网络工程设计关键技术.docx
《网络工程设计关键技术.docx》由会员分享,可在线阅读,更多相关《网络工程设计关键技术.docx(10页珍藏版)》请在冰豆网上搜索。
网络工程设计关键技术
网络安全设计技术分析
摘要以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失,网络安全日益成为人们关注的焦点。
一个好的网络安全设计往往是多种方法适当综合的结果。
网络安全设计技术包括IDS网络安全设计、IPS网络安全设计、ACL网络安全设计、VPN网络安全设计等。
关键词防火墙;DMZ设计;网络安全设计
1网络安全体系与技术
1.1IATF网络安全体系结构
IATF(信息保障技术框架)标准是美国国家安全局(NSA)组织世界安全专家制定的。
它从整体和过程的角度看待信息安全问题,代表理论是“深度保护战略”。
IATF标准强调人、技术和操作3个核心原则,关注4个信息安全保障领域,即保护网络和基础设施、保护边界、保护计算环境和保护支撑基础设施。
IATF最重要的设计思想:
在网络中进行不同等级的区域划分与网络边界保护。
1.2TCP/IP各层安全技术
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改和泄漏,系统能连续、可靠地正常运行,网络服务不中断。
在TCP/IP体系结构中,各个层次的安全措施有所不同,常用安全技术如表1-1所示。
表1-1TCP/IP各个层次常用安全保护技术
网络层次
硬件安全保护技术
软件安全保护技术
应用层
较少,如数据加密机
文件加密、数字签名、安全认证、安全补丁、AAA、病毒防护、防火墙
传输层
SSL加密机、防火墙
软件SSL、TLS、防火墙
网络层
防火墙、IDS、IPS、VPN网关、ACL、NAT
软件防火墙、软件VPN网关、安全认证
接口层
链路加密网卡、链路加密机
MAC地址绑定、VLAN划分
物理隔离、线路屏蔽、设备屏蔽、设备冗余
极少
1.3网络信息加密技术
信息加密技术是利用数学或物理手段,对电子信息在传输过程中和存储体内进行保护,以防止泄漏的技术。
加密系统是一个复杂的系统,它包括4个组件:
软件组件:
负责各功能子系统的协调和用户交互;加密算法:
根据一定规则对输入信息进行加密处理;协议:
加密系统和运行环境需要;加密密钥:
用户加密/解密信息所需的钥匙。
常用加密算法有对称加密;非对称加密;Hash(哈希)加密。
加密系统在网络中有3个基本的应用:
存储、传输和认证。
因此,在选择加密系统应该考虑到网络的业务流程和业务的主要安全威胁,并综合考虑产品的实现、性价比、部署后产生的影响等因素。
例如根据业务要求选择加密系统;硬件加密系统和软件加密系统的选择;加密系统本身的安全性。
2防火墙和DMZ设计
2.1防火墙的类型和功能
所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
防火墙技术,最初是针对Internet网络不安全因素所采取的一种保护措施。
顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户XX的访问。
它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。
该计算机流入流出的所有网络通信均要经过此防火墙。
按照防火墙的应用形式,可分为硬件防火墙和软件防火墙。
硬件防火墙可以是一台独立的硬件设备(如CiscoPIX);也可以在一台路由器上,经过配置成为一台具有安全功能的防火墙。
软件防火墙是运行在服务器主机上的一个软件(如ISAServer)。
硬件防火墙在功能和性能上都优于软件防火墙,但是成本较高。
防火墙具有以下功能:
所有内部网络和外部网络之间的数据交换,都可以而且必须经过防火墙。
只有符合防火墙安全策略的数据,才可以自由出入防火墙。
防火墙受到攻击后,应能稳定有效地工作。
应当记录和统计网络的使用情况。
有效地过滤、筛选和屏蔽有害服务和数据包。
能隔离网络中的某些网段,防止一个网段的故障传播到整个网络。
2.2DMZ的功能和安全策略
2.2.1DMZ(隔离区/非军事区)的基本结构和功能
DMZ设立在非安全系统与安全系统之间的缓冲区。
