網路系統安全綜合解決方案 (轉)

網路系統安全綜合解決方案 (轉)[@more@]

綜合解決方案

/0010.#1">網路系統的安全威脅

性

安全解決方案

安全解決方案

 

---

 

由於大型網路系統內執行多種網路(，IPX/SPXBEUA)，而這些網路協議並非專為安全通訊而設計。所以，網路系統可能存在的安全威脅來自以下方面：

★的安全性。 目前流行的許多作業系統均存在網路安全，如，NT伺服器及桌面PC。

★的安全性。防火牆產品自身是否安全，是否設定錯誤，需要經過檢驗。

★來自內部網的安全威脅。缺乏有效的手段監視、評估網路系統的安全性。

★採用的TCP/IP協議族，本身缺乏安全性。

★未能對來自Internet的電子挾帶的及瀏覽可能存在的惡意/進行有效控制。

★應用服務的安全。許多應用服務系統在訪問控制及安全通訊方面考慮較少，並且，如果錯誤，很容易造成損失。

安全事業始於本世紀60年代末期。當時，計算機系統的脆弱性已日益為美國政府和私營部門的一些機構所認識。但是，由於當時計算機的速度和較落後，使用的範圍也不廣，再加上美國政府把它當作敏感問題而施加控制，因此，有關電腦保安的研究一直侷限在比較小的範圍內。

進入80年代後，計算機的效能得到了成百上千倍的提高，應用的範圍也在不斷擴大，計算機已遍及世界各個角落。並且，人們利用通訊網路把孤立的單機系統連線起來，相互通訊和共享資源。但是，隨之而來並日益嚴峻的問題是計算機資訊保安的問題。人們在這方面所做的研究與計算機效能及應用的飛速發展不相適應，因此，它已成為未來資訊科技中的主要問題之一。

由於計算機資訊有共享和易於擴散等特性，它在處理、、傳輸和使用上有著嚴重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被洩露、竊取、篡改、冒充和破壞，還有可能受到計算機病毒的感染。

國際標準化組織（ISO）將"電腦保安"定義為："為資料處理系統建立和採取的技術和管理的安全保護，保護計算機、軟體資料不因偶然和惡意的原因而遭到破壞、更改和洩露。"此概念偏重於靜態資訊保護。也有人將"電腦保安"定義為："計算機的硬體、軟體和資料受到保護，不因偶然和惡意的原因而遭到破壞、更改和洩露，系統連續正常執行。"該定義著重於動態意義描述。

電腦保安的內容應包括兩方面：即物理安全和邏輯安全。物理安全指系統裝置及相關裝置受到物理保護，免於破壞、丟失等。邏輯安全包括資訊完整性、保密性和可用性：

保密性指高階別資訊僅在授權情況下流向低階別的客體與主體；

完整性指資訊不會被非授權修改及資訊保持一致性等；

可用性指合法使用者的正常請求能及時、正確、安全地得到服務或回應。

一個系統存在的安全問題可能主要來源於兩方面：或者是安全控制機構有故障；或者是系統安全定義有缺陷。前者是一個軟體可靠性問題，可以用優秀的軟體設計技術配合特殊的安全方針加以克服；而後者則需要精確描述安全系統。

美國國防部（DOD）於1985年出版了《可信計算機系統的評價準則》 （又稱"桔皮書" ），使計算機系統的安全性評估有了一個權威性的標準。DOD的桔皮書中使用了可信計算基礎（Trusted Computing Base，TCB）這一概念，即計算機硬體與支援不可信應用及不可信使用者的作業系統的組合體。桔皮書將計算機系統的可信程度劃分為D、C1、C2、B1、B2、B3和A1七個層次。在DOD的評估準則中，從B級開始就要求具有強制存取控制和形式化模型技術的應用。桔皮書論述的重點是通用的作業系統，為了使它的評判方法使用於網路，美國國家電腦保安中心於1987年出版了《可信網路指南》。該書從網路安全的角度出發，解釋了準則中的觀點。

由於區域網中採用廣播方式，因此，若在某個廣播域中可以偵聽到所有的資訊包，就可以對資訊包進行分析，那麼本廣播域的資訊傳遞都會暴露在駭客面前。

網路分段

網路分段是保證安全的一項重措施，同時也是一項基本措施，其指導思想在於將使用者與網路資源相互隔離，從而達到限制使用者非法訪問的目的。

網路分段可分為物理分段和邏輯分段兩種方式：物理分段通常是指將網路從物理層和資料鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網段，各網段相互之間無法進行直接通訊。目前，許多機都有一定的訪問控制能力，可實現對網路的物理分段。

