《0326 多级防火墙策略智能优化及冲突检测研究报告讨论稿》由会员分享,可在线阅读,更多相关《0326 多级防火墙策略智能优化及冲突检测研究报告讨论稿(104页珍藏版)》请在金锄头文库上搜索。
1、多级防火墙策略智能优化及冲突检测研究报告 版本1.0 密级商业机密 发布安码科技 日期2013-03-25 2013 安码科技 www.safe-多级防火墙策略智能优化及冲突检测研究报告 版本变更记录时间版本说明修改人2013-03-251.0完成版本1.0李伟 适用性声明本模板用于撰写安码科技各种文件,未经授权,严禁复制、编辑和传播!本文件用于网络设备策略审计系统需求分析,仅适用于此种场合。2012 安码科技目录一.引言21.1编写目的21.2项目背景21.3术语定义3二.任务概述32.1目标32.2用户的特点4三.需求规定43.1功能需求43.1.1用户认证模块43.1.2设备管理模块43
2、.1.3任务管理模块53.1.4系统升级模块53.1.5日志管理模块53.2性能需求63.2.1精确度需求63.2.2可扩展性需求63.3故障处理需求7- I -2012 安码科技 密级:商业机密多级防火墙策略智能优化及冲突检测研究报告一. 项目目的和意义1.1 现状需求信息是社会发展的战略资源,信息技术和信息产业正在改变传统的生产、经营和生活,成为新的经济增长点,信息技术的广泛应用也使知识经济初见端倪。信息网络国际化、社会化、开放化、个人化的特点使国家的“信息边疆”不断延伸,甚至到了每一个上网终端。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,使得信息安全成为维护国家安全和社会稳定的一个焦
3、点,因此各国政府都给予了极大的关注与投入。随着互联网和网络应用系统的快速发展,各种对网络的攻击入侵也不断升级。变化多端的入侵方式和快速增长的入侵频率,严重影响了系统的正常运行,而防火墙是在网络间通信时执行的一种访问控制机制,它能允许获得授权或者可靠的人或数据进入网络,同时将“不受欢迎”的人或数据流拒之门外,尽可能地阻止网络中的黑客访问。防火墙的历史可以大致分为五个阶段:(1)20世纪80年代,最早的防火墙与路由器几乎同时问世,第一代的防火墙主要是基于包过滤(Packetfilter)技术,是依附于路由器的一种带有包过滤功能的防火墙模块;随着对信息安全和网络安全的逐渐重视,防火墙慢慢发展为一个具
4、有独立结构、专门功能的设备。(2)到1989年,贝尔实验室的DavePresotto和HowardTrickey首先最早推出了第二代防火墙,即电路层防火墙;(3)进入20世纪90年代初,开始推出第三代防火墙,即应用层防火墙(或者叫做代理防火墙);(4)1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的防火墙,后来该技术演变为目前所说的状态监视(Statefulinspection)技术。(5)1994年,市面上出现了第四代防火墙,即以色列的CheckPoint公司推出的基于这种技术的商业化产品;到了1998年,NAI公司推出了
5、一种自适应代理(Adaptiveproxy)技术,并在其产品GauntletFirewallforNT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。随着Internet技术的不断发展,网络安全问题日益显著,如何有效地保护网络系统免遭非法入侵,已成为世界性的问题。多级防火墙技术作为一种安全技术,正受到人们越来越多的关注。这种网络安全结构是具有可扩展性、可升级性的应用系统,由运行在不同服务器上的表述层、中间层和数据层模块生成,其作用是保护网上可访问的多级应用。1.多级应用系统为了把核心功能区划分成能够彼此独立设计、管理和维护的群组,网络工程师把基于Web的应用系统分为几个
6、逻辑层。下面给出了各层逻辑组件在通常情况下的应用:1)表述层组件通常与Internet相邻,并且它是唯一直接被终端用户访问的的模块。这些公开访问服务是通过使用www、DNS和MAIL服务器实现的。这些服务器上的软件作为统一系统的一部分,承担若用户和后台组件之间信息交互的任务。表述层的应用系统用户界面可以用CGI scripts,JSP script和Asp script来设计。除了与人交互,表述层系统还可以通过网络与其它主机进行通讯。2)中间层组件通过执行应用程序,来响应表述层用户的服务请求,但他们并不是由用户直接访问的。这些中间层组件通常用应用服务,如:BEAWebLogic,IBMWebs
7、phere来完成,这些应用服务为中间层组件提供了一种框架结构的运行环境,包括:EJBs、CORBA和NET。3)数据层组件用来运行一些典型的数据库服务和目录服务,如:Oracle数据库、iPlanet目录服务等,也可运行由用户自己编写的应用程序,包括一些诸如客户档案、账号信息和钱物交易报告等的敏感数据,因此它是整个应用系统中风险程度最高的数据资源。本文讨论了3层应用的情况,但是这些概念也可扩充到4层甚至更多层图1-1是基于web多级应用的逻辑结构。根据这个结构设计出如下工作流程:Internet用户通过网络浏览器向Web服务器提出请求。2)Web服务器处理请求并且将它传到到应用程序服务器。3)
