【導(dǎo)讀】信息安全專項(xiàng)產(chǎn)業(yè)化項(xiàng)目。基于同構(gòu)多處理機(jī)架構(gòu)的高性能多功能安全網(wǎng)關(guān)產(chǎn)業(yè)化資金申請(qǐng)報(bào)告

　　

【正文】 指依靠 ISP（ Inter 服務(wù)提供商和其他 NSP（網(wǎng)絡(luò)服務(wù)提供商）在公共網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專 網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用 Inter 公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。 VPN 是在 Inter 上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò)，為用戶節(jié)省了租用專線的費(fèi)用。 Inter 是一個(gè)全球性和開(kāi)放性的、基于 TCP/IP 技術(shù)的、不可管理的國(guó)際互聯(lián)網(wǎng)絡(luò)，隨著電子商務(wù)的蓬勃發(fā)展，基于 Inter 的商務(wù)活動(dòng)就面臨非善意的信息威脅和安全隱患，虛擬專用網(wǎng)技術(shù)是解決問(wèn)題的關(guān) 鍵。 基于同構(gòu)多處理機(jī)架構(gòu)的高性能多功能安全網(wǎng)關(guān)產(chǎn)業(yè)化資金申請(qǐng)報(bào)告 21 VPN 的功能與特點(diǎn) （ 1） 安全保障 VPN 應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用 IP 網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱之為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。 （ 2） 服務(wù)質(zhì)量保證（ QoS） VPN 網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。對(duì)于擁有眾多分支機(jī)構(gòu)的專線 VPN 網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其它應(yīng)用（如視頻等）則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng) 絡(luò)時(shí)延及誤碼率等。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建 VPN 的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。 QoS 通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)合理地分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類(lèi)數(shù)據(jù)能夠被先后發(fā)送，并預(yù)防阻塞的發(fā)生。 （ 3） 可擴(kuò)充性和靈活性 VPN 必須能夠支持通過(guò) Intra 和 Ext ra 的任何類(lèi)型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類(lèi)型的傳輸媒介，可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。 （ 4） 可管理性 VPN 管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有 高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。主要包括安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、 QoS 管理等內(nèi)容。 VPN 實(shí)現(xiàn)技術(shù) 由于傳輸?shù)氖撬接行畔ⅲ?VPN 用戶對(duì)數(shù)據(jù)的安全性都比較關(guān)心。 目前 VPN 主要采用四項(xiàng)技術(shù)來(lái)保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（ Tunneling）、加解密技術(shù)（ Encryption amp。 D ecryption）、密鑰管理技術(shù)（ K ey Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（ Authentication）。 基于同構(gòu)多處理機(jī)架構(gòu)的高性能多功能安全網(wǎng)關(guān)產(chǎn)業(yè)化資金申請(qǐng)報(bào)告 22 1） .