邏輯分段則是指將整個系統在網路層（ISO/OSI模型中的第三層）上進行分段。例如，對於TCP/IP網路，可把網路分成若干IP子網，各子網間必須透過器、路由交換機、閘道器或防火牆等裝置進行連線，利用這些中間裝置（含軟體、硬體）的安全機制來控制各子網間的訪問。

在實際應用過程中，通常採取物理分段與邏輯分段相結合的方法來實現對網路系統的安全性控制。

的實現

虛擬網技術主要基於近年發展的區域網交換技術（ATM和乙太網交換）。交換技術將傳統的基於廣播的區域網技術發展為面向連線的技術。因此，網管系統有能力限制區域網通訊的範圍而無需透過開銷很大的路由器。乙太網從本質上基於廣播機制，但應用了交換機和VLAN技術後，實際上轉變為點到點通訊，除非設定了口，資訊交換也不會存在監聽和插入（改變）問題。

由以上執行機制帶來的網路安全的好處是顯而易見的：資訊只到達應該到達的地點。因此，防止了大部分基於網路監聽的手段。透過虛擬網設定的訪問控制，使在虛擬網外的網路節點不能直接訪問虛擬網內節點。但是，虛擬網技術也帶來了新的問題：虛擬網交換的裝置越來越複雜，從而成為被的。基於網路廣播原理的入侵技術在高速交換網路內需要特殊的設定。基於MAC的VLAN不能防止MAC欺騙攻擊。採用基於MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基於交換機埠。但這要求整個網路桌面使用交換埠或每個交換埠所在的網段機器均屬於相同的VLAN。

VLAN之間的劃分原則

VLAN的劃分方式的目的是保證系統的安全性。因此，可以按照系統的安全性來劃分VLAN：可以將總部中的伺服器系統單獨劃作一個VLAN，如伺服器、電子等。也可以按照機構的設定來劃分VLAN，如將領導所在的網路單獨作為一個Leader VLAN（LVLAN），其它司局（或下級機構）分別作為一個VLAN，並且控制LVLAN與其它VLAN之間的單向資訊流向，即允許LVLAN檢視其他VLAN的相關資訊，其他VLAN不能訪問LVLAN的資訊。VLAN之內的連線採用交換技術實現，VLAN與VLAN之間採用路由實現。由於路由控制的能力有限，不能實現LVLAN與其他VLAN之間的單向資訊流動，需要在LVLAN與其他VLAN之間設定一個NetScreen防火牆作為安全隔離裝置，控制VLAN與VLAN之間的資訊交換。

由於廣域網採用公網傳輸資料，因而在廣域網上進行傳輸時資訊也可能會被不法分子擷取。如分支機構從異地發一個資訊到總部時，這個資訊包就可能被人擷取和利用。因此在廣域網上傳送和接收資訊時要保證：

除了傳送方和接收方外，其他人是不可知悉的（性）；

傳送過程中不被篡改（真實性）；

傳送方能確信接收方不是假冒的（非偽裝性）；

傳送方不能否認自己的傳送行為（非否認）。

如果沒有專門的軟體對資料進行控制，所有的廣域網通訊都將不受限制地進行傳輸，因此任何一個對通訊進行監測的人都可以對通訊資料進行擷取。這種形式的"攻擊"是相對比較容易成功的，只要使用現在可以很容易得到的"包檢測"軟體即可。如果從一個聯網的UNIX工作站上使用"跟蹤路由"命令的話，就可以看見資料從客戶機傳送到伺服器要經過多少種不同的節點和系統，所有這些都被認為是最容易受到駭客攻擊的目標。一般地，一個監聽攻擊只需透過在傳輸資料的末尾獲取IP包的資訊即可以完成。這種辦法並不需要特別的物理訪問。如果對網路用線具有直接的物理訪問的話，還可以使用網路診斷軟體來進行竊聽。對付這類攻擊的辦法就是對傳輸的資訊進行，或者是至少要對包含敏感資料的部分資訊進行加密。

加密技術

加密型網路安全技術的基本思想是不依賴於網路中資料路徑的安全性來實現網路系統的安全，而是透過對網路資料的加密來保障網路的安全可靠性，因而這一類安全保障技術的基石是使用放大資料加密技術及其在分散式系統中的應用。

