序論:在您撰寫網(wǎng)絡(luò)安全預(yù)警時(shí),參考他人的優(yōu)秀作品可以開(kāi)闊視野����,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�����,引導(dǎo)您走向新的創(chuàng)作高度�����。
第1篇
關(guān)鍵詞:水利����;網(wǎng)絡(luò);風(fēng)險(xiǎn)�����;體系
2019年6月�,水利部網(wǎng)信辦《水利網(wǎng)絡(luò)安全管理辦法(試行)》����,文件指出�����,水利網(wǎng)絡(luò)安全遵循“積極利用、科學(xué)發(fā)展����、依法管理�����、確保安全”的方針����,建立相應(yīng)的應(yīng)對(duì)機(jī)制���,能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中的問(wèn)題并處理����,以此來(lái)確保網(wǎng)絡(luò)系統(tǒng)的安全性����,保障水利信息建設(shè)的順利進(jìn)行���。
1.水利網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)
1.1網(wǎng)絡(luò)攻擊
目前����,水利關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全面臨前所未有的威脅���、風(fēng)險(xiǎn)和挑戰(zhàn),也是可能遭到重點(diǎn)攻擊的目標(biāo)�?�!拔锢砀綦x”防線可被跨網(wǎng)入侵�����,調(diào)配指令可被惡意篡改,信息可被竊取���,這些都是重大風(fēng)險(xiǎn)隱患����。截止到目前�����,水利部門機(jī)關(guān)已經(jīng)預(yù)防了上百萬(wàn)次網(wǎng)絡(luò)攻擊����,攻擊的主要目標(biāo)是水利部網(wǎng)站���,針對(duì)這些大規(guī)模的網(wǎng)絡(luò)武器級(jí)攻擊��,水利部門迫切需要建立一個(gè)安全的、高效的水利網(wǎng)絡(luò)安全監(jiān)測(cè)與預(yù)警體系���。
1.2安全措施不夠健全
雖然當(dāng)前大部分機(jī)關(guān)部門都已經(jīng)制定了網(wǎng)絡(luò)安全管理制度����,但是由于各種外界和內(nèi)在的因素�,再具體的工作中尚沒(méi)有落實(shí)到位���。盡管當(dāng)前相關(guān)部門已經(jīng)建立了眾多防護(hù)設(shè)備����,例如防火墻等�,但是在現(xiàn)在的體制中還缺乏一個(gè)較為完善的網(wǎng)絡(luò)安全監(jiān)測(cè)與預(yù)警體系��,再加上已形成的機(jī)制中還存在不科學(xué)���、不嚴(yán)謹(jǐn)?shù)膯?wèn)題����,工作人員不能及時(shí)發(fā)現(xiàn)出現(xiàn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)���。
1.3對(duì)出現(xiàn)的安全漏洞處理不及時(shí)
目前���,大部分單位都能夠定期對(duì)網(wǎng)絡(luò)漏洞進(jìn)行掃描��,但是由于人力和技術(shù)有限,這就使得大部分部門針對(duì)漏洞的處理只停留在檢查報(bào)告的層面�,而沒(méi)有針對(duì)漏洞本身及時(shí)采取相應(yīng)的處理措施���,最終導(dǎo)致漏洞長(zhǎng)期存在系統(tǒng)中,對(duì)其后續(xù)安全的運(yùn)行造成嚴(yán)重影響�。
2.水利網(wǎng)絡(luò)安全監(jiān)測(cè)與預(yù)警體系的構(gòu)建
2.1構(gòu)建水利網(wǎng)絡(luò)安全監(jiān)測(cè)體系
首先����,要聯(lián)合多個(gè)部門形成較為健全、完善的監(jiān)測(cè)機(jī)制��。水利部門要和行政部門等其他形成多級(jí)監(jiān)測(cè)架構(gòu)���。其中,水利部門主要負(fù)責(zé)對(duì)涉及到本行業(yè)網(wǎng)絡(luò)的安全性能進(jìn)行監(jiān)測(cè)���。而行政機(jī)構(gòu)主要是負(fù)責(zé)本單位及其下屬部門的網(wǎng)絡(luò)安全性的監(jiān)測(cè)。其次����,要對(duì)信息進(jìn)行收集���,同時(shí)對(duì)收集到的信息進(jìn)行認(rèn)真的分析,篩選出對(duì)水利網(wǎng)絡(luò)安全不利的信息��,以此為依據(jù)制定相應(yīng)的預(yù)防策略,從而實(shí)現(xiàn)對(duì)可能出現(xiàn)的水利網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的有針對(duì)性的�、科學(xué)性的安全事前預(yù)警。再次�����,開(kāi)展互聯(lián)網(wǎng)服務(wù)安全監(jiān)測(cè)�。水利部門的信息網(wǎng)站是其開(kāi)展各種業(yè)務(wù)��、進(jìn)行各種活動(dòng)的主要平臺(tái)之一�,因此�����,在實(shí)際的工作中要注意對(duì)水利部門信息網(wǎng)站和一些網(wǎng)絡(luò)業(yè)務(wù)的監(jiān)測(cè),避免有病毒木馬的入侵��,為水利部門的安全運(yùn)行提供保障���。對(duì)一些水利相關(guān)的業(yè)務(wù)主要是由水利部門負(fù)責(zé)其網(wǎng)絡(luò)安全監(jiān)測(cè)���,而行政機(jī)構(gòu)主要是負(fù)責(zé)本單位及其下屬部門的網(wǎng)絡(luò)安全性監(jiān)測(cè)。此外��,還可以采取掃描和風(fēng)險(xiǎn)評(píng)估的技術(shù)對(duì)系統(tǒng)中可能出現(xiàn)的安全問(wèn)題進(jìn)行監(jiān)測(cè)和分析,對(duì)網(wǎng)站內(nèi)各個(gè)系統(tǒng)以及相應(yīng)的設(shè)備進(jìn)行網(wǎng)絡(luò)安全監(jiān)測(cè)���,并將監(jiān)測(cè)的結(jié)果以報(bào)告的形式呈現(xiàn)����,為管理者提供相應(yīng)的決策依據(jù)���。針對(duì)水利部門專網(wǎng)的安全掃描主要包括各種信息設(shè)備����、網(wǎng)絡(luò)����,而針對(duì)服務(wù)器的掃描主要包括一些目錄、文件等���,針對(duì)網(wǎng)絡(luò)安全性的草廟主要包括對(duì)路由器、防火墻等設(shè)備���。在系統(tǒng)存儲(chǔ)關(guān)鍵信息的位置也需要設(shè)置相應(yīng)的網(wǎng)絡(luò)安全監(jiān)測(cè)機(jī)制��,對(duì)文件傳輸內(nèi)容及其傳輸環(huán)境情況進(jìn)行進(jìn)一步的分析和監(jiān)測(cè)���,確定安全之后才可以進(jìn)行后續(xù)操作。最后��,要注意對(duì)水利信息網(wǎng)內(nèi)部的風(fēng)險(xiǎn)監(jiān)測(cè)工作����。通過(guò)內(nèi)部的安全管理平臺(tái)���,對(duì)水利信息部門的服務(wù)器��、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等軟件和硬件日志進(jìn)行收集���,以便及時(shí)了解防火墻等設(shè)備的預(yù)警信息����,實(shí)現(xiàn)全方面的網(wǎng)絡(luò)安全監(jiān)測(cè)���。同時(shí)還要對(duì)收集到的信息進(jìn)行篩選和分類����,分析其中的相關(guān)性����,從整體的角度對(duì)系統(tǒng)中存在的風(fēng)險(xiǎn)進(jìn)行進(jìn)一步的分析�,從而制定相應(yīng)的策略���,設(shè)置網(wǎng)絡(luò)安全事件響應(yīng)級(jí)別,使水利行業(yè)整體效益發(fā)揮到最大���。此外��,水利部門還要在內(nèi)部建立聯(lián)動(dòng)機(jī)制,整合人力和資源進(jìn)行網(wǎng)絡(luò)安全信息數(shù)據(jù)收集�����。在水利信息安全管理平臺(tái)中包括展示層、功能層���、應(yīng)用接口層�、采集層�����。其中展示層包括可視化管理�����、綜合展現(xiàn)管理����、全國(guó)狀態(tài)展現(xiàn)�����、告警與響應(yīng)、報(bào)表管理�����。功能層包括安全事件、威脅態(tài)勢(shì)��、安全策略���、風(fēng)險(xiǎn)評(píng)估�、預(yù)警管理、資產(chǎn)管理等����。應(yīng)用接口層主要是進(jìn)行資產(chǎn)��、工單�、認(rèn)證統(tǒng)一展示�����。采集層包括資產(chǎn)采集��、拓?fù)洳杉?�、性能采集��、日志采集���、策略采集�����、弱點(diǎn)采集���。
第2篇