8、应用程序服务器从数据库获得必要的信息,处理请求并且反馈回Web服务器。然后,Web服务器将信息按特定格式显示给用户。图1-1 多层应用结构应用系统的多级结构允许你根据网络资源的曝光敏感度和对安全性能的妥协程度来设计网络。下面让我们来分析多层应用如何运行在单防火墙和单子网的情况。2.单防火墙和单子网由于不同的网络资源存在着不同的风险程度,所以要基于此来对网络资源进行划分。这里的风险包含2个因素:资源将被妥协的可能性和资源本身的敏感性。就像一个web服务器,应用CGI技术往往会比只提供静态网页更容易得到用户的认可但是随之带来的却是Web服务器的安全隐患。数据库服务器中存放有重要数据,它比Web服务
9、器更加敏感,因此也就更加需要安全保护。网络管理员在服务器前端配置防火墙,能在一定程度上减少服务器全面暴露的风险。图1-2 单防火墙和单子网结构使用单防火墙和单子网保护多级应用系统的网络结构如图1-2所示。在这种设计方案中,所有网络服务器都被安排在同一个子网中,防火墙配置在边界路由器与内部网络之间,防御来自Internet的网络攻击。这样就能使各级网络服务器的安全得到加强,使应用系统尽可能免遭攻击。使用单防火墙和单子网保护服务器的方案系统造价便宜,而且网络管理和维护比较简单这是该方案的一个重要优点。因此,当进一步隔离网络服务器并不能从实质上降低重要数据的安全风险时,采用单防火墙和单子网的方案的确
10、是一种经济的选择。3.单防火墙和多子网但是,在单子网单防火墙设计中,不同安全级别的服务器被安排在同一个子网中,享有相同级别的安全保护,经常会造成低级别用户非法获得高级别权限,导致重要数据泄漏。这时,更适于采用一种更为精巧的网络结构单防火墙划分多子网的结构。单个防火墙划分多重子网的方法就是在一个防火墙上开放多个端口,用该防火墙把整个网络划分成多个子网,每个子网分管应用系统的特定的层,不同层的服务器分别放在不同的于网中。管理员能够在防火墙不同的端口上设置不同的安全策略,就能有效地提高数据层服务器的安全性,也能够帮助防御其它类型的攻击。设计原理如图1-3所示。图1-3 单防火墙多子网结构在这种配制中
11、,Internet用户只能直接访问表述层的服务器,表述层服务器只能访问到中间层服务器而中间层服务器也只能访问数据库服务器。这种结构与图1-1中的多级应用结构进行对比,就会发现这种设计能贴切地反映应用系统的需求,并且能对每个层进行有效的访问控制。但是,这种情况下防火墙的访问控制策略要比所有服务器在同一个子网的情况复杂得多,因而这种设计也增加了防火墙配置失误的可能性。在相应子网中设置每项应用是一个复杂的任务,因为他要求网络设计者做出非常适合应系统安全需要的网络设计。防火墙的这种设计就像大型轮船中要分割出多个水密箱一样,当一个水密箱漏水时,其它水密箱还能保证轮船的安全性。使用单个防火墙分割网络是对应
12、用系统分层的最经济的一种方法,但它并不是没有局限性。逻辑上的单个防火墙,即便有冗余的硬件设备,当用它来加强不同安全风险级别的服务器的安全策略时,如果该防火墙出现危险或错误的配置,入侵者就会获取所有子网包括数据层服务器所在的最敏感网络的访问权限。而且,该防火墙需要检测所有子网问的流通数据,因此它会变成网络执行效率的瓶颈。所以,在资金允许的情况下,我们可以用另一种设计方案多个防火墙划分多个子网的方法,来消除这种缺陷。4.多防火墙多子网为了既消除对单个防火墙的依赖性,又能在内部子网通讯上仍然保持良好的控制,我们可以使用多级防火墙来保护内部网络。如图1-4所示,系统中配置了3个系列防火墙。随着资源的安
13、全敏感度的增加,在Internet和网络资源之间的防火墙也逐级增加。在这个设计中,根据各级应用系统的结构和安全策略,配置相应级别的防火墙,各级防火墙之间具有很好的独立性,并且缓和了相邻子网之间数据传输中的瓶颈问题。图1-4 多防火墙与多子网结构1.2 目的与意义计算机的快速发展是社会经济发展的产物,知识经济的到来使人类对计算机的需求越来越大。信息资源的共享时代下互联网蓬勃发展,它与社会生活的各方面密切相关。但与之俱来的威胁也是不可避免的,一旦网络系统遭受袭击整个系统将面临瘫痪的危险,造成文化、经济各方面的损失。网络安全的维护显得尤为重要,而多级防火墙的设置便是一种有效的计算机网络安全维护措施。
14、现实中的防火墙坚实牢固可以阻挡一切可能引起火灾的苗头,而网络上的防火墙亦是如此。防火墙是设置在网络之间的一些列阻隔措施,它可以选择性的阻隔不良信息以及对外界站点设置访问权限,在有访问时,系统自动进行访问权限审核识别不良网站和病毒,最大程度限制黑客侵入网络,从而限制某些网络活动。最终达到保护系统安全的目的。通常情况下构成计算机网络安全威胁的因素有以下几点:1计算机网络安全软件使用不当目前计算机市场上有许多安全产品。但大多数用户使用的还是一些网络上的免费软件,但是这些产品本身或多或少都存在一些系统漏洞,有的网络安全设备在面临病毒入侵或者黑客攻击时本身不具有抵抗能力,没有起到保护作用。在安装安全维护软件时对使用者本身也有一定的要求,对配置人员的技术要求也较为严苛,因此,在计算机网络安全软件的使用中存在威胁网络安全的因素,极易引发计算机网络安全问题。2.计算机软件和程序开发漏洞软件程序开发漏洞是指计算你软件工程师在设计一款新软件时有意或者无意造成的系统漏洞。有意者为谋取暴力,在开发软件时在软件后台植入盗窃计算机信息的漏洞,或者在后台植入病毒扰乱计算机正常使用。无意者主要指在研发新软件的过程中,因为个人疏忽或是技术水平不够造成软件后台运作系统的漏洞。这些有意或者无意的漏洞在计算机网络运行时便极易遭到恶性攻击从而破坏整个计算机网络安全系统。3.计算机病毒