資料加密技術可以分為三類，即對稱型加密、不對稱型加密和不可逆加密。 對稱型加密使用單個金鑰對資料進行加密或，其特點是計算量小、加密高。但是此類演算法在分散式系統上使用較為困難，主要是金鑰管理困難，從而使用成本較高，保安效能也不易保證。這類演算法的代表是在計算機專網系統中廣泛使用的DES演算法（Digital Encryption Standard）。

不對稱型加密演算法也稱公用金鑰演算法，其特點是有二個金鑰（即公用金鑰和私有金鑰），只有二者搭配使用才能完成加密和解密的全過程。由於不對稱演算法擁有二個金鑰，它特別適用於分散式系統中的資料加密，在Internet中得到廣泛應用。其中公用金鑰在網上公佈，為資料對資料加密使用，而用於解密的相應私有金鑰則由資料的接收方妥善保管。

不對稱加密的另一用法稱為"數字簽名"（digital signature），即資料來源使用其私有金鑰對資料的求校驗和（checksum）或其它與資料內容有關的變數進行加密，而資料接收方則用相應的公用金鑰解讀"數字簽名"，並將解讀結果用於對資料完整性的檢驗。在網路系統中得到應用的不對稱加密演算法有RSA演算法和美國國家標準局提出的DSA演算法（Digital Signature Algorithm）。不對稱加密法在分散式系統中應用需注意的問題是如何管理和確認公用金鑰的合法性。

不可逆加密演算法的特徵是加密過程不需要金鑰，並且經過加密 的資料無法被解密，只有同樣的輸入資料經過同樣的不可逆加密演算法才能得到相同的加密資料。不可逆加密演算法不存在金鑰保管和分發問題，適合於分散式網路系統上使用，但是其加密計算工作量相當可觀，所以通常用於資料量有限的情形下的加密，例如計算機系統中的口令就是利用不可逆演算法加密的。近來隨著計算機系統效能的不斷改善，不可逆加密的應用逐漸增加。在計算機網路中應用較多的有RSA公司發明的MD5演算法和由美國國家標準局建議的可靠不可逆加密標準（SHS-Secure Hash Standard）。

加密技術用於網路安全通常有二種形式，即面向網路或面向應用服務。前者通常工作在網路層或傳輸層，使用經過加密的資料包傳送、網路路由及其他網路協議所需的資訊，從而保證網路的連通性和可用性不受損害。在網路層上實現的加密技術對於網路應用層的使用者通常是透明的。此外，透過適當的金鑰管理機制，使用這一方法還可以在公用的網際網路絡上建立虛擬專用網路並保障虛擬專用網上資訊的安全性。SKIP協議即是近來IETF在這方面的努力之一。面向網路應用服務的加密技術使用則是目前較為流行的加密技術的使用方法，例如使用Kerberos服務的、NFS、rlogion等，以及用作電子郵件加密的PEM（Privacy Enhanced ）和PGP（Pretty Good Privacy）。這一類加密技術的優點在於實現相對較為簡單，不需要對電子資訊（資料包）所經過的網路的安全效能提出特殊要求，對電子郵件資料實現了端到端的安全保障。

數字簽名和認證技術

認證技術主要解決網路通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用於通訊過程中的不可抵賴要求的實現。

認證過程通常涉及到加密和金鑰交換。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。

User Name/Pass認證

該種認證方式是最常用的一種認證方式，用於作業系統登入、telnet、rlogin等，但此種認證方式過程不加密，即password容易被監聽和解密。

使用摘要演算法的認證

（撥號認證協議）、OSPF（路由協議）、SNMP Security Protocol等均使用共享的Security Key，加上摘要演算法（MD5）進行認證，由於摘要演算法是一個不可逆的過程，因此，在認證過程中，由摘要資訊不能技術出共享的security key，敏感資訊不在網路輸。市場上主要採用的摘要演算法有MD5和SHA-1。

基於PKI的認證

使用公開金鑰體系進行認證和加密。該種方法安全程度較高，綜合採用了摘要演算法、不對稱加密、對稱加密、數字簽名等技術，很好地將安全性和高效性結合起來。這種認證方法目前應用在電子郵件、應用伺服器訪問、客戶認證、防火牆認證等領域。

