各网络安全产品工作原理Word格式.docx
《各网络安全产品工作原理Word格式.docx》由会员分享,可在线阅读,更多相关《各网络安全产品工作原理Word格式.docx(41页珍藏版)》请在冰豆网上搜索。
其缺点是:
不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。
其特点:
A.速度慢。
随着病毒种类的增多,检索时间变长。
如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。
如果病毒种数再增加,检病毒的时间开销就变得十分可观。
此类工具检测的高速性,将变得日益困难。
B.误报警率低。
非C.不能检查多形性病毒。
特征代码法是不可能检测多态性病毒的。
国外专家认为多态性病毒是病毒特征代码法的索命者。
D.不能对付隐蔽性病毒。
隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的“好文件”,而不能报警,被隐蔽性病毒所蒙骗。
校验和法
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。
在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。
在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。
这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒类,不能报出病毒名称。
由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。
而且此种方法也会影响文件的运行速度。
病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动,而频繁报警。
用监视文件的校验和来检测病毒,不是最好的方法。
这种方法遇到下述情况:
已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。
校验和法对隐蔽性病毒无效。
隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。
运用校验和法查病毒采用三种方式:
①在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
②在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。
实现应用程序的自检测。
③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
校验和法的优点是:
方法简单能发现未知病毒、被查文件的细微变化也能发现。
发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
行为监测法
利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。
通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。
在正常程序中,这些行为比较罕见。
当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
这些做为监测病毒的行为特征如下:
A.占有INT13H
所有的引导型病毒,都攻击Boot扇区或主引导扇区。
系统启动时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。
一般引导型病毒都会占用INT13H功能,因为其他系统功能未设置好,无法利用。
引导型病毒占据INT13H功能,在其中放置病毒所需的代码。
B.改DOS系统为数据区的内存总量
病毒常驻内存后,为了防止DOS系统将其覆盖,必须修改系统内存总量。
C.对COM、EXE文件做写入动作
病毒要感染,必须写COM、EXE文件。
D.病毒程序与宿主程序的切换
染毒程序运行中,先运行病毒,而后执行宿主程序。
在两者切换时,有许多特征行为。
行为监测法的长处:
可发现未知病毒、可相当准确地预报未知的多数病毒。
行为监测法的短处:
可能误报警、不能识别病毒名称、实现时有一定难度。
软件模拟法
多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。
因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能做为特征的稳定代码。
虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做消毒处理。
2、防火墙工作原理
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。
防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者。
在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。
1、防火墙技术
防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。
下面,我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。
包过滤的最大优点是对用户透明,传输性能高。
但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
状态检测是比包过滤更为有效的安全控制方法。
对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。
对该连接的后续数据包,只要符合状态表,就可以通过。
这种方式的好处在于:
由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;
而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。
(1)包过滤防火墙
包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。
包过滤防火墙的工作原理是:
系统在网络层检查数据包,与应用层无关。
这样系统就具有很好的传输性能,可扩展能力强。
但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
(包过滤防火墙工作原理图)
(2)应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。
然而,应用网关防火墙是通过打破客户机/服务器模式实现的。
每个客户机/服务器通信需要两个连接:
一个是从客户端到防火墙,另一个是从防火墙到服务器。
另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
所以,应用网关防火墙具有可伸缩性差的缺点。
(应用网关防火墙工作原理图)
(3)状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。
这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。
可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。
(状态检测防火墙工作原理图)
(4)复合型防火墙
复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。
常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。
它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。
(复合型防火墙工作原理图)
3、四类防火墙的对比
包过滤防火墙:
包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。
应用网关防火墙:
不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。
状态检测防火墙:
不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。
复合型防火墙:
可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。
3、入侵检测、防御
IPS到底是什么?
