網(wǎng)絡(luò)工程設(shè)計(jì)關(guān)鍵技術(shù)

-.z網(wǎng)絡(luò)平安設(shè)計(jì)技術(shù)分析摘要以Internet為代表的信息化浪潮席卷全球，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用日益普及和深入，伴隨著網(wǎng)絡(luò)技術(shù)的高速開展，各種各樣的平安問題也相繼出現(xiàn)，校園網(wǎng)被“黑〞或被病毒破壞的事件屢有發(fā)生，造成了極壞的社會影響和巨大的經(jīng)濟(jì)損失，網(wǎng)絡(luò)平安日益成為人們關(guān)注的焦點(diǎn)。一個(gè)好的網(wǎng)絡(luò)平安設(shè)計(jì)往往是多種方法適當(dāng)綜合的結(jié)果。網(wǎng)絡(luò)平安設(shè)計(jì)技術(shù)包括IDS網(wǎng)絡(luò)平安設(shè)計(jì)、IPS網(wǎng)絡(luò)平安設(shè)計(jì)、ACL網(wǎng)絡(luò)平安設(shè)計(jì)、VPN網(wǎng)絡(luò)平安設(shè)計(jì)等。關(guān)鍵詞防火墻；DMZ設(shè)計(jì)；網(wǎng)絡(luò)平安設(shè)計(jì)1網(wǎng)絡(luò)平安體系與技術(shù)1.1IATF網(wǎng)絡(luò)平安體系構(gòu)造IATF〔信息保障技術(shù)框架〕標(biāo)準(zhǔn)是美國國家平安局〔NSA〕組織世界平安專家制定的。它從整體和過程的角度對待信息平安問題，代表理論是“深度保護(hù)戰(zhàn)略〞。IATF標(biāo)準(zhǔn)強(qiáng)調(diào)人、技術(shù)和操作3個(gè)核心原則，關(guān)注4個(gè)信息平安保障領(lǐng)域，即保護(hù)網(wǎng)絡(luò)和根底設(shè)施、保護(hù)邊界、保護(hù)計(jì)算環(huán)境和保護(hù)支撐根底設(shè)施。IATF最重要的設(shè)計(jì)思想：在網(wǎng)絡(luò)中進(jìn)展不同等級的區(qū)域劃分與網(wǎng)絡(luò)邊界保護(hù)。1.2TCP/IP各層平安技術(shù)網(wǎng)絡(luò)平安是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改和泄漏，系統(tǒng)能連續(xù)、可靠地正常運(yùn)行，網(wǎng)絡(luò)效勞不中斷。在TCP/IP體系構(gòu)造中，各個(gè)層次的平安措施有所不同，常用平安技術(shù)如表1-1所示。表1-1TCP/IP各個(gè)層次常用平安保護(hù)技術(shù)網(wǎng)絡(luò)層次硬件平安保護(hù)技術(shù)軟件平安保護(hù)技術(shù)應(yīng)用層較少，如數(shù)據(jù)加密機(jī)文件加密、數(shù)字簽名、平安認(rèn)證、平安補(bǔ)丁、AAA、病毒防護(hù)、防火墻傳輸層SSL加密機(jī)、防火墻軟件SSL、TLS、防火墻網(wǎng)絡(luò)層防火墻、IDS、IPS、VPN網(wǎng)關(guān)、ACL、NAT軟件防火墻、軟件VPN網(wǎng)關(guān)、平安認(rèn)證接口層鏈路加密網(wǎng)卡、鏈路加密機(jī)MAC地址綁定、VLAN劃分物理隔離、線路屏蔽、設(shè)備屏蔽、設(shè)備冗余極少1.3網(wǎng)絡(luò)信息加密技術(shù)信息加密技術(shù)是利用數(shù)學(xué)或物理手段，對電子信息在傳輸過程中和存儲體內(nèi)進(jìn)展保護(hù)，以防止泄漏的技術(shù)。加密系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)，它包括4個(gè)組件：軟件組件：負(fù)責(zé)各功能子系統(tǒng)的協(xié)調(diào)和用戶交互；加密算法：根據(jù)一定規(guī)則對輸入信息進(jìn)展加密處理；協(xié)議：加密系統(tǒng)和運(yùn)行環(huán)境需要；加密密鑰：用戶加密/解密信息所需的鑰匙。