隧道技術(shù)是 VPN 的基本技術(shù)，類(lèi)似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到 PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有 L2F、 PPTP、 L2TP 等。 L2TP 協(xié)議是目前 IETF的標(biāo)準(zhǔn)，由 IETF 融合 PPTP 與 L2F 而形成。 第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有 VTP、 IPSec 等。 IPSec（ IP Security）是由一 組 RFC 文檔組成，定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在 IP 層提供安全保障。 2） 加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)， VPN 可直接利用現(xiàn)有技術(shù)。 3）密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為 SKIP 與 ISAKMP/OAKLEY 兩種。 SKIP 主要是利用 DiffieHellman 的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在 ISAKMP 中，雙方都有兩把密鑰，分別用于公用、私用。 4）身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn) 證等方式。 拒絕服務(wù)式攻擊 拒絕服務(wù)攻擊概念 DoS 的英文全稱是 Denial of Service，是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪問(wèn)，破壞組織的正常運(yùn)行，最終它會(huì)使你的部分Inter 連接和網(wǎng)絡(luò)系統(tǒng)失效。 DoS 的攻擊方式有很多種，最基本的 DoS 攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)。 DDoS(分布式拒絕服務(wù) )，它的英文全稱為 Distributed Denial of Service，它是一種基于 DoS 的特殊形式的拒絕服務(wù)攻擊，是一 種分布、協(xié)作的大規(guī)模攻擊方式，來(lái)勢(shì)迅猛的攻擊令人難以防備，因此具有較大的破壞性。主要瞄準(zhǔn)比較大的站點(diǎn)，象商業(yè)公司，搜索引擎和政府部門(mén)的站點(diǎn)。 基于同構(gòu)多處理機(jī)架構(gòu)的高性能多功能安全網(wǎng)關(guān)產(chǎn)業(yè)化資金申請(qǐng)報(bào)告 23 DoS 原理 DoS（ Denial of Service）拒絕服務(wù)攻擊廣義上可以指任何導(dǎo)致你的服務(wù)器不能正常提供服務(wù)的攻擊。 （ 1） 利用軟件實(shí)現(xiàn)的缺陷 OOB 攻擊（常用工具 winnuke）， teardrop 攻擊（常用工具 ）， land 攻擊， IGMP 碎片包攻擊， jolt 攻擊， Cisco 2600 路由器 IOS version (10)遠(yuǎn)程拒絕服務(wù)攻擊等等，這些攻擊都是利用了被攻擊軟件的實(shí)現(xiàn)上的缺陷完成 DoS 攻擊的。通常這些攻擊工具向被攻擊系統(tǒng)發(fā)送特定類(lèi)型的一個(gè)或多個(gè)報(bào)文，這些攻擊通常都是致命的，一般都是一擊致死，而且很多攻擊是可以偽造源地址的，所以即使通過(guò) IDS 或者別的 sniffer 軟件記錄到攻擊報(bào)文也不能找到誰(shuí)發(fā)動(dòng)的攻擊，而且此類(lèi)型的攻擊多是特定類(lèi)型的幾個(gè)報(bào)文，非常短暫的少量的報(bào)文，如果偽造源 IP 地址的話，使追查工作幾乎是不可能。 （ 2） 利用協(xié)議的漏洞 最經(jīng)典的攻擊是 synflood 攻擊，它利用 TCP/IP 協(xié)議的漏洞完成 攻擊。通常一次 TCP 連接的建立包括 3 個(gè)步驟，客戶端發(fā)送 SYN 包給服務(wù)器端，服務(wù)器分配一定的資源給這里連接并返回 SYN/ACK 包，并等待連接建立的最后的 ACK包，最后客戶端發(fā)送 ACK 報(bào)文，這樣兩者之間的連接建立起來(lái)，并可以通過(guò)連接傳送數(shù)據(jù)了。而攻擊的過(guò)程就是瘋狂發(fā)送 SYN 報(bào)文，而不返回 ACK 報(bào)文，服務(wù)器占用過(guò)多資源，而導(dǎo)致系統(tǒng)資源占用過(guò)多，沒(méi)有能力響應(yīng)別的操作，或者不能響應(yīng)正常的網(wǎng)絡(luò)請(qǐng)求。 由于 TCP/IP 協(xié)議相信報(bào)文的源地址，另一種攻擊方式是反射拒絕服務(wù)攻擊，另外可以利用還有廣播地址，和組播協(xié)議輔助反射拒絕 服務(wù)攻擊效果更好。