【文章內(nèi)容簡介】 三．技術(shù)可行性和成熟性分析 3． 1 項目的技術(shù)創(chuàng)新性論述 3． 1． 1 項目產(chǎn)品的基本原理 下面是對組成系統(tǒng)的三大部分的基本原理進行介紹 : 防火墻 古時候，人們常在寓所之間砌起一道磚墻，一旦火災發(fā)生， 它 能夠防止火勢蔓延到別的寓所，這種墻因此而得名 “ 防火墻 ” ?，F(xiàn)在，如果一個網(wǎng)絡接到了 Inter上， 它 的用戶就可以訪問外部世界并與之通信。但同時，外部世界也同樣可以訪問該網(wǎng)絡并與之交互。為安全起見，可以在該網(wǎng)絡和 Inter 之間插入一個中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡對本網(wǎng)絡的威脅和入侵，提供扼守本網(wǎng)絡的安全 和審計的 唯 一關(guān)卡。這種中介系統(tǒng)也叫做 “ 防火墻 ” 或 “ 防火墻系統(tǒng) ” 。 防火墻就是一種由軟件、硬件構(gòu)成的 系統(tǒng)，用來在兩個網(wǎng)絡之間實施存取控制策略。圖 1是防火墻在互連的網(wǎng)絡中的位置。 [3]盡管防火墻有各種不同的類型 ,但所有的防火墻都有一個共同的特征 :基于源地址基礎上的區(qū)分和拒絕某些訪問的能力 .[4]一般都將防火墻內(nèi)的網(wǎng)絡稱為“可信賴的網(wǎng)絡”（ trusted work） ,而將外部的inter 稱為“不可信賴的網(wǎng)絡”（ mistrustful work） . 防 火 墻 分組過濾 分組過濾 路由器 R 應用網(wǎng)關(guān) 路由器 R 李蕭蕭的個人主頁 需要文檔請給我留言。 不可信賴 的網(wǎng)絡 可信賴的網(wǎng)絡 圖 1 防火墻在互連網(wǎng)絡中的位置 防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡安全的技術(shù)性措施， 它 是一個用 以阻止網(wǎng)絡中的黑客訪問某個機構(gòu)網(wǎng)絡的屏障，也可稱之為控制進／出 2 個方向通信的門檻。一個防火墻系統(tǒng)通常由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的 IP路由器， 它 通過對每一個到來的 IP 包依據(jù)一組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。代理服務器是防火墻系統(tǒng)中的一個服務器進程， 它 能夠代替網(wǎng)絡用戶完成特定的 TCP／ IP 功能。一個代理服務器本質(zhì)上是一個應用層的網(wǎng)關(guān)，一個為特定網(wǎng)絡應用而連接 2個網(wǎng)絡的網(wǎng)關(guān)。 Chewick 和 Bellovin對防火墻的定義為， [5]防火墻是一個由多個部件組成的集合或系統(tǒng)，它被放置 在兩個網(wǎng)絡之間，并具有以下特性 : (1) 所有的從內(nèi)部到外部或從外部到內(nèi)部的通信都必須經(jīng)過它。 (2) 只有有內(nèi)部訪問策略授權(quán)的通信才被允許通過。 (3) 系統(tǒng)本身具有高可靠性。 換句話說，防火墻置于內(nèi)部可信網(wǎng)絡和外部不可信網(wǎng)絡之間，作為一個阻塞點來監(jiān)視和拋棄應用層的流量以及傳輸層和網(wǎng)絡層的數(shù)據(jù)包。 [12] 防火墻的確是一種重要的新型安全措施。 防火墻在概念上非常簡單 ,它可以分為 :基于過濾器(filterbased)和基于代理 (proxybased)的兩大類設備之一。 [6]目前的防火墻主要有包過濾防火墻、代理防火墻 2 種類 型，并在計算機網(wǎng)絡得到了廣泛的應用。 包過濾防火墻，包過濾技術(shù)是根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包并確定數(shù)據(jù)包是否與過濾規(guī)則相匹配，從而決定數(shù)據(jù)包能否通過，它的特點是開銷小，速度快，缺點是定義數(shù)據(jù)包過濾器比較復雜，且不能理解特定服務的上下文環(huán)境。代理防火墻（應用層防火墻），代理防火墻采用代理（ Proxy）技術(shù)與 TCP 連接的全過程，這樣從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過防火墻處理后，就象來自于防火墻外部網(wǎng)卡一樣，從而達到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的目的。其核心技術(shù)就是代理服務器技術(shù)，特點是安全性很高，缺點是對于每個中斷的 inter 服務，都需要提供相應的代理程序，且對于計算機的性能有一定的要求。 