1.1網(wǎng)絡(luò)及安全技術(shù)網(wǎng)絡(luò)安全技術(shù)涉及到的層面較多����,本節(jié)主要分析系統(tǒng)自身安全�。基于角色的訪問(wèn)控制,作為現(xiàn)階段最具有發(fā)展前景的訪問(wèn)模式,已經(jīng)充分的引起民眾的廣泛關(guān)注。和以往的權(quán)限直接下放到用戶自身的手里相對(duì)比,在RBAC程序當(dāng)中,權(quán)限和用戶之間存在一定的聯(lián)系,每一個(gè)“角色”則是一個(gè)用戶或者一批用戶的操控整合�。注冊(cè)用戶在通過(guò)管理員同意之后賦予特定的訪問(wèn)權(quán)限以及操作權(quán)限后,能夠大幅度的降低授權(quán)管理的工作任務(wù)量。在某個(gè)特定的組織結(jié)構(gòu)當(dāng)中����,角色是為了滿足特定的任務(wù)組建而成���。角色可以按照實(shí)際需要以及系統(tǒng)自身的整合系統(tǒng)而被授予特定的權(quán)限�����,而對(duì)于這些權(quán)限功能也隨著工作任務(wù)的完成被整體進(jìn)行回收��。在一個(gè)程序當(dāng)中授權(quán)給注冊(cè)用戶的訪問(wèn)權(quán)限�����,一般情況下通過(guò)注冊(cè)用戶在某個(gè)特定程序當(dāng)中的角色來(lái)承擔(dān)�。1.2工作流技術(shù)工作流的前提條件是計(jì)算機(jī)工作,軟件的全部功能的實(shí)現(xiàn)����,以及部分功能的自主化,甚至半自主化管理都是以此前提實(shí)現(xiàn)的���。整個(gè)流程有電腦軟件控制運(yùn)行的現(xiàn)象稱為工作流�����。整個(gè)管理系統(tǒng)存在一個(gè)的核心部分�,這一部分是工作流引擎。在完成相應(yīng)的定義之后�,根據(jù)其運(yùn)行的需要�����,注釋被提出�����,數(shù)據(jù)模擬等也被一并提出��。工作流的概念與計(jì)算機(jī)關(guān)系密切���,它的界定需要借助計(jì)算機(jī)技術(shù)����,同時(shí)工作流的運(yùn)行,管理����,以及信息傳遞等都需要得到計(jì)算機(jī)技術(shù)的支持�。工作流的調(diào)配和功能完成是通過(guò)工作流引擎完成的�����。工作流引擎是工作流的主要內(nèi)容,它不僅可以建立執(zhí)行過(guò)程�、執(zhí)行管理系統(tǒng)��,而且還能監(jiān)管功能等。過(guò)程模型和基本業(yè)務(wù)流程兩者關(guān)系甚密����。一個(gè)流程亦或是其子流程,是由諸多活動(dòng)組合出的,而完整業(yè)務(wù)流程����,則是一個(gè)亦或是多個(gè)子流程的集合�,且在活動(dòng)階段內(nèi)也各有不同的執(zhí)行聯(lián)系�。
2網(wǎng)絡(luò)安全預(yù)警結(jié)構(gòu)設(shè)計(jì)
系統(tǒng)設(shè)計(jì)的根本目的是通過(guò)大量收集并歸類分析用戶網(wǎng)絡(luò)行為,進(jìn)一步通過(guò)數(shù)據(jù)挖掘和特征分析算法分析出其內(nèi)在的規(guī)律并以此規(guī)律作為網(wǎng)絡(luò)安全預(yù)警的主要依據(jù)�����,通過(guò)對(duì)大量用戶的網(wǎng)絡(luò)行為聚類和預(yù)測(cè)��,及時(shí)發(fā)現(xiàn)并切斷不安全網(wǎng)絡(luò)行為��,從根源上切斷網(wǎng)絡(luò)不安全因素��。網(wǎng)絡(luò)安全預(yù)警結(jié)構(gòu)包括用戶網(wǎng)絡(luò)行為采集模塊�����、服務(wù)器安全中心模塊��、系統(tǒng)管理員模塊等����,針對(duì)使用行為展開(kāi)建模,通過(guò)研究得到能夠表示��、測(cè)量使用行為的特征值�,從定量的角度對(duì)使用行為進(jìn)行描述。這種模型不但能夠?qū)⒕W(wǎng)絡(luò)使用行為的實(shí)際情況呈現(xiàn)出來(lái)��,而且能夠進(jìn)行自我學(xué)習(xí)���,對(duì)行為變化順序進(jìn)行總結(jié)����,并掌握其規(guī)律,將規(guī)律應(yīng)用到使用行為中去�。
3系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)
3.1ADO.NET結(jié)構(gòu)設(shè)計(jì)數(shù)據(jù)訪問(wèn)層的位置處于這一系統(tǒng)的最底層,且其只擁有一個(gè)基礎(chǔ)的單元數(shù)據(jù)庫(kù)����,也就是Database,然而數(shù)據(jù)訪問(wèn)層的作用卻十分重要�����,原因在于數(shù)據(jù)庫(kù)內(nèi)容納有該系統(tǒng)全部的數(shù)據(jù)信息��,故而數(shù)據(jù)訪問(wèn)層的安全和整體系統(tǒng)的安全都是密切聯(lián)系�����、息息相關(guān)的��。論文主要借助ADO.NET針對(duì)網(wǎng)絡(luò)行為管理以及數(shù)據(jù)庫(kù)進(jìn)行交接��。對(duì)于ADO.NET是借助數(shù)據(jù)源通過(guò)一定的轉(zhuǎn)換完成和數(shù)據(jù)庫(kù)的對(duì)接��。微軟將其明名為ADO.NET��。由于此數(shù)據(jù)庫(kù)在NET編碼的背景下完成的數(shù)據(jù)現(xiàn)結(jié)�。同時(shí)其最大的優(yōu)點(diǎn)在于能夠和不同種類的數(shù)據(jù)進(jìn)行相互匹配和銜接,很大程度上簡(jiǎn)化了研發(fā)者的工作量。3.2系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)在此次研發(fā)的系統(tǒng)當(dāng)中���,還需要在服務(wù)器創(chuàng)建對(duì)應(yīng)的儲(chǔ)存列陣以及服務(wù)器匯集的網(wǎng)絡(luò)程序,在此次研究過(guò)程當(dāng)中重點(diǎn)用區(qū)域網(wǎng)路來(lái)存儲(chǔ)數(shù)據(jù)�����,在存儲(chǔ)數(shù)據(jù)的時(shí)候����,分不同的區(qū)域來(lái)存儲(chǔ),最后通過(guò)集群技術(shù)來(lái)調(diào)取���,保證各區(qū)域數(shù)據(jù)能夠相互作用���。主要運(yùn)用了數(shù)據(jù)庫(kù)、web等幾種類型���。同時(shí)借助多機(jī)冗余方式來(lái)保障系統(tǒng)自身的安全可靠運(yùn)行�����。在交換機(jī)外部明確防火墻和相關(guān)入侵系統(tǒng)的檢測(cè)體制�����,更好的抵御危險(xiǎn)�����。在系統(tǒng)與數(shù)據(jù)庫(kù)相互訪問(wèn)時(shí)��,為了更好地讓數(shù)據(jù)在其中流動(dòng)�,可以根據(jù)時(shí)間段、關(guān)鍵字等更便捷地獲取數(shù)據(jù)�,保證定位以及相關(guān)的請(qǐng)求能夠準(zhǔn)確地發(fā)送和傳遞。另外���,通過(guò)多重的相互確認(rèn)可以更快地訪問(wèn)��。為了確保系統(tǒng)安全�����,系統(tǒng)通過(guò)部署信息強(qiáng)隔離裝置�、防火墻及入侵檢測(cè)設(shè)備等相關(guān)障礙��,可有效阻止外界的入侵���,即時(shí)發(fā)現(xiàn)和消除網(wǎng)絡(luò)安全威脅����,系統(tǒng)限制同一用戶在同一時(shí)間內(nèi)的登錄次數(shù),若連續(xù)多次登錄失敗�����,系統(tǒng)自動(dòng)斷開(kāi)連接��,并在一定時(shí)間內(nèi)用戶無(wú)法繼續(xù)登錄���。實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離,系統(tǒng)不支持時(shí)應(yīng)部署日志服務(wù)器保證管理員的操作能夠被審計(jì)�,并且網(wǎng)絡(luò)特權(quán)用戶管理員無(wú)權(quán)對(duì)審計(jì)記錄進(jìn)行操作。3.3系統(tǒng)實(shí)現(xiàn)本文主要利用的是WindowsServer2008操作系統(tǒng)平臺(tái)�,采用的硬件設(shè)備CPU為英特爾酷睿i5,主頻3.0GHz����。系統(tǒng)運(yùn)行內(nèi)存為16GB,存儲(chǔ)空間8TB���,網(wǎng)絡(luò)帶寬20M獨(dú)享��。系統(tǒng)數(shù)據(jù)存儲(chǔ)軟件是MSSQLServer2015��。
4結(jié)論
針對(duì)網(wǎng)絡(luò)迅速發(fā)展過(guò)程中的存在的安全問(wèn)題��,提出了一種基于網(wǎng)絡(luò)行為分析的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)����,該系統(tǒng)通過(guò)對(duì)大量用戶的網(wǎng)絡(luò)行為聚類和預(yù)測(cè)��,及時(shí)發(fā)現(xiàn)并切斷不安全網(wǎng)絡(luò)行為��,從根源上切斷網(wǎng)絡(luò)不安全因素�。系統(tǒng)采用數(shù)據(jù)挖掘算法挖掘惡意網(wǎng)絡(luò)行為內(nèi)在規(guī)律,系統(tǒng)采用ASP.NET框架以及SQLServer2012數(shù)據(jù)庫(kù)��,選用工作流技術(shù)為主要技術(shù)�����。系統(tǒng)設(shè)計(jì)完成后經(jīng)過(guò)實(shí)際測(cè)試表明���,系統(tǒng)運(yùn)行穩(wěn)定���,在網(wǎng)絡(luò)安全預(yù)警實(shí)時(shí)性和精確度方面滿足要求�����。
參考文獻(xiàn)
[1]蔣勵(lì),張家錄.基于網(wǎng)絡(luò)安全事件的預(yù)警系統(tǒng)設(shè)計(jì)[J].湖南理工學(xué)院學(xué)報(bào)(自然科學(xué)版),2016,29(02):30-37.
