哈娄,许多天末见,老网管今天给大家带来以下问题解答,主要对软件定义网络中规则管理关键技术,软件定义网络中规则管理关键技术是进行剖析,大家看完之后一定会有些启发。
.jpg)
本文目录
关于网络基础
第一层:物理层
这一层负责在计算机之间传递数据位,它为在物理媒体上传输的位流建立规则,这一层定义电缆如何连接到网卡上,以及需要用何种传送技术在电缆上发送数据;同时还定义了位同步及检查。这一层表示了用户的软件与硬件之间的实际连接。它实际上与任何协议都不相干,但它定义了数据链路层所使用的访问方法。
物理层是OSI参考模型的最低层,向下直接与物理传输介质相连接。物理层协议是各种网络设备进行互连时必须遵守的低层协议。设立物理层的目的是实现两个网络物理设备之间的二进制比特流的透明传输,对数据链路层屏蔽物理传输介质的特性,以便对高层协议有最大的透明性。
ISO对OSI参考模型中的物理层做了如下定义:
物理层为建立、维护和释放数据链路实体之间的二进制比特传输的物理连接提供机械的、电气的、功能的和规程的特性。物理连接可以通过中继系统,允许进行全双工或半双工的二进制比特流的传输。物理层的数据服务单元是比特,它可以通过同步或异步的方式进行传输。
从以上定义中可以看出,物理层主要特点是:
1.物理层主要负责在物理连接上传输二进制比特流;
2.物理层提供为建立、维护和释放物理连接所需要的机械、电气、功能与规程的特性。
"第二层:数据链路层
这是OSI模型中极其重要的一层,它把从物理层来的原始数据打包成帧。一个帧是放置数据的、逻辑的、结构化的包。数据链路层负责帧在计算机之间的无差错传递。数据链路层还支持工作站的网络接口卡所用的软件驱动程序。桥接器的功能在这一层。
数据链路层是OSI参考模型的第二层,它介于物理层与网络层之间。设立数据链路层的主要目的是将一条原始的、有差错的物理线路变为对网络层无差错的数据链路。为了实现这个目的,数据链路层必须执行链路管理、帧传输、流量控制、差错控制等功能。
在OSI参考模型中,数据链路层向网络层提供以下基本的服务:
1.数据链路建立、维护与释放的链路管理工作;
2.数据链路层服务数据单元帧的传输;
3.差错检测与控制;
4.数据流量控制;
5.在多点连接或多条数据链路连接的情况下,提供数据链路端口标识的识别,支持网络层实体建立网络连接;
6.帧接收顺序控制
"第三层:网络层
这一层定义网络操作系统通信用的协议,为信息确定地址,把逻辑地址和名字翻译成物理的地址。它也确定从源机沿着网络到目标机的路由选择,并处理交通问题,例如交换、路由和对数据包阻塞的控制。路由器的功能在这一层。路由器可以将子网连接在一起,它依赖于网络层将子网之间的流量进行路由。
数据链路层协议是相邻两直接连接结点间的通信协议,它不能解决数据经过通信子网中多个转接结点的通信问题。设置网络层的主要目的就是要为报文分组以最佳路径通过通信子网到达目的主机提供服务,而网络用户不必关心网络的拓扑构型与所使用的通信介质。
网络层也许是OSI参考模型中最复杂的一层,部分原因在于现有的各种通信子网事实上并不遵循OSI网络层服务定义。同时,网络互连问题也为网络层协议的制定增加了很大的难度。
OSI参考模型规定网络层的主要功能有以下三点:
1.路径选择与中继
在点-点连接的通信子网中,信息从源结点出发,要经过若干个中继结点的存储转发后,才能到达目的结点。通信子网中的路径是指从源结点到目的结点之间的一条通路,它可以表示为从源结点到目的结点之间的相邻结点及其链路的有序集合。一般在两个结点之间都会有多条路径选择。路径选择是指在通信子网中,源结点和中间结点为将报文分组传送到目的结点而对其后继结点的选择,这是网络层所要完成的主要功能之一。
2.流量控制
网络中多个层次都存在流量控制问题,网络层的流量控制则对进入分组交换网的通信量加以一定的控制,以防因通信量过大造成通信子网性能下降。
3.网络连接建立与管理
在面向连接服务中,网络连接是传输实体之间传送数据的逻辑的、贯穿通信子网的端---端通信通道。
从OSI参考模型的角度看,网络层所提供的服务可分为两类:面向连接的网络服务(CONS,ConnectionOrientedNetworkService)和无连接网络服务(CLNS,ConnectionNetworkService)。
面向连接的网络服务又称为虚电路(VirtualCircuit)服务,它具有网络连接建立、数据传输和网络连接释放三个阶段,是可靠的报文分组按顺序传输的方式,适用于定对象、长报文、会话型传输要求。
