《基于netfilter的数据库防火墙的研究与实现学》由会员分享,可在线阅读,更多相关《基于netfilter的数据库防火墙的研究与实现学(50页珍藏版)》请在金锄头文库上搜索。
1、华中科技大学 硕士学位论文 基于Netfilter的数据库防火墙的研究与实现学 姓名:张弛 申请学位级别:硕士 专业:信息安全 指导教师:祝建华 2011-01-19 华 中 科 技 大 学 硕 士 学 位 论 文 I 摘摘 要要 随着互联网的开放程度越来越高,网络信息安全问题已日趋严峻,网络数据库 的应用越来越广泛,存储的信息越来越有价值,一旦这些信息暴露,其后果不堪设 想,因此数据库中的数据必须得到有力的保护。 数据库系统的安全问题从层次上来讲主要有这样三个层次:网络系统层、操作 系统层以及数据库管理系统层。这三个层次通过不同的安全技术以及策略为整个数 据库系统的安全提供不同类型的安全保障
2、,保证数据库中数据的安全。其中在网络 系统层次对数据库安全体系开展的安全加固技术甚少。而防火墙作为网络系统层次 最主要的网络安全技术,可以为数据库安全体系提供网络系统层次安全的支撑。 结合 Linux 下防火墙体系所使用的 netfilter 的框架以及防火墙中包过滤技术所提 出了一种基于 netfilter 的数据库防火墙模型, 其独立于数据库管理系统又服务数据库 管理系统,在网络层为数据库的安全提供安全防护。但是由于防火墙技术自身只能 提供静态防御的局限性,使得数据库防火墙不够智能,而入侵检测中的异常行为检 测技术可以发现系统中出现的异常行为,结合此特点将其与数据库防火墙进行联动, 即通过
3、异常行为检测技术发现动态的异常行为并通过数据库防火墙采取动态的防护 响应,以此实现一个动态的安全防护模型,进一步提高对数据库系统的防护能力。 关键词:关键词:数据库安全,防火墙,异常检测,包过滤 华 中 科 技 大 学 硕 士 学 位 论 文 II Abstract With the Internet becoming more open, network information security has become increasingly severe, more and more extensive network database, the stored information is
4、 increasingly valuable, once exposed to this information, the consequences would be disastrous, so the database database must be strong protection. Database security framework is divided into three levels: network level and operating system level, database management system level. The three levels o
5、f security built into the system, database system, and data security relationship is gradually close, layer by layer to enhance prevention of importance, from outside to inside, from outside to inside to ensure data security.Firewall network security technology as the most direct and effective means
6、 of, as the current network system for local network access control strategy to protect one of the most popular network security protection tools. The firewall with Linux netfilter system in the framework used and the packet filtering firewall technology presents a database based on netfilter. Firew
7、all Model and its independent of the database management system and service database management system, at the network layer to provide security for the security of the database protection. However, due to firewall technology only provide static defense of their own limitations, so the database fire
8、wall is not enough intelligence, and intrusion detection technology can detect abnormal behavior that system in the abnormal behavior, with the characteristics of its interaction with the database firewall that Abnormal behavior detection technology found by the abnormal behavior of the dynamic data