常用加密算法有對稱加密；非對稱加密；Hash〔哈?！臣用?。加密系統(tǒng)在網(wǎng)絡(luò)中有3個(gè)根本的應(yīng)用：存儲、傳輸和認(rèn)證。因此，在選擇加密系統(tǒng)應(yīng)該考慮到網(wǎng)絡(luò)的業(yè)務(wù)流程和業(yè)務(wù)的主要平安威脅，并綜合考慮產(chǎn)品的實(shí)現(xiàn)、性價(jià)比、部署后產(chǎn)生的影響等因素。例如根據(jù)業(yè)務(wù)要求選擇加密系統(tǒng)；硬件加密系統(tǒng)和軟件加密系統(tǒng)的選擇；加密系統(tǒng)本身的平安性。2防火墻和DMZ設(shè)計(jì)2.1防火墻的類型和功能所謂防火墻指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。防火墻技術(shù)，最初是針對Internet網(wǎng)絡(luò)不平安因素所采取的一種保護(hù)措施。顧名思義，防火墻就是用來阻擋外部不平安因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Internet之間建立起一個(gè)平安網(wǎng)關(guān)〔SecurityGateway〕，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由效勞政策、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)局部組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的很少只有國防部等地才用,因?yàn)樗鼉r(jià)格昂貴)。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。按照防火墻的應(yīng)用形式，可分為硬件防火墻和軟件防火墻。硬件防火墻可以是一臺獨(dú)立的硬件設(shè)備〔如CiscoPI*〕；也可以在一臺路由器上，經(jīng)過配置成為一臺具有平安功能的防火墻。軟件防火墻是運(yùn)行在效勞器主機(jī)上的一個(gè)軟件〔如ISAServer〕。硬件防火墻在功能和性能上都優(yōu)于軟件防火墻，但是本錢較高。防火墻具有以下功能：所有內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的數(shù)據(jù)交換，都可以而且必須經(jīng)過防火墻。只有符合防火墻平安策略的數(shù)據(jù)，才可以自由出入防火墻。防火墻受到攻擊后，應(yīng)能穩(wěn)定有效地工作。應(yīng)當(dāng)記錄和統(tǒng)計(jì)網(wǎng)絡(luò)的使用情況。有效地過濾、篩選和屏蔽有害效勞和數(shù)據(jù)包。能隔離網(wǎng)絡(luò)中的*些網(wǎng)段，防止一個(gè)網(wǎng)段的故障傳播到整個(gè)網(wǎng)絡(luò)。2.2DMZ的功能和平安策略DMZ〔隔離區(qū)/非軍事區(qū)〕的根本構(gòu)造和功能DMZ設(shè)立在非平安系統(tǒng)與平安系統(tǒng)之間的緩沖區(qū)。DMZ的目的是將敏感的內(nèi)部網(wǎng)絡(luò)和提供外部效勞的網(wǎng)絡(luò)別離開，為網(wǎng)絡(luò)提供深度防御。DMZ平安策略 DMZ的設(shè)計(jì)根本原則：設(shè)計(jì)最小權(quán)限，例如定義允許的網(wǎng)絡(luò)資源和網(wǎng)絡(luò)的平安級別；確定可信用戶和可信任區(qū)域；明確各個(gè)網(wǎng)絡(luò)之間的關(guān)系，制定以下平安策略：內(nèi)網(wǎng)可以外網(wǎng)；內(nèi)網(wǎng)可以DMZ；外網(wǎng)不能內(nèi)網(wǎng)；外網(wǎng)可以DMZ；DMZ不能內(nèi)網(wǎng)；DMZ不能外網(wǎng)。