无连接网络服务的两实体之间的通信不需要事先建立好一个连接。无连接网络服务有三种类型:数据报(datagram)、确认交付(confirmeddelivery)与请求回答(requestreply)。数据报服务不要求接收端应答。这种方法尽管额外开销较小,但可靠性无法保证。确认回答服务要求接收端用户每收到一个报文均给发送端用户发送回一个应答报文。确认交付类似于挂号的电子邮件,而请求回答类似于一次事务处理中用户的"一问一答"。
从网络互连角度讲,面向连接的网络服务应满足以下要求:
1.网络互连操作的细节与子网功能对网络服务用户应是透明的;
2.网络服务应允许两个通信的网络用户能在连接建立时就其服务质量和其它选项进行协商;
3.网络服务用户应使用统一的网络编址方案。
"第四层,传输层
这一层负责错误的确认和恢复,以确保信息的可靠传递。在必要时,它也对信息重新打包,把过长信息分成小包发送;而在接收端,把这些小包重构成初始的信息。在这一层中最常用的协议就是TCP/IP&127;的传输控制协议TCP、Novell的顺序包交换SPX以及MicrosoftNetBIOS/NetBEUI。
传输层是OSI参考模型的七层中比较特殊的一层,同时也是整个网络体系结构中十分关键的一层。设置传输层的主要目的是在源主机进程之间提供可靠的端-端通信。
在OSI参考模型中,人们经常将七层分为高层和低层。如果从面向通信和面向信息处理角度进行分类,传输层一般划在低层;如果从用户功能与网络功能角度进行分类,传输层又被划在高层。这种差异正好反映出传输层在OSI参考模型中的特殊地位和作用。
传输层只存在于通信子网之外的主机中。如果HOSTA与HOSTB通过通信子网进行通信,物理层可以通过物理传输介质完成比特流的发送和接收;数据链路层可以将有差错的原始传输变成无差错的数据链路;网络层可以使用报文组以合适的路径通过通信子网。网络通信的实质是实现互连的主机进程之间的通信。
设立传输层的目的是在使用通信子网提供服务的基础上,使用传输层协议和增加的功能,使得通信子网对于端--端用户是透明的。高层用户不需要知道它们的物理层采用何种物理线路。对高层用户来说,两个传输层实体之间存在着一条端--端可靠的通信连接。传输层向高层用户屏蔽了通信子网的细节。
对于传输层来说,高层用户对传输服务质量要求是确定的,传输层协议内容取决于网络层所提供的服务。网络层提供面向连接的虚电路服务和无连接的数据报服务。如果网络层提供虚电路服务,它可以保证报文分组无差错、不丢失、不重复和顺序传输。在这种情况下,传输层协议相对要简单。即使对虚电路服务,传输层也是必不可少的。因为虚电路仍不能保证通信子网传输百分之百正确。例如在X.25虚电路服务中,当网络发出中断分组和恢复请求分组时,主机无法获得通信子网中报文分组的状态,而虚电路两端的发送、接收报文分组的序号均置零。因此,虚电路恢复的工作必须由高层(传输层)来完成。如果网络层使用数据报方式,则传输层的协议将要变得复杂。
"第五层:会话层
允许在不同机器上的两个应用建立、使用和结束会话,这一层在会话的两台机器间建立对话控制,管理哪边发送、何时发送、占用多长时间等。
会话层是建立在传输层之上,由于利用传输层提供的服务,使得两个会话实体之间不考虑它们之间相隔多远、使用了什么样的通信子网等网络通信细节,进行透明的、可靠的数据传输。当两个应用进程进行相互通信时,希望有个做为第三者的进程能组织它们的通话,协调它们之间的数据流,以便使应用进程专注于信息交互。设立会话层就是为了达到这个目的。从OSI参考模型看,会话层之上各层是面向应用的,会话层之下各层是面向网络通信的。会话层在两者之间起到连接的作用。会话层的主要功能是向会话的应用进程之间提供会话组织和同步服务,对数据的传送提供控制和管理,以达到协调会话过程、为表示层实体提供更好的服务。
会话层与传输层有明显的区别。传输层协议负责建立和维护端--端之间的逻辑连接。传输服务比较简单,目的是提供一个可靠的传输服务。但是由于传输层所使用的通信子网类型很多,并且网络通信质量差异很大,这就造成传输协议的复杂性。而会话层在发出一个会话协议数据单元时,传输层可以保证将它正确地传送到对等的会话实体,从这点看会话协议得到了简化。但是为了达到为各种进程服务的目的,会话层定义的为数据交换用的各种服务是非常丰富和复杂的。
会话层定义了多种服务可选择,它将相关的服务组成了功能单元。目前定义了12个功能单元,每个功能单元提供一种可选择的工作类型,在会话建立时可以就这些功能单位进行协商。最重要的功能单元提供会话连接、正常数据传送、有序释放、用户放弃与提供者放弃等5种服务。
"第六层:表示层
它包含了处理网络应用程序数据格式的协议。表示层位于应用层的下面和会话层的上面,它从应用层获得数据并把它们格式化以供网络通信使用。该层将应用程序数据排序成一个有含义的格式并提供给会话层。这一层也通过提供诸如数据加密的服务来负责安全问题,并压缩数据以使得网络上需要传送的数据尽可能少。许多常见的协议都将这一层集成到了应用层中,例如,NetWare的IPX/SPX就为这两个层次使用一个NetWare核心协议,TCP/IP也为这两个层次使用一个网络文件系统协议。