第3篇
關(guān)鍵詞:網(wǎng)絡(luò)安全預(yù)警�;NAT�����;防火墻/NAT的穿越
0網(wǎng)絡(luò)安全預(yù)警系統(tǒng)
0.1功能及體系結(jié)構(gòu)
目前的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)通常采用多層式結(jié)構(gòu)���,以入侵檢測(cè)系統(tǒng)作為中心,對(duì)受保護(hù)的網(wǎng)絡(luò)進(jìn)行安全預(yù)警���。該類系統(tǒng)通常由嗅探器模塊���、安全管理中心、遠(yuǎn)程管理系統(tǒng)服務(wù)器�、遠(yuǎn)程終端管理器組成。嗅探器模塊按一定策略檢測(cè)網(wǎng)絡(luò)流量�,對(duì)非法的流量進(jìn)行記錄以便審計(jì),并按照安全策略進(jìn)行響應(yīng)���;安全管理中心管理嗅探器運(yùn)行��,并生成及加載嗅探器需要的安全策略�����,接受嗅探器的檢測(cè)信息����,生成審計(jì)結(jié)果;遠(yuǎn)程管理系統(tǒng)服務(wù)器負(fù)責(zé)監(jiān)聽(tīng)控制信息�����,接收控制信息傳遞給安全管理中心����,為實(shí)現(xiàn)遠(yuǎn)程管理實(shí)現(xiàn)條件;遠(yuǎn)程終端管理器為用戶提供遠(yuǎn)程管理界面�����。
0.2局限性
(1)目前的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)主要以入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果作為預(yù)警信息的主要來(lái)源���。由于入侵檢測(cè)系統(tǒng)檢測(cè)的被動(dòng)性���,使得預(yù)警自身就存在被動(dòng)性��,無(wú)法積極對(duì)受保護(hù)的網(wǎng)絡(luò)實(shí)施預(yù)警�。
(2)新的攻擊手段層出不窮�,而作為中心的入侵檢測(cè)系統(tǒng)在新的攻擊面前顯得力不從心。雖然目前也出現(xiàn)了一些啟發(fā)式的檢測(cè)方法����,但是由于誤報(bào)率或者漏報(bào)率比較高,在實(shí)際使用時(shí)也不太理想�。
(3)預(yù)警信息傳送的時(shí)效性。目前令人可喜的是用戶己經(jīng)注意到了安全問(wèn)題�����,所以采用了一些安全部件如防火墻���、入侵檢測(cè)系統(tǒng)等對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)。
(4)傳統(tǒng)的網(wǎng)絡(luò)預(yù)警系統(tǒng)中著重在預(yù)警���,相應(yīng)的響應(yīng)很少或者沒(méi)有����。
1 NAT技術(shù)
1.1概念
NAT�,即Networ Address Translation����,可譯為網(wǎng)絡(luò)地址轉(zhuǎn)換或網(wǎng)絡(luò)地址翻譯���。它是一個(gè)IETF標(biāo)準(zhǔn)�,允許一個(gè)機(jī)構(gòu)以一個(gè)地址出現(xiàn)在Internet上���。NAT將每個(gè)局域網(wǎng)節(jié)點(diǎn)的地址轉(zhuǎn)換成一個(gè)IP地址�,反之亦然�。它也可以應(yīng)用到防火墻技術(shù)里,把個(gè)別IP地址隱藏起來(lái)不被外界發(fā)現(xiàn)����,使外界無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)設(shè)備。同時(shí)���,它還幫助網(wǎng)絡(luò)可以超越地址的限制�����,合理地安排網(wǎng)絡(luò)中的公有Internet地址和私有IP地址的使用���。
1.2分類
1.2.1靜態(tài)NAT(Static NAT)
即靜態(tài)轉(zhuǎn)換靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址�,IP地址對(duì)是一對(duì)一的��,是一成不變的���,某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址����。私有地址和公有地址的對(duì)應(yīng)關(guān)系由管理員手工指定�。借助于靜態(tài)轉(zhuǎn)換,可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問(wèn)����,并使該設(shè)備在外部用戶看來(lái)變得“不透明”。
1.2.2動(dòng)態(tài)地址NAT(Pooled NAT)
即動(dòng)態(tài)轉(zhuǎn)換動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)���,IP地址對(duì)并不是一一對(duì)應(yīng)的��,而是隨機(jī)的����。所有被管理員授權(quán)訪問(wèn)外網(wǎng)的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的公有IP地址���。也就是說(shuō)�,只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換���,以及用哪些合法地址作為外部地址時(shí)����,就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換����。每個(gè)地址的租用時(shí)間都有限制。這樣���,當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)���,可以采用動(dòng)態(tài)轉(zhuǎn)換的方式。
1.2.3網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-Level NAT)
即端口多路復(fù)用通過(guò)使用端口多路復(fù)用��,可以達(dá)到一個(gè)公網(wǎng)地址對(duì)應(yīng)多個(gè)私有地址的一對(duì)多轉(zhuǎn)換�。在這種工作方式下,內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問(wèn)��,來(lái)自不同內(nèi)部主機(jī)的流量用不同的隨機(jī)端口進(jìn)行標(biāo)示���,從而可以最大限度地節(jié)約IP地址資源����。同時(shí),又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)��,有效避免來(lái)自Internet的攻擊���。因此�����,目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式�。
1.3常用穿越技術(shù)
由于NAT的種類不同����,所以具體對(duì)于NAT的穿越技術(shù)也有所不同。目前比較典型的穿越技術(shù)是協(xié)議隧道傳輸和反彈木馬穿透��。前者���,采用直接從外網(wǎng)往內(nèi)網(wǎng)連接的方式�,利用防火墻通常允許通過(guò)的協(xié)議(如HTTP協(xié)議)�����,將數(shù)據(jù)包按協(xié)議進(jìn)行封裝�����,從而實(shí)現(xiàn)從外網(wǎng)向內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)傳輸��,但是如果數(shù)據(jù)在通過(guò)防火墻時(shí)經(jīng)過(guò)了NAT轉(zhuǎn)換��,就會(huì)失效�����;后者是采用由內(nèi)向外的連接方式�,通常防火墻會(huì)允許由內(nèi)向外的連接通過(guò),但是沒(méi)有真正解決防火墻的穿越問(wèn)題���,無(wú)法解決對(duì)于由外向內(nèi)的對(duì)實(shí)時(shí)性要求較高的數(shù)據(jù)傳輸��,并且對(duì)于應(yīng)用型防火墻�,穿越時(shí)也比較困難�����。
2網(wǎng)絡(luò)安全預(yù)警系統(tǒng)中防火墻/NAT的穿越
2.1應(yīng)用型防火墻檢測(cè)及信息注冊(cè)模塊
本模塊主要用于驗(yàn)證發(fā)送方和接收方的報(bào)文是否能通過(guò)自身所在網(wǎng)絡(luò)的防火墻,尤其是穿越應(yīng)用服務(wù)器的注冊(cè)相關(guān)信息�����,并獲取必要的信息�。
當(dāng)發(fā)送方或接收方存在應(yīng)用型防火墻時(shí),可由發(fā)送方或接收方連接服務(wù)器���,從而建立映射關(guān)系����。由于發(fā)送方或接收方采用TCP連接方式連接服務(wù)器���,所以映射關(guān)系可以一直保持�����。所以當(dāng)服務(wù)器與主機(jī)連接時(shí)只需要知道相應(yīng)的服務(wù)器地址�����、端口即可���,而這些信息又可以從全局預(yù)警中心的注冊(cè)信息中獲得�����,從而解決了穿越應(yīng)用型防火墻的問(wèn)題。
2.2 NAT映射維持模塊
本模塊主要根據(jù)NAT及包過(guò)濾���、狀態(tài)檢測(cè)型防火墻檢測(cè)模塊的檢測(cè)結(jié)果����,反映出不同的映射維持�����。
當(dāng)接收方所在網(wǎng)絡(luò)存在NAT時(shí)�����,經(jīng)過(guò)映射維持�����,使得在接收方所在網(wǎng)絡(luò)的NAT處始終保持了一條接收方外網(wǎng)地址與內(nèi)網(wǎng)地址的映射關(guān)系�����,從而使得發(fā)送方只要根據(jù)接收方的外網(wǎng)地址和端口即可與接收方直接通信,從而解決了外網(wǎng)與內(nèi)網(wǎng)直接通信的問(wèn)題���。
當(dāng)接收方所在的網(wǎng)絡(luò)不存在NAT��,但存在狀態(tài)檢測(cè)���、包過(guò)濾類型的防火墻時(shí),由于不斷發(fā)送的NAT維持報(bào)文的存在���,相應(yīng)地在防火墻處開(kāi)放了相應(yīng)的端口�����,使得發(fā)送方可以從外到內(nèi)通過(guò)此端口進(jìn)行信息傳送����。
2.3信息傳送模塊
防火墻的問(wèn)題��。對(duì)于一般類型的包過(guò)濾��、狀態(tài)檢測(cè)防火墻��,因?yàn)橥ㄐ艃?nèi)容已封裝成HTTPS協(xié)議的格式�,所以對(duì)于從防火墻內(nèi)部向外部的連接可穿越此類型的防火墻�����。對(duì)于從防火墻外部到內(nèi)部的連接��, NAT映射維持模塊中NAT映射報(bào)文的存在也巧妙的解決了信息傳送的問(wèn)題�。
3結(jié)束語(yǔ)
本文采用HTTPS封裝實(shí)際傳輸數(shù)據(jù)�����,可以使得數(shù)據(jù)安全傳送�����,保證了信息可以穿越防火墻/NAT進(jìn)行���。但也存在著增加硬件額外開(kāi)銷、NAT映射相對(duì)維持報(bào)文較頻繁等缺點(diǎn)�,這些有待在進(jìn)一步的研究中予以解決。
參考文獻(xiàn)
[1]肖楓濤.網(wǎng)絡(luò)安全主動(dòng)預(yù)警系統(tǒng)關(guān)鍵技術(shù)研究與實(shí)現(xiàn) [D].長(zhǎng)沙:國(guó)防科學(xué)技術(shù)大學(xué)�����,2009.
