【文章內(nèi)容簡(jiǎn)介】 三．技術(shù)可行性和成熟性分析 3． 1 項(xiàng)目的技術(shù)創(chuàng)新性論述 3． 1． 1 項(xiàng)目產(chǎn)品的基本原理 下面是對(duì)組成系統(tǒng)的三大部分的基本原理進(jìn)行介紹 : 防火墻 古時(shí)候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生， 它 能夠防止火勢(shì)蔓延到別的寓所，這種墻因此而得名 “ 防火墻 ” ?，F(xiàn)在，如果一個(gè)網(wǎng)絡(luò)接到了 Inter上， 它 的用戶就可以訪問外部世界并與之通信。但同時(shí)，外部世界也同樣可以訪問該網(wǎng)絡(luò)并與之交互。為安全起見，可以在該網(wǎng)絡(luò)和 Inter 之間插入一個(gè)中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的威脅和入侵，提供扼守本網(wǎng)絡(luò)的安全 和審計(jì)的 唯 一關(guān)卡。這種中介系統(tǒng)也叫做 “ 防火墻 ” 或 “ 防火墻系統(tǒng) ” 。 防火墻就是一種由軟件、硬件構(gòu)成的 系統(tǒng)，用來在兩個(gè)網(wǎng)絡(luò)之間實(shí)施存取控制策略。圖 1是防火墻在互連的網(wǎng)絡(luò)中的位置。 [3]盡管防火墻有各種不同的類型 ,但所有的防火墻都有一個(gè)共同的特征 :基于源地址基礎(chǔ)上的區(qū)分和拒絕某些訪問的能力 .[4]一般都將防火墻內(nèi)的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”（ trusted work） ,而將外部的inter 稱為“不可信賴的網(wǎng)絡(luò)”（ mistrustful work） . 防 火 墻 分組過濾 分組過濾 路由器 R 應(yīng)用網(wǎng)關(guān) 路由器 R 李蕭蕭的個(gè)人主頁 需要文檔請(qǐng)給我留言。 不可信賴 的網(wǎng)絡(luò) 可信賴的網(wǎng)絡(luò) 圖 1 防火墻在互連網(wǎng)絡(luò)中的位置 防火墻是近期發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施， 它 是一個(gè)用 以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)／出 2 個(gè)方向通信的門檻。一個(gè)防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個(gè)多端口的 IP路由器， 它 通過對(duì)每一個(gè)到來的 IP 包依據(jù)一組規(guī)則進(jìn)行檢查來判斷是否對(duì)之進(jìn)行轉(zhuǎn)發(fā)。代理服務(wù)器是防火墻系統(tǒng)中的一個(gè)服務(wù)器進(jìn)程， 它 能夠代替網(wǎng)絡(luò)用戶完成特定的 TCP／ IP 功能。一個(gè)代理服務(wù)器本質(zhì)上是一個(gè)應(yīng)用層的網(wǎng)關(guān)，一個(gè)為特定網(wǎng)絡(luò)應(yīng)用而連接 2個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。 Chewick 和 Bellovin對(duì)防火墻的定義為， [5]防火墻是一個(gè)由多個(gè)部件組成的集合或系統(tǒng)，它被放置 在兩個(gè)網(wǎng)絡(luò)之間，并具有以下特性 : (1) 所有的從內(nèi)部到外部或從外部到內(nèi)部的通信都必須經(jīng)過它。 (2) 只有有內(nèi)部訪問策略授權(quán)的通信才被允許通過。 (3) 系統(tǒng)本身具有高可靠性。 換句話說，防火墻置于內(nèi)部可信網(wǎng)絡(luò)和外部不可信網(wǎng)絡(luò)之間，作為一個(gè)阻塞點(diǎn)來監(jiān)視和拋棄應(yīng)用層的流量以及傳輸層和網(wǎng)絡(luò)層的數(shù)據(jù)包。 [12] 防火墻的確是一種重要的新型安全措施。 防火墻在概念上非常簡(jiǎn)單 ,它可以分為 :基于過濾器(filterbased)和基于代理 (proxybased)的兩大類設(shè)備之一。 [6]目前的防火墻主要有包過濾防火墻、代理防火墻 2 種類 型，并在計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛的應(yīng)用。 包過濾防火墻，包過濾技術(shù)是根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包并確定數(shù)據(jù)包是否與過濾規(guī)則相匹配，從而決定數(shù)據(jù)包能否通過，它的特點(diǎn)是開銷小，速度快，缺點(diǎn)是定義數(shù)據(jù)包過濾器比較復(fù)雜，且不能理解特定服務(wù)的上下文環(huán)境。代理防火墻（應(yīng)用層防火墻），代理防火墻采用代理（ Proxy）技術(shù)與 TCP 連接的全過程，這樣從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過防火墻處理后，就象來自于防火墻外部網(wǎng)卡一樣，從而達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的目的。其核心技術(shù)就是代理服務(wù)器技術(shù)，特點(diǎn)是安全性很高，缺點(diǎn)是對(duì)于每個(gè)中斷的 inter 服務(wù)，都需要提供相應(yīng)的代理程序，且對(duì)于計(jì)算機(jī)的性能有一定的要求。 