、性能低下等。
目前,随着互联网的环境不断动态变化,新的协议、服务和应用不断出现,代理服务器不能再处理互联网上各种类型的传输,不能满足新的商业需求,不能胜任对网络高带宽和安全性的需要。
4. 网络地址转换技术(NAT)
当受保护网连到internet上时,受保护网用户必须使用一个合法的IP地址。但由于合法internet IP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP),这就需要网络地址转换器。网络地址转换器就是在防火墙上装载一个合法IP地址集,当内部某一用户要访问internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址,外部网络的用户就可以通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。
网络地址转换分为静态地址和动态地址两种转换模式,静态地址转换是一对一的永久地址映射,而动态地址转换则是根据内部用户的需要临时分配公网地址,其地址映射是暂时的。网络地址转换可以对外隐藏内部的网络结构,外部攻击者无法确定内部计算机的连接状态。在不同时候,内部计算机对外连接使用的地址都是不同的,给外部攻击造成了困难。同样,NAT也能通过定义各种映射规则,屏蔽外部的连接请求,并可以将链接请求映射到不同的计算机中。网络地址转换都和IP数据包过滤一起使用,就构成了一种更复杂的包过滤型的防火墙。仅仅具备包过滤能力的路由器,其防火墙能力还是比较弱,抵抗外部入侵的能力也较差,而和网络地址翻译技术相结合,就能起到更好的安全保障作用。
5. 规则检查技术
规则检查技术既能在网络层上通过IP地址和端口号,过滤进出的数据包,也可以在OSI应用层上检查数据包的内容,查看这些内容是否符合网络的安全规则。目前,动态规则检查技术是防火墙技术的一个重大改进。最初,静态检查规则是管理员事先定好的,由于事先很难精准地判断防火墙应开多少端口才能满足正常通信的需求,所以,只能打开较多的端口满足需求,其中必然有大部分端口是不必打开的,这样就给黑客的行动带来极大的便利。动态规则的引入弥补了静态规则的不足。动态规则是由应用程序直接加入的,因此所有在应用中才能知道是否打开的端口都由应用程序通过动态规则在适当时刻打开,当应用结束时,动态规则由应用程序删除,相应的端口被关闭,而静态规则只需要打开极少数必须打开的端口。这样在最大限度上降低了黑客进攻的成功率。
6. 主动监测技术
主动监测技术监测网络情况,当出现网络攻击时就立即发出警告或切断相关连接。它维护一个记录各种攻击模式的数据库,并使用监测程序时刻运行在网络中进行监控,一旦发现网络中存在与数据库中的某个模式相匹配的攻击模式时,就能推断可能出现网络攻击。主动监测程序要监控整个网络的数据,因此需要运行在路由器上或路由器旁能获得所有网络流量的位置。这种技术主要用于对网络安全要求非常高的网络系统中,常用的网络并不需要使用这种方式。
7. 多级过滤技术
多级过滤防火墙采用了分组、应用网关和电路网关的三级过滤措施。在分组过滤一级,过滤掉所有的源路由分组和假冒的IP源地址;在应用网关一级,利用FTP、SMTP等各种网关,控制和监测internet提供的所用通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务执行严格的控制。
8. INTERNET网关技术
由于是直接串联在网络之中,防火墙必须支持用户在internet互联的所有服务,同时还要防止与internet服务有关的安全漏洞。因此,它要能以多种安全的应用服务器(包括FTP、Finger、Mail、Ident、News、WWW等)来实现网关功能。同时为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。而单纯使用该技术,抵抗外部进入的能力较差,当和网络地址转换技术相结合时,就能实现更好的安全保证。