[2]張險(xiǎn)峰等.網(wǎng)絡(luò)安全分布式預(yù)警體系結(jié)構(gòu)研究[J].計(jì)算機(jī)應(yīng)用���,2011(����,05).
第4篇
1系統(tǒng)架構(gòu)
網(wǎng)絡(luò)安全事件預(yù)警系統(tǒng)的體系結(jié)構(gòu)如圖1所示,其中的系統(tǒng)中心�����、流檢測(cè)服務(wù)器���、載荷檢測(cè)服務(wù)器���、配置管理服務(wù)器是系統(tǒng)的邏輯組成部分,并非是必須獨(dú)立的硬件服務(wù)器�����。對(duì)于中等規(guī)模的網(wǎng)絡(luò)可以運(yùn)行于一臺(tái)硬件服務(wù)器上���。
2系統(tǒng)處理流程
如圖1所示�����,以檢測(cè)流經(jīng)路由器R1的流量為例����,介紹系統(tǒng)的處理流程。
(1)路由器R1生成流記錄�����,并將記錄輸出到流檢測(cè)服務(wù)器����。流記錄符合IPFIX格式,流以五元組(SrcIP����、SrcPort�����、DestIP����、DescPort、Protocol)標(biāo)識(shí)�。
(2)流檢測(cè)服務(wù)器采用基于流特征的檢測(cè)方法對(duì)流量進(jìn)行檢測(cè),將流量分成正常流量和安全事件流量,并將分類結(jié)果發(fā)送系統(tǒng)中心���。
(3)系統(tǒng)中心根據(jù)安全事件策略庫(kù)中的監(jiān)控策略分析檢測(cè)結(jié)果����,這里會(huì)出現(xiàn)三種情況�����。流量正常不需要控制�����,系統(tǒng)顯示檢測(cè)結(jié)果���;檢測(cè)結(jié)果達(dá)到控制標(biāo)準(zhǔn)�����,發(fā)出預(yù)警或通知�。需要深度包檢測(cè)����,通知配置服務(wù)器鏡像R1上特定流量���。
(4)配置服務(wù)器向R1發(fā)出相關(guān)鏡像配置命令。
(5)R1執(zhí)行鏡像命令���,通過(guò)鏡像鏈路鏡像相應(yīng)流量�。
(6)載荷檢測(cè)服務(wù)器對(duì)這些數(shù)據(jù)報(bào)文進(jìn)行捕捉并通過(guò)深度包檢測(cè)方法確定進(jìn)行分析���。
(7)顯示檢測(cè)結(jié)果��,對(duì)安全事件發(fā)出預(yù)警或通知服務(wù)器�。
網(wǎng)絡(luò)預(yù)警系統(tǒng)檢測(cè)方法研究
1流特征檢測(cè)方法
基于流記錄特征的流量分析技術(shù)主要應(yīng)用NetFlow技術(shù)���,對(duì)網(wǎng)絡(luò)中核心設(shè)備產(chǎn)生的NetFlow數(shù)據(jù)進(jìn)行分析��、檢測(cè)分類�����、統(tǒng)計(jì)。NetFlow協(xié)議由Cisco公司開(kāi)發(fā)���,是一種實(shí)現(xiàn)網(wǎng)絡(luò)層高性能交換的技術(shù)����。它運(yùn)行在路由器中動(dòng)態(tài)地收集經(jīng)過(guò)路由器的流的信息,然后緩存在設(shè)備內(nèi)存中,當(dāng)滿足預(yù)設(shè)的條件后����,將緩存數(shù)據(jù)發(fā)送到指定的服務(wù)器。一個(gè)信息流可以通過(guò)七元組(源IP地址����、目的IP地址、源端口號(hào)�、目的端口號(hào)、協(xié)議類型�、服務(wù)類型、路由器輸入接口)唯一標(biāo)識(shí)�。
數(shù)據(jù)流檢測(cè)的數(shù)據(jù)流程主要為:操作人員啟動(dòng)采集,程序通過(guò)libpcap對(duì)相應(yīng)端口中的NetFlow數(shù)據(jù)進(jìn)行接收�����,先緩存直內(nèi)存中�����,達(dá)到一定數(shù)量后壓縮存儲(chǔ)直對(duì)應(yīng)的文件中�,進(jìn)行下一次接收���,同時(shí)定時(shí)啟動(dòng)分析模塊,調(diào)入NetFlow規(guī)則庫(kù)并調(diào)取相應(yīng)的壓縮NetFlow數(shù)據(jù)文件����,對(duì)數(shù)據(jù)進(jìn)行處理后,將NetFlow數(shù)據(jù)內(nèi)容與規(guī)則庫(kù)進(jìn)行匹配�,獲得相應(yīng)的處理結(jié)果存入數(shù)據(jù)庫(kù)中,再次等待下一次分析模塊啟動(dòng)�。
2深度包檢測(cè)方法
深度包檢測(cè)方法是用來(lái)識(shí)別數(shù)據(jù)包內(nèi)容的一種方法。傳統(tǒng)的數(shù)據(jù)檢測(cè)只檢測(cè)數(shù)據(jù)包頭����,但是這種檢測(cè)對(duì)隱藏在數(shù)據(jù)荷載中的惡意信息卻無(wú)能為力。深度包檢測(cè)的目的是檢測(cè)數(shù)據(jù)包應(yīng)用載荷���,并與指定模式匹配����。當(dāng)IP數(shù)據(jù)包�、TCP或UDP數(shù)據(jù)流通過(guò)基于DPI技術(shù)的管理系統(tǒng)時(shí),該系統(tǒng)通過(guò)深入讀取IP數(shù)據(jù)包載荷中的內(nèi)容來(lái)對(duì)應(yīng)用層信息進(jìn)行重組���,從而得到整個(gè)應(yīng)用程序的通信內(nèi)容�,然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行過(guò)濾操作����。這種技術(shù)使用一個(gè)載荷特征庫(kù)存儲(chǔ)載荷的特征信息,符合載荷特征的數(shù)據(jù)包即視為特定應(yīng)用的數(shù)據(jù)包����。
深度包檢測(cè)的數(shù)據(jù)流程主要為:操作人員啟動(dòng)采集,程序先調(diào)入相應(yīng)的協(xié)議規(guī)則�����,程序通過(guò)libpcap對(duì)相應(yīng)網(wǎng)絡(luò)端口中對(duì)應(yīng)協(xié)議的數(shù)據(jù)進(jìn)行抓包捕獲���,對(duì)數(shù)據(jù)包進(jìn)行協(xié)議分析拆包處理后�,調(diào)入正則規(guī)則并進(jìn)行優(yōu)化處理����,將數(shù)據(jù)包內(nèi)容與優(yōu)化過(guò)的規(guī)則進(jìn)行多線程匹配,獲得相應(yīng)的處理結(jié)果存入數(shù)據(jù)庫(kù)中�,再次進(jìn)行下一步處理。
3復(fù)合型檢測(cè)方法研究與分析
復(fù)合型檢測(cè)�����,既結(jié)合了基于流特征的檢測(cè),從宏觀上檢測(cè)整個(gè)網(wǎng)絡(luò)的安全狀態(tài)����,又結(jié)合了深度包檢測(cè)的方法,對(duì)某些安全事件進(jìn)行包內(nèi)容的詳細(xì)特征檢測(cè)����,可以極大的提高安全事件檢測(cè)的準(zhǔn)確度,減少誤報(bào)率和漏報(bào)率�����,并可有效地提高深度包檢測(cè)的效率����,大幅降低深度包檢測(cè)對(duì)系統(tǒng)的配置要求。
根據(jù)復(fù)合型規(guī)則的定義��,來(lái)處理流檢測(cè)和深度包檢測(cè)的關(guān)系����。可以根據(jù)不同的安全事件定義對(duì)應(yīng)的復(fù)合方式�,即可實(shí)現(xiàn)兩種檢測(cè)方法同時(shí)進(jìn)行,也可先進(jìn)行流檢測(cè)符合相應(yīng)規(guī)則后,再進(jìn)行深度包檢測(cè)�,最后判定是否為此安全事件���。
復(fù)合型規(guī)則中����,數(shù)據(jù)流規(guī)則與深度包規(guī)則的對(duì)應(yīng)關(guān)系是M:N的關(guān)系����。既一個(gè)數(shù)據(jù)流規(guī)則可以對(duì)應(yīng)多個(gè)深度包規(guī)則,這表示這個(gè)數(shù)據(jù)流預(yù)警的安全事件可能是由多種深度包預(yù)警的安全事件引起���,需要多個(gè)深度包檢測(cè)來(lái)進(jìn)行確認(rèn)�。同時(shí)多個(gè)數(shù)據(jù)流規(guī)則可以對(duì)應(yīng)一個(gè)深度包規(guī)則����,這表示這個(gè)深度包規(guī)則對(duì)應(yīng)的安全事件可以引起發(fā)生多條數(shù)據(jù)流預(yù)警的安全事件。這種設(shè)計(jì)方式可方便地通過(guò)基礎(chǔ)安全事件擴(kuò)展多種不同的安全事件���。
總結(jié)
第5篇
關(guān)鍵詞:系統(tǒng)工程����;預(yù)警機(jī)制��;安全管理;安全服務(wù)
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 19-0000-02
Research of the Early Warning Mechanism of Campus Network Security