不過(guò)大多數(shù)路由器都禁止廣播地址和組播協(xié)議的地址。 （ 3） 進(jìn)行資源比拼 憑借著手中的資源豐富，發(fā)送大量的垃圾數(shù)據(jù)侵占完你的資源，導(dǎo)致 DoS。比如， ICMP flood， mstream flood， Connection flood。為了獲得比目標(biāo)系統(tǒng)更多資源，通常攻擊者會(huì)發(fā)動(dòng) DDoS（ Distributed Dos 分布式拒絕服務(wù)）攻擊者控制多個(gè)攻擊傀儡發(fā)動(dòng)攻擊，這樣才能產(chǎn)生預(yù)期的效果。前兩類(lèi)攻擊是可以偽造 IP地址的，追查也是非常困難，第 3 種攻擊由于需要建立連接，可能會(huì)暴露攻擊傀 基于同構(gòu)多處理機(jī)架構(gòu)的高性能多功能安全網(wǎng)關(guān)產(chǎn)業(yè)化資金申請(qǐng)報(bào)告 24 儡的 IP 地址，通過(guò) 防火墻禁止這些 IP 就可以了。 防止 DDos 攻擊的方法 : 最常用的防止 Dos 攻擊的方法是實(shí)現(xiàn)基于 Syn Cookie 機(jī)制的 Syn Proxy 功能。 在內(nèi)網(wǎng)和外網(wǎng)之間實(shí)現(xiàn) TCP 三次握手過(guò)程的代理（ proxy）的機(jī)制。 SYN Cookie 是對(duì) TCP 服務(wù)器端的三次握手協(xié)議作一些修改，專門(mén)用來(lái)防范SYN Flood 攻擊的一種手段。它的原理是，在 TCP 服務(wù)器收到 TCP SYN 包并返回 TCP SYN+ACK 包時(shí)，不分配一個(gè)專門(mén)的數(shù)據(jù)區(qū)，而是根據(jù)這個(gè) SYN 包計(jì)算出一個(gè) cookie 值。在收到 TCP ACK 包時(shí)， TCP 服務(wù)器 在根據(jù)那個(gè) cookie 值檢查這個(gè) TCP ACK 包的合法性。如果合法，再分配專門(mén)的數(shù)據(jù)區(qū)進(jìn)行處理未來(lái)的 TCP連接 。 SYN Proxy 工作原理，它相當(dāng)于在 TCP Server 與 TCP Client 之間實(shí)現(xiàn)了對(duì)三次握手協(xié)議的代理。第一次 “ 三次握手 ” 在 TCP Client 與防火墻之間進(jìn)行，第二次 “ 三次握手 ” 在防火墻與 TCP Server 之間 ， 在第 三 次 “ 三次握手 ” 時(shí)使用前面介紹的 SYN Cookie 流程。 入侵檢測(cè) 入侵監(jiān)測(cè)的概念 入侵檢測(cè)（ Intrusion Detection），顧名思義，便是對(duì)入侵行為的發(fā)覺(jué)。 它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中 的 若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（ Intrusion Detection System,簡(jiǎn)稱 IDS）。與其他安全產(chǎn)品不同的是，入侵檢測(cè)系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大的簡(jiǎn)化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。作為防火墻的合理補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安 全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 基于同構(gòu)多處理機(jī)架構(gòu)的高性能多功能安全網(wǎng)關(guān)產(chǎn)業(yè)化資金申請(qǐng)報(bào)告 25 入侵檢測(cè)系統(tǒng)的主要功能 監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)；核查系統(tǒng)配置和漏洞；評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性； 識(shí)別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活 動(dòng)； 入侵檢測(cè)系統(tǒng)的分類(lèi) 一般來(lái)說(shuō)，入侵檢測(cè)系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型。 主機(jī)型入侵檢測(cè)系統(tǒng)往往以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過(guò)其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測(cè)系統(tǒng)保護(hù)的一般是所在的系統(tǒng)。 