但是，防火墻也不能解決進入防火墻的數(shù)據(jù)帶來的所有安全問題。如果用戶抓來一個程序在本地運行，那個程序很可能就包含一段惡意的代碼，或泄露敏感信息，或?qū)χM行破壞。防火墻的另一個缺點是很少有防火墻制造商推出簡便易用的 “ 監(jiān)獄看守 ” 型的防火墻，大多數(shù)的產(chǎn)品還停留在G 內(nèi)聯(lián)網(wǎng) 因特網(wǎng) 李蕭蕭的個人主頁 需要文檔請給我留言。 需要網(wǎng)絡管理員手工建立的水平上。 因此有必要將它們?nèi)诤?，?gòu)成了一個典型的防火墻系統(tǒng)。 入侵檢測系統(tǒng)（ IDS） 入侵檢測最早是由 James Anderson于 1980 年提出來的，其定義是：潛在的有預謀的未經(jīng)授權(quán)的訪問信息和操作信息 ,致使系統(tǒng)不可靠或無法使用的企圖。 [7] 從該定義可以看出，入侵檢測對安全保護采取的是一種積極、主動的防御策略，而傳統(tǒng)的安全技術(shù)都是一些消極、被動的保護措施。因為，如果入侵者一旦攻破了由傳統(tǒng)安全技術(shù)所設置的保護屏障，這些技術(shù)將完全失去作用，對系統(tǒng)不再提供保護，而入侵者則對系統(tǒng)可以進行肆無忌憚的操作，當然包括一些很具有破壞的操作。對于這些，傳統(tǒng)的安全技術(shù)是無能為力的。但是入侵檢測技術(shù)則不同，它對進入系統(tǒng)的訪問者（包括入侵者）能 進行實時的監(jiān)視和檢測，一旦發(fā)現(xiàn)訪問者對系統(tǒng)進行非法的操作（這時訪問者成為了入侵者），就會向系統(tǒng)管理員發(fā)出警報或者自動截斷與入侵者的連接，這樣就會大大提高系統(tǒng)的安全性。所以對入侵檢測技術(shù)研究是非常必要的，并且它也是一種全新理念的網(wǎng)絡（系統(tǒng)）防護技術(shù)。圖 2為入侵檢測一般過程示意圖，箭頭所指方向為流程方向。輸入過程包括：用戶或者安全管理人員定義的配置規(guī)則和作為事件檢測的原始數(shù)據(jù)，對于代理監(jiān)視器來講原始數(shù)據(jù)是原始網(wǎng)絡包；輸出過程包括：系統(tǒng)發(fā)起的對安全事件和可疑或非法事件的響應過程。 [16] 用戶或管理員 定義的規(guī)則 報警 報表 原始數(shù)據(jù)包 圖 2 入侵發(fā)現(xiàn)示意圖 入侵檢測系統(tǒng)的模型與原理 入侵檢測系統(tǒng)（ IDS,Intrusion Detection System）用來識別針對計算機系統(tǒng)和網(wǎng)絡系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊，包括檢測外界非法入侵者的惡意 攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法行動。 [8]入侵檢測系統(tǒng)能夠?qū)崟r監(jiān)控網(wǎng)絡傳輸，自動檢測可疑行為，分析來自網(wǎng)絡外部入侵信號和內(nèi)部的非法活動。在系統(tǒng)受到危害之前發(fā)出警告，對攻擊作出實時的響應，并提供補救措施，最大程度地保障了系統(tǒng)安全。 [9] 具體說來， IDS的主要功能有以下方面 : （ 1）監(jiān)測并分析用戶和系統(tǒng)的活動；（ 2）核查系統(tǒng)配置和漏洞；（ 3）評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件入侵發(fā)現(xiàn) 攻擊特征 (signatures) 李蕭蕭的個人主頁 需要文檔請給我留言。 的完整性；（ 4）識別已知的攻擊行為；（ 5）統(tǒng)計分析異常行為；（ 6）操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。 入侵檢測 系統(tǒng)及預警系統(tǒng)（ Intrusion Detection amp。 Alert System）能夠從一系列的系統(tǒng)和網(wǎng)絡資源中收集信息并對這些信息加以分析，以期能找到入侵（ intrusion）或者是濫用 (misuse)的跡象，并根據(jù)這些分析結(jié)果，向用戶及系統(tǒng)管理員報警和作出一定的處理如切斷入侵檢測連接等。入侵檢測功能原理如圖 3所示： N Y 圖 3 入侵檢測功能原理 最早的入侵檢測模型是由 Dorothy Denning 于 1986 年提出來的，該模型雖然與具體系統(tǒng)和具體輸入無關(guān)，但是對此后的 大部分實用系統(tǒng)都有很大的借鑒價值。圖 4 表示了該通用模型的體系結(jié)構(gòu)。 [7] 審計記錄、網(wǎng)絡數(shù)據(jù)包 特征表更新 規(guī)則更新 異常記錄 變量閥值