表示层位于OSI参考模型的第六层。它的低五层用于将数据从源主机传送到目的主机,而表示层则要保证所传输的数据经传送后其意义不改变。表示层要解决的问题是:如何描述数据结构并使之与机器无关。在计算机网络中,互相通信的应用进程需要传输的是信息的语义,它对通信过程中信息的传送语法并不关心。表示层的主要功能是通过一些编码规则定义在通信中传送这些信息所需要的传送语法。从OSI开展工作以来,表示层取得了一定的进展,ISO/IEC8882与8883分别对面向连接的表示层服务和表示层协议规范进行了定义。表示层提供两类服务:相互通信的应用进程间交换信息的表示方法与表示连接服务。
表示服务的三个重要概念是:语法转换、表示上下文与表示服务原语。我们将主要讨论语法转换与表示上下文这两个概念。
1.语法转换:
人们在利用计算机进行信息处理时要将客观世界中的对象表示成计算机中的数据,为此引入数据类型的概念。任何数据都具有两个重要特性,即值(value)与类型(type)。程序设计人员可利用某一类型上所定义的操作对该类型中的数据对象进行操作。例如,对于整数类型的数据可以进行加、减、乘、除操作,对于集合类型的数据可以进行与、或、非等操作。但是从较低层次看,任何类型的数据最终都将被表示成计算机的比特序列。一个比特序列本身并不能说明它自己所能表示的是哪种类型的数据。对比特序列的解释会因计算机体系结构、程序设计语言,甚至于程序的不同而有所不同。这种不同归结为它们所使用的"语法"的不同。在计算机网络中,相互通信的计算机常常是不同类型的计算机。不同类型的计算机所采用?语法"是不同的。对某一种具体计算机所采用的语法称之为"局部语法"(localsyntax)。局部语法的差异决定了同一数据对象在不同计算机中被表示为不同的比特序列。为保证同一数据对象在不同计算机中语义的正确性,必须对比特序列格式进行变换,把符合发送方局部语法的比特序列转换成符合接收方局部语法的比特序列,这一工作称之为语法变换。OSI设置表示层就是要提供这方面的标准。表示层采用两次语法变换的方法,即由发、收双方表示层实体协作完成语法变换,为此它定义了一种标准语法,即传送语法(transfersyntax)。发送方将符合自己局部语法的比特序列转换成符合传送语法的比特序列;接收方再将符合传送语法的比特序列转换成符合自己局部语法的比特序列。
2.表示上下文:
两台计算机在通信开始之前要先协商这次通信中需要传送哪种类型的数据,通过这一协商过程,可以使通信双方的表示层实体准备好进行语法变换所需要的编码与解码子程序。由协商过程所确定的那些数据类型的集合称之为"表示上下文"(presentationcontext)。表示上下文用于描述抽象语法与传送语法之间的映像关系。
同时,对同样的数据结构,在不同的时间,可以使用不同的传送语法,如使用加密算法、数据压缩算法等。因此在一个表示连接上可以有多个表示上下文,但是只能有一个表示上下文处于活动状态。应用层实体可以选择哪种表示上下文处于活动状态,表示层应负责使接收端知道因应用层工作环境变化而引起的表示上下文的改变。在任何时刻可以通过传送语法的协商定义多个表示上下文,这些表示上下文构成了定义的上下文集DCS(DefinedContextSet)。
"第七层:应用层
这一层是最终用户应用程序访问网络服务的地方。它负责整个网络应用程序一起很好地工作。这里也正是最有含义的信息传过的地方。程序如电子邮件、数据库等都利用应用层传送信息。
应用层是OSI参考模型的最高层,它为用户的应用进程访问OSI环境提供服务。OSI关心的主要是进程之间的通信行为,因而对应用进程所进行的抽象只保留了应用进程与应用进程间交互行为的有关部分。这种现象实际上是对应用进程某种程度上的简化。经过抽象后的应用进程就是应用实体AE(ApplicationEntity)。对等到应用实体间的通信使用应用协议。应用协议的复杂性差别很大,有的涉及两个实体,有的涉及多个实体,而有的应用协议则涉及两个或多个系统。与其它六层不同,所有的应用协议都使用了一个或多个信息模型(informationmodel)来描述信息结构的组织。低层协议实际上没有信息模型。因为低层没涉及表示数据结构的数据流。应用层要提供许多低层不支持的功能,这就使得应用层变成OSI参考模型中最复杂的层次之一。ISO/IEC9545用应用层结构ALS(ApplicationLayerStructure)和面向对象的方法来研究应用实体的通信能力。
