㈠ 基于WEB的网络计算的定义

基于web,可以理解为使用http协议进行的网络计算
网络计算参考:
网络计算的四种形式
------------------------------------------------------------------

肖侬 卢锡城 王怀民(转载自计算机世界)
20世纪90年代,Internet蔓延到世界各地,成为人们沟通信息和协同工作的有效工具,更为重要的是,Internet上汇集的成千上万的计算资源、数据资源、软件资源、各种数字化设备和控制系统共同构成了生产、传播和使用知识的重要载体。人们开始思考如何将物理上互连的众多资源汇聚起来,联合提供服务,重新认识网络计算技术的实质。
目前,网络计算正处于发展阶段,人们对它的定义还没有形成共识,但一个相对可以接受的理解是:“网络计算”是把网络连接起来的各种自治资源和系统组合起来,以实现资源共享、协同工作和联合计算,为各种用户提供基于网络的各类综合性服务。基于此,人们把企业计算、网格计算、对等计算和普及计算归类为网络计算。
企业计算:以中间件为核心
企业计算是“以实现大型组织内部和组织之间的信息共享和协同工作为主要需求而形成的网络计算技术”,其核心是Client/Server计算模型和相关的中间件技术。
早在20世纪80年代,人们就提出在互连的计算机硬件上部署新型的分布式操作系统,全面彻底地管理整个系统,给用户单一的系统视图。尽管这一努力产生了许多技术成果和实验系统,但一直没有形成可用的产品,人们直觉地感到在不断扩展的局部自治异构系统上实现资源的集中管理几乎是不可能的,于是开始采用中间件平台技术,以屏蔽系统的异构性,支持局部自治系统的信息交互和协同。经过十几年的发展,中间件取得了令人瞩目的发展,出现了远程数据库访问、远程过程调用、消息传递、交易管理等各类中间件。
20世纪90年代末,面向对象的中间件技术成为中间件平台的主流技术,出现了以Sun公司的EJB/J2EE、Microsoft的COM+/DNA和OMG的CORBA/OMA为代表的三个技术分支。其研究热点是建立标准化的对象请求代理,屏蔽网络环境下计算平台、操作系统、编程语言、网络协议的异构性和复杂性,使分布在网络上的应用系统能够协同工作,为网络应用提供通用的高级网络管理服务以及与应用领域相关的增值服务。
进入新世纪,随着电子商务需求的发展,企业计算面临企业间的信息共享和协同工作问题,面向Web的企业计算解决方案成为热点,为此W3C提出了Web Service技术体系,Microsoft推出了.Net技术,Sun推出SUN ONE架构,企业计算技术全面进入Internet时代。 网格计算:让计算能力“公用化”
网格计算(Grid Computing)是网络计算的另一个具有重要创新思想和巨大发展潜力的分支。最初,网格计算研究的目标是希望将超级计算机连接成为一个可远程控制的元计算机系统(MetaComputers);现在,这一目标已经深化为建立大规模计算和数据处理的通用基础支撑结构,将网络上的各种高性能计算机、服务器、PC、信息系统、海量数据存储和处理系统、应用模拟系统、虚拟现实系统、仪器设备和信息获取设备(如传感器)集成在一起,为各种应用开发提供底层技术支撑,将Internet变为一个功能强大、无处不在的计算设施。
网格计算可以从三个方面来理解。
首先,从概念上,网格计算的目标是资源共享和分布协同工作。网格的这种概念可以清晰地指导行业和企业对各部门的资源进行基于行业或企业的统一规划、部署、整合和共享,而不仅仅是行业或大企业中的各个部门自己规划、占有和使用资源。这种思想的沟通和认同对行业和企业是至关重要的,将提升或改变整个行业或企业信息系统的规划部署、运行和管理机制。
其次,网格是一种技术。为了达到多种类型的分布资源共享和协作,网格计算技术必须解决多个层次的资源共享和合作技术,制定网格的标准,将Internet从通信和信息交互的平台提升到一个资源共享的平台。
最后,网格是基础设施,是各种网络来综合计算机、数据、设备、服务等资源的基础设施。随着网格技术逐步成熟,建立地理分布的遍布全国或全球的大型资源节点,集成网络上的多个资源,联合向全社会按需提供全方位的信息服务。这种设施的建立,将使用户如同今天我们按需使用电力一样,无需在用户端配全套计算机系统和复杂软件,就可以简便地得到网格提供的各种服务。
如同电力系统一样,把网格设施作为一个国家战略信息基础设施来规划、建设和运行管理,其复杂度和难度是相当大的,这里面有思想和观念上的变化,技术上的难点,以及国家法律和政策上的问题等,需要经过多年的艰苦努力。但是,大型企业、行业、国防等部门完全可以从现在就开始实施网格基础设施战略。
