摘要:此综述的内容主要来源于我的课程内容和外出学习的知识,将我过去学习的知识进行回顾,也希望温故知新学习到新的知识点。
关键字:防火墙;VPN;IDS;
引言:互联网技术改变了人们的生活,随着时代的发展,互联网也面临着许多的安全问题,比如恶意流量、黑客攻击、用户机成为跳板等。互联网安全也被社会、国家高度关注,本综述主要对目前一些比较成熟和未来前景发展比较好的互联网安全技术进行介绍。
1.防火墙技术:防火墙技术是一项发展比较成熟的技术,通过一系列的规则来判断是否通过流量,尽可能的保护内部网络的安全,以防止发生不可预测的、潜在破坏性的入侵,实现网络的安全保护。按照正常的预设,所有流量的进出都必须经过防火墙才行。
1.1 防火墙的发展史:第一代,包过滤防火墙;第二代,代理服务器防火墙; 第三代,状态监测防火墙;目前还有分布式防火墙等。
1.2 防火墙的功能:1、过滤进出网络的数据;2、管理进出网络的访问行为;3、对网络攻击行为进行监测和告警。
1.3 防火墙的局限性:1、来自内部的威胁防御力不足,2、只实现了粗粒度的访问控制,3、不能保证无法被绕过、被攻击和穿过,4、性能上存在局限性。
1.4 防火墙的分类:1、包过滤防火墙,2、电路层网关,3、应用层代理,4、地址转换,5、状态检测防火墙,6、分布式防火墙。
1.4.1 包过滤防火墙:将包头信息和管理员设定的规则表进行比较,按照规则判断包是否允许通过,工作在网络层。简单的包过滤防火墙可能会受到会话欺骗攻击即攻击者将源地址设置为某个网站,将端口设置为80,假冒某个网站返回信息。优点是对网络性能12影响较小,可升级,缺点是安全性较低,缺少状态感知的能力和易被攻击等。
1.4.2 电路层网关:在内外网之间建立一个虚拟电路,进行通信。监视两主机之间的握手信息是否合乎逻辑,信号有效后网关仅复制、传递数据,不进行过滤。电路网关需要特殊的客户端程序,就像电线一样,只在内部连接和外部连接之间拷贝字节。
1.4.3 应用层代理:使用代理软件来转发和过滤特定的应用服务如Telnet、FTP等服务。应用层防火墙禁止在网络层直接转发数据包,直接将数据包交给应用层软件进行处理。一般流程是代理接收数据包,检查源地址和目标地址后要求验证身份,验证通过后调用相应的程序,连通远程主机,为两个通信点充当中继并启动日志记录。速度较慢。
1.4.4 网络地址转换:出于某种特殊需要而对数据包的源IP地址、目标IP地址、源端口、目的端口等进行改写的操作。主要原因是因为IP地址的匮乏,可以地址重用和共享Internet连接。
1.4.5 状态检测防火墙:动态包过滤技术,状态检测防火墙不仅仅检测包中的头部信息,还跟踪数据包的状态即不同数据包之间的共性。具有动态感知能力,工作在传输层。在网络层拦截输入包,并利用足够的企图连接的状态信息做出决策,通过防火墙的所有数据包都在底层处理,减少了高层协议头的开销。保持了包过滤防火墙的优点,对应用是透明的,将进出网络的数据当成事件进行处理。
1.4.5 分布式防火墙:策略集中定制,在各主机上执行,日志集中收集处理。特点,加强了对来自内部网络的攻击防范,提高了系统性能,与网络的物理拓扑结构无关。
1.4.6 内核代理防火墙:处理数据包时建立动态的TCP/IP栈,针对数据包创建新的虚拟网络栈并加载相应的协议代理,若不安全则丢弃。速度快,在内核中进行。
1.5 防火墙的体系结构:1、双重宿主主机体系结构;2、屏蔽主机体系结构;3、屏蔽子网体系结构。
1.5.1 双重宿主主机体系结构:有两个或者多个网络接口的计算机系统,
可以连接多个网络,实现网络之间的访问控制。简单理解就是依
靠两个(多个)网络接口断开内外网之间的IP通信。网络接口
之间需要代理层服务器。
1.5.2 屏蔽主机防火墙:内外之间放置一个过滤路由器,外到内的流量必须先经过过滤路由器后到达堡垒主机,才能进入内部网络,内到外的流量必须先经过堡垒主机再到过滤路由器才能到达外网。
1.5.3 屏蔽子网体系结构:外部流量先经过外部路由器到达边界网络,边界网络和内部网络之间还存在一个内部路由器,和边界网络相连接的还有一个堡垒主机。屏蔽子网体系结构本质上和屏蔽主机防火墙一样,但是增加了一层边界网络。
1.6 防火墙的性能指标:1、吞吐量,在不丢包的情况下能够达到的最大
速率。2、丢包率,在连续负载的情况下,防火墙设备由于资源不足
应转发但未转发的帧百分比。3、延时,入口处输入帧最后1比特到
达至出口处输出的第一个比特输出所用的时间间隔。4、背靠背,从
空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相
当数量的固定长度的帧,当出现第一帧丢失时,发送的帧数。5、并
发连接数,穿越防火墙的主机之间或主机与防火墙之间能同时连接的
最大连接数。
2.VPN技术:VPN(虚拟专用网)技术是利用Internet等公共网络的基础设施,为用户提供一条与专用网络具有相同通信功能的安全数据通道,实现不同网络之间以及用户与网络之间的相互连接。
2.1 VPN分类:1、内联网VPN;2、外联网VPN;3、远程接入VPN。
2.2.1 内联网VPN:将位于不同地址位置的两个内部网络通过公共网络连接起来,形成一个逻辑上的局域网,使得位于不同物理网中的用户在通信时就像在一个局域网中一样。
