下一代网络安全技术读书笔记

下一代网络安全技术读书笔记校园网建设概述随着计算机网络技术与多媒体技术的不断发展，使现代教育面临一系列的改革。尤其是多媒体网络技术在教育教学过程中的应用越来越普遍，使校园网络建设成为教育信息化发展的必然趋势。同时，网络设备价格的不断下降以及国家对教育的投入不断增加，我国校园网的建设发展非常迅速，各大、中小学纷纷投入到校园网络的建设中来。相比而言，高校校园网的建设走得要更快一些，目前全国已经超过1000所高校接入了中国教育科研网(CERNET)。大部分高校的校园网基础设施己初具规模，实现了“千兆到楼，百兆到桌面”，凡乎所有的办公、教学、宿舍楼都接入了校园网，网络系统成熟稳定，网络应用系统更加丰富。校园网作为互联网的重要组成部分，是高校信息化进程中最主要的基础设施，担负着学校教学、科研、管理和对外宣传与交流等多种角色，从校园网基础设施建设、管理信息系统开发、网络教学及远程教育应用发展到目前的数字化校园建设，为高校提高办学水平，管理决策水平等方面起到了决定性的作用。校园网面临的安全威胁校园网作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在建设初期中，由于安全意识、安全管理等多方面的原因，在网络安全方面没有引起足够的重视，随着应用的深入，校园网上各种数据急剧增加，网络的攻击越来越多，各种各样的安全问题开始阻碍了校园网的正常运行，造成网络安全事故不断发生，使校园网的安全面临极大的威胁。同时，随着网络规模的不断扩大，复杂性不断增加，异构性不断提高，用户对网络性能要求的不断提高，网络安全管理也逐步成为网络管理中极为关键的任务之一。从根本上说，校园计算机网络系统的安全隐患都是利用了网络系统本身存在的安全弱点，而系统在使用、管理过程中的失误和疏漏更加剧了问题的严重性。威胁高校网络系统的安全的因素很多，主要表现如下：1网络协议漏洞造成的威胁TCP/IP协议簇是互联网使用的网络协议，也是多数高校校园网采用的网络协议。TCP/IP协议簇具有开放性和通用性等特点，并且在因特网最初的设计中基本没有考虑安全问题，存在着很大的安全隐患，缺乏强健的安全机制，同时，任何组织或个人都可以研究、分析及使用，因此，TCP/IP协议的任何安全漏洞都可能被利用。主要存在的安全问题有： 数据窃听：TCP/IP协议数据流采用明文传输，因此数据信息很容易被窃听、篡改和伪造。攻击者可以利用Sniffer Pro或网络分析仪等捕获网络上传输的数据包，获取有价值的信息如用户账号、口令及其它机密信息等，从而达到攻击的目的。 源地址欺骗：通过伪造某台主机的IP地址骗取特权从而进行攻击的技术。由于TCP江P协议使用IP地址作为网络节点的唯一标识，但是节点的IP地址又不是固定不变的，因此攻击者可以冒充某个可信任节点进行攻击。 源路由选择欺骗：通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作。在TCP/IP协议中，IP数据包为了测试的目的设置了一个选项IP Source Routing，该选项可以直接指明到达节点的路由，攻击者可以利用这个选项进行欺骗，进行非法连接。攻击者通过冒充某个可信任节点的IP地址，构造一个通往某个服务器的直接路径和返回路径，利用可信任用户作为通往服务器的路由中的最后一站，就可以向服务器发送请求，对其进行攻击。 ARP欺骗：A印协议的作用是在通信过程中将IP地址转换为MAC地址。在安装有TCP/IP协议的主机系统中都有一个IP地址与MAC地址的对应转换表，主机在发送数据帧前会查询转换表，将目标MAC地址更改为目标IP所对应的MAC地址。A即欺骗就是向被攻击主机发送虚假的IP一MAC对应信息，从而达到欺骗的目的。 鉴别攻击：TCP/IP协议只能以IP地址进行鉴别，而不能对节点上的用户进行有效的身份认证，因此服务器无法鉴别登陆用户的身份的真实性和有效性。目前主要依靠服务器软件平台提供的用户控制机制，比如用户名、口令等。虽然口令是以密文存放在服务器上，但是由于口令是静态的、明文传输的，所以无法抵御重传、窃听。而且在很多系统中常常将加密后的口令文件存放在一个普通用户就可以读到的文件里，攻击者也可以运行准备好的口令破译程序来破译口令，对系统进行攻击。 TCP序列号欺骗：由于TCP序列号可以预测，因此攻击者可以构造一个TCP序列号，对网络中的某个可信节点进行攻击。2操作系统及应用系统的漏洞造成的威胁操作系统及应用系统漏洞的大量存在是网络安全问题的严峻的重要原因之一。从近几年统计情况看，发现漏洞数量处于较高水平，并且有逐年增加的趋势。另外，利用漏洞发动攻击的速度加快。