网格计算的重要战略意义及其广阔应用前景,使其成为当今吸引众多研究人员和巨大资金投入的研究热点,一些大型网格计算研究项目相继启动。截止到目前,最著名的网格计算研究项目包括以下一些:
● 美国自然科学基金于1997年底开始实施的“分布式网格”研究项目,其目标是在美国建立遍及全国的计算网格,支持重大科学与工程计算,为用户提供到桌面上的虚拟高性能计算环境。
● 美国国家航空和宇宙航行局(NASA)的IPG(Information Power 网格)项目。这是一个20年的研究计划,目的是让人们使用计算资源和信息资源就像使用电力网提供的电力资源一样方便快捷。
● 美国能源部开发的ASCI 网格已经投入生产性使用,其主要用途是核武器研究。
● 美国国防部的全球信息网格(GIG)项目是最庞大的网格计划,用于美军新世纪作战支撑,预计2020年完成。
● 欧洲共同体的Euro网格和Data 网格。主要用于包括高能物理、生物计算、气候模拟等多个领域的应用。
● 2001年8月,美国NSF宣布了一个重大科研项目,研制名为“分布式万亿级设施”(Distributed Terascale Facility)的网格系统,简称Tera网格,它是世界上第一个从设计开始就面向网格的广域超级计算平台,也是第一个无处不在的计算机基础设施。
● 我国科技部在“九五”开展了国家高性能计算环境(网格)建设和关键技术的研究。“十五”期间科技部加大了对网格技术研究和推广的力度,目标是突破网格关键技术,建立网格计算技术标准,将网格计算技术应用到行业和企业应用中,建立行业和企业应用网格,进一步加强全社会共享的国家高性能网格计算环境的建设,推动我国网格产业的形成和发展。
目前,大的网格项目研究和实施有一个显著的特点,即各个项目是直接面向应用,与应用领域紧密相关。目前,IBM、HP、Sun、LSF、Boeing等公司都已经进入网格计算领域,加紧研究相关的技术和产品。
这里需要强调的是“网格计算”与“高性能计算机”的关系。高性能计算机是网格计算环境结构的节点和重要组成部分;网格计算技术是高性能计算技术的发展方向之一,它并不能替代超高性能计算机系统。但是未来的超高性能计算机系统必须支持网格计算环境,应能够很容易地融入到网格计算环境中,将其强大的计算和数据存储处理能力提供给众多的用户使用。网格计算技术的目的是结合高性能计算技术和网络计算技术,将高性能计算机的能力释放出去,构造一个公共的高性能处理和海量信息存储的计算基础设施,使各类用户和应用能够共享资源。因此,网格计算将会促进高性能计算机应用的发展,促进高性能计算机服务市场的发展,刺激市场对高性能计算机和海量存储系统的需求。
对等计算:倡导“平等”共享
对等计算(Peer-to-Peer,简称P2P)是在Internet上实施网络计算的新模式。在这种模式下,服务器与客户端的界限消失了,网络上的所有节点都可以“平等”共享其他节点的计算资源。
IBM为P2P下了如下定义:P2P系统由若干互联协作的计算机构成,且至少具有如下特征之一:系统依存于边缘化(非中央式服务器)设备的主动协作,每个成员直接从其他成员而不是从服务器的参与中受益;系统中成员同时扮演服务器与客户机的角色;系统应用的用户能够意识到彼此的存在,构成一个虚拟或实际的群体。
不难看出,P2P把网络计算模式从集中式引向分布式,也就是说,网络应用的核心从中央服务器向网络边缘的终端设备扩散:服务器到服务器、服务器到PC机、PC机到PC机,PC机到WAP手机,所有网络节点上的设备都可以建立P2P对话。
P2P给Internet的分布、共享精神带来了无限的遐想。有观点认为,至少能开发出几百种应用。但从目前的应用看,P2P的威力还主要体现在大范围的共享和搜索的优势上,诸如对等计算、协同工作、搜索引擎、文件交换等。
普及计算:计算无所不在
普及计算(ubiquitous computing or pervasive computing)强调人与计算环境的紧密联系,使计算机和网络更有效地融入人们的生活,让人们在任何时间、任何地点都能方便快捷地获得网络计算提供的各种服务。
普及计算研究的内容主要包括两个方面:自然的人机交互和网络计算。美国排名前10位的大学无一例外地投巨资设立了以“普及计算”为主要方向的研究计划。目前有4个研究计划最具影响力,这些计划的目标是提出全新的体系结构、应用模式、编程模型等基础理论模型和方法。
● MIT的Oxygen研究计划