(三)入侵监测技术
入侵检测技术最早是由多萝西•丹宁(Dorothy Denning)于1986年提出的,近年来由于黑客盛行而受到极大重视。从具体的检测方法上看,可将检测系统分为基于行为的和基于知识的两种;从检测系统所分析的原始数据上看,可分为来自系统日志和网络数据包两种。入侵检测技术的基本原理是,首先收集系统的脆弱性指标建立检测库,再以此检测库检测其他系统中是否有已知的类似脆弱性;若发现新的脆弱性,又反过来更新原有检测库。如此往复,不断丰富检测库,及时发现系统脆弱性。入侵检测包括通过破译口令或使用软件非授权侵入系统、合法用户的信息外泄、冒充他人账户的闯入等多种内容。入侵检测技术已从早期的审计跟踪数据分析,发展到目前应用于大型网络和分布式系统。
(四)安全态势感知技术
安全态势感知主要包括态势要素获取、态势评估、态势预测三个阶段,能够实时地监测网络安全状态,快速准确地作出安全状态评判,并能利用网络安全属性的历史记录,以多角度、多尺度的可视化方式,为用户提供一个准确直观的网络安全态势走向图。安全态势感知完成了对信息收集和处理,并提供可行性建议,使得网络管理者能更好、更及时地保护网络系统的安全,作出正确的安全决策或者应急响应。
态势要素获取,是指通过安全态势感知数据采集技术收集网络的态势要素,例如网络拓扑、端口、流量、防火墙和入侵检测系统的报警信息等,为后续的安全态势评估以及预测提供数据基础。态势评估主要包括评估指标体系的建立、评估系统的设计等内容,其主要功能是综合评估网络安全状态及变化趋势,即利用前一阶段获取到的网络安全属性的历史记录,为用户提供一个准确的网络安全状态评判和网络安全状态的发展趋势,使网络管理者能够有目标地进行决策和防护准备。态势预测就是根据网络安全威胁发展变化的实际数据和历史资料,运用科学的理论、方法和各种经验、判断、知识去推测、评估、分析其在未来一定时期内可能的变化情况,在攻击发生之前,对攻击发生的数量及时空特性进行预测。其基本任务是根据获取的态势要素以及态势评估结果,准确识别网络中的攻击行为,从而对攻击的相关属性进行预测。其目的是防御突然的网络攻击,监视、识别网络上入侵行为的警戒手段,是网络防御系统的重要组成部分。
安全态势感知能够在大规模网络环境中综合各方面的安全因素,对影响网络安全的诸多要素进行获取、理解、评估,从整体上动态反映网络安全状况,并对安全状况的发展趋势进行预测和预警,为增强网络安全性提供可靠的参照依据。安全态势感知技术是对网络安全状态进行定量分析的一种有效手段,具有重要意义。
(五)匿名通信技术
匿名通信技术旨在隐藏通信内容或通信关系,从而更好地保护网络用户的个人通信隐私及涉密通信。目前,匿名通信技术已经成为网络安全的一个重要领域,是许多网络应用的基本需求。其中,通信内容的隐藏通过信息加密实现,信息加密是利用密码算法把明文变换成密文并通过公开信道送到接收者手中,只有接收者掌握正确的密钥才可以对加密数据进行解密,从而还原出明文信息。通信关系的隐藏通过使用重路由技术实现。重路由,是指来自发送者的消息通过一个或多个中间节点转发,最后才到达接收者,该机制为用户提供间接通信,多个主机的应用程序存储转发数据,形成一条由多个安全信道组成的虚拟路径,从而使攻击者无法获取通信双发的身份信息或者通信关系。
目前投入使用的匿名通信系统可以分为高延迟(High-latency)系统和低延迟(Low-latency)系统两类。高延迟系统带宽要求低、对延迟不敏感,主要用于E-mail等,而低延迟系统带宽要求高、对延迟比较敏感,主要用于匿名Web流量、即时通信等。安装匿名通信系统中代理的数目不同,可以分为单跳匿名通信系统和多跳匿名通信系统,单跳系统常见的有OpenSSH、Safe Web等,多跳匿名通信系统有Tor、JAP、I2P等。
,