DMZ的目的是将敏感的内部网络和提供外部访问服务的网络分离开,为网络提供深度防御。
2.2.2DMZ访问安全策略
DMZ的设计基本原则:
设计最小权限,例如定义允许访问的网络资源和网络的安全级别;确定可信用户和可信任区域;明确各个网络之间的访问关系,制定以下安全策略:
内网可以访问外网;内网可以访问DMZ;外网不能访问内网;外网可以访问DMZ;DMZ不能访问内网;DMZ不能访问外网。
2.3DMZ的网络结构设计
2.3.1单防火墙DMZ网络结构
单防火墙DMZ结构将网络划分为三个区域,内网(LAN)、外网(Internet)和DMZ。
DMZ是外网与内网之间附加的一个安全层,这个安全区域也称为屏蔽子网、过滤子网等。
这种网络结构构建成本低,多用于小型企业网络设计。
如下图2-1所示。
2-1单防火墙DMZ网络结构
2.3.1双防火墙DMZ网络结构
防火墙通常与边界路由器协同工作,边界路由器是网络安全的第一道屏障。
通常的方法是在路由器中设置数据包过滤和NAT功能,让防火墙完成特定的端口阻塞和数据包检查,这样在整体上提高了网络性能。
另一种双DMZ网络结构设计方案如下图2-2所示。
2-2双防火墙DMZ网络结构
3网络安全设计技术
3.1IDS网络安全设计
3.1.1IDS(入侵检测技术)
IDS分为实时入侵检测和事后入侵检测。
实时入侵检测在网络连接过程中进行,IDS发现入侵迹象立即断开入侵者与主机的连接,实施数据恢复。
事后入侵检测由网络管理人员定期或不定期进行。
入侵检测系统本质上是一种“嗅探设备”。
3.1.2IDS常用入侵检测方法
IDS常用检测方法有:
特征检测、统计检测与专家系统。
经研究表明,国内90%的IDS使用特征检测方法。
特征检测与计算机病毒检测方式类似,主要是对数据包进行特征模式匹配,但对于采用新技术和新方法的入侵与攻击行为则无能为力。
统计检测常用异常检测。
测量参数包括:
事件的数量、间隔时间、资源消耗情况等。
3.1.2IDS网络安全设计
IDS可以串联或并联的部署在网络中各个关键位置。
IDS可以安装在网络边界区域;服务器群区域;网络主机区域和网络核心层。
如图3-1所示。
3-1IDS在网络中的位置
3.2IPS网络安全设计
3.2.1IPS(入侵防御系统)的功能
IPS(入侵防御系统)不但能检测入侵的发生,而且能实时终止入侵行为。
IPS一般部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。
3.2.2IPS在网络中的部署
IDS设备在网络中采用旁路式连接;IPS在网络中采用串接式连接。
串接工作模式保证所有网络数据都必须经过IPS设备,IPS检测数据流中的恶意代码,核对策略,在未转发到服务器之前,将信息包或数据流阻截。
IPS是网关型设备,最好串接在网络出口处,IPS经常部署在网关出口的防火墙和路由器之间,监控和保护内部网络。
IPS在网络拓扑结构中的部署如图3-2所示。
3-2IDS和IPS在网络中的混用
3.3ACL网络安全技术
3.3.1ACL(访问控制列表)基本原理
ACL是网络设备处理数据包转发的一组规则。
ACL采用包过滤技术,在路由器中读取第三层和第四层数据包包头中的信息,如源地址、目的地址、源端口、目的端口等,然后根据网络工程师预先定义好的ACL规则,对数据包进行过滤,从而达到访问控制的目的。
3.3.2ACL配置的基本原则
ACL配置遵循以下原则。
(1)最小权限原则。
只满足ACL部分条件的数据包不允许通过。
(2)最靠近受控对象原则。
标准ACL尽可能放置在靠近目的地址的地方;扩展ACL尽量放置在靠近源地址的地方。
(3)立即终止原则。
(4)默认丢弃原则。
如果数据包与所有ACL行都不匹配,将被丢弃。
5)单一性原则。
一个接口在一个方向上只能有一个ACL。
(6)默认设置原则。
路由器或三层交换机在没有配置ACL的情况下,默认允许所有数据包通过。
防火墙在在没有配置ACL的情况下,默认不允许所有数据包通过。
3.3.3标准ACL配置
1)创建ACL
命令格式:
Router(config)#access-list{permit|deny}{<源IP地址|host><通配符掩码>|any}
(2)将ACL应用到某一接口
命令格式:
Router(config-if)#{protocol}access-group{in|out}
3.3.3扩展ACL配置
标准ACL只能控制源IP地址,不能控制到端口。
要控制第四层的端口,需要使用扩展ACL配置。
如果路由器没有硬件ACL加速功能,它会消耗路由器大量的CPU资源,因此扩展ACL要尽量放置在靠近源地址的地方。
命令格式:
Router(config)#access-list{permit|deny}{<协议名称>|<端口号>}{<源IP地址><通配符掩码>}{<目的IP地址><通配符掩码>}[<关系><协议名称>][log]
3.4VPN网络安全设计
3.4.1VPN的概念
VPN的定义为使用IP机制仿真出一个私有的广域网。
VPN通过私有隧道技术,在公共数据网络上仿真一条点到点的专线。
虚拟是指用户不需要拥有实际的长途数据线路,而是利用Internet的数据传输线路;专用网络是指用户可以制定一个最符合自己需求的网络。
VPN是在Internet上临时建立的安全专用虚拟网络。
3.4.2VPN隧道技术工作原理
隧道是一种数据加密传输技术。
数据包通过隧道进行安全传输。
被封装的数据包在隧道的两个端点之间通过Internet进行路由。
被封装的数据包在公共互联网上传递时所经过的逻辑路径称为隧道。
数据包一旦到达隧道终点,将被解包并转发到最终目的主机。
4网络物理隔离设计
4.1网络隔离的技术特点
我国《计算机信息系统国际联网保密管理规定》规定:
涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离。
网络物理隔离卡确保了计算机在同一时间只能访问一个网络,两个网络在同一时间内不会有任何连接。
4.2网络物理隔离工作原理
4.2.1单主板安全隔离计算机
工作原理:
采用双硬盘,将内网与外网的转换功能嵌入在主板BIOS中。
主板网卡也分为内网和外网。
价格介于双主机和网络物理隔离卡之间
4.2.2双主板安全隔离计算机
每台计算机有两块主板,每块主板一个网卡,分别连接内网和外网。
每块主板有一个串行口,双端口RAM是连接两块主板的唯一通道。
4.3安全隔离网闸工作原理
GAP(安全隔离网闸)通过专用硬件和软件技术,使两个或者两个以上的网络在不连通的情况下,实现数据安全传输和资源共享。
(1)当内网数据传输到外网时,GAP向内网服务器发起非TCP/IP的数据连接请求,并发出“写”命令,将GAP写入控制开关合上,并把所有协议剥离,将原始数据写入存储介质。
(2)一旦数据完全写入GAP存储介质中,GAP与内网服务器之间的控制开关立即断开。
(3)接下来GAP与外网服务器之间的控制开关接通,GAP发起对外网非TCP/IP的数据连接请求。
(4)外网服务器收到请求后,发出“读”命令,将GAP存储介质内的数据传输到外网服务器。
(5)外网服务器收到数据后,按TCP/IP协议要求重新封装接收到的数据,交给应用系统。
如图4-1所示。
4-1安全隔离工作原理
5总结
网络安全是网络设计中的关键技术,随着网络的普及和网络技术的飞速发展,网络已经深入人们生活的各个领域,成为现实生活的一部分。
网络为我们带来了更多的便利,使信息的处理和传递突破了时间和地域的限制。
然而,随之而来的,也有更多的网络威胁,使我们的网络变得更加脆弱。
总而言之,计算机网络信息安全的防御问题将是一个综合性且长期性的课题,涉及技术、管理、使用等许多方面。
既包括计算机系统本身的安全问题,也有物理的和辑的技术措施问题。
虽然现在用于网络信息安全的产品有很多,比如有防火墙、入侵检测系统,但是依旧不可能避免黑客或其他软件的恶意入侵。
计算机网络信息的安全防护应是慎之又慎,降低黑客或恶意软件的入侵,尽可能的保护网络信息安全性和完整性。
认清信息系统的脆弱性和潜在威胁,采取必要的安全策略,对于保障信息系统的安全性将十分重要。
进行网络信息安全防范要不断的追踪新技术的应用情况,及时升级、完善自身的防御系统。
参考文献
[1]王相林.网络工程设计与应用.2.清华大学出版社,2014.01
[2]赵海波;李建华网络入侵智能化实时检测系统[期刊论文]-上海交通大学学报1999(01)
[3]刘渊;乐红兵因特网防火墙技术1998
[4]杨义先.网络安全理论与技术[M].北京:
人民邮电出版社,2003.
升级会员 