《物理隔离网闸LINUX内核安全模块的设计》由会员分享,可在线阅读,更多相关《物理隔离网闸LINUX内核安全模块的设计(70页珍藏版)》请在金锄头文库上搜索。
1、 IV 摘 要 Internet 是开放性国际性和自由性网络正是因为因特网的这些特性决定了它的安全性受到人们的高度重视近些年来黑客活动频繁猖獗给因特网的安全带来不少的麻烦传统的以防火墙为核心的安全防御体系已经不足以给安全性要求很高的网络提供完善的保护于是物理隔离技术产生了物理隔离网闸是物理隔离技术的典型代表是一种软硬结合的网络安全产品它能提供比防火墙更高的安全级别本文以物理隔离网闸为背景论述了如何加强网闸外处理机上 LINUX 操作系统的内核安全使之能稳定安全的运行 本文首先介绍了物理隔离网闸的基本原理和应用说明了它为什么能提供比防火墙更高的安全性能并描述了本人所在课题小组研制开发的物理隔离网
2、闸的内部结构包括网闸内部的组成结构各部分所使用的硬件和软件解释了为什么要使用 LINUX 作为网闸内外处理机上的操作系统以及本论文所研究的主要问题即 如何利用LINUX提供的防火墙软件包构建物理隔离网闸外处理机的第一道安全防线如何利用 LINUX 的内核变量进一步加强 LINUX 操作系统的网络安全给物理隔离网闸加上第二道安全防线如何利用入侵检测系统 LIDS 弥补 LINUX 存在的漏洞加强内核的防御功能 在以后的章节里 详细论述了本系统中所使用的三种网络安全技术 L I N U X 内置防火墙软件包L I N U X 内核变量L I N U X 入侵检测系统 L I D S 的功能和原理并
3、讲述了如何在本系统中使用这三种技术来依次为物理隔离网闸外处理机加上三道内核防线 最后本人总结了论文的贡献并指出了若干有待将来进一步解决的问题 关键字物理隔离网闸 LINUX 防火墙 内核变量 LIDS 入侵检测系统 VAbstract Internet is open, international and unrestricted, which is the reason why people attach great importance to its security. In recent years, hachers frequent attacks bring a great deal
4、 of trouble to Internets security. Traditional security system that is based on firewall is now not strong enough to provide perfect protection for networks which require high rank of security. Consequently, Air Gap technology appears. Air Gap consists of software and hardware, and it is the better
5、network security solution compared with firewall. This article presents how to enhance the secutiry of the Linuxs kernel on the outer processor of the Air Gap, so as to help Air Gap performance stably. At first, the basic principle and application of Air Gap and why it can provide higher rank of sec
6、urity compared with firewall are presented. Then the inside structure of the Air Gap in our studying group is described, and why we use Linux as the operating system on the processors in the Air Gap is explained, and what this article focuses on is told and that is: How to use Netfilter+iptables to
7、set up firewall for Linux, how to use Linux kernel variables to strengthen firewall and how to use LIDS to enhance Linuxs kernel. In the following chapters, the three kinds of network security technologies we used here are discussed. They are Netfilter framework+iptables, Linux kernel variables and
8、Linux Intrusion Detection System(LIDS). And then how to use them to add three lines of defence for Linuxs kernel on the outer processor of the Air Gap is presented. At last, there is a conclusion of this articles contribution and the problems that wait to be solved. Key words: Air Gap, Linux firewal
