维普资讯 http://www.cqvip.com
第19卷第2期 2002年6月 华东交通大学学报 W.19 No 2 Journal 0f East Ch/na Jiaotang University run.2002 .文章编号:1005—0573{: ̄002)02—0005一o4 基于规则的网络安全管理系统研究 李 薏 (华东交通大学现代教育技术中心,江西南昌330013) 摘要:首先系统地研究了网络安全技术,提出了网络管理安全参考模型.然后鹇述了基于规则的网络安全管理技术.井络出了 系统姑构设计方案.谴方案能提供更加简单而有效的逢径.对动态环境下的安空进行管理. 关键词:基于规别;网络安全管理;网络设计 文献标识码:A 中囤分类号:TP393.06 2.1安全风险 1引言 概括的讲,安全风险可能是来自部门内部的威 胁,也可能是来自部门外部的威胁. 2.1.1内部威胁 随着网络规模的扩大,网络安全技术要求更加 复杂,当然也更加重要.随着安全技术的快速发展, rr组织对安全技术、工具的选择范围越来越大,如 何合理地选择不同的安全技术组合,使之充分、有 效地保护部门的Ⅱ资产,就成为我们必须面对.必 须加以解决的问题.另外,由于网络规模的扩大,rr 组织对安全技术、安全管理人员的需求越来越大, 顾名思义.内部威胁是来自部门内部的隐藏的 威胁.CSI(Computer Security Institute)最近的Cornput. el"Crime and Security Survey显示:643例非授权访问 中,有7l%是来自内部的.内部威胁和外部威胁一 样严重威胁着Ⅱ资源,甚至过之而尤不及. 2.1.2外部威胁 如何提高安全管理效率、降低安全管理成本,又成 为rr组织必须解决的另一个问题.基于规则的网络 安全管理系统,就是为解决上述问题而提出的.基 于规则的安全管理是一种使用高层规则来管理安 全技术的方法.使用这种方法,将促使Ⅱ部门把安 全措施提炼成一组安全规则;其最太优点是许多功 能可以自动而快速的执行. 随着Intemet的联通,来自外部的威胁呈指数增 长.E—mail是外部威胁的最主要载体。其次是www 和FrP服务. 来自外部的入侵者可以采取许多不同的攻击 技术.尤其是对于那些基于Internet的商业系统.他 们的商务很大程度上依赖于他们提供的服务的可 用度(Availability).例如,被拒服务型(denial—of— service)攻击击跨很多著名网站,就是很好的例子. 其它攻击技术,包括这样一些程序,它们占用绝大 2网络安全概念与技术 要了解网络安全,有两个方面的内容:一是网 络系统存在什么样的安全风险,包括风险的类型和 风险的程度,以及评估可能的潜在攻击;二是如何 运用安全管理技术,有效的防范这些安全问题. 收稿日期:2001—11—15 部份设备资源,以致合法用户无法获得资源,导致 无法进行工作. 2.2攻击类型 2.2.1病毒、软件型攻击 软件病毒是一段能自附在其它程序上的代码, 作者简介:李薏(1962一),女,吉林扶余人,华东交通大学工程师 维普资讯 http://www.cqvip.com
6 华东交通大学学报 2002正 它能够窃取数据、口令等,能够获取未经授权的访 问,能够更改或删除数据,能够崩溃系统、破坏硬 盘,能够伪装成其它用户,它还能象医学上的病毒 一样能够自我繁殖和感染其它系统. 对于病毒型攻击的防范措施包括:实行访问控 制防止病毒写入敏感数据,安装病毒检测软件,避 免从未知源地下载软件.以及任何软件安装前的必 要检查等. 2.2.2被拒服务型攻击 顾名思义,被拒服务型攻击是攻击者恶意反复 发出的被拒绝的服务请求,这些请求数据包消耗大 量的网络带宽资源,严重的会导致系统崩溃.例如, TCP SYN流攻击就是选样一种被拒服务型攻击.攻 击者从一个假冒的.实际不存在的地址发出TCP— SYN,受攻击者回发TCt'一SYN—ACK给该假冒地 址,并且等待回答.因此联接处于等待状态;实际 上,回答是永远也收不到的,因为源地址根本不存 在;该联接保持可达75秒.显然.如果攻击者不断的 发送SYN,受攻击者可能因此而没法通讯,甚至崩 溃. 2.2.3 IP盗用型攻击 IP盗用是一种欺骗目标机器致使其相信信息 是来自,发往合法机器的过程.这种欺骗可能出现在 【P系统的所有层,如地址分析协议ARP欺骗,IP源 地址欺骗,EMAIL欺骗等. 2.2.4数据帧被截取 一个用户跨过Intemet联接远程的系统,这就使 得能监视网络数据流的攻击者有进行攻击的可能. 比方电子邮件,Telnet或Ftp会话的内容,要是被攻 击者监视的话,攻击者就很可能由此获得有关网 址、商业传递等方面的信息. 2.2.5会话截取型攻击 只要找到一个网络插头、一台网络主机,攻击 者就可以监视网段上的信息流,以获得经主机授权 的会话(session);他可以发送大量的无用数据,以致 原有系统崩溃;进而攻击者可以用这些崩溃了的主 机地址,发送数据帧给其它主机. 