Li Xia
(Network Center of Binzhou Medical University,Binzhou256603,China)
Abstract:Based on the campus network environment of Binzhou Medical University,from the view of system engineering,the research on early warning mechanism about technology, management,service and the other aspects of the campus network security is given.With the security policy as the core,technology as the support,security management and security services for the implementation of means,It emphasizes the close cooperation in administrators and users,points out the importance of safety training to enhance safety awareness,and how to improve the quality of network service.
Keywords:System engineering;Early warning mechanism;Safety management;Safety service
校校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施�����,擔(dān)負(fù)著學(xué)校教學(xué)��、科研�����、管理和對(duì)外交流等許多重要任務(wù)�����;在推動(dòng)教育改革發(fā)展�����、促進(jìn)思想文化科技交流���、豐富師生精神文化生活和加強(qiáng)大學(xué)生思想政治教育等方面起到了積極作用���。但是我們也要看到,在健全制度、形成機(jī)制�、網(wǎng)絡(luò)安全、職責(zé)劃分等方面還存在問(wèn)題和薄弱環(huán)節(jié)��。因此���,我們應(yīng)該進(jìn)一步采取有效措施,加強(qiáng)管理����,不斷促進(jìn)校園網(wǎng)絡(luò)健康發(fā)展和良性運(yùn)行。建立一套切實(shí)可行的校園網(wǎng)絡(luò)安全預(yù)警機(jī)制��,已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問(wèn)題����。
一、校園網(wǎng)安全現(xiàn)狀分析
要構(gòu)建有效可行的校園網(wǎng)絡(luò)安全預(yù)警機(jī)制必須了解網(wǎng)絡(luò)安全現(xiàn)狀和存在的主要問(wèn)題����。
以濱州醫(yī)學(xué)院校園網(wǎng)為例,我校校園網(wǎng)絡(luò)自2000年成立以來(lái)�����,形成了初步的安全管理制度。技術(shù)方面���,根據(jù)校園網(wǎng)絡(luò)現(xiàn)狀�,采用了瑞星殺毒軟件網(wǎng)絡(luò)版的分級(jí)管理����、多重防護(hù)體系作為校園網(wǎng)絡(luò)的防病毒管理架構(gòu),為我校校園網(wǎng)絡(luò)建立起一個(gè)比較完善的防病毒體系����。為打造網(wǎng)絡(luò)整體安全,如在濱州校區(qū)Internet與校園網(wǎng)的接口處采用了天融信防火墻��,對(duì)Internet與校園網(wǎng)之間進(jìn)行隔離�����。針對(duì)網(wǎng)絡(luò)用戶盜用IP現(xiàn)象��,采用城市熱點(diǎn)軟件����,進(jìn)行IP綁定和賬戶維護(hù)。網(wǎng)絡(luò)安全技術(shù)方面做了必要的防御措施�。
通過(guò)近幾年的網(wǎng)絡(luò)運(yùn)行�����,隨著網(wǎng)絡(luò)數(shù)字化教學(xué)與辦公的應(yīng)用�����,網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大�����,網(wǎng)絡(luò)建設(shè)和管理方面不可避免的暴露了一些問(wèn)題:硬件設(shè)施日趨老化,網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大�,而網(wǎng)絡(luò)資金投入有限;管理制度不完善���,如在安全角色的定義上�����,我們?cè)O(shè)立了專門的人員負(fù)責(zé)相關(guān)操作的安全維護(hù)和安全檢查�����。但實(shí)際上因?yàn)槿藛T明確但人員的任務(wù)不明確�����,造成了安全角色劃分模糊��。網(wǎng)絡(luò)用戶教師和學(xué)生網(wǎng)絡(luò)水平不一�,安全意識(shí)不夠,基本防護(hù)措施掌握不到位等����,被動(dòng)攻擊、亡羊補(bǔ)牢�。
二、校園網(wǎng)安全預(yù)警機(jī)制模型
校園網(wǎng)中針對(duì)網(wǎng)絡(luò)安全的預(yù)警機(jī)制研究不僅是一個(gè)非常重要的技術(shù)問(wèn)題�,還是一個(gè)較為復(fù)雜的系統(tǒng)工程。校園網(wǎng)安全問(wèn)題不僅涉及技術(shù)���、產(chǎn)品��;還要有安全管理和安全服務(wù)����,校園網(wǎng)安全預(yù)警機(jī)制不僅考慮網(wǎng)管員的技術(shù)支持��,重要的是網(wǎng)絡(luò)安全預(yù)警機(jī)制的構(gòu)建是以安全策略為核心��,以安全技術(shù)作為支撐,以安全管理作為落實(shí)手段����,并通過(guò)安全培訓(xùn)加強(qiáng)所有人的安全意識(shí),完善安全體系賴以生存的大環(huán)境�����。
實(shí)踐一再告訴我們���,僅有安全技術(shù)防范���,而無(wú)嚴(yán)格的安全預(yù)警機(jī)制相配套,是難以保障網(wǎng)絡(luò)系統(tǒng)安全的����。必須制訂一系列安全管理制度�����,對(duì)安全技術(shù)和安全設(shè)施進(jìn)行管理����。校園網(wǎng)網(wǎng)絡(luò)安全預(yù)警機(jī)制�����,必然要求網(wǎng)絡(luò)管理員�、用戶相配合����,多層次、多方位的分析�����、診斷校園網(wǎng)絡(luò)安全可能存在的問(wèn)題����,做到防患、預(yù)后相結(jié)合��。由此我們提出如圖模型:
安全策略是整個(gè)校園網(wǎng)安全預(yù)警機(jī)制的核心����,安全技術(shù)是整個(gè)機(jī)制的支撐。常見(jiàn)的安全技術(shù)和工具主要包括防火墻�����、安全漏洞掃描、入侵檢測(cè)���,重要數(shù)據(jù)的備份恢復(fù)�,最基本的病毒防范等���。這些工具和技術(shù)手段是網(wǎng)絡(luò)安全中直觀的部分�����,缺少任何一種都會(huì)有巨大的危險(xiǎn)�����。這就要求單位必須加大相應(yīng)的網(wǎng)絡(luò)投入�,對(duì)網(wǎng)絡(luò)管理人員進(jìn)行相應(yīng)的培訓(xùn)�,對(duì)設(shè)備進(jìn)行更新?lián)Q代,對(duì)應(yīng)用系統(tǒng)及常用軟件進(jìn)行必要的升級(jí)�����,做好網(wǎng)絡(luò)安全管理的技術(shù)支撐�。
安全管理貫穿整個(gè)安全預(yù)警機(jī)制�,是落實(shí)手段��。代表了安全預(yù)警機(jī)制中人的因素���。安全管理不僅包括行政意義上的安全管理,更主要的是對(duì)安全技術(shù)和安全策略的管理�����。實(shí)現(xiàn)安全管理必須遵循可操作�����、全局性�����、動(dòng)態(tài)性�、管理與技術(shù)的有機(jī)結(jié)合、責(zé)權(quán)分明��、分權(quán)制約及安全管理的制度化等原則�。單位專門設(shè)置主管領(lǐng)導(dǎo)、專管領(lǐng)導(dǎo)和使用部門分級(jí)負(fù)責(zé)��,按塊管理的模式,逐步加強(qiáng)��,步步落實(shí)���。
安全培訓(xùn):最終用戶的安全意識(shí)是信息系統(tǒng)是否安全的決定因素�,因此對(duì)校園網(wǎng)絡(luò)用戶的安全培訓(xùn)是整個(gè)安全體系中重要����、不可或缺的一部分。根據(jù)學(xué)校實(shí)際情況����,對(duì)師生進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)教育,使他們具備基本的網(wǎng)絡(luò)安全知識(shí)���。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程����、人員出入機(jī)房管理制度��、工作人員操作規(guī)程和保密制度等)�����。安排專人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護(hù)管理工作�,對(duì)學(xué)校專業(yè)技術(shù)人員和用戶定期進(jìn)行安全教育和培訓(xùn),提高技術(shù)人員和用戶的網(wǎng)絡(luò)安全的警惕性和自覺(jué)性��。
