【導讀】信息安全專項產(chǎn)業(yè)化項目?；谕瑯?gòu)多處理機架構(gòu)的高性能多功能安全網(wǎng)關(guān)產(chǎn)業(yè)化資金申請報告

　　

【正文】 指依靠 ISP（ Inter 服務提供商和其他 NSP（網(wǎng)絡服務提供商）在公共網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專 網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用 Inter 公眾數(shù)據(jù)網(wǎng)絡的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡，是指用戶自己制定一個最符合自己需求的網(wǎng)絡。 VPN 是在 Inter 上臨時建立的安全專用虛擬網(wǎng)絡，為用戶節(jié)省了租用專線的費用。 Inter 是一個全球性和開放性的、基于 TCP/IP 技術(shù)的、不可管理的國際互聯(lián)網(wǎng)絡，隨著電子商務的蓬勃發(fā)展，基于 Inter 的商務活動就面臨非善意的信息威脅和安全隱患，虛擬專用網(wǎng)技術(shù)是解決問題的關(guān) 鍵。 基于同構(gòu)多處理機架構(gòu)的高性能多功能安全網(wǎng)關(guān)產(chǎn)業(yè)化資金申請報告 21 VPN 的功能與特點 （ 1） 安全保障 VPN 應保證通過公用網(wǎng)絡平臺傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用 IP 網(wǎng)絡上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。 （ 2） 服務質(zhì)量保證（ QoS） VPN 網(wǎng)應當為企業(yè)數(shù)據(jù)提供不同等級的服務質(zhì)量保證。對于擁有眾多分支機構(gòu)的專線 VPN 網(wǎng)絡，交互式的內(nèi)部企業(yè)網(wǎng)應用則要求網(wǎng)絡能提供良好的穩(wěn)定性；對于其它應用（如視頻等）則對網(wǎng)絡提出了更明確的要求，如網(wǎng) 絡時延及誤碼率等。在網(wǎng)絡優(yōu)化方面，構(gòu)建 VPN 的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。 QoS 通過流量預測與流量控制策略，可以按照優(yōu)先級合理地分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被先后發(fā)送，并預防阻塞的發(fā)生。 （ 3） 可擴充性和靈活性 VPN 必須能夠支持通過 Intra 和 Ext ra 的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應用對高質(zhì)量傳輸以及帶寬增加的需求。 （ 4） 可管理性 VPN 管理的目標為：減小網(wǎng)絡風險、具有 高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。主要包括安全管理、設備管理、配置管理、訪問控制列表管理、 QoS 管理等內(nèi)容。 VPN 實現(xiàn)技術(shù) 由于傳輸?shù)氖撬接行畔ⅲ?VPN 用戶對數(shù)據(jù)的安全性都比較關(guān)心。 目前 VPN 主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是隧道技術(shù)（ Tunneling）、加解密技術(shù)（ Encryption amp。 D ecryption）、密鑰管理技術(shù)（ K ey Management）、使用者與設備身份認證技術(shù)（ Authentication）。 基于同構(gòu)多處理機架構(gòu)的高性能多功能安全網(wǎng)關(guān)產(chǎn)業(yè)化資金申請報告 22 1） .隧道技術(shù)是 VPN 的基本技術(shù)，類似于點對點連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡協(xié)議封裝到 PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有 L2F、 PPTP、 L2TP 等。 L2TP 協(xié)議是目前 IETF的標準，由 IETF 融合 PPTP 與 L2F 而形成。 第三層隧道協(xié)議是把各種網(wǎng)絡協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有 VTP、 IPSec 等。 IPSec（ IP Security）是由一 組 RFC 文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務所使用密鑰等服務，從而在 IP 層提供安全保障。 2） 加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)， VPN 可直接利用現(xiàn)有技術(shù)。 3）密鑰管理技術(shù)的主要任務是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為 SKIP 與 ISAKMP/OAKLEY 兩種。 SKIP 主要是利用 DiffieHellman 的演算法則，在網(wǎng)絡上傳輸密鑰；在 ISAKMP 中，雙方都有兩把密鑰，分別用于公用、私用。 4）身份認證技術(shù)最常用的是使用者名稱與密碼或卡片式認 證等方式。 