该计划的研究人员认为,未来世界将是一个到处充斥着嵌入式计算机的环境,它们已经融入了人们的日常生活中。Oxygen希望充分利用这些计算资源,达到“做得更少,完成更多(to do more by doing less)”的目的。
● CMU的Aura研究计划
它致力于研究在普及计算时代,在用户和计算环境之间增加一层软件层(称为Aura),由Aura代理用户去管理、维护分布式计算环境中频繁变化、松散耦合的多个计算设备,以完成用户的目标任务。Aura推崇的理念是:“‘人的精力’(User Attention)是最宝贵的资源,应该让它集中在用户要完成的任务上,而不是管理、配置硬件和软件资源上”。
● UC Berkeley的Endeavour计划
这是UC Berkeley进行的旨在通过运用信息技术,提供全新的、全球规模的信息基础设施,从根本上方便人们与信息、设备和他人进行交互的计划。这些信息设施应该能够动态实时地协调世界上任何可用的资源来满足用户计算的需要,其创新点之一是“流体软件”(Fluid Software),这种软件能够自适应地选择在何处执行、在何处存储,它通过协议获得可用资源并向其他实体提供服务。
● 华盛顿大学的Portolano计划
该计划提出了“数据为中心的网络”以适应让计算本身变成不可见的(Invisible Computing)的要求。该计划认为目前计算机技术的发展仍然是技术驱动而非用户需求驱动。为了改变这一现状,该计划致力于研究根据用户的位置变化而自适应地改变软件用户界面的机制、以数据为中心的网络以及新型的分布式服务模型。
各类网络计算之间的异同
以上四类网络计算虽然侧重点不同,但最终的目标是一致的:广泛共享、有效聚合、充分释放。
所谓广泛共享,是指通过各种方法、技术和策略将网络上的各种资源提供给网络上众多用户共享、使用;所谓有效聚合,是指将网络上的巨大资源通过协同工作连接集成起来,产生巨大的综合效能,联合完成应用任务;所谓充分释放,是指为用户提供良好的开发手段和使用环境,将网络上多种资源的聚合效能按照需求传递给用户,为用户提供个性化的信息服务、计算服务和决策支持服务。
但是面对众多的网络计算技术和应用,人们有时很难区分它们之间的技术差异,不知道谁将成为未来网络计算的主导。事实上,虽然最终目标一致,但各种网络计算技术的应用范围和研究对象的规模、层次却各有不同。
面向对象的分布式计算技术强调的是分布系统的集成能力,以两层或多层Client/Server为主要计算模式,关心的是简化用户端的工作,强化多层服务器的功能,注重分布系统之间的协同工作和快速的应用开发和实现,强调应用服务之间的可交互、可操作性和代码的可移植性,通常关注一个组织内的资源共享。
P2P技术弱化了集中服务器的功能,重视网络中所有个体的作用,强调的是个体之间、系统之间、计算机之间的直接通信和联系,每一个参与者既是客户又是服务方,这使人们在Internet上的共享行为被提升到了一个更广泛的层次,使人们以更主动的方式参与到网络中去。它与现行以中间件为主的分布式计算技术所采用的Client/Server模式有本质区别。
网格计算在Internet基础上强调对计算、数据、设备等网络基本资源进行整合,力图将Internet作为一个社会化的计算基础设施。在计算模型、技术路径和研究目标上,网格计算和目前分布计算中间件领域面向应用级别的交互、互操作和开发有很大的不同。它强调多机构之间大规模的资源共享和合作使用,提供了资源共享的基本方法,而分布计算技术没有提供多组织之间的资源共享通用框架。显然,网格计算正在建立一种新的Internet基础支撑结构(如同TCP/IP、WWW协议和相应的软件系统奠定了现行Internet的基础),是21世纪Terascale设施的信息处理基础设施的先期实践。
普及计算模式则是要颠覆“人使用计算机”的传统方式,将人与计算机的关系改变为“计算机为人服务”,从某种意义上说,是让人与计算环境更好地融合在一起。
尽管各种网络计算技术有差异,但是它们之间并不是冲突的关系,而是一种正交关系,有时甚至是融合的,因此,各种网络计算技术可以共存。例如网格计算和CORBA、SOAP、XML等技术结合可以访问多个机构组成的虚拟组织的资源。
信息技术的多变性使我们不能肯定10年之后的网络计算将会发展到何等程度,但是多种网络计算形式共存、相互结合和融合是肯定的。无论如何,从当今基于Internet的各种网络计算实践和研究来看,实现网络资源的共享,提供大规模协同计算能力和对资源的有效访问,是网络计算未来发展的趋势,是下一代Internet的技术基础。