“IPS可以阻断攻击,这正是IDS所做不了的,所以IPS是IDS的升级,是IDS的替代品”,可能很多人都会有这种看法。
我们先来看IPS的产生原因:
A:
串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。
B:
旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。
C:
IDS和防火墙联动:
通过IDS来发现,通过防火墙来阻断。
但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如SQL注入、溢出攻击等),使得IDS与防火墙联动在实际应用中的效果不显著。
于是就有下面的一种想法,如图1所示。
图1 IPS的起源
这就是IPS产品的起源:
一种能防御防火墙所不能防御的深层入侵威胁(入侵检测技术)的在线部署(防火墙方式)安全产品。
而为什么会有这种需求呢?
是由于用户发现了一些无法控制的入侵威胁行为,这也正是IDS的作用。
入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。
入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。
这也解释了IDS和IPS的关系,并非取代和互斥,而是相互协作:
没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过IDS的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。
IPS应该看重那些方面的功能?
有些人认为:
“IPS应该具备各种扩展功能,ACL、路由、NAT,一个都不能少”。
“IPS最重要的就是性能了,其他的都不重要”。
入侵防御系统作为串接部署的设备,确保用户业务不受影响是一个重点,错误的阻断必定意味着影响正常业务,在错误阻断的情况下,各种所谓扩展功能、高性能都是一句空话。
这就引出了IPS设备所应该关心的重点——精确阻断,即精确判断各种深层的攻击行为,并实现实时的阻断。
精确阻断解决了自IPS概念出现以来用户和厂商的最大困惑:
如何确保IPS无误报和滥报,使得串接设备不会形成新的网络故障点?
而作为一款防御入侵攻击的设备,毫无疑问,防御各种深层入侵行为是第二个重点,这也是IPS系统区别于其他安全产品的本质特点;
这也给精确阻断加上了一个修饰语:
保障深层防御情况下的精确阻断,即在确保精确阻断的基础上,尽量多地发现攻击行为(如SQL注入攻击、缓冲区溢出攻击、恶意代码攻击、后门、木马、间谍软件),这才是IPS发展的主线功能。
如何确保对深层入侵行为的准确判断?
刚刚推出入侵防御系统的专业安全厂商有着自己独特的技术和专利。
的技术专家介绍说,依托多年以来在入侵检测技术方面的深厚积累,独创性地建立了柔性化检测机制,在确保精确判定攻击行为的基础上,涵盖了各种攻击手法类型。
我们知道常用的攻击检测方法有两种,一种方法是通过定义攻击行为的数据特征来实现对已知攻击的检测,其优势是技术上实现简单、易于扩充、可迅速实现对特定新攻击的检测和拦截;
但仅能识别已知攻击、抗变种能力弱。
另一种方法是通过分析攻击产生原理,定义攻击类型的统一特征,能准确识别基于相同原理的各种攻击、不受攻击变种的影响,但技术门槛高、扩充复杂、应对新攻击速度有限。
两种检测机制如图2所示。
图2 基于特征和原理的检测机制对比
融合“基于特征的检测机制”和“基于原理的检测机制”形成的“柔性检测”机制,它最大的特点就是基于原理的检测方法与基于特征的检测方法并存,有机组合了两种检测方法的优势。
这种融合不仅是一个两种检测方法的大融合,而且细分到对攻击检测防御的每一个过程中,在抗躲避的处理、协议分析、攻击识别等过程中都包含了动态与静态检测的融合,如图3所示。
图3 柔性检测机制原理
通过运用柔性检测机制,入侵防御系统进一步增强了设备的抗躲避能力、精确阻断能力、变形攻击识别能力和对新攻击应变能力,提高了精确检测的覆盖面。
当然,前面提到的扩展功能和高性能,也是入侵防御系统所必需关注的内容,但也要符合产品的主线功能发展趋势。
如针对P2P的限制:
P2P作为一种新兴的下载手段,得到了极为广泛的运用,但由无限制的P2P应用会影响网络的带宽消耗,并且还随此带来知识产权、病毒等多种相关问题。
而实现对P2P的控制和限制,需要较为深入的应用层分析,交给IPS来限制、防范,是一个比较恰当的选择。
而ACL控制、路由、NAT等,这些都是防火墙可以完成的工作,在IPS上来实现这些功能,就有画蛇添足之嫌了。
性能表现是IPS的又一重要指标,但这里的性能应该是更广泛含义上的性能:
包括了最大的参数表现和异常状况下的稳定保障。
也就是说,性能除了需要关注诸如“吞吐率多大?