9、base, the firewall through the protective response to dynamic in order to achieve a dynamic security model, to further enhance the protective capability of the database system. Keywords:Database security, firewall, anomaly detection, packet filtering 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作 及取得的研究成果。尽我所知
10、,除文中已经标明引用的内容外,本论文不 包含任何其他个人或集体已经发表或撰写过的研究成果。 对本文的研究做 出贡献的个人和集体, 均已在文中以明确方式标明。 本人完全意识到本声 明的法律结果由本人承担。 学位论文作者签名: 日期: 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定,即: 学校有权保留并向国家有关部门或机构送交论文的复印件和电子版, 允许 论文被查阅和借阅。 本人授权华中科技大学可以将本学位论文的全部或部 分内容编入有关数据库进行检索, 可以采用影印、 缩印或扫描等复制手段 保存和汇编本学位论文。 保 密,在_年解密后适用本授权书。 不保
11、密。 (请在以上方框内打) 学位论文作者签名: 指导教师签名: 日期: 年 月 日 日期: 年 月 日 本论文属 华 中 科 技 大 学 硕 士 学 位 论 文 1 1 绪论绪论 1.1 综述 随着信息技术的高速发展,数据库系统1(Database System)作为信息的载体, 广泛的被应用到各个领域,因此数据库系统的安全成为备受关注的问题。其中数据 库系统主要关注于数据库中的数据的安全,一方面保证数据的保密性、不防止未授 权访问,另一方面防止数据库系统不被恶意破坏。因此数据库的安全问题对于使用 数据库作为核心信息载体的信息系统而言显得至关重要。 1.2 数据库系统安全 数据库系统的安全不仅
12、与自身安全机制程度有关,而且外部因素也会对数据库 系统的安全造成很大的影响,包括有外部网络环境、操作系统类型以及数据库用户 和数据库管理员个人素质等。广义的将可以将数据库系统安全框架由低到高分为以 下三个层次。 (1)网络系统层次 互联网成为越来越多公司开展核心业务所依托的平台,其中就包括网络的数据 库应用系统,其对外提供各种网络信息服务。数据库系统要发挥其强大功能与网络 系统的支持是分不开的,因为网络系统是数据库应用的外部环境和基础,而且数据 库系统的用户同样也是通过网络的方式对数据库系统能够进行访问。因此网络系统 的安全与数据库系统安全是密不可分的,为了达到高安全级别的数据库系统安全需 要
13、,必须保证网络系统足够安全。因为往往对数据库系统的破坏是由对网络系统的 破碎开始,可以将网络系统安全视为数据库系统安全的第一道保障。 针对数据库系统安全的需求,在网络系统层次实施的安全技术是常见的网络安 全技术,主要包括有:防火墙4、入侵检测5、协作式入侵检测技术等。 (2)宿主操作系统层次 操作系统(Operating System,简称 OS)是管理计算机硬件与软件资源的程序, 华 中 科 技 大 学 硕 士 学 位 论 文 2 同时也是计算机系统的内核与基石。所有的应用软件包括大型数据库系统都运行与 特定的操作系统上,因此操作系统自身的安全性也会影响到数据库系统的安全。目 前运行大型数据
14、库系统的操作系统平台主要为 Windows NT 和 Unix,他们的安全级 别通常为 C1、C2 级。在操作系统上所开展的安全技术包括有操作系统安全策略、安 全管理策略、数据安全等方面。 (3)数据库管理系统层次 作为数据库系统的核心组件,数据库管理系统(Database Management System, 简称 DBMS)的安全直接影响到整个数据库系统的安全,表现在如果数据库管理系 统中已经实施了高级别的安全机制,则数据库系统的安全可以得到最有力、最直接 的保障,可以将数据库管理系统看作数据库系统的最里层的保护壳。目前在数据库 管理系统层面的安全机制主要是对数据库文件进行加密处理6,7,
15、避免因为操作系统 安全级别不够所造成的数据库文件被非法伪造、篡改。 1.3 防火墙概述 防火墙技术是网络安全体系中较为常见的也比较成熟的技术之一。防火墙是指 网络间的一个或一组用于执行访问控制策略的设备这是 RFC264710中给出的关于 防火墙的标准定义。而防火墙这一概念最早被提出是在构筑因特网防火墙中, 在此文中结合互联网安全的需要提出了互联网防火墙的概念。 直观的理解,之所以称为防火墙,是因为通过防火墙将网络隔开成两个独立的 部分,而防火墙所出的位置就是在被隔开的网络的边界上,起到的作用就是控制这 两部分网络之间的数据流动。具体而言,这两部分网络一般是认为是安全和可信赖 的内部网络以及认
16、为是不安全和不可信赖的外部网络。而防火墙的目的就是在于控 制外部网络对内部网络的访问,以及防止内部网络的信息产生外泄。 防火墙对于用户是透明。正因为其功能单一且是透明的,防火墙自身的缺陷和 漏洞也会少一些。防火墙作为连接可信网络和不可信网络的桥梁,保护内部网络不 会在未授权的情况下被访问,同时也控制内部网络的不可信网络的通信。如果采用 了防火墙,内部网络和外部网络的安全策略以及管理只需要在防火墙上进行,而不 需要对内部网络中的所有结点进行控制,这样一来安全管理易于控制,也使内部网 络更安全。 华 中 科 技 大 学 硕 士 学 位 论 文 3 为了达到网络安全的需要,一般而言,防火墙系统需要具备功能11如下: (1)控制访问内容控制访问内容,通过在防火墙在部署安全策略,可以控制通过防火墙的数 据内容,防止内网信息外泄。 (2)有效且健壮有效且健壮,防火墙不能影响正常的网络使用,尤其对通信速率的影响不 能太明显,并且防火墙要保证自身的安全,不能给网络安全体系增加新的风险点。 (3)监