会话型攻击的防止办法包括,使用加密方法防 止数据被盗和会话被截取;另外就是强化物理端口 的安全管理,防止未使用的网络插头被攻击者利 用. 2.2.6路由攻击 攻击者可以通过注入假的路由信息到路由系 统中,从而重定向信息流至黑洞.重定向信息流到 慢的链路上,乃至重定向信息流至其它目的地以便 截取和修改.解决这一攻击的办法是,加强授权管 理.只接受那些来自已知路由器的路由更新. 2.3网络系统安全技术 2.3.1防火墙技术 防火墙技术是一种隔阻外来人侵者,从而保护 内部网络资源的技术.防火墙就是这样一个处于内 部网络和外部公共网络之间的一个或多个系统.它 能够、控制两个方向的访问.当然.很显然防火 墙不能完全把来自外部的访问拒之门外,也就是应 该在允许要求的访问和保护网络资源有个折衷;防 火墙也能用于内部网.以对某一网段的访问. 2.3.2 IP过滤技术 流人或流出网络的信息流都是源自一个特定 的【P地址.【P过滤就是一种访问控制机制,它能根 据【P地址和要求的服务过滤网络信息流.如图1所 示 外部网 晰 面 ~要 通过 一 .辱 ::::=::l= 图1 基于IP廿滤技术的访问控制 访问控制表(ACLs--Access con蚀ol“8ts)是 过 滤技术中的核心.访问控制表就象一个安全级别非 常高的专门会议的来宾表一样.它包括: ・名单表:如什么人被邀请、允许参加 什么人不允许进入 可能还包括诸如餐饮服务人员、 鲜花供应人员、演职人员等 ・规则:如媒体人员禁止入内 所以,访问控制表(ACL)就象来宾表的作用一样, 除了描述能够和不能够通过防火墙或路由器的服 务外,它还列出什么人能、什么人不能访问. 为了更有效地保证未经授权的访问和服务不 被允许进入网络.必须审慎而全面地构造访问控{6j 表.此外,访问控制表中规则的顺序也非常重要.因 为防火墙是按顺序查找、匹配执行的. 对于大型复杂的网络系统来说,创建和维护访 问控制表是一件乏味的事情.况且人工管理整个网 络系统的访问控制表是相当困难的,有时只有极少 的一部分访问控制表得到应用. 为此,为了充分利用 过滤带来的益处.安全 维普资讯 http://www.cqvip.com
第2期 李薏:基于规则的网络安全管理系统研究 7 管理人员需要使用访问控制表管理工具,使得访问 控制表的应用和管理更加方便. 2.3.3应用代理技术 代理是防火墙中为用户通过防火墙申请服务 起中介作用的一个应用程序.用户首先得建立至防 火墙的联接,然后再是到防火墙中的应用代理的联 接.代理应用再根据它收集到的信息和所要求的联 接,决定是否允许这一请求.如果代理批准这一联 接,它即建立一条单独的从防火墙到计划目的地的 联接.代理接受来自用户的数据,然后传递到目的 地. 进行解密(当然要使用同一个密钥解密).这种在传 输前对数据帧进行加密,就避免了外部攻击者,当 数据在网络上传输时,对数据进行截取. 3网络管理安全参考模型 对网络系统来说可能存在各种攻击类型,相应 的可以采取不同的解决办法.而对于大型的网络系 统来说,它有不同的操作人员,有不同的系统,如网 络管理系统、单元管理系统,和各种基本的网络基 本单元所组成;它们互相之问存在不同的联接,因 而联接的需求也不同.显然,有必要研究网络系统 中的各个组成部件,它们之间的联系,这些联系类 型可能存在的安全威胁及其解决方法.这就是阿络 管理安全模型问题. 代理技术的关键是不允许数据坎在网络系统 之间直接流通,而是由代理在其中起中介作用. 2.3.4虚拟专用网 虚拟专用网(vPN)是一种利用公共Internet在 不同地理位置之间建立一个安全网络联接的一种 技术.虚拟网,简单的说,就是在两个兼容防火墙之 问的经过加密的通讯联接.一个防火墙先把数据侦 加密,再发送;另一个防火墙则对接受到的数据帧 网络管理安全参考模型是一个有用的工具.它 可用于确定网络部件的安全需要,可用于考查部件 之间的联接需要,可用于分析对于不同的联接存在 不同的安全威胁,以及采取相应的解决办法. 户操 规则创建 l 蜘 目 P1 一……图形用, 啵口( Java)E三 衄则分配,规则编辑 E 旧 — .茎竺垫 蔓坚l一J 规则验证/解释器I ’=::::=_,l xML分析/产生器l / U 规则分配器 I I ———蕊 ===/ f/、 , ./ 衄删 I规则组庠 ————一,:/ 它管理戟 , ——、 √ / / 、、h—/ 规刷LDAP工具箱(客户) 阀络单 / / —— . //阀络单元管理(NEM) } IJ)AP 兰 ’———— ,———、 J刚 mJ窗臣 崮崮I 略由、夺百 薯 I 圈2 基于规则的厢络安全系统结构设计 I安全规则【D^P服务暑;f 4基于规则的安全管理系统设计 如图2所示,对于一个rIl组织来说,它有广泛 这些安全工具,使rr组织的网络资源免受侵害,更 是一种挑战.所以可以说,虽然所选择的技术是事 关安全的重要方面,有效的管理这些安全技术却是 最为关键的了. 基于规则的安全管理是一种利用高层规则,而 非拘泥于技术细枝末节的管理安全技术的途径.例 的安全技术、安全工具可供选择.然而,选择一套行 之有效的安全工具组台实属不易,而要有效地管理 维普资讯 http://www.cqvip.com
