信息安全之网络安全

网络安全技术是一类包含内容极其广泛的技术，广义上说任何检测、防御和抵制网络攻击的技术都属于网络安全技术，而且很多网络安全技术都是攻击驱动型的。

网络安全大致包含的内容主要有防火墙，入侵检测，漏洞扫描与网络隔离，拒绝服务攻击检测与防御，计算机病毒防治以及×××技术的概念、原理、应用部署等方面。

防火墙

防火墙是设置在内部网络与外部网络（如互联网）之间，实施访问控制策略的一个或者一组系统，是访问控制机制在网络安全环境中的应用，防火墙使得内部网络和外部网络互相隔离，通过限制网络互访来保护内部网络，防火墙是不同网络或网络安全域之间信息的唯一出入口，能够制定安全策略（允许，拒绝及监视等）控制出入网络的数据流，且本身有具有较强的抗攻击能力，简单的防火墙可以在路由器上实现，复杂的功能可以由主机甚至一个子网来实现，防火墙的目的就是在内部网络和外部网络之间建议一个安全控制点，允许拒绝或重定向经过防火墙的数据流，实现对进出内部网络的网络通信的审计和控制。

分类

按防火墙技术分类有：包过滤防火墙（工作在网络层只是简单的通过过滤规则进行过滤），应用代理网关防火墙（工作在应用层，可以检测应用层，传输层和网络层的协议特征，可以理解成代理转发器），状态检测防火墙（工作在网络层和传输层采用上下文相关控制），自适应代理网关防火墙（结合了代理类型防火墙的安全性和包过滤防火墙的高速度等优点）

按应用部署位置分类：边界防火墙，个人防火墙，分布式防火墙

按防火墙软硬件结构分类：软件防火墙，硬件防火墙，芯片级防火墙

按防火墙性能分类：十兆级防火墙，百兆级防火墙，千兆级防火墙（这里的性能是指防火墙的通信带宽，即吞吐率）

主要性能

目前防火前除了提供传统的包过滤，应用代理等访问控制功能外，都增加了一些增值功能，例如：NAT,×××,VLAN（做单臂路由）,DHCP,入侵检测，病毒检测和内容过滤，强身份认证，日志分析和流量统计分析，多种接入模式（路由，网桥，混杂），双击热备和接口冗余（链路备份），支持STP计算，

防火墙的局限性主要包括：不能防御绕过他的攻击，不能消除来自内部的攻击，不能阻止病毒感染过的程序和文件进出网络，管理及配置相当复杂，所以他只是整体安全防范策略的一部分。

入侵检测与入侵防御系统

入侵检测系统

入侵检测技术是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术，入侵检测技术通过监视受保护系统的状态和活动，采用异常检测或误用检测的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段，入侵检测技术提供了用于发现入侵攻击和合法用户滥用职权的一种方法。

入侵检测系统是由硬件和软件组成，用来检测系统或网络以发现可能的入侵或攻击的系统

入侵检测系统的主要作用

入侵检测系统能使系统对入侵事件和过程做出实时响应，如果一个入侵行为能被迅速的检测出来，就可以在任何破坏或数据泄密之前将入侵者识别出来并驱逐出去，即使检测的速度不够快，入侵行为越早被检测出来，入侵造成的破坏程度就会越少，而且能越快的恢复工作。

入侵检测是防火墙的合理补充，入侵检测系统能够收集有关入侵技术的信息，这些信息可以用来加强防御措施

入侵检测是系统动态安全的核心技术之一，鉴于静态安全防御不能提供足够的安全，系统必须根据发现的情况进行及时调整，在动态中保持安全状态，这就是常说的系统安全状态，（PDRR模型来源于美国国防部提出的“信息安全保障”的概念，它由四部分组成：防护-Protection，检测-Detection，反应-Response，恢复-Recovery，其中检测是静态防护转化为动态的关键，是动态响应的依据，是落实或强制执行安全策略的有力工具，因此入侵检测是系统动态安全的核心技术之一）

常见的入侵检测系统模型主要有两种：

Denning入侵检测系统模型（由主题，客体，审计记录，活动概要，异常记录，规则集处理引擎6部分组成）

CIDF入侵检测系统模型（将入侵检测系统分为四个组件：事件产生器，事件分析器，响应单元，事件数据库）

入侵检测系统的分类

根据信息源分类：基于主机的入侵检测系统；基于网络的入侵检测系统；基于应用的入侵检测系统

根据分析技术分类：异常入侵检测技术（定义非入侵规则库）；误用入侵检测技术（定义入侵规则库）

入侵检测系统的响应

主动响应：可以选择的措施有针对入侵者采取措施，修正系统，收集更详细的信息（系统自动的或以用户设置的方式阻断攻击过程或以其他方式影响攻击过程）

被动响应：警告和通知，SNMP陷阱和插件（系统只报告和记录发生的事件）

入侵检测系统的选购

通常可以从以下几个方便对入侵检测系统进行评估：系统本身的安全性，系统的性能（吞吐量，平均无故障事件MTBF），系统的可升级性，系统对抗入侵逃避的能力（常用的用来躲开入侵检测的方法有：分片，TTL欺骗，异常TCP分段，慢扫描，协同攻击等），系统的可扩展性，运行与维护系统的开销，系统的准确性（三个指标：检测率，误报率，漏报率），系统的易用性