9、l, kernel variables, LIDS III 独创性声明 本人声明所呈交的学位论文是我个人在导师的指导下进行的研究工作及取得的研究成果近我所知除文中已标明引用的内容外本论文不包含任何其他人或集体已经发表或撰写过的研究成果对本文的研究做出贡献的个人和集体均已在文中以明确方式标明本人完全意识到本声明的法律结果由本人承担 学位论文作者签名涂维嘉 日期2005 年 4 月 26 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留使用学位论文的规定即学校有权保留并向国家有关部门或机构送交论文的复印件和电子版允许论文被查阅和借阅本人授权华中科技大学可以将本学位论文的全部或部分内容
10、编入有关数据库进行检索可以采用影印缩印或扫描等复制手段保存和汇编本学位论文 保密在_年解密后适用本授权数 本论文属于 不保密 请在以上方框内打 学位论文作者签名涂维嘉 指导教师签名田忠和 日期2005 年 4 月 26 日 日期2005 年 4 月 26 日 11 绪 论 1.1 网络安全简介 1.1.1 计算机网络安全问题的特征 以 Internet 为代表的全球性信息化浪潮日益深刻 信息网络技术的应用正日益普及和广泛应用层次正在深入,应用领域从传统的小型业务系统逐渐向大型关键业务系统扩展典型的如党政部门信息系统金融业务系统企业商务系统等伴随网络的普及 安全日益成为影响网络效能的重要问题 而
11、 Internet 所具有的开放性国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求 这主要表现在 开放性的网络导致网络的技术是全开放的任何一个人团体都可能获得因而网络所面临的破坏和攻击可能是多方面的例如可能来自物理传输线路的攻击也可以对网络通信协议和实现实施攻击可以是对软件实施攻击也可以对硬件实施攻击 国际性的一个网络还意味着网络的攻击不仅仅来自本地网络的用户它可以来自 Internet 上的任何一个机器也就是说,网络安全所面临的是一个国际化的挑战 自由意味着网络最初对用户的使用并没有提供任何的技术约束用户可以自由地访问网络自由地使用和发布各种类型的信息用户只对自己的行为负责而没有
12、任何的法律限制尽管开放的自由的国际化的 Internet 的发展给政府机构企事业单位带来了革命性的改革和开放 使得他们能够利用 Internet 提高办事效率和市场反应能力以便更具竞争力通过 Internet他们可以从异地取回重要数据同时又要面对网络开放带来的数据安全的新挑战和新危险如何保护企业的机密信息不受黑客和工业间谍的入侵,已成为政府机构企事业单位信息化健康发展所要考虑的重要事情之一 1) 网络安全4321天生脆弱 计算机网络安全系统的脆弱性是伴随计算机网络一同产生的换句话说安全2系统脆弱是计算机网络与生俱来的致命弱点在网络建设中网络特性决定了不可能无条件无限制的提高其安全性能要使网络更
13、方便快捷又要保证网络安全这是一个非常棘手的“两难选择“ 而网络安全只能在“两难选择“所允许的范围中寻找支撑点因此可以说世界上任何一个计算机网络都不是绝对安全的 2) 黑客攻击后果严重 近几年黑客猖狂肆虐四面出击使交通通讯网络中断军事指挥系统失灵电力供水系统瘫痪银行金融系统混乱危及国家的政治军事经济的安全与稳定在世界各国造成了难以估量的损失 3) 网络杀手集团化 目前网络杀手除了一般的黑客外还有一批具有高精尖技术的“专业杀手“更令人担忧的是出现了具有集团性质的网络恐怖分子甚至政府出面组织的网络战黑客战其规模化专业性和破坏程度都使其他黑客望尘莫及可以说由政府组织的网络战黑客战是当前网络安全的最大隐
14、患目前美国正开展用无线电方式卫星辐射式注入方式网络方式把病毒植入敌方计算机主机或各类传感器网桥中的研究以伺机破坏敌方的武器系统指挥控制系统通信系统等高敏感的网络系统另外为达到预定目的对出售给潜在敌手的计算机芯片进行暗中修改在 CPU 中设置芯片陷阱可使美国通过因特网发布指令让敌方电脑停止工作以起到“定时炸弹“的作用 4) 破坏手段多元化 目前网络恐怖分子除了制造传播病毒软件设置邮箱炸弹更多的是采取借助工具软件对网络发动袭击令其瘫痪或者盗用一些大型研究机构的服务器使用“拒绝服务“程序如 TFN 和与之相近的程序等,指挥它们向目标网站传输远远超出其带宽容量的垃圾数据从而使其运行中断多名黑客甚至可以
15、借助同样的软件在不同的地点集中火力对一个或者多个网络发起攻击而且黑客们还可以把这些软件神不知鬼不觉地通过互联网安装到别人的电脑上然后在电脑主人根本不知道的情况下借刀杀人 由此可见计算机网络安全问题直接关系到一个国家的政治军事经济等3领域的安全和稳定目前黑客猖獗平均每 20 秒钟世界上就有一种黑客事件发生因此提高网络安全性是保证信息产业持续稳定发展的重要保证和前提条件 1.1.2 网络安全体系架构的演变 通常意义上的计算机网络信息系统安全措施5包含以下几个方面 操作系统的安全 网络通讯服务的安全 应用系统及数据库系统的安全存取安全 计算机病毒防治技术 安全风险评估和风险分析 系统实时监控和响应技
16、术 从目前网络安全市场的构成看防火墙防病毒VPN 和入侵检测IDS是市场的主流产品安全体系以防火墙为核心因此要了解网络安全的架构体系的演变必须防火墙进行深入的了解 目前网络安全市场上最流行的安全架构是以防火墙为核心的安全体系架构通过防火墙来实现网络的安全保障体系然而以防火墙为核心的安全防御体系未能有效地防止目前频频发生网络攻击 在防火墙的发展过程中人们最终意识到防火墙在安全方面的局限性高性能高安全性易用性方面的矛盾并没有很好的解决防火墙体系架构在高安全性方面的缺陷驱使人们追求更高安全性的解决方案人们期望更安全的技术手段物理隔离技术应运而生 1.2 物理隔离技术简介 物理隔离技术是安全市场上的一匹黑马在经过漫长的市场概念澄清和马拉松式技术演变进步之后市场最终接受物理隔离具有最高安全性人们把高安全性的所有要求都集中在物理隔离上它中断直接连接不光检查所有的协议还把协议给剥离掉直接还原成最原始的数据对数据可以检查和扫描防止恶意代码和病4毒甚至对数据的属性进行要求不支持 TCP/IP不依赖操作系统总