8 华东交通大学学报 凇年 如,我们假定改变安全管理规则,使得指定的部门 允许使用FIP服务.这种通过规则的管理,使得安 4结束语 全管理者只需输入一条规则,允许对某些部门的主 机F 服务.如果没有基于规则的管理,那么管理 网络系统安全的重要性和高级安全人员的缺 人员需要在所有的防火墙,或 过滤设备上对每台 乏从来就是一对矛盾.解决这一矛盾的途径是选择 所选定的主机,逐条的建立是否允许FIP访问的 易于实施、易于使用而又高性能的安全工具.这些 ACL列表.在大型网络中.当职员、服务器、防火墙、 高性能包括提供易于使用的图形用户接口,自动的 服务等发生变化时,安全管理之困难可想而知. 产生和实施访问控制表.以及方便的对这些访问控 基于规则的安全管理.其优越性在于:(1)它能 制表的维护.而基于规则的安全管理系统就是这样 促使lT部门将安全管理途径归纳为安全规则.这将 一种能够提供更简便却更有效的,在动态环境下的 改善安全管理途径,使安全管理更加全面;(2)多项 安全管理的工具. 管理功能自动而快速的宴现成为可能. 目前,完全成熟的基于规则的安全管理系统币 4.1基于规则的网络安全管理 场上还很少见.可以预计,该系统的实现具有广泛 基于规则的安全管理工具,为网络安全管理人 的技术市场前景. 员提供了定义和改变安全访问规则的能力.基于那 些规则变化.安全管理工具自动的建立正确的访问 参考文献: 控制表,并应用到相应的防火墙和路由器中.这可 [1]F ̄tetvdse M眦lag ⅢA ̄clates,^Ⅱ]ntlod ̄on to Network 谓基于规则的管理工具能节省时间的非常经典之 Sec E|1目l血g the Safety 0f Y伽r N h州k.M町2OO0. 例子.网络/安全管理人员只需要定义或修改访问规 【2 J wt le P叩er,P0li叮一Based№ n 岵c豫岫『lg the班岫 则,而非逐条的编写访问控制表.当访问控制表达 Driven Network.LaeentTechnologies.BeutabsLrmovafiorts. 到4,000行时,这种时间的节省、复杂性的降低,效 【3 J Wlli Paper. Sectwit).,Ascend cc哪Ⅱ【吐li曲 ,1997. 果是相当可观的.此外.对于大型阿络系统来说,网 【4J .Gyad ̄,c.I m,j.丑m.BBN,Seeu ̄tyPdlcy sl栅・ ca ̄on【aII l。 ,Intemet D神,Malch 10,2000. 络安全管理人员可能有成百上千的防火墙和 过 L5 J ̄/]tite Paper, Ⅷi Et ̄to-End Soeudtyin Poliey-BMed 滤路由器要配置,而且每个设备可能有多个接口卡 Networks,Cjc∞ ,1998. 要配置;如果仍沿用手工办法对所有接口卡、所有 [6]M.F Azr ̄tt,M.c0・如丑be,TCP/W实用技术指南[M】 北 设备建立和维护访问控制表,那么所需要的时间将 京:清华大学出版社,西蒙与舒斯特国际出版公司, 是难以忍受的.而由于管理大量的访问控制表导致 1嘶. 的复杂性的增加却更加严重. [7】胡道元计算机同培[M].北京:清华大学出版社,1998. 4.2基于翔则的安全管理系统结构设计 Study on Policy—Based Network Security Management systme’S 1)esign U砷 (Modem Edu∞ Teehndo ̄r Center.Eost Jiaot ̄g-Unlversity,N日 330013,Chim) Ab mct:In this paper.the network securlty technology is discuss ̄systema6cally—the network management rferenee model is pre ̄ntec[,and then the techneIogy of policy-based network security m卸ag£嘲t is studied.finally the system desi ̄mode!ofpolley-]: ̄ed network secuntymanagententisbroughtforwazd.Thismodel c∞provide[Itrl e ̄slerandIDore efifcientwaytomanage ̄urltyin dynamic enviormnents. Key words:poficy-based;network security management;network d∞i