posted on Monday, April 19, 2004 12:19 AM

㈡ 网络安全的关键技术有哪些

一.虚拟网技术

虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的安全问题:
执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。
基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。
基于MAC的VLAN不能防止MAC欺骗攻击。
以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
但是,采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。

二.防火墙枝术

网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.
1、使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法,而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。
2、 设置Firewall的要素
网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。
服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。
Firewall设计策略
Firewall设计策略基于特定的firewall,定义完成服务访问策略的规则。通常有两种基本的设计策略:
允许任何服务除非被明确禁止;
禁止任何服务除非被明确允许。
通常采用第二种类型的设计策略。
3、 Firewall的基本分类
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转换(NAT)
是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型监测型
防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
4、 建设Firewall的原则
分析安全和服务需求
以下问题有助于分析安全和服务需求:
√ 计划使用哪些Internet服务(如http,ftp,gopher),从何处使用Internet服务(本地网,拨号,远程办公室)。
√ 增加的需要,如加密或拔号接入支持。
√ 提供以上服务和访问的风险。
√ 提供网络安全控制的同时,对系统应用服务牺牲的代价。
策略的灵活性
Internet相关的网络安全策略总的来说,应该保持一定的灵活性,主要有以下原因:
√ Internet自身发展非常快,机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题,安全策略必须能反应和处理这些问题。
√ 机构面临的风险并非是静态的,机构职能转变、网络设置改变都有可能改变风险。
远程用户认证策略
√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。
√ PPP/SLIP连接必须通过Firewall认证。
√ 对远程用户进行认证方法培训。
拨入/拨出策略
√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。
√ 外部拨入用户必须通过Firewall的认证。
Information Server策略
√ 公共信息服务器的安全必须集成到Firewall中。
√ 必须对公共信息服务器进行严格的安全控制,否则将成为系统安全的缺口。
√ 为Information server定义折中的安全策略允许提供公共服务。
√ 对公共信息服务和商业信息(如email)讲行安全策略区分。
Firewall系统的基本特征
√ Firewall必须支持.“禁止任何服务除非被明确允许”的设计策略。
√ Firewall必须支持实际的安全政策,而非改变安全策略适应Firewall。
√ Firewall必须是灵活的,以适应新的服务和机构智能改变带来的安全策略的改变。
√ Firewall必须支持增强的认证机制。
√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。
√ IP过滤描述语言应该灵活,界面友好,并支持源IP和目的IP,协议类型,源和目的TCP/UDP口,以及到达和离开界面。
√ Firewall应该为FTP、TELNET提供代理服务,以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP,http等)也必须通过代理服务器。
√ Firewall应该支持集中的SMTP处理,减少内部网和远程系统的直接连接。
√ Firewall应该支持对公共Information server的访问,支持对公共Information server的保护,并且将Information server同内部网隔离。
√ Firewall可支持对拨号接入的集中管理和过滤。
√ Firewall应支持对交通、可疑活动的日志记录。
√ 如果Firewall需要通用的操作系统,必须保证使用的操作系统安装了所有己知的安全漏洞Patch。
√ Firewall的设计应该是可理解和管理的。
√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。
5、选择防火墙的要点
(1) 安全性:即是否通过了严格的入侵测试。
(2) 抗攻击能力:对典型攻击的防御能力
(3) 性能:是否能够提供足够的网络吞吐能力
(4) 自我完备能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP网管
(6) VPN支持
(7) 认证和加密特性
(8) 服务的类型和原理
(9)网络地址转换能力