2.3DMZ的網(wǎng)絡(luò)構(gòu)造設(shè)計(jì)2.3.1單防火墻DMZ 單防火墻DMZ構(gòu)造將網(wǎng)絡(luò)劃分為三個(gè)區(qū)域，內(nèi)網(wǎng)〔LAN〕、外網(wǎng)〔Internet〕和DMZ。DMZ是外網(wǎng)與內(nèi)網(wǎng)之間附加的一個(gè)平安層，這個(gè)平安區(qū)域也稱為屏蔽子網(wǎng)、過濾子網(wǎng)等。這種網(wǎng)絡(luò)構(gòu)造構(gòu)建本錢低，多用于小型企業(yè)網(wǎng)絡(luò)設(shè)計(jì)。如下列圖2-1所示。2-1單防火墻DMZ網(wǎng)絡(luò)構(gòu)造2.3.1雙防火墻DMZ 防火墻通常與邊界路由器協(xié)同工作，邊界路由器是網(wǎng)絡(luò)平安的第一道屏障。通常的方法是在路由器中設(shè)置數(shù)據(jù)包過濾和NAT功能，讓防火墻完成特定的端口阻塞和數(shù)據(jù)包檢查，這樣在整體上提高了網(wǎng)絡(luò)性能。另一種雙DMZ網(wǎng)絡(luò)構(gòu)造設(shè)計(jì)方案如下列圖2-2所示。2-2雙防火墻DMZ網(wǎng)絡(luò)構(gòu)造3網(wǎng)絡(luò)平安設(shè)計(jì)技術(shù)3.1IDS網(wǎng)絡(luò)平安設(shè)計(jì)3.1.1IDS〔IDS分為實(shí)時(shí)入侵檢測和事后入侵檢測。實(shí)時(shí)入侵檢測在網(wǎng)絡(luò)連接過程中進(jìn)展，IDS發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機(jī)的連接，實(shí)施數(shù)據(jù)恢復(fù)。事后入侵檢測由網(wǎng)絡(luò)管理人員定期或不定期進(jìn)展。入侵檢測系統(tǒng)本質(zhì)上是一種“嗅探設(shè)備〞。3.1.2IDS常用IDS常用檢測方法有：特征檢測、統(tǒng)計(jì)檢測與專家系統(tǒng)。經(jīng)研究說明，國內(nèi)90%的IDS使用特征檢測方法。特征檢測與計(jì)算機(jī)病毒檢測方式類似，主要是對數(shù)據(jù)包進(jìn)展特征模式匹配，但對于采用新技術(shù)和新方法的入侵與攻擊行為則無能為力。統(tǒng)計(jì)檢測常用異常檢測。測量參數(shù)包括：事件的數(shù)量、間隔時(shí)間、資源消耗情況等。3.1.2IDS可以串聯(lián)或并聯(lián)的部署在網(wǎng)絡(luò)中各個(gè)關(guān)鍵位置。IDS可以安裝在網(wǎng)絡(luò)邊界區(qū)域；效勞器群區(qū)域；網(wǎng)絡(luò)主機(jī)區(qū)域和網(wǎng)絡(luò)核心層。如圖3-1所示。3-1IDS在網(wǎng)絡(luò)中的位置3.2IPS網(wǎng)絡(luò)平安設(shè)計(jì)3.2.1IPS〔入侵防御系統(tǒng)〕不但能檢測入侵的發(fā)生，而且能實(shí)時(shí)終止入侵行為。IPS一般部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。3.2.2IDS設(shè)備在網(wǎng)絡(luò)中采用旁路式連接；IPS在網(wǎng)絡(luò)中采用串接式連接。串接工作模式保證所有網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過IPS設(shè)備，IPS檢測數(shù)據(jù)流中的惡意代碼，核對策略，在未轉(zhuǎn)發(fā)到效勞器之前，將信息包或數(shù)據(jù)流阻截。IPS是網(wǎng)關(guān)型設(shè)備，最好串接在網(wǎng)絡(luò)出口處，IPS經(jīng)常部署在網(wǎng)關(guān)出口的防火墻和路由器之間，監(jiān)控和保護(hù)內(nèi)部網(wǎng)絡(luò)。