3攻击工具获取容易，使用简单在互联网上，有很多攻击工具可自由下载，此类攻击工具设置简单、使用简便，即使对网络不太精通的人都可以利用攻击工具进行网络攻击。大量的廉价却很好用的攻击工具充斥于网络中，自动化攻击工具大量泛滥。随着攻击复杂度的降低，使得一个普通的攻击者也可以对系统造成巨大的危害。攻击技术的普及使得高水平的攻击者越来越多，反而言之，安全管理员面临着巨大的挑战，我们的系统面临的安全威胁也越来越大。4校园网用户的安全意识不强，计算机及网络应用水平有限校园网用户网络安全尚未能充分认识，基本上没有或很少对所使用计算机作安全防范。校园网用户更多地侧重于各类应用软件的操作上面，以期望方便、快捷、高效地使用网络，最大限度地获取有效的信息资源，而很少考虑实际存在的风险和低效率，很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。数字化校园建设中对网络安全的要求数字化校园是教育信息化发展的必然趋势，我国各大高校都纷纷投入到数字化校园建设中来，从而进一步推动了教育思想和教学手段的改革，最终将实现教学、管理过程的全面信息化。数字化校园是通过先进的计算机技术和网络技术，在传统的校园网基础上，构建一个全方位的数字空间，提供丰富的信息载体，实现校园内信息资源的数字化和共享。其核心内容是指学校利用先进的信息化手段和工具，将现实校园的各项资源数字化而形成的一个数字空间，从而使现实校园在时间和空间上获得延伸。在数字化校园里，可以通过现代化手段，实现学校的教学、科研、管理、服务等活动的全部过程，从而达到提高教学质量、科研水平、管理水平的目的。数字化校园承载着学校的教学、科研、管理和服务等活动，是整个学校的核心，维持整个数字化校园正常运作是保证学校各方面工作正常进行的重要保证。然而数字化校园的安全却存在着诸多问题，因此，安全问题也成为了数字化校园建设中的一个重要问题，安全管理成为建设数字化校园过程中的重要一环。校园网在数字化校园建设中扮演着至关重要的角色，作为数字化校园的最重要传输载体，如何保证校园网络能正常的运行而不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题，解决网络安全问题刻不容缓，并且逐渐引起了各方面的重视。因此，只有保障校园网的安全可靠运行，才能确保数字化校园健康、高速地发展，才能真正更好地为学校服务，从而提高学校的综合实力。这就是在数字化校园建设中对校园网络安全的要求。校园网络安全相关技术分析研究一、密码技术密码技术是保证信息的安全性的关键技术，保障数据的安全主要是采用现代密码技术对数据进行主动保护，如数据保密、数据完整性、数据不可否认与抵赖、双向身份认证等。实际上，密码技术在古代就己经得到应用，但仅限于外交和军事等重要领域。随着现代计算机技术的飞速发展，密码技术正在不断向更多其他领域渗透。它是集数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。密码技术不仅能够保证机密性信息的加密，而且完成数字签名、身份验证、系统安全等功能。所以，使用密码技术不仅可以保证信息的机密性，而且可以保证信息的完整性和确证性，防止信息被篡改、伪造和假冒。密码学(CryPtology)是研究秘密通信的原理和破译密码的方法的一门科学，也是密码技术的理论基础，它包括密码编码学和密码分析学。密码编码学(CryPtograPhy)主要研究如何对信息进行编码，实现对信息的隐藏。密码编码学的目的是伪装消息，对给定的有意义的数据进行可逆的数学变换，将其变为表面上杂乱无章的数据，使得只有合法的接收者才能恢复原来有意义的数据，而其余任何人都不能恢复原来的数据。密码分析学(CryPtanalyties)是研究如何破译经过加密的消息或者伪造消息。总的来说，密码体制设计是密码编码学的主要内容，密码体制韵破译是密码分析学的主要内容，密码编码技术和密码分析技术是相互依存、相互支持、密不可分的两个方面。二、 认证技术认证技术是保证网络信息安全的又一重要技术，是网络通信中建立可信安全通信信道的重要过程，是安全信息系统的“门禁”模块。认证的主要目的一方面是验证信息发送者的真实性，确认他没有被冒充，另一方面是验证信息的完整性，确认被验证的信息在传递或存储过程中没有被篡改、重组或延迟。认证是防止敌手对系统进行主动攻击(如伪造、篡改信息等)的一种重要技术手段，其实现主要是通过数字信封、数字摘要、数字签名、数字证书、智能卡和生物特征识别等技术。1数字信封数字信封类似于普通信封，普通信封是在法律的约束下保证只有收信人才能阅读信的内容;数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。