安全服務(wù):這是面向校園網(wǎng)絡(luò)管理的一個(gè)重要方面����,通過(guò)網(wǎng)絡(luò)管理員對(duì)校園網(wǎng)各個(gè)網(wǎng)絡(luò)用戶進(jìn)行技術(shù)解答、對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全檢查�,對(duì)發(fā)現(xiàn)得的問(wèn)題及時(shí)解決,采取上門服務(wù)�,問(wèn)卷調(diào)查,定期回訪等方式���,取得網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)安全問(wèn)題的積極反饋�,分別在系統(tǒng)級(jí)�����、應(yīng)用級(jí)�����、用戶級(jí)等各個(gè)方面提高網(wǎng)絡(luò)服務(wù)質(zhì)量���,做好網(wǎng)絡(luò)安全防護(hù)工作�����,真正發(fā)揮校園網(wǎng)絡(luò)服務(wù)教學(xué)的作用���。
三���、結(jié)論
一套可行有效的校園網(wǎng)安全預(yù)警機(jī)制必須不斷的實(shí)踐與探索。在可能獲得的設(shè)備和條件的基礎(chǔ)上��,整合資源���,多層次���、多方位的分析、診斷校園網(wǎng)絡(luò)安全可能存在的問(wèn)題�����,從技術(shù)��、管理���、服務(wù)等幾方面來(lái)來(lái)不斷的驗(yàn)證并進(jìn)行質(zhì)量的提升���。長(zhǎng)期來(lái)看,沒(méi)有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)��,只有通過(guò)綜合運(yùn)用多項(xiàng)措施��,加強(qiáng)管理����,建立一套真正適合校園網(wǎng)絡(luò)的預(yù)警機(jī)制,提高校園網(wǎng)絡(luò)的安全防范能力與應(yīng)急處理能力���,才能更好的給校園網(wǎng)用戶提供安全可靠的網(wǎng)絡(luò)運(yùn)行環(huán)境�����。
參考文獻(xiàn):
[1]馮登國(guó).國(guó)內(nèi)外信息安全研究現(xiàn)狀及發(fā)展趨勢(shì)(摘編)[J].信息網(wǎng)絡(luò)安全,2007,1:15-17
[3]王曉軍.公共機(jī)房針對(duì)ARP欺騙的診斷分析與防御[J].實(shí)驗(yàn)室研究與探索.2009,8(28):8,56
[4]劉欽創(chuàng).關(guān)于高校校園網(wǎng)安全若干問(wèn)題的思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2006,1(2):30-31
[5]楊尚森.網(wǎng)絡(luò)管理與維護(hù)技術(shù)[J].電子工業(yè)出版社,2006
第6篇
關(guān)鍵詞:入侵檢測(cè)�����;安全防護(hù)��;主動(dòng)保護(hù)
1 引言
隨著信息化的高速發(fā)展和網(wǎng)絡(luò)在人們生活�����、工作中的應(yīng)用��、普及�����,人們的安全意識(shí)也太太提高���,對(duì)網(wǎng)絡(luò)安全產(chǎn)品的需要也日益緊迫和嚴(yán)格����。用戶對(duì)于安全管理系統(tǒng)的要求已不滿足于僅僅在出錯(cuò)時(shí)彈出一個(gè)對(duì)話框�����,而是希望系統(tǒng)在監(jiān)控過(guò)往信息的同時(shí)能夠?qū)?shù)據(jù)進(jìn)行分析��、消化�。并以一種更加入性化的方式將網(wǎng)絡(luò)上存在的安全風(fēng)險(xiǎn)準(zhǔn)確地告知用戶。
入侵檢測(cè)系統(tǒng)(Intrus Jon Detection system�,IDS)是近十幾年來(lái)發(fā)展起來(lái)的一種主動(dòng)安全防范技術(shù)。所謂入侵檢測(cè)就是監(jiān)視分析用戶和系統(tǒng)的行為����,審計(jì)系統(tǒng)配置和漏洞���,評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性,識(shí)別攻擊行為��,對(duì)異常行為進(jìn)行統(tǒng)計(jì)��,自動(dòng)地收集和系統(tǒng)相美的補(bǔ)丁��,進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為��,使用專用服務(wù)器記錄黑客行為等功能的總稱��。
IDS為計(jì)算機(jī)系統(tǒng)的完整性�����??捎眯约翱尚判蕴峁┓e極主動(dòng)的保護(hù)���,并在計(jì)算機(jī)系統(tǒng)受到危害之前進(jìn)行攔截防衛(wèi)��。IDS對(duì)網(wǎng)絡(luò)的控制手段有:黑名單斷開(kāi)���、灰名單報(bào)警�����、阻塞HTTP請(qǐng)求���、通知防火墻阻斷和通過(guò)SN-MPTrap報(bào)警等。
2 技術(shù)的分析
入侵檢測(cè)技術(shù)是通過(guò)對(duì)入侵行為的過(guò)程與特征的研究���,使安全系統(tǒng)對(duì)入侵事件和入侵過(guò)程能做出實(shí)時(shí)響應(yīng)���。從方式上可分為三種:異常、誤用和模式的發(fā)現(xiàn)技術(shù)����。
(1)異常
異常發(fā)現(xiàn)技術(shù)的前提是假定所有入侵行為都是與正常行為不同的。首先通過(guò)訓(xùn)練過(guò)程建立起系統(tǒng)正常行為的軌跡���,然后在實(shí)際運(yùn)用中把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑�。例如���。通過(guò)流量統(tǒng)計(jì)分析將異常時(shí)問(wèn)的異常網(wǎng)絡(luò)流量視為可疑��。
但異常發(fā)現(xiàn)技術(shù)的缺點(diǎn)是并非所有的入侵都表現(xiàn)為異常���。
(2)誤用
誤用發(fā)現(xiàn)技術(shù)的入侵檢測(cè)是指通過(guò)預(yù)先精確定義的入侵模式�,對(duì)觀察到的用戶行為和資源使用情況進(jìn)行檢測(cè)����。如入侵簽名說(shuō)明了導(dǎo)致誤用事件弱點(diǎn)的特征、條件����、序列和關(guān)系��,還包含系統(tǒng)狀態(tài)��。
(3)模式
假定所有入侵行為和手段都能夠表達(dá)為一種模式或特征��,那么所有已知的入侵方法都可以用匹配發(fā)現(xiàn)����。模式發(fā)現(xiàn)的關(guān)鍵是如何表達(dá)入侵的模式,定義發(fā)現(xiàn)入侵的規(guī)則庫(kù)���,把真正的入侵與正常行為區(qū)分開(kāi)來(lái)�。
3 設(shè)計(jì)的實(shí)現(xiàn)
基于不同的結(jié)構(gòu)和偵聽(tīng)的策略,IDS可分為兩類:主機(jī)型(Host-based IDS)和網(wǎng)絡(luò)型(Network-based IDS)��。
3.1主機(jī)型IDS
主機(jī)型IDS為早期的結(jié)構(gòu)�,是基于系統(tǒng)日志,應(yīng)用程序日志或者通過(guò)操作系統(tǒng)的底層支持來(lái)進(jìn)行分析���,實(shí)時(shí)監(jiān)視可疑的連接���、系統(tǒng)日志檢查以及特定應(yīng)用的執(zhí)行過(guò)程。主要用于保護(hù)自身所在的關(guān)鍵服務(wù)器����。
在主機(jī)型IDS中,每一臺(tái)被監(jiān)控的服務(wù)器上都安裝入侵檢測(cè)�。入侵檢測(cè)的任務(wù)就是通過(guò)收集被監(jiān)控服務(wù)器中的系統(tǒng)、網(wǎng)絡(luò)及用戶活動(dòng)的狀態(tài)和行為等數(shù)據(jù)����,達(dá)到跟蹤并記錄這臺(tái)服務(wù)器上的非授權(quán)訪問(wèn)企圖或其他惡意行為之目的,如圖01所示��。
主機(jī)型入侵檢測(cè)軟件可以提供比網(wǎng)絡(luò)型工具更好的應(yīng)用層安全性����,因?yàn)橹鳈C(jī)型軟件可以檢測(cè)到失敗的訪問(wèn)企圖�����,它可以監(jiān)視用戶訪問(wèn)文件或目錄的次數(shù)��。將軟件加載到眾多服務(wù)器和桌面上是一項(xiàng)費(fèi)用高且耗時(shí)的工作��。另外�����,一旦發(fā)現(xiàn)軟件有新的問(wèn)題l必須隨之進(jìn)行升級(jí)���。