IPS在網(wǎng)絡(luò)拓?fù)錁?gòu)造中的部署如圖3-2所示。3-2IDS和IPS在網(wǎng)絡(luò)中的混用3.3ACL網(wǎng)絡(luò)平安技術(shù)3.3.1AACL是網(wǎng)絡(luò)設(shè)備處理數(shù)據(jù)包轉(zhuǎn)發(fā)的一組規(guī)則。ACL采用包過濾技術(shù)，在路由器中讀取第三層和第四層數(shù)據(jù)包**中的信息，如源地址、目的地址、源端口、目的端口等，然后根據(jù)網(wǎng)絡(luò)工程師預(yù)先定義好的ACL規(guī)則，對數(shù)據(jù)包進(jìn)展過濾，從而到達(dá)控制的目的。3.3.2AACL配置遵循以下原則?！?〕最小權(quán)限原則。只滿足ACL局部條件的數(shù)據(jù)包不允許通過?！?〕最靠近受控對象原則。標(biāo)準(zhǔn)ACL盡可能放置在靠近目的地址的地方；擴(kuò)展ACL盡量放置在靠近源地址的地方。〔3〕立即終止原則?！?〕默認(rèn)丟棄原則。如果數(shù)據(jù)包與所有ACL行都不匹配，將被丟棄。5〕單一性原則。一個(gè)接口在一個(gè)方向上只能有一個(gè)ACL?！?〕默認(rèn)設(shè)置原則。路由器或三層交換機(jī)在沒有配置ACL的情況下，默認(rèn)允許所有數(shù)據(jù)包通過。防火墻在在沒有配置ACL的情況下，默認(rèn)不允許所有數(shù)據(jù)包通過。標(biāo)準(zhǔn)ACL配置1〕創(chuàng)立ACL命令格式：Router(config)*access-list<ACL表號>{permit|deny}{<源IP地址|host><通配符掩碼>|any}〔2〕將ACL應(yīng)用到*一接口命令格式：Router(config-if)*{protocol}access-group<ACL表號>{in|out}擴(kuò)展ACL配置標(biāo)準(zhǔn)ACL只能控制源IP地址，不能控制到端口。要控制第四層的端口，需要使用擴(kuò)展ACL配置。如果路由器沒有硬件ACL加速功能，它會消耗路由器大量的CPU資源，因此擴(kuò)展ACL要盡量放置在靠近源地址的地方。命令格式：Router(config)*access-list<ACL表號>{permit|deny}{<協(xié)議名稱>|<端口號>}{<源IP地址><通配符掩碼>}{<目的IP地址><通配符掩碼>}[<關(guān)系><協(xié)議名稱>][log]3.4VPN網(wǎng)絡(luò)平安設(shè)計(jì)3.4.1VPN的定義為使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)。VPN通過私有隧道技術(shù)，在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線。虛擬是指用戶不需要擁有實(shí)際的長途數(shù)據(jù)線路，而是利用Internet的數(shù)據(jù)傳輸線路；專用網(wǎng)絡(luò)是指用戶可以制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。VPN是在Internet上臨時(shí)建立的平安專用虛擬網(wǎng)絡(luò)。3.4.2隧道是一種數(shù)據(jù)加密傳輸技術(shù)。數(shù)據(jù)包通過隧道進(jìn)展平安傳輸。被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過Internet進(jìn)展路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過的邏輯路徑稱為隧道。數(shù)據(jù)包一旦到達(dá)隧道終點(diǎn)，將被解包并轉(zhuǎn)發(fā)到最終目的主機(jī)。