入侵检测系统的部署

通常根据防范位置的不同可以将其位置归结为以下几点：

位于外部防火墙后面的DMZ区

位于外部防火墙的外部

位于内部网络主干上

位于关键子网上（如资产管理子网，财务子网，员工档案子网）

入侵防御系统

入侵防御系统是把基于旁路检测的入侵检测技术用于在线模式，直接分析网络通信，并把恶意的网络数据包进行丢弃。

入侵防御系统是一种智能化的网络安全产品，他不但能检测入侵行为的发生，而且能通过一定的响应方式，实时的中止入侵行为的发生和发展，实时保护信息系统不受实质性的攻击，入侵防御系统使得入侵检测系统和防火墙走向了统一。

入侵防御系统的作用

入侵检测系统无法有效阻止攻击，入侵检测系统通常旁路安装在网络上，当它检测出入侵攻击时，攻击往往已经到达目标并造成损失，

入侵检测系统无法把攻击防御在企业网络之外，蠕虫、病毒、DDOS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给用户响应的时间越来越短，使用户来不及对入侵作出响应，就往往已造成企业网络瘫痪。

入侵检测只要侧重于网络监控，注重安全审计，适用于对网络安全状态的了解。

入侵检测系统提供一种主动的、实时的防护，其设计旨在对常规网络通信中的恶意数据包进行检测，阻止入侵活动，预先对攻击性的数据包进行自动拦截，使他们无法造成损失，而不是简单的在检测到网络入侵的同时或之后进行报警，入侵防御系统是通过直接串联到网络链路中而实现这一功能的，及入侵防御系统接受到数据流量时，如果检测到攻击企图，就会自动的将攻击包丢弃或采取措施将攻击源阻断。

入侵防御系统的设计侧重于网络访问控制，注重主动防御，而不是仅仅是检测和日志记录，解决了入侵检测系统的不足，为企业提供了一个全新的入侵防御解决方案。

漏洞扫描和网络隔离技术

随着计算机技术和互联网的迅速发展，来自网络的攻击每年呈几何级数增多，这些攻击中的大多数是利用计算机操作系统或其他软件系统的漏洞而实施的。针对层出不穷的系统安全漏洞，微软等软件厂商都会定期发布漏洞报告并提供补丁，但由于用户群的数量巨大，分布很广，很多情况下不能及时对系统进行更新，使得攻击者有可乘之机。而随着操作系统，数据库等软件系统的越来越复杂，出现漏洞的数量逐年增多，频率也比以前大大增加。

漏洞也叫脆弱点，英文叫做vulnerability，是指在计算机硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

漏洞的分类

输入验证错误（大多数的缓冲区溢出漏洞和脚本注入、SQL注入类漏洞都是由于未对用户提供的输入数据的合法性做适当的检查而导致的）

访问验证错误（由于程序代码的某些部分存在可利用的逻辑错误，使绕过访问控制成为可能）

同步问题（程序处理各种系统对象时在同步方面存在的问题，处理的过程中可能存在一个时机，使攻击者能够施加外来的影响）

异常处理的漏洞（产生于程序在它的实际逻辑中没有考虑到一些意外情况）

配置错误（产生于系统和应用的配置有误）

由系统环境引发的问题（一些系统的环境变量发生变化时，可能会给攻击者提供可乘之机）

其他错误

技术分类

网络漏洞扫描实际上是对网络安全扫描技术的一个俗称，其主要分为两类

主机安全扫描技术：原理比较简单，就是采用各种攻击脚本对主机操作系统，应用程序和各种服务进行模拟攻击探测，以发现不当配置和已知漏洞，主机安全扫描技术一般是在主机本地上执行的，大部分情况下需要主机的管理员权限

网络安全扫描技术：是一种基于网络的扫描，通过网络远程检测目标网络或主机的安全性脆弱点，通过网络安全扫描，能够发现网络中各设备的TCP/IP端口的分配使用情况，开放服务的情况，操作系统软件版本等，最终可以综合得到这些设备及软件在网络上呈现出的安全漏洞。网络安全扫描技术利用一系列的脚本对网络发起模拟攻击，分析结果并判断网络是否有可能被攻击崩溃。