主機(jī)型IDS駐留在被檢測(cè)的主機(jī)中,網(wǎng)絡(luò)傳輸加密對(duì)入侵檢測(cè)的工作不會(huì)產(chǎn)生影響��。因?yàn)槿肭謾z測(cè)是通過(guò)操作系統(tǒng)來(lái)讀取相關(guān)信息�,而操作系統(tǒng)已經(jīng)在收到到來(lái)的數(shù)據(jù)時(shí)將其解密了�。另外,主機(jī)型IDS還具有接近于實(shí)時(shí)的檢測(cè)和應(yīng)答響應(yīng)時(shí)間����。
(1)特點(diǎn):
假如入侵者突破網(wǎng)絡(luò)中的安全防線,已經(jīng)進(jìn)入主機(jī)操作,那么Host-Based IDS對(duì)于監(jiān)測(cè)重要的服務(wù)器安全狀態(tài)具有十分重要的價(jià)值�。
(2)弱點(diǎn):
①信息審計(jì)如易受攻擊,入侵者可通過(guò)使用某些系統(tǒng)特權(quán)或調(diào)用比審計(jì)本身更低級(jí)的操作來(lái)騙過(guò)審計(jì)���;
②審計(jì)與網(wǎng)絡(luò)不能通過(guò)分析主機(jī)審計(jì)記錄來(lái)檢測(cè)網(wǎng)絡(luò)攻擊(域名欺騙�、端口掃描等)�����;
③攻擊類型受限Host-Based IDS只能對(duì)服務(wù)器的特定的用戶�、應(yīng)用程序執(zhí)行動(dòng)作、日志進(jìn)行檢測(cè)��,所能檢測(cè)到的攻擊類型受到限制�����,但提供預(yù)警報(bào)告��。
3.2網(wǎng)絡(luò)型IDS
網(wǎng)絡(luò)型IDS則主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)包�����,其輸入數(shù)據(jù)來(lái)源于網(wǎng)絡(luò)的信息流��,能夠檢測(cè)該網(wǎng)段上發(fā)生的全部網(wǎng)絡(luò)入侵。因此�����,網(wǎng)絡(luò)型IDS可以保護(hù)整個(gè)網(wǎng)段內(nèi)的所有主機(jī)��。
網(wǎng)絡(luò)型IDS利用網(wǎng)絡(luò)偵聽(tīng)技術(shù)收集在網(wǎng)絡(luò)上傳輸?shù)姆纸M數(shù)據(jù)包����,并對(duì)這些數(shù)據(jù)包的內(nèi)容、源地址��。目的地址等進(jìn)行分析����,從中發(fā)現(xiàn)入侵行為,如圖02所示���。
(1)特點(diǎn):
①服務(wù)器平立網(wǎng)絡(luò)型IDS監(jiān)視通信流量而不影響服務(wù)器平臺(tái)的變化與更新��;
②一個(gè)接口便可訪問(wèn)配置簡(jiǎn)單的網(wǎng)絡(luò)型IDS的環(huán)境只需要一個(gè)普通的網(wǎng)絡(luò)訪問(wèn)接口;
③防攻擊類型多樣眾多的攻擊標(biāo)識(shí)可以監(jiān)視多種多樣的攻擊�����,包括協(xié)議和特定環(huán)境的政擊。
(2)弱點(diǎn):
①無(wú)訪問(wèn)控制措施不像防火墻那樣采取訪問(wèn)控制措施�����,但防火墻并不是入侵檢測(cè)設(shè)備����;
②攻擊阻止差網(wǎng)絡(luò)型IDS不能去阻止攻擊,而采用預(yù)警方式����。
現(xiàn)在一些產(chǎn)品擴(kuò)展了IDS的功能,提供具有中斷入侵會(huì)話的過(guò)程和非法修改訪問(wèn)控制列表對(duì)抗攻擊��。
第7篇
中圖分類號(hào):TN711 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):41-1413(2012)01-0000-01
摘 要:網(wǎng)絡(luò)帶給人們的便利之一就是信息資源共享��,然而����,與之俱來(lái)的是來(lái)自各方的網(wǎng)絡(luò)安全問(wèn)題。網(wǎng)絡(luò)安全預(yù)警系統(tǒng)針對(duì)大規(guī)模的網(wǎng)絡(luò)進(jìn)行預(yù)警�,但傳統(tǒng)的系統(tǒng)存在對(duì)未知的攻擊缺乏有效的檢測(cè)方法、對(duì)安全問(wèn)題的檢測(cè)通常處于被動(dòng)階段.本文主要介紹NAT技術(shù)的特點(diǎn)及網(wǎng)絡(luò)安全預(yù)警系統(tǒng)中穿越防火墻/NAT技術(shù)的實(shí)現(xiàn)方法��,使網(wǎng)絡(luò)信息傳遞更安全�、更快速�����、更準(zhǔn)確�。
關(guān)鍵詞:網(wǎng)絡(luò)安全預(yù)警NAT防火墻/NAT的穿越
0 網(wǎng)絡(luò)安全預(yù)警系統(tǒng)
0.1 功能及體系結(jié)構(gòu)
網(wǎng)絡(luò)安全預(yù)警系統(tǒng)主要具有評(píng)估不同攻擊者造成的信息戰(zhàn)威脅�、提供信息戰(zhàn)攻擊的指示和報(bào)警、預(yù)測(cè)攻擊者的行為路徑等功能��。
目前的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)通常采用多層式結(jié)構(gòu)����,以入侵檢測(cè)系統(tǒng)作為中心,對(duì)受保護(hù)的網(wǎng)絡(luò)進(jìn)行安全預(yù)警����。該類系統(tǒng)通常由嗅探器模塊、安全管理中心�、遠(yuǎn)程管理系統(tǒng)服務(wù)器、遠(yuǎn)程終端管理器組成��。嗅探器模塊按一定策略檢測(cè)網(wǎng)絡(luò)流量�����,對(duì)非法的流量進(jìn)行記錄以便審計(jì)�����,并按照安全策略進(jìn)行響應(yīng)���;安全管理中心管理嗅探器運(yùn)行�,并生成及加載嗅探器需要的安全策略�,接受嗅探器的檢測(cè)信息,生成審計(jì)結(jié)果�����;遠(yuǎn)程管理系統(tǒng)服務(wù)器負(fù)責(zé)監(jiān)聽(tīng)控制信息��,接收控制信息傳遞給安全管理中心�����,為實(shí)現(xiàn)遠(yuǎn)程管理實(shí)現(xiàn)條件��;遠(yuǎn)程終端管理器為用戶提供遠(yuǎn)程管理界面�����。
0.2 局限性
但是隨著目前網(wǎng)絡(luò)安全形勢(shì)的日漸嚴(yán)峻��,傳統(tǒng)的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)逐漸顯示出以下幾方面的不足:
(1)目前的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)主要以入侵檢測(cè)系統(tǒng)的檢測(cè)結(jié)果作為預(yù)警信息的主要來(lái)源。由于入侵檢測(cè)系統(tǒng)檢測(cè)的被動(dòng)性�,使得預(yù)警自身就存在被動(dòng)性,無(wú)法積極對(duì)受保護(hù)的網(wǎng)絡(luò)實(shí)施預(yù)警��。另外對(duì)于所保護(hù)系統(tǒng)產(chǎn)生威脅的根源―受保護(hù)系統(tǒng)自身的漏洞重視不夠�,從而當(dāng)面對(duì)新的攻擊時(shí)往往束手無(wú)策,處于極度被動(dòng)的局面����。
(2)新的攻擊手段層出不窮,而作為中心的入侵檢測(cè)系統(tǒng)在新的攻擊面前顯得力不從心���。雖然目前也出現(xiàn)了一些啟發(fā)式的檢測(cè)方法���,但是由于誤報(bào)率或者漏報(bào)率比較高,在實(shí)際使用時(shí)也不太理想���。
(3)預(yù)警信息傳送的時(shí)效性�。目前令人可喜的是用戶己經(jīng)注意到了安全問(wèn)題�,所以采用了一些安全部件如防火墻、入侵檢測(cè)系統(tǒng)等對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)���,但是同時(shí)也為預(yù)警信息的傳送帶了問(wèn)題���,即如何穿越防火墻/NAT進(jìn)行信息的實(shí)時(shí)�、有效傳送就是一個(gè)關(guān)鍵的問(wèn)題��。
(4)傳統(tǒng)的網(wǎng)絡(luò)預(yù)警系統(tǒng)中著重在預(yù)警�����,相應(yīng)的響應(yīng)很少或者沒(méi)有���。
1 NAT技術(shù)
1.1 概念
NAT,即Networ Address Translation����,可譯為網(wǎng)絡(luò)地址轉(zhuǎn)換或網(wǎng)絡(luò)地址翻譯。它是一個(gè)IETF標(biāo)準(zhǔn)���,允許一個(gè)機(jī)構(gòu)以一個(gè)地址出現(xiàn)在Internet上��。NAT將每個(gè)局域網(wǎng)節(jié)點(diǎn)的地址轉(zhuǎn)換成一個(gè)IP地址�����,反之亦然�����。它也可以應(yīng)用到防火墻技術(shù)里����,把個(gè)別IP地址隱藏起來(lái)不被外界發(fā)現(xiàn),使外界無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)設(shè)備���。同時(shí)���,它還幫助網(wǎng)絡(luò)可以超越地址的限制,合理地安排網(wǎng)絡(luò)中的公有Internet地址和私有IP地址的使用����。