但是，防火墻也不能解決進(jìn)入防火墻的數(shù)據(jù)帶來的所有安全問題。如果用戶抓來一個(gè)程序在本地運(yùn)行，那個(gè)程序很可能就包含一段惡意的代碼，或泄露敏感信息，或?qū)χM(jìn)行破壞。防火墻的另一個(gè)缺點(diǎn)是很少有防火墻制造商推出簡(jiǎn)便易用的 “ 監(jiān)獄看守 ” 型的防火墻，大多數(shù)的產(chǎn)品還停留在G 內(nèi)聯(lián)網(wǎng) 因特網(wǎng) 李蕭蕭的個(gè)人主頁 需要文檔請(qǐng)給我留言。 需要網(wǎng)絡(luò)管理員手工建立的水平上。 因此有必要將它們?nèi)诤希瑯?gòu)成了一個(gè)典型的防火墻系統(tǒng)。 入侵檢測(cè)系統(tǒng)（ IDS） 入侵檢測(cè)最早是由 James Anderson于 1980 年提出來的，其定義是：潛在的有預(yù)謀的未經(jīng)授權(quán)的訪問信息和操作信息 ,致使系統(tǒng)不可靠或無法使用的企圖。 [7] 從該定義可以看出，入侵檢測(cè)對(duì)安全保護(hù)采取的是一種積極、主動(dòng)的防御策略，而傳統(tǒng)的安全技術(shù)都是一些消極、被動(dòng)的保護(hù)措施。因?yàn)?，如果入侵者一旦攻破了由傳統(tǒng)安全技術(shù)所設(shè)置的保護(hù)屏障，這些技術(shù)將完全失去作用，對(duì)系統(tǒng)不再提供保護(hù)，而入侵者則對(duì)系統(tǒng)可以進(jìn)行肆無忌憚的操作，當(dāng)然包括一些很具有破壞的操作。對(duì)于這些，傳統(tǒng)的安全技術(shù)是無能為力的。但是入侵檢測(cè)技術(shù)則不同，它對(duì)進(jìn)入系統(tǒng)的訪問者（包括入侵者）能 進(jìn)行實(shí)時(shí)的監(jiān)視和檢測(cè)，一旦發(fā)現(xiàn)訪問者對(duì)系統(tǒng)進(jìn)行非法的操作（這時(shí)訪問者成為了入侵者），就會(huì)向系統(tǒng)管理員發(fā)出警報(bào)或者自動(dòng)截?cái)嗯c入侵者的連接，這樣就會(huì)大大提高系統(tǒng)的安全性。所以對(duì)入侵檢測(cè)技術(shù)研究是非常必要的，并且它也是一種全新理念的網(wǎng)絡(luò)（系統(tǒng)）防護(hù)技術(shù)。圖 2為入侵檢測(cè)一般過程示意圖，箭頭所指方向?yàn)榱鞒谭较?。輸入過程包括：用戶或者安全管理人員定義的配置規(guī)則和作為事件檢測(cè)的原始數(shù)據(jù)，對(duì)于代理監(jiān)視器來講原始數(shù)據(jù)是原始網(wǎng)絡(luò)包；輸出過程包括：系統(tǒng)發(fā)起的對(duì)安全事件和可疑或非法事件的響應(yīng)過程。 [16] 用戶或管理員 定義的規(guī)則 報(bào)警 報(bào)表 原始數(shù)據(jù)包 圖 2 入侵發(fā)現(xiàn)示意圖 入侵檢測(cè)系統(tǒng)的模型與原理 入侵檢測(cè)系統(tǒng)（ IDS,Intrusion Detection System）用來識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊，包括檢測(cè)外界非法入侵者的惡意 攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法行動(dòng)。 [8]入侵檢測(cè)系統(tǒng)能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)傳輸，自動(dòng)檢測(cè)可疑行為，分析來自網(wǎng)絡(luò)外部入侵信號(hào)和內(nèi)部的非法活動(dòng)。在系統(tǒng)受到危害之前發(fā)出警告，對(duì)攻擊作出實(shí)時(shí)的響應(yīng)，并提供補(bǔ)救措施，最大程度地保障了系統(tǒng)安全。 [9] 具體說來， IDS的主要功能有以下方面 : （ 1）監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)；（ 2）核查系統(tǒng)配置和漏洞；（ 3）評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件入侵發(fā)現(xiàn) 攻擊特征 (signatures) 李蕭蕭的個(gè)人主頁 需要文檔請(qǐng)給我留言。 的完整性；（ 4）識(shí)別已知的攻擊行為；（ 5）統(tǒng)計(jì)分析異常行為；（ 6）操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)。 入侵檢測(cè) 系統(tǒng)及預(yù)警系統(tǒng)（ Intrusion Detection amp。 Alert System）能夠從一系列的系統(tǒng)和網(wǎng)絡(luò)資源中收集信息并對(duì)這些信息加以分析，以期能找到入侵（ intrusion）或者是濫用 (misuse)的跡象，并根據(jù)這些分析結(jié)果，向用戶及系統(tǒng)管理員報(bào)警和作出一定的處理如切斷入侵檢測(cè)連接等。入侵檢測(cè)功能原理如圖 3所示： N Y 圖 3 入侵檢測(cè)功能原理 最早的入侵檢測(cè)模型是由 Dorothy Denning 于 1986 年提出來的，該模型雖然與具體系統(tǒng)和具體輸入無關(guān)，但是對(duì)此后的 大部分實(shí)用系統(tǒng)都有很大的借鑒價(jià)值。圖 4 表示了該通用模型的體系結(jié)構(gòu)。 [7] 審計(jì)記錄、網(wǎng)絡(luò)數(shù)據(jù)包 特征表更新 規(guī)則更新 異常記錄 變量閥值