”,“转发时延多长?
”,“一定背景流下检测率如何?
”等性能参数表现外,还需要关注:
“如果出现了意外情况,怎样/多快能恢复网络的正常通讯?
”,这个问题也是IPS出现之初被质疑的一个重点。
串接设备出现故障和旁路设备不一样,是会影响到正常业务运营的,而做深层分析的串接设备更加如此,在长时间做大量数据深度分析的情况下,如何确保通讯的顺畅?
如何确保出现异常情况后通讯的顺畅?
入侵防御系统通过内置硬件Watchdog、软件监控进程,对系统的异常实时监控和处理,实现了软件和硬件的双BYPASS功能,在各种异常情况下确保了网络的通畅,部署后不增加网络故障点。
IPS始终遵循最短时间优先原则,调度任务、算法和CPU时间,具体如图4所示。
图4 IPS的性能表现
IPS的未来发展方向是什么?
明确了IPS的主线功能是深层防御、精确阻断后,IPS未来发展趋势也就明朗化了:
不断丰富和完善IPS可以精确阻断的攻击种类和类型,并在此基础之上提升IPS产品的设备处理性能。
而在提升性能方面存在的一个悖论就是:
需提升性能,除了在软件处理方式上优化外,硬件架构的设计也是一个非常重要的方面,目前的ASIC/NP等高性能硬件,都是采用嵌入式指令+专用语言开发,将已知攻击行为的特征固化在电子固件上,虽然能提升匹配的效率,但在攻击识别的灵活度上过于死板(对变种较难发现),在新攻击特征的更新上有所滞后(需做特征的编码化)。
而基于开放硬件平台的IPS由于采用的是高级编程语言,不存在变种攻击识别和特征更新方面的问题,但在性能上存在处理效率瓶颈:
暂时达不到电信级骨干网络的流量要求。
所以,入侵防御系统的未来发展方向应该有以下两个方面:
第一、更加广泛的精确阻断范围:
扩大可以精确阻断的事件类型,尤其是针对变种以及无法通过特征来定义的攻击行为的防御。
第二、适应各种组网模式:
在确保精确阻断的情况下,适应电信级骨干网络的防御需求。
4、VPN技术
SSLVPN与IPSecVPN是目前流行的两类Internet远程安全接入技术,它们具有类似功能特性,但也存在很大不同。
SSL的“零客户端”解决方案被认为是实现远程接入的最大优势,这对缺乏维护大型IPSec配置资源的用户来说的确如此。
但SSL方案也有不足,它仅支持以代理方式访问基于Web或特定的客户端/服务器的应用。
由服务器直接操纵的应用,如NetMeeting以及一些客户书写的应用程序,将无法进行访问。
IPSec方案安全级别高
基于Internet实现多专用网安全连接,IPSecVPN是比较理想的方案。
IPSec工作于网络层,对终端站点间所有传输数据进行保护,而不管是哪类网络应用。
它在事实上将远程客户端“置于”企业内部网,使远程客户端拥有内部网用户一样的权限和操作功能。
IPSecVPN要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。
IPSecVPN还能减轻网管负担。
如今一些IPSec客户端软件能实现自动安装,不需要用户参与。
VPN服务器能够为终端用户接入设备自动安装和配置客户端软件包,因而无论对网管还是终端用户,安装过程都大为简化。
IPSecVPN应用优势
SSL用户仅限于运用Web浏览器接入,这对新型基于Web的商务应用软件比较合适,但它限制了非Web应用访问,使得一些文件操作功能难于实现,如文件共享、预定文件备份和自动文件传输。
用户可以通过升级、增加补丁、安装SSL网关或其它办法来支持非Web应用,但实现成本高且复杂,难以实现。
IPSecVPN能顺利实现企业网资源访问,用户不一定要采用Web接入(可以是非Web方式),这对同时需要以两种方式进行自动通信的应用程序来说是最好的方案。
IPSec方案能实现网络层连接,任何LAN应用都能通过IPSec隧道进行访问,因而在用户仅需要网络层接入时,IPSec是理想方案。