拒絕服務式攻擊 拒絕服務攻擊概念 DoS 的英文全稱是 Denial of Service，是一種很簡單但又很有效的進攻方式。它的目的就是拒絕你的服務訪問，破壞組織的正常運行，最終它會使你的部分Inter 連接和網(wǎng)絡系統(tǒng)失效。 DoS 的攻擊方式有很多種，最基本的 DoS 攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。 DDoS(分布式拒絕服務 )，它的英文全稱為 Distributed Denial of Service，它是一種基于 DoS 的特殊形式的拒絕服務攻擊，是一 種分布、協(xié)作的大規(guī)模攻擊方式，來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。主要瞄準比較大的站點，象商業(yè)公司，搜索引擎和政府部門的站點。 基于同構(gòu)多處理機架構(gòu)的高性能多功能安全網(wǎng)關(guān)產(chǎn)業(yè)化資金申請報告 23 DoS 原理 DoS（ Denial of Service）拒絕服務攻擊廣義上可以指任何導致你的服務器不能正常提供服務的攻擊。 （ 1） 利用軟件實現(xiàn)的缺陷 OOB 攻擊（常用工具 winnuke）， teardrop 攻擊（常用工具 ）， land 攻擊， IGMP 碎片包攻擊， jolt 攻擊， Cisco 2600 路由器 IOS version (10)遠程拒絕服務攻擊等等，這些攻擊都是利用了被攻擊軟件的實現(xiàn)上的缺陷完成 DoS 攻擊的。通常這些攻擊工具向被攻擊系統(tǒng)發(fā)送特定類型的一個或多個報文，這些攻擊通常都是致命的，一般都是一擊致死，而且很多攻擊是可以偽造源地址的，所以即使通過 IDS 或者別的 sniffer 軟件記錄到攻擊報文也不能找到誰發(fā)動的攻擊，而且此類型的攻擊多是特定類型的幾個報文，非常短暫的少量的報文，如果偽造源 IP 地址的話，使追查工作幾乎是不可能。 （ 2） 利用協(xié)議的漏洞 最經(jīng)典的攻擊是 synflood 攻擊，它利用 TCP/IP 協(xié)議的漏洞完成 攻擊。通常一次 TCP 連接的建立包括 3 個步驟，客戶端發(fā)送 SYN 包給服務器端，服務器分配一定的資源給這里連接并返回 SYN/ACK 包，并等待連接建立的最后的 ACK包，最后客戶端發(fā)送 ACK 報文，這樣兩者之間的連接建立起來，并可以通過連接傳送數(shù)據(jù)了。而攻擊的過程就是瘋狂發(fā)送 SYN 報文，而不返回 ACK 報文，服務器占用過多資源，而導致系統(tǒng)資源占用過多，沒有能力響應別的操作，或者不能響應正常的網(wǎng)絡請求。 由于 TCP/IP 協(xié)議相信報文的源地址，另一種攻擊方式是反射拒絕服務攻擊，另外可以利用還有廣播地址，和組播協(xié)議輔助反射拒絕 服務攻擊效果更好。不過大多數(shù)路由器都禁止廣播地址和組播協(xié)議的地址。 （ 3） 進行資源比拼 憑借著手中的資源豐富，發(fā)送大量的垃圾數(shù)據(jù)侵占完你的資源，導致 DoS。比如， ICMP flood， mstream flood， Connection flood。為了獲得比目標系統(tǒng)更多資源，通常攻擊者會發(fā)動 DDoS（ Distributed Dos 分布式拒絕服務）攻擊者控制多個攻擊傀儡發(fā)動攻擊，這樣才能產(chǎn)生預期的效果。前兩類攻擊是可以偽造 IP地址的，追查也是非常困難，第 3 種攻擊由于需要建立連接，可能會暴露攻擊傀 基于同構(gòu)多處理機架構(gòu)的高性能多功能安全網(wǎng)關(guān)產(chǎn)業(yè)化資金申請報告 24 儡的 IP 地址，通過 防火墻禁止這些 IP 就可以了。 防止 DDos 攻擊的方法 : 最常用的防止 Dos 攻擊的方法是實現(xiàn)基于 Syn Cookie 機制的 Syn Proxy 功能。 在內(nèi)網(wǎng)和外網(wǎng)之間實現(xiàn) TCP 三次握手過程的代理（ proxy）的機制。 SYN Cookie 是對 TCP 服務器端的三次握手協(xié)議作一些修改，專門用來防范SYN Flood 攻擊的一種手段。它的原理是，在 TCP 服務器收到 TCP SYN 包并返回 TCP SYN+ACK 包時，不分配一個專門的數(shù)據(jù)區(qū)，而是根據(jù)這個 SYN 包計算出一個 cookie 值。在收到 TCP ACK 包時， TCP 服務器 在根據(jù)那個 cookie 值檢查這個 TCP ACK 包的合法性。如果合法，再分配專門的數(shù)據(jù)區(qū)進行處理未來的 TCP連接 。 SYN Proxy 工作原理，它相當于在 TCP Server 與 TCP Client 之間實現(xiàn)了對三次握手協(xié)議的代理。第一次 “ 三次握手 ” 在 TCP Client 與防火墻之間進行，第二次 “ 三次握手 ” 在防火墻與 TCP Server 之間 ， 在第 三 次 “ 三次握手 ” 時使用前面介紹的 SYN Cookie 流程。 入侵檢測 入侵監(jiān)測的概念 入侵檢測（ Intrusion Detection），顧名思義，便是對入侵行為的發(fā)覺。 它通過對計算機網(wǎng)絡或計算機系統(tǒng)中 的 若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（ Intrusion Detection System,簡稱 IDS）。與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進行分析，并得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大的簡化管理員的工作，保證網(wǎng)絡安全的運行。