1.2 分類
1.2.1 靜態(tài)NAT(Static NAT)
即靜態(tài)轉(zhuǎn)換靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址,IP地址對(duì)是一對(duì)一的�,是一成不變的,某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址����。私有地址和公有地址的對(duì)應(yīng)關(guān)系由管理員手工指定。借助于靜態(tài)轉(zhuǎn)換��,可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問(wèn),并使該設(shè)備在外部用戶看來(lái)變得“不透明”����。
1.2.2 動(dòng)態(tài)地址NAT(Pooled NAT)
即動(dòng)態(tài)轉(zhuǎn)換動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí),IP地址對(duì)并不是一一對(duì)應(yīng)的���,而是隨機(jī)的��。所有被管理員授權(quán)訪問(wèn)外網(wǎng)的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的公有IP地址。也就是說(shuō)�����,只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換��,以及用哪些合法地址作為外部地址時(shí)����,就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。每個(gè)地址的租用時(shí)間都有限制���。這樣���,當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí),可以采用動(dòng)態(tài)轉(zhuǎn)換的方式。
1.2.3 網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-Level NAT)
即端口多路復(fù)用通過(guò)使用端口多路復(fù)用��,可以達(dá)到一個(gè)公網(wǎng)地址對(duì)應(yīng)多個(gè)私有地址的一對(duì)多轉(zhuǎn)換����。在這種工作方式下,內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問(wèn)����,來(lái)自不同內(nèi)部主機(jī)的流量用不同的隨機(jī)端口進(jìn)行標(biāo)示,從而可以最大限度地節(jié)約IP地址資源����。同時(shí),又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)���,有效避免來(lái)自Internet的攻擊����。因此�,目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。
1.3 常用穿越技術(shù)
由于NAT的種類不同���,所以具體對(duì)于NAT的穿越技術(shù)也有所不同����。目前比較典型的穿越技術(shù)是協(xié)議隧道傳輸和反彈木馬穿透。前者�����,采用直接從外網(wǎng)往內(nèi)網(wǎng)連接的方式�����,利用防火墻通常允許通過(guò)的協(xié)議(如HTTP協(xié)議)�,將數(shù)據(jù)包按協(xié)議進(jìn)行封裝,從而實(shí)現(xiàn)從外網(wǎng)向內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)傳輸���,但是如果數(shù)據(jù)在通過(guò)防火墻時(shí)經(jīng)過(guò)了NAT轉(zhuǎn)換,就會(huì)失效��;后者是采用由內(nèi)向外的連接方式�,通常防火墻會(huì)允許由內(nèi)向外的連接通過(guò),但是沒(méi)有真正解決防火墻的穿越問(wèn)題�,無(wú)法解決對(duì)于由外向內(nèi)的對(duì)實(shí)時(shí)性要求較高的數(shù)據(jù)傳輸,并且對(duì)于應(yīng)用型防火墻�����,穿越時(shí)也比較困難。
2 網(wǎng)絡(luò)安全預(yù)警系統(tǒng)中防火墻/NAT的穿越
2.1 應(yīng)用型防火墻檢測(cè)及信息注冊(cè)模塊
本模塊主要用于驗(yàn)證發(fā)送方和接收方的報(bào)文是否能通過(guò)自身所在網(wǎng)絡(luò)的防火墻�,尤其是穿越應(yīng)用服務(wù)器的注冊(cè)相關(guān)信息,并獲取必要的信息��。
當(dāng)發(fā)送方或接收方存在應(yīng)用型防火墻時(shí)��,可由發(fā)送方或接收方連接服務(wù)器�����,從而建立映射關(guān)系�����。由于發(fā)送方或接收方采用TCP連接方式連接服務(wù)器�,所以映射關(guān)系可以一直保持。所以當(dāng)服務(wù)器與主機(jī)連接時(shí)只需要知道相應(yīng)的服務(wù)器地址����、端口即可,而這些信息又可以從全局預(yù)警中心的注冊(cè)信息中獲得�����,從而解決了穿越應(yīng)用型防火墻的問(wèn)題�。
2.2 陣雨NAT及包過(guò)濾���、狀態(tài)檢測(cè)型防火墻檢測(cè)模塊
本模塊主要用于檢測(cè)接收方所在網(wǎng)絡(luò)是否存在NAT以及是否存在類型為包過(guò)濾和狀態(tài)檢測(cè)類型的防火墻。在NAT檢測(cè)報(bào)文中包含接收方的IP地址和端口����,當(dāng)?shù)竭_(dá)發(fā)送方或者全局預(yù)警中心時(shí),通過(guò)檢查NAT檢測(cè)報(bào)文的來(lái)源IP及端口�����,再比較報(bào)文中的IP地址和端口�,若相同,則未經(jīng)過(guò)NAT�,否則經(jīng)過(guò)了NAT。單從訪問(wèn)控制來(lái)說(shuō)����,包過(guò)濾和狀態(tài)檢測(cè)類型的防火墻可能會(huì)阻止由外網(wǎng)到內(nèi)網(wǎng)的連接�����,但是����,它不會(huì)改變連接的目的地址以及端口����,所以通過(guò)向指定測(cè)試端口發(fā)送連接請(qǐng)求可看出是否有此類型的防火墻阻隔��。
2.3 NAT映射維持模塊
本模塊主要根據(jù)NAT及包過(guò)濾�����、狀態(tài)檢測(cè)型防火墻檢測(cè)模塊的檢測(cè)結(jié)果��,反映出不同的映射維持�����。
當(dāng)接收方所在網(wǎng)絡(luò)存在NAT時(shí)����,經(jīng)過(guò)映射維持,使得在接收方所在網(wǎng)絡(luò)的NAT處始終保持了一條接收方外網(wǎng)地址與內(nèi)網(wǎng)地址的映射關(guān)系�����,從而使得發(fā)送方只要根據(jù)接收方的外網(wǎng)地址和端口即可與接收方直接通信���,從而解決了外網(wǎng)與內(nèi)網(wǎng)直接通信的問(wèn)題���。
當(dāng)接收方所在的網(wǎng)絡(luò)不存在NAT�,但存在狀態(tài)檢測(cè)����、包過(guò)濾類型的防火墻時(shí),由于不斷發(fā)送的NAT維持報(bào)文的存在��,相應(yīng)地在防火墻處開(kāi)放了相應(yīng)的端口����,使得發(fā)送方可以從外到內(nèi)通過(guò)此端口進(jìn)行信息傳送。
2.4 信息傳送模塊
防火墻的問(wèn)題��。對(duì)于一般類型的包過(guò)濾���、狀態(tài)檢測(cè)防火墻����,因?yàn)橥ㄐ艃?nèi)容已封裝成HTTPS協(xié)議的格式���,所以對(duì)于從防火墻內(nèi)部向外部的連接可穿越此類型的防火墻。對(duì)于從防火墻外部到內(nèi)部的連接��, NAT映射維持模塊中NAT映射報(bào)文的存在也巧妙的解決了信息傳送的問(wèn)題。
3 結(jié)束語(yǔ)
本文采用HTTPS封裝實(shí)際傳輸數(shù)據(jù)�,可以使得數(shù)據(jù)安全傳送,保證了信息可以穿越防火墻/NAT進(jìn)行�。但也存在著增加硬件額外開(kāi)銷、NAT映射相對(duì)維持報(bào)文較頻繁等缺點(diǎn)����,這些有待在進(jìn)一步的研究中予以解決。
參考文獻(xiàn):
[1]肖楓濤.網(wǎng)絡(luò)安全主動(dòng)預(yù)警系統(tǒng)關(guān)鍵技術(shù)研究與實(shí)現(xiàn) [D].長(zhǎng)沙:國(guó)防科學(xué)技術(shù)大學(xué).2009.
[2]張險(xiǎn)峰等.網(wǎng)絡(luò)安全分布式預(yù)警體系結(jié)構(gòu)研究[J].計(jì)算機(jī)應(yīng)用.2011.05.