2.2.2 外联网VPN:和内联网技术上一致,区别就是外联网网络中的主机之间是不平等的。
2.2.3 远程接入VPN:用户自己与局域网之间的连接。
2.2 VPN的安全机制:VPN=加密+隧道,以密码技术和访问控制为基础,秘钥管理技术、身份认证技术和隧道技术等作为支撑。
2.3 隧道技术的实质:将一种协议封装到另一种协议中传输,从而实现协议被封装协议对传输网络的透明性。
2.4 常见的隧道协议:PPTP、IPSec、SSL等。
3. IDS技术:对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过
程。
3.1 入侵检测系统的基本模型:1、Denney模型,2、IDM,3、SNMP-IDSM,4、CIDF。
3.1.1 Denny模型:基于规则的模式匹配(基于统计的异常检测模型,基于专家的滥用检测),没有包含已知系统漏洞或攻击方法的知识。
3.1.2 IDM模型:IDM是一个六层模型,从低到高依次为数据层、事
件层、主体层、上下文层、威胁层、安全状态层。
3.1.3 SNMP-IDSM模型:基于SNMP的IDS模型。
3.1.4 CIDF模型:通用入侵检测框架模型,事件产生器,事件分析器,
响应单元,事件数据库。
3.2 入侵检测的分类方法:1、异常入侵检测,2、滥用入侵检测。
3.2.1 异常入侵检测:入侵行为都和正常行为不同。一般有统计技术、神经网络、数据挖掘等技术作为支撑。优点是可以检测到未知的入侵行为,但是误报率高。
3.2.2 滥用入侵检测:入侵行为和手段能够表达为一种模式或者特征。一般有专家系统、特征匹配、状态转移分析等技术作为支撑。优点是检测率高,虚警率低,但是只能检测已知攻击。
3.3 入侵检测的主要功能:监视、审计、评估、识别、分析、管理。
3.4 入侵检测的响应方式:1、主动式,2、被动式。
3.4.1 主动式:检测到入侵行为主动处理。
3.4.2 被动式:检测到入侵行为时报警通知。
3.5 入侵检测的过程:信息收集-信息分析-告警与响应。
3.6 入侵检测系统的数据源:1、基于主机的数据源,2、基于网络的数据
源、3、其他来源。
3.7 入侵分析的过程:数据-记录-事件-特征。
3.8 其他检测方法:基于代理的检测、免疫系统方法、遗传算法、数据挖掘、
数据融合。
4. IPS(入侵防护技术):是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。在线运行,主动防御,失效即阻断。
4.1 IPS的优势:1、嵌入式运行,一进一出的在线方式。2、先进的检测技术。3、高效的处理数据包,并行处理,专用硬件。4、主动防御。
4.2 IPS的劣势:1、高成本。2、单点故障问题严重。3、性能瓶颈。
5. 威胁情报体系:威胁情报是基于证据的知识,包括上下文、机制、指标、隐含和可操作的建议,针对一个现存的或新兴的威胁,可用于做出相应决定的知识。
5.1 威胁情报的应用场景:对于攻击者可以反溯源,让攻击技术更加的完善。对于防御者而言,可以起到溯源的帮助,快速分析响应,行为异常的分析,攻击预测等。
6. CMD(网络空间拟态防御技术):是一种主动防御行为。CMD 在技术上以融合多种主动防御要素为宗旨:以异构性、多样或多元性改变目标系统的相似性、单一性;以动态性、随机性改变目标系统的静态性、确定性;以异构冗余多模裁决机制识别和屏蔽未知缺陷与未明威胁;以高可靠性架构增强目标系统服务功能的柔韧性或弹性;以系统的视在不确定属性防御或拒止针对目标系统的不确定性威胁。
6.1 拟态的防御等级:1、完全屏蔽级,2、不可维持级,3、难以重现级。
6.1.1 完全屏蔽级:受到来自内外攻击的时候,被保护的对象没有受到任何影响,并且攻击者也无所获知攻击的任何状况。
6.1.2 不可维持级:受到来自内外攻击的时候,被保护的对象会出现概率不确定、持续时间不确定的出现错误但是可以自我恢复的情况,并且攻击者即使突破成功也难以维持攻击的效果,或者当前的攻击成功不能成为后续持续攻击的铺垫。
6.1.3 难以重现级:受到来自内外攻击的时候,被保护的对象会出现时段上的“失控现象”,但是重复相同的攻击却很难再重现这样的现象。
7. 态势感知:是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。值得注意的是态势是一种状态,一种趋势,是一个整体和全局的概念,任何单一的情况或状态都不能称之为态势。
7.1 网络态势感知:指待规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测魏来发生的趋势。
7.2 NSAS(网络态势感知系统)的功能:给网络管理员显示当前网络态势状况以及提交统计分析数据,为保障网络服务的正常运行提供决策依据。
7.3 关键技术:数据挖掘,数据融合,态势可视化。
总结:互联网安全技术的发展一直处于积极的状态,近年来,在国家的大力发展下,互联网安全技术的发展更是到了一个全新的高度。但是面临的挑战和任务同样是十分艰巨的。
参考文献:
[1] 王慧强 赖积保 朱亮 梁颖.网络态势感知系统研究综述[J].《计算机科学》2006,第10期 :5-10