網(wǎng)絡(luò)型入 侵檢測(cè)系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺(tái)機(jī)子的網(wǎng)卡設(shè)于混雜模式（ promisc mode） ,監(jiān)聽(tīng)所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)。 安全網(wǎng)關(guān)上的 IDS 是屬于 網(wǎng)絡(luò)型 IDS， 優(yōu)點(diǎn)主要是簡(jiǎn)便：一個(gè)網(wǎng)段上只需安裝一個(gè)或幾個(gè)這樣的系統(tǒng)，便可以監(jiān)測(cè)整個(gè)網(wǎng)段的情況。且由于往往分出單獨(dú)的計(jì)算機(jī)做這種應(yīng)用，不會(huì)給運(yùn)行關(guān)鍵業(yè)務(wù)的主機(jī)帶來(lái)負(fù)載上的增加。 入侵檢測(cè)過(guò)程 從總體來(lái)說(shuō)，入侵檢測(cè)系統(tǒng)可以分為兩個(gè)部分：收集系統(tǒng)和非系統(tǒng)中的信息然后對(duì)收集到的數(shù)據(jù)進(jìn)行分析，并采取相應(yīng)措施 。 信息收集 系統(tǒng)和網(wǎng)絡(luò)日志文件 ； 目錄和文件中的不期望的改變 ； 程序執(zhí)行中的不期望行為 ； 物理形式的入侵信息 信號(hào)分析 對(duì)上述四類(lèi)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配，統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。 基于同構(gòu)多處理機(jī)架構(gòu)的高性能多功能安全網(wǎng)關(guān)產(chǎn)業(yè)化資金申請(qǐng)報(bào)告 26 防病毒 /蠕蟲(chóng)網(wǎng)關(guān) 防病毒網(wǎng)關(guān) 的概念 防病毒網(wǎng)關(guān) 是基于網(wǎng)絡(luò)的防病毒方法，而不是傳統(tǒng)的基于主機(jī)的防病毒方法；它除了防病毒功能以外，與防火墻、 VPN、內(nèi)容 過(guò)濾 綜合在一起融合為 多功能 網(wǎng)關(guān) 。 防病毒網(wǎng)關(guān)的功能 防病毒網(wǎng)關(guān)（ NAV Gateway）安裝在兩個(gè)網(wǎng)絡(luò)之間，在網(wǎng)絡(luò)邊緣檢測(cè)阻擋病毒／蠕蟲(chóng)。通常安裝在內(nèi)部網(wǎng)和外部網(wǎng)和公網(wǎng)（如 Inter）之間，或在單位的網(wǎng)絡(luò)和外部合作伙伴的網(wǎng)絡(luò)之間。 網(wǎng)關(guān)工作深入到應(yīng)用層，可實(shí)時(shí)快速地監(jiān)測(cè)流經(jīng)網(wǎng)關(guān)的任一種方向的數(shù)據(jù)流。如果發(fā)現(xiàn)有病毒，則攔截并清除，同時(shí)記錄病毒日志和向管理員告示，然后將無(wú)病毒的數(shù)據(jù)流轉(zhuǎn)發(fā)到目的地。 防病毒 網(wǎng)關(guān) 的特點(diǎn) 1） .系統(tǒng)在網(wǎng)絡(luò)邊緣阻擋病毒。將病毒攔截于它們接近內(nèi)部網(wǎng)服務(wù)器和主機(jī)之前， 大大減少了主機(jī)受攻擊的風(fēng)險(xiǎn)。 網(wǎng)關(guān)能在網(wǎng)絡(luò)邊界實(shí)施防病毒， 而不需要依賴在每一臺(tái) PC 和服務(wù)器上進(jìn)行防毒保護(hù)。相比之下，基于主機(jī)的防病毒方法，檢測(cè)和殺病毒在客戶端完成。 如果某臺(tái)計(jì)算機(jī)發(fā)現(xiàn)病毒，說(shuō)明病毒已經(jīng)感染內(nèi)部網(wǎng)的許多計(jì)算機(jī)。對(duì)于新的病毒和變種，舊的殺病毒軟件一般不能檢測(cè)和清除。 在完成給每臺(tái)計(jì)算機(jī)更新軟件前，實(shí)際給網(wǎng)絡(luò)開(kāi)了一個(gè) “ 脆弱的窗口 ” 。 2） .系統(tǒng)提供了一道安全防線， 使得在它后面的所有主機(jī)都受到保護(hù)。 這就減少了管理工作量， 并關(guān)閉了 “ 脆弱的窗口 ” 。如果出現(xiàn)新病毒，只需要更新防病毒網(wǎng)關(guān)特征數(shù)據(jù)庫(kù)、網(wǎng)關(guān)的掃描算法， 而不用更新每一個(gè)終端軟件。從而大大節(jié)省了企 業(yè)的資源和用戶產(chǎn)品的升級(jí)和維護(hù)費(fèi)用。 3） .系統(tǒng)減輕了郵件服務(wù)器的負(fù)荷， 因?yàn)槭芨腥镜泥]件在達(dá)到服務(wù)器之前就已被刪除。 這在郵件傳播蠕蟲(chóng)攻擊時(shí)尤其重要 , 因?yàn)樗鼈兛赡墚a(chǎn)生成千上萬(wàn) 基于同構(gòu)多處理機(jī)架構(gòu)的高性能多