三.病毒防护技术

病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。
我们将病毒的途径分为:
(1 ) 通过FTP,电子邮件传播。
(2) 通过软盘、光盘、磁带传播。
(3) 通过Web游览传播,主要是恶意的Java控件网站。
(4) 通过群件系统传播。
病毒防护的主要技术如下:
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。

四.入侵检测技术

利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:
(1) 入侵者可寻找防火墙背后可能敞开的后门。
(2) 入侵者可能就在防火墙内。
(3) 由于性能的限制,防火焰通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类:
√ 基于主机
√ 基于网络
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。
基于网络的入侵检测系统用于实时监控网络关键路径的信息,其基本模型如右图示:
上述模型由四个部分组成:
(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。
(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征,结果传送给Countermeasure部分。
(3) countermeasure执行规定的动作。
(4) Storage保存分析结果及相关数据。
基于主机的安全监控系统具备如下特点:
(1) 精确,可以精确地判断入侵事件。
(2) 高级,可以判断应用层的入侵事件。
(3) 对入侵时间立即进行反应。
(4) 针对不同操作系统特点。
(5) 占用主机宝贵资源。
基于网络的安全监控系统具备如下特点:
(1) 能够监视经过本网段的任何活动。
(2) 实时网络监视。
(3) 监视粒度更细致。
(4) 精确度较差。
(5) 防入侵欺骗的能力较差。
(6) 交换网络环境难于配置。
基于主机及网络的入侵监控系统通常均可配置为分布式模式:
(1) 在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。
(2) 在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。
选择入侵监视系统的要点是:
(1) 协议分析及检测能力。
(2) 解码效率(速度)。
(3) 自身安全的完备性。
(4) 精确度及完整度,防欺骗能力。
(5) 模式更新速度。

五.安全扫描技术

网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面:
(1) 速度。在网络内进行安全扫描非常耗时。
(2) 网络拓扑。通过GUI的图形界面,可迭择一步或某些区域的设备。
(3) 能够发现的漏洞数量。
(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。
(5) 报告,扫描器应该能够给出清楚的安全漏洞报告。
(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级,并给出相应的改进建议。
安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发现安全漏洞。

六. 认证和数宇签名技术

认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证技术将应用到企业网络中的以下方面:
(1) 路由器认证,路由器和交换机之间的认证。
(2) 操作系统认证。操作系统对用户的认证。
(3) 网管系统对网管设备之间的认证。
(4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。
(7) 电子邮件通讯双方的认证。
数字签名技术主要用于:
(1) 基于PKI认证体系的认证过程。
(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。
认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。
UserName/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、rlogin等,但由于此种认证方式过程不加密,即password容易被监听和解密。
使用摘要算法的认证
Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key,加上摘要算法(MD5)进行认证,由于摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security key,敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
基于PKI的认证
使用公开密钥体系进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。
该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。