作為防火墻的合理補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安 全審計、監(jiān)視、攻擊識別和響應），提高了信息安全基礎結(jié)構(gòu)的完整性。 基于同構(gòu)多處理機架構(gòu)的高性能多功能安全網(wǎng)關(guān)產(chǎn)業(yè)化資金申請報告 25 入侵檢測系統(tǒng)的主要功能 監(jiān)測并分析用戶和系統(tǒng)的活動；核查系統(tǒng)配置和漏洞；評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性； 識別已知的攻擊行為；統(tǒng)計分析異常行為；操作系統(tǒng)日志管理，并識別違反安全策略的用戶活 動； 入侵檢測系統(tǒng)的分類 一般來說，入侵檢測系統(tǒng)可分為主機型和網(wǎng)絡型。 主機型入侵檢測系統(tǒng)往往以系統(tǒng)日志、應用程序日志等作為數(shù)據(jù)源，當然也可以通過其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機收集信息進行分析。主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)。 網(wǎng)絡型入 侵檢測系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡上的數(shù)據(jù)包。往往將一臺機子的網(wǎng)卡設于混雜模式（ promisc mode） ,監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進行判斷。一般網(wǎng)絡型入侵檢測系統(tǒng)擔負著保護整個網(wǎng)段的任務。 安全網(wǎng)關(guān)上的 IDS 是屬于 網(wǎng)絡型 IDS， 優(yōu)點主要是簡便：一個網(wǎng)段上只需安裝一個或幾個這樣的系統(tǒng)，便可以監(jiān)測整個網(wǎng)段的情況。且由于往往分出單獨的計算機做這種應用，不會給運行關(guān)鍵業(yè)務的主機帶來負載上的增加。 入侵檢測過程 從總體來說，入侵檢測系統(tǒng)可以分為兩個部分：收集系統(tǒng)和非系統(tǒng)中的信息然后對收集到的數(shù)據(jù)進行分析，并采取相應措施 。 信息收集 系統(tǒng)和網(wǎng)絡日志文件 ； 目錄和文件中的不期望的改變 ； 程序執(zhí)行中的不期望行為 ； 物理形式的入侵信息 信號分析 對上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進行分析：模式匹配，統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。 基于同構(gòu)多處理機架構(gòu)的高性能多功能安全網(wǎng)關(guān)產(chǎn)業(yè)化資金申請報告 26 防病毒 /蠕蟲網(wǎng)關(guān) 防病毒網(wǎng)關(guān) 的概念 防病毒網(wǎng)關(guān) 是基于網(wǎng)絡的防病毒方法，而不是傳統(tǒng)的基于主機的防病毒方法；它除了防病毒功能以外，與防火墻、 VPN、內(nèi)容 過濾 綜合在一起融合為 多功能 網(wǎng)關(guān) 。 防病毒網(wǎng)關(guān)的功能 防病毒網(wǎng)關(guān)（ NAV Gateway）安裝在兩個網(wǎng)絡之間，在網(wǎng)絡邊緣檢測阻擋病毒／蠕蟲。通常安裝在內(nèi)部網(wǎng)和外部網(wǎng)和公網(wǎng)（如 Inter）之間，或在單位的網(wǎng)絡和外部合作伙伴的網(wǎng)絡之間。 網(wǎng)關(guān)工作深入到應用層，可實時快速地監(jiān)測流經(jīng)網(wǎng)關(guān)的任一種方向的數(shù)據(jù)流。如果發(fā)現(xiàn)有病毒，則攔截并清除，同時記錄病毒日志和向管理員告示，然后將無病毒的數(shù)據(jù)流轉(zhuǎn)發(fā)到目的地。 防病毒 網(wǎng)關(guān) 的特點 1） .系統(tǒng)在網(wǎng)絡邊緣阻擋病毒。將病毒攔截于它們接近內(nèi)部網(wǎng)服務器和主機之前， 大大減少了主機受攻擊的風險。 網(wǎng)關(guān)能在網(wǎng)絡邊界實施防病毒， 而不需要依賴在每一臺 PC 和服務器上進行防毒保護。相比之下，基于主機的防病毒方法，檢測和殺病毒在客戶端完成。 如果某臺計算機發(fā)現(xiàn)病毒，說明病毒已經(jīng)感染內(nèi)部網(wǎng)的許多計算機。對于新的病毒和變種，舊的殺病毒軟件一般不能檢測和清除。 在完成給每臺計算機更新軟件前，實際給網(wǎng)絡開了一個 “ 脆弱的窗口 ” 。 2） .系統(tǒng)提供了一道安全防線， 使得在它后面的所有主機都受到保護。 這就減少了管理工作量， 并關(guān)閉了 “ 脆弱的窗口 ” 。如果出現(xiàn)新病毒，只需要更新防病毒網(wǎng)關(guān)特征數(shù)據(jù)庫、網(wǎng)關(guān)的掃描算法， 而不用更新每一個終端軟件。從而大大節(jié)省了企 業(yè)的資源和用戶產(chǎn)品的升級和維護費用。 3） .系統(tǒng)減輕了郵件服務器的負荷， 因為受感染的郵件在達到服務器之前就已被刪除。 這在郵件傳播蠕蟲攻擊時尤其重要 , 因為它們可能產(chǎn)生成千上萬 基于同構(gòu)多處理機架構(gòu)的高性能多