如今有的机构同时采用IPSec和SSL远程接入方案,IT主管利用IPSecVPN实现网络层接入,进行网络管理,其他人员要访问的资源有限,一般也就是电子邮件、传真,以及接入公司内部网(Web浏览),因而采用SSL方案。
这正是充分利用了IPSec的网络层接入功能。
IPSecVPN与SSLVPN优劣比较
IPSecVPN和SSLVPN各有优缺点。
IPSecVPN提供完整的网络层连接功能,因而是实现多专用网安全连接的最佳选项;
而SSLVPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网Web应用。
SSLVPN存在一定安全风险,因为用户可运用公众Internet站点接入;
IPSecVPN需要软件客户端支撑,不支持公共Internet站点接入,但能实现Web或非Web类企业应用访问。
MetaGroup认为,不能简单地给IPSec与SSL方案的优劣下定论。
客户在关注应用方案本身的同时,还应考虑远程机器外围设备的安全性,如是否配置有个人防火墙和反病毒防护系统。
IT主管需要综合评估商务应用需求,以决定采纳哪类VPN策略。
IPSecVPN与SSLVPN技术对比
有别于传统VPN的另外一种VPN实现技术是采用基于SSL的VPN。
这种基于SSL的VPN提供了与IPSecVPN近似的安全性。
SSLVPN如何工作
SSLVPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。
如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。
SSLVPN的劣势
由于是一种相对来说还没有大量应用的技术,目前能够提供相应产品和服务的厂商也不多,那么SSLVPN这种技术与IPSecVPN相比,究竟有什么劣势呢?
在这里做一个简要的分析。
SSLVPN应用的局限性很大,只适用于数据库-应用服务器-Web服务器-浏览器这一种模式。
在部署方式、保护范围、认证方式上限制很多,这也是SSLVPN市场有限的原因之一
另外,具体到我们国家,国家商用密码管理部门有明确的规定(比如国务院273号令),表明我国在政策上就不允许使用那些采用DES的SSLVPN技术。
SSLVPN的问题
1、SSLVPN的认证方式比较单一,只能采用证书,而且一般是单向认证。
支持其它认证方式往往要进行长时间的二次开发。
IPSecVPN认证方式更为灵活(口令、RADIUS、令牌等)。
2、SSLVPN只能进行认证和加密,不能实施访问控制,建立隧道后,管理员对用户不能进行任何的限制。
而集成防火墙的VPN则可以根据用户的身份和角色,在其访问内部资源(主机、数据库)进行访问控制和安全审计,这也是用户最为关心的一点。
3、要实现网络-网络的安全互联,只能考虑采用IPSecVPN。
4、应用层局限性
SSLVPN的另一个主要局限在于用户只能访问基于Web服务器的应用,而IPSecVPN却几乎可以为所有的应用提供访问,包括客户端/服务器模式和某些传统的应用。
一个企业往往有很多种应用(OA、财务、销售管理、ERP,很多并不基于Web),单纯只有Web应用的极少。
一般企业希望VPN能达到局域网的效果(比如网上邻居,而SSLVPN只能保护应用层协议,如WEB、FTP等),保护更多的应用这点,SSLVPN根本做不到。
5、SSLVPN需要CA的支持,企业必须外购或自己部署一个小型的VPN系统。
对于一个企业来说(哪怕是IT企业)证书的管理也是一件相当复杂的工作。
6、性能
SSLVPN是应用层加密,性能比较差。
目前,VPN可以达到千兆甚至接近10G,而SSLVPN由于是应用层加密,即使使用加速卡,通常只能达到3
升级会员 