网络安全扫描的功能

网络安全扫描不仅仅能够扫描并检测是否存在已知漏洞，还可以发现一些可疑情况和不当配置，如不明端口，弱口令等，网络安全扫描技术可以与防火墙，入侵检测系统互相配合，能够有效提高网络的安全性。通过对网络的扫描，可以了解网络的配置是否得当以及正在运行的应用程序和服务是否安全，如果说防火墙和网络监控系统是被动的防御手段，那么网络安全扫描就是一种主动的防范措施，可以在遭受攻击之前就发现可能遭受的攻击，从而采取措施。

网络安全扫描的原理

一次完整的安全扫描分为三个阶段

第一阶段：发现目标主机或网络，这一阶段的主要技术是ping探测，通过发送ICMP报文帮助识别系统是否处于活动状态。

第二阶段：发现目标后进一步搜集目标信息，包括操作系统类型、开放的端口、运行的服务以及服务软件的版本等，如果目标是一个网络还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息，这其中涉及到操作系统识别技术、tcp/ip栈指纹技术等，

第三阶段：根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞

漏洞扫描器的种类

根据其使用场合一般分为基于网络的漏洞扫描器和基于主机的漏洞扫描器

网络隔离技术

网络隔离可以采用逻辑隔离和物理隔离两种方式，在逻辑隔离中，被隔离的两个网络在物理上还是连通的，位于隔离边界的设备工作在OSI七层模型的第二层（数据链路层）以上，通过设置各种规则来限制双方的通信，对于不符合规则的通信数据则不予转发，防火墙是一种典型的逻辑隔离设备，而物理隔离则是在任何时刻，通信双方都不存在物理连接，数据交换是通过隔离设备代为“转交”的。

传统上的逻辑隔离产品多被称为“XXX防火墙”或“XX网关”，而名为“网络隔离设备”的产品，如网闸，一般采用的都是物理隔离技术，因此在狭义上将网络隔离技术限定在物理隔离的范畴

网络隔离技术的原理

网络隔离，英文名称为NetworkIsolation，主要是指把两个或两个以上的网络通过物理设备隔离开来，使得在任何时刻，任何两个网络之间都不会存在物理连接。

网络隔离的关键在于系统对通信数据的控制，即通过隔离设备在网络之间不存在物理连接的前提下，完成网间的数据交换，由于物理连接的不存在，所以双方的数据交换不是直接的，而是要通过第三方“转交”，很明显，这样会大大降低数据交换的速度，因此隔离的关键点就是尽量提高网间数据交换的速度，并且对应用能够透明支持。

网络隔离技术的发展阶段

第一代隔离技术：完全的物理隔离

第二代隔离技术：隔离卡隔离

第三代隔离技术：数据转播隔离

第四代隔离技术：空气开关隔离

第五代隔离技术：安全通道隔离

网闸的基本概念

隔离网闸英文名称GAP，有关文件严格规定，政务的内网和政务外网要实行严格的物理隔离，政务的外网和互联网要实行逻辑隔离。

网闸也被称为安全隔离与信息交换系统，是使用带有多种控制功能的固态开关读写介质，连接两个独立网络的信息安全设备，隔离网闸所连接的两个独立网络之间不存在通信的物理连接，逻辑连接，信息传输命令，信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令，所以，隔离网闸从物理上隔离和阻断了具有潜在攻击可能的一切连接，使得黑客难以入侵、攻击和破坏，实现了高程度的安全。

网闸的工作原理

网闸技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下，实现安全数据传输和资源共享的技术，网闸技术的基本原理是：切断网络之间的通用协议连接，将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据，

网闸的组成

网闸一般由三部分组成：即内网处理单元，外网处理单元和专用隔离硬件交换单元，内部处理单元连接内部网，外网处理单元连接外部网，专用隔离硬件交换单元在任一时刻金连接内网处理单元和外网处理单元，与两者间的连接受硬件电路控制高速切换，这种独特设计保证了专用隔离硬件交换单元在任一时刻仅连通内部网或者外部网，即满足了内部网与外部网网络物理隔离的要求，又能实现数据的动态交换，网闸的嵌入式软件系统里一般都内置有协议分析引擎、内容安全引擎和病毒查杀引擎等多重安全机制，可以根据用户需求实现复杂的安全策略。

网闸的应用定位

网闸是一种采用物理隔离方式的安全防护技术，网闸技术会提供比防火墙更高的安全性，但是应用了网闸技术之后，应用的便利性会大打折扣，而且，网闸的部署成本很高，并非对所有的组织都适用。对于一般安全要求的组织，传统的防火墙已经可以满足其安全要求

网闸的应用一般定位在以下几个方面

涉密网与非涉密网之间

局域网与互联网之间（有些局域网，特别是政府办公网，涉及政府敏感信息）

办公网与业务网之间

电子政务的内网与专网之间

业务网与互联网之间

网闸的应用领域

从当前的应用情况来看，用户主要集中在政府、公安、军队、电力等对安全性要求很高的重要部门，总之，安全网闸适用于政府、军队、公安、银行、工商、航空、电力、电子商务等有高安全级别需求的网络环境。