4網(wǎng)絡(luò)物理隔離設(shè)計(jì)4.1網(wǎng)絡(luò)隔離的技術(shù)特點(diǎn)我國?計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)**管理規(guī)定?規(guī)定：涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離。網(wǎng)絡(luò)物理隔離卡確保了計(jì)算機(jī)在同一時(shí)間只能一個(gè)網(wǎng)絡(luò)，兩個(gè)網(wǎng)絡(luò)在同一時(shí)間內(nèi)不會有任何連接。4.2網(wǎng)絡(luò)物理隔離工作原理單主板平安隔離計(jì)算機(jī)工作原理：采用雙硬盤，將內(nèi)網(wǎng)與外網(wǎng)的轉(zhuǎn)換功能嵌入在主板BIOS中。主板網(wǎng)卡也分為內(nèi)網(wǎng)和外網(wǎng)。價(jià)格介于雙主機(jī)和網(wǎng)絡(luò)物理隔離卡之間雙主板平安隔離計(jì)算機(jī) 每臺計(jì)算機(jī)有兩塊主板，每塊主板一個(gè)網(wǎng)卡，分別連接內(nèi)網(wǎng)和外網(wǎng)。每塊主板有一個(gè)串行口，雙端口RAM是連接兩塊主板的唯一通道。4.3平安隔離網(wǎng)閘工作原理GAP〔平安隔離網(wǎng)閘〕通過專用硬件和軟件技術(shù)，使兩個(gè)或者兩個(gè)以上的網(wǎng)絡(luò)在不連通的情況下，實(shí)現(xiàn)數(shù)據(jù)平安傳輸和資源共享?！?〕當(dāng)內(nèi)網(wǎng)數(shù)據(jù)傳輸?shù)酵饩W(wǎng)時(shí)，GAP向內(nèi)網(wǎng)效勞器發(fā)起非TCP/IP的數(shù)據(jù)連接請求，并發(fā)出“寫〞命令，將GAP寫入控制開關(guān)合上，并把所有協(xié)議剝離，將原始數(shù)據(jù)寫入存儲介質(zhì)?！?〕一旦數(shù)據(jù)完全寫入GAP存儲介質(zhì)中，GAP與內(nèi)網(wǎng)效勞器之間的控制開關(guān)立即斷開。(3)接下來GAP與外網(wǎng)效勞器之間的控制開關(guān)接通，GAP發(fā)起對外網(wǎng)非TCP/IP的數(shù)據(jù)連接請求。(4)外網(wǎng)效勞器收到請求后，發(fā)出“讀〞命令，將GAP存儲介質(zhì)內(nèi)的數(shù)據(jù)傳輸?shù)酵饩W(wǎng)效勞器?！?〕外網(wǎng)效勞器收到數(shù)據(jù)后，按TCP/IP協(xié)議要求重新封裝接收到的數(shù)據(jù)，交給應(yīng)用系統(tǒng)。如圖4-1所示。4-1平安隔離工作原理5總結(jié)網(wǎng)絡(luò)平安是網(wǎng)絡(luò)設(shè)計(jì)中的關(guān)鍵技術(shù)，隨著網(wǎng)絡(luò)的普及和網(wǎng)絡(luò)技術(shù)的飛速開展，網(wǎng)絡(luò)已經(jīng)深入人們生活的各個(gè)領(lǐng)域，成為現(xiàn)實(shí)生活的一局部。網(wǎng)絡(luò)為我們帶來了更多的便利，使信息的處理和傳遞突破了時(shí)間和地域的限制。然而，隨之而來的，也有更多的網(wǎng)絡(luò)威脅，使我們的網(wǎng)絡(luò)變得更加脆弱?？偠灾?，計(jì)算機(jī)網(wǎng)絡(luò)信息平安的防御問題將是一個(gè)綜合性且長期性的課題，涉及技術(shù)、管理、使用等許多方面。既包括計(jì)算機(jī)系統(tǒng)本身的平安問題，也有物理的和輯的技術(shù)措施問題。雖然現(xiàn)在用于網(wǎng)絡(luò)信息平安的產(chǎn)品有很多，比方有防火墻、入侵檢測系統(tǒng)，但是依舊不可能防止黑客或其他軟件的惡意入侵。計(jì)算機(jī)網(wǎng)絡(luò)信息的平安防