在OSI应用层体系统结构概念的支持下,目前已有OSI标准的应用层协议有:
1.文件传送、访问与管理FTAM(FileTransfer、AccessandManagement)协议;
2.公共管理信息协议CMIP(CommonManagementInformationProtocol);
3.虚拟终端协议VTP(VirtualTerminalProtocol);
4.事务处理TP(TransactionProcessing)协议;
5.远程数据库访问RDA(RemoteDatabaseAccess)协议;
6.制造业报文规范MMS(ManufacturingMessageSpecification)协议;
7.目录服务DS(DirectoryService)协议;
8.报文处理系统MHS(MessageHandlingSystem)协议。
当两台计算机通过网络通信时,一台上的任何一层的软件都假定是在和另一机器上的同一层进行通信。例如,一台机器上的传输层和另一台的传输层通信。第一台机器上的传输层并不关心实际上是如何通过该机器的较低层,然后通过物理媒体,最后通过第二台机器的较低层来实现通信的。
软件的定义
软件是一系列按照特定顺序组织的计算机数据和指令的集合。
国标中对软件的定义为:与计算机系统操作有关的计算机程序、规程、规则,以及可能有的文件、文档及数据。一般来讲软件被划分为系统软件、应用软件和介于这两者之间的中间件。软件并不只是包括可以在计算机上运行的电脑程序,与这些电脑程序相关的文档一般也被认为是软件的一部分,简单的说软件就是程序加文档的集合体。
扩展资料:
软件的特点:
1、软件是无形的,没有物理形态。它只能通过运行状况来了解功能、特性、和质量。
2、软件渗透了大量的脑力劳动,一般人的逻辑思维、智能活动和技术水平是软件产品的关键。
3、软件还具有可复用性,软件开发出来很容易被复制,从而形成多个副本。
4、软件的开发和运行必须依赖特定的计算机系统环境,对于硬件有依赖性。
5、因为软件无形,所以软件不会像硬件一样老化磨损,但存在缺陷维护和技术更新。
参考资料来源:百度百科-软件
网络安全的关键技术有哪些
一.虚拟网技术
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的安全问题:
执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。
基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。
基于MAC的VLAN不能防止MAC欺骗攻击。
以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
但是,采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IPsweep,teardrop,sync-flood,IPspoofing攻击等。
二.防火墙枝术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.
1、使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的MailServer和WebServer。
集中的安全管理
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法,而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。
2、设置Firewall的要素
网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。
服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。
Firewall设计策略
Firewall设计策略基于特定的firewall,定义完成服务访问策略的规则。通常有两种基本的设计策略:
允许任何服务除非被明确禁止;
禁止任何服务除非被明确允许。
通常采用第二种类型的设计策略。
3、Firewall的基本分类
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转换(NAT)
是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型监测型
防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
4、建设Firewall的原则
分析安全和服务需求
以下问题有助于分析安全和服务需求:
√计划使用哪些Internet服务(如http,ftp,gopher),从何处使用Internet服务(本地网,拨号,远程办公室)。
√增加的需要,如加密或拔号接入支持。
√提供以上服务和访问的风险。
√提供网络安全控制的同时,对系统应用服务牺牲的代价。
策略的灵活性
Internet相关的网络安全策略总的来说,应该保持一定的灵活性,主要有以下原因:
√Internet自身发展非常快,机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题,安全策略必须能反应和处理这些问题。
√机构面临的风险并非是静态的,机构职能转变、网络设置改变都有可能改变风险。
远程用户认证策略
√远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。
√PPP/SLIP连接必须通过Firewall认证。
√对远程用户进行认证方法培训。
拨入/拨出策略
√拨入/拨出能力必须在设计Firewall时进行考虑和集成。
√外部拨入用户必须通过Firewall的认证。
InformationServer策略
√公共信息服务器的安全必须集成到Firewall中。
√必须对公共信息服务器进行严格的安全控制,否则将成为系统安全的缺口。
√为Informationserver定义折中的安全策略允许提供公共服务。
√对公共信息服务和商业信息(如email)讲行安全策略区分。
Firewall系统的基本特征
√Firewall必须支持.“禁止任何服务除非被明确允许”的设计策略。
√Firewall必须支持实际的安全政策,而非改变安全策略适应Firewall。
√Firewall必须是灵活的,以适应新的服务和机构智能改变带来的安全策略的改变。
√Firewall必须支持增强的认证机制。
√Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。
√IP过滤描述语言应该灵活,界面友好,并支持源IP和目的IP,协议类型,源和目的TCP/UDP口,以及到达和离开界面。
√Firewall应该为FTP、TELNET提供代理服务,以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP,http等)也必须通过代理服务器。
√Firewall应该支持集中的SMTP处理,减少内部网和远程系统的直接连接。
√Firewall应该支持对公共Informationserver的访问,支持对公共Informationserver的保护,并且将Informationserver同内部网隔离。
√Firewall可支持对拨号接入的集中管理和过滤。
√Firewall应支持对交通、可疑活动的日志记录。
√如果Firewall需要通用的操作系统,必须保证使用的操作系统安装了所有己知的安全漏洞Patch。
√Firewall的设计应该是可理解和管理的。
√Firewall依赖的操作系统应及时地升级以弥补安全漏洞。
5、选择防火墙的要点
(1)安全性:即是否通过了严格的入侵测试。
(2)抗攻击能力:对典型攻击的防御能力
(3)性能:是否能够提供足够的网络吞吐能力
(4)自我完备能力:自身的安全性,Fail-close
(5)可管理能力:是否支持SNMP网管
(6)VPN支持
(7)认证和加密特性
(8)服务的类型和原理
(9)网络地址转换能力
三.病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。
我们将病毒的途径分为:
(1)通过FTP,电子邮件传播。
(2)通过软盘、光盘、磁带传播。
(3)通过Web游览传播,主要是恶意的Java控件网站。
(4)通过群件系统传播。
病毒防护的主要技术如下:
(1)阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2)检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3)病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
(4)在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
四.入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:
(1)入侵者可寻找防火墙背后可能敞开的后门。
(2)入侵者可能就在防火墙内。
(3)由于性能的限制,防火焰通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类:
√基于主机
√基于网络
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。
基于网络的入侵检测系统用于实时监控网络关键路径的信息,其基本模型如右图示:
上述模型由四个部分组成:
(1)PassiveprotocolAnalyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。
(2)Pattern-MatchingSignatureAnalysis根据协议分析器的结果匹配入侵特征,结果传送给Countermeasure部分。
(3)countermeasure执行规定的动作。
(4)Storage保存分析结果及相关数据。
基于主机的安全监控系统具备如下特点:
(1)精确,可以精确地判断入侵事件。
(2)高级,可以判断应用层的入侵事件。
(3)对入侵时间立即进行反应。
(4)针对不同操作系统特点。
(5)占用主机宝贵资源。
基于网络的安全监控系统具备如下特点:
(1)能够监视经过本网段的任何活动。
(2)实时网络监视。
(3)监视粒度更细致。
(4)精确度较差。
(5)防入侵欺骗的能力较差。
(6)交换网络环境难于配置。
基于主机及网络的入侵监控系统通常均可配置为分布式模式:
(1)在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。
(2)在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。
选择入侵监视系统的要点是:
(1)协议分析及检测能力。
(2)解码效率(速度)。
(3)自身安全的完备性。
(4)精确度及完整度,防欺骗能力。
(5)模式更新速度。
五.安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面:
(1)速度。在网络内进行安全扫描非常耗时。
(2)网络拓扑。通过GUI的图形界面,可迭择一步或某些区域的设备。
(3)能够发现的漏洞数量。
(4)是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。
(5)报告,扫描器应该能够给出清楚的安全漏洞报告。
(6)更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级,并给出相应的改进建议。
安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发现安全漏洞。
六.认证和数宇签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证技术将应用到企业网络中的以下方面:
(1)路由器认证,路由器和交换机之间的认证。
(2)操作系统认证。操作系统对用户的认证。
(3)网管系统对网管设备之间的认证。
(4)VPN网关设备之间的认证。
(5)拨号访问服务器与客户间的认证。
(6)应用服务器(如WebServer)与客户的认证。
(7)电子邮件通讯双方的认证。
数字签名技术主要用于:
(1)基于PKI认证体系的认证过程。
(2)基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。
认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。
UserName/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、rlogin等,但由于此种认证方式过程不加密,即password容易被监听和解密。
使用摘要算法的认证
Radius(拨号认证协议)、路由协议(OSPF)、SNMPSecurityProtocol等均使用共享的SecurityKey,加上摘要算法(MD5)进行认证,由于摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的securitykey,敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
基于PKI的认证
使用公开密钥体系进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。
该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
OK,关于软件定义网络中规则管理关键技术和软件定义网络中规则管理关键技术是的内容到此结束了,希望对大家有所帮助。
发表评论 取消回复