該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。

數字簽名

數字簽名作為驗證傳送者身份和訊息完整性的根據。公共金鑰系統（如RSA）基於私有/公共金鑰對，作為驗證傳送者身份和訊息完整性的根據，CA使用私有金鑰技術其數字簽名，利用CA提供的公共金鑰，任何人均可驗證簽名的真實性。偽造數字簽名從計算機能力上不可行的。並且，如果訊息隨數字簽名一同傳送，對訊息的任何修改在驗證數字簽名時都將會被發現。

通訊雙方透過Diffie-Hellman金鑰系統安全地獲取共享的保密金鑰，並使用該金鑰對訊息加密。Diffie-Hellman金鑰由CA進行驗證。

基於此種加密，需要管理的金鑰數目與通訊者的數量為線性關係。而其它的加密模式需要管理的金鑰數目與通訊者數目的平方成正比。

技術

網路系統總部和各分支機構之間採用公網網路進行連線，其最大的弱點在於缺乏足夠的安全性。企業網路接入到公網中，暴露出兩個主要危險：

來自公網的未經授權的對企業內部網的存取。

當網路系統透過公網進行通訊時，資訊可能受到竊聽和非法修改。 完整的整合化的企業範圍的VPN安全解決方案，提供在公網上安全的雙向通訊，以及透明的加密方案以保證資料的完整性和保密性。

VPN技術的原理:

VPN系統使分佈在不同地方的專用網路在不可信任的公共網路上安全的通訊。它採用複雜的演算法來加密傳輸的資訊，使得敏感的資料不會被竊聽。其處理過程大體是這樣：

要保護的主機傳送明文資訊到連線公共網路的VPN裝置；

VPN裝置根據網管設定的規則，確定是否需要對資料進行加密或讓資料直接透過。

對需要加密的資料，VPN裝置對整個資料包進行加密和附上數字簽名。

VPN裝置加上新的資料包頭，其中包括目的地VPN裝置需要的安全資訊和一些初始化引數。

VPN 裝置對加密後的資料、鑑別包以及源、目標VPN裝置IP地址進行重新封裝，重新封裝後的資料包透過虛擬通道在公網上傳輸。

當資料包到達目標VPN裝置時，資料包被解封裝，數字簽名被核對無誤後，資料包被解密。

IPSec

IPSec作為在及上的加密通訊，已為大多數廠商所支援。

IPSec主要提供IP網路層上的加密通訊能力。該標準為每個IP包增加了新的包頭格式，Authentication Header(AH)及encapsulating security payload(ESP)。IPSec使用ISAKMP/Oakley及SKIP進行金鑰交換、管理及加密通訊協商（Security Association）。

IPSec包含兩個部分：

security Protocol proper,定義IPSec報頭格式。

ISAKMP/Oakley，負責加密通訊協商。

IPSec提供了兩種加密通訊手段：

IPSec Tunnel：整個IP封裝在Ipsec-gateway之間的通訊。

Ipsec transport：對IP包內的資料進行加密，使用原來的源地址和目的地址。

IPsec Tunnel 不要求修改已配備好的裝置和應用，網路駭客不能看到實際的通訊源地址和目的地址，並且能夠提供專用網路透過Internet加密傳輸的通道，因此，絕大多數廠商均使用該模式。

ISAKMP/Oakley使用X.509數字證書，因此，使VPN能夠容易地擴大到企業級。（易於管理）。

在為撥號服務的Client端，也能夠實現IPsec的客戶端，為撥號使用者提供加密網路通訊。由於IPsec即將成為Internet標準，因此不同廠家提供的防火牆（VPN）產品可以實現互通。

如何保證遠端訪問的安全性

對於從外部撥號訪問總部內部區域網的使用者，由於使用公用電話網進行資料傳輸所帶來的風險，必須嚴格控制其安全性。首先，應嚴格限制撥號上網使用者所訪問的系統資訊和資源，這一功能可透過在撥號訪問伺服器後設定NetScreen防火牆來實現。其次，應加強對撥號使用者的身份認證，使用RADIUS等專用身份驗證伺服器。一方面，可以實現對撥號使用者帳號的統一管理；另一方面，在身份驗證過程中採用加密的手段，避免使用者口令洩露的可能性。第三，在資料傳輸過程中採用加密技術，防止資料被非法竊取。一種方法是使用PGP for Business Security，對資料加密。另一種方法是採用NetScreen防火牆所提供的VPN（虛擬專網）技術。VPN在提供網間資料加密的同時，也提供了針對單機使用者的加密客戶端軟體，即採用軟體加密的技術來保證資料傳輸的安全性。