数字信封中采用了对称密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息，再利用接收方的公钥加密对称密码，被公钥加密后的对称密码被称之为数字信封。在传递信息时，信息接收方若要解密信息，必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。2数字摘要数字摘要一般采用安全的Hash算法，通过使用单向散列函数(Hash)将需要加密的明文“摘要”成一个固定长度(128bit)的密文。该密文同明文是一一对应的，不同的明文加密成不同的密文，相同的明文其摘要必然一样。因此，利用数字摘要可以验证通过网络传输收到的明文是否为初始的、未被篡改过的，从而保证数据的完整性和有效性。3数字签名数字签名在ISO7498-2标准中定义为：“附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人(例如接收者)进行伪造”。它采用数字摘要算法和公开密钥技术，用于鉴定签名人的身份以及对一项电子数据内容的认可，还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。数字签名在信息安全如身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用。数字签名的工作过程是报文发送方从报文文本中生成一个128bit的散列值(或报文摘要)，并用自己的专用密钥对这个散列值进行加密，形成发送方的数字签名；然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方；报文接收方首先从接收到的原始报文中计算出128bit位的散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的，通过数字签名能够实现对原始报文的鉴别和不可抵赖性。4数字证书数字证书也叫数字标识，是一种应用广泛的信息安全技术，一般由权威公正的第三方机构即CA(Certificate Authority)中心签发，是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件，它将身份和一对可以用来加密和签名的电子密钥相绑定。数字证书以密码学为基础，采用数字签名、数字信封、时间戳服务等技术，在Internet上建立安全有效的信任机制。数字证书能够验证一个人使用给定密钥的权利，有助于防止他人利用假密钥冒充其他用户，主要用于网上安全交往的身份认证。数字证书采用PKI(public Key Infrastructure)公开密钥基础架构技术，利用一对互相匹配的密钥进行加密和解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥)，用它进行解密和签名;同时设定一把公共密钥(公钥)，由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，通过数字的手段保证加解密过程是一个不可逆过程，即只有用私有密钥才能解密，这样保证信息安全无误地到达目的地。用户也可以采用自己的私钥对发送信息加以处理，形成数字签名。由于私钥为本人所独有，这样可以确定发送者的身份，防止发送者对发送信息的抵赖性。接收方通过验证签名还可以判断信息是否被篡改过。在公开密钥基础架构技术中，最常用一种算法是RSA算法，其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥)，想要推导出解密密钥(私密密钥)，在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间。5智能卡智能卡是一种智能集成电路卡，包括CPU、E2PROM、RAM、ROM和COS(Chip Operating System)。它不但提供读写数据和存储数据的能力，而且还具有对数据进行处理的能力，可以实现对数据的加密和解密，能进行数字签名和验证数字签名，其存储器部分具有外部不可读特性。智能卡在电子商务系统中有无法比拟的优势。首先，私人密钥和电子证书是保存于智能卡中不允许外读的存储单元中。而且可对智能卡的使用设置个人密码，从而鉴别持卡人是否为该卡的合法使用者。同时可以承担对信息的加密解密、签名及对签名的验证等事务，减轻了客户端系统的负担。当需要对加密解密算法进行改动或替换时只需要对智能卡进行相应的改动而无须对客户端系统进行升级。采用智能卡，使身份识别更有效、安全。智能卡技术将成为用户接入和用户身份认证的首选技术。6生物特征识别生物识别技术是利用人体生物特征(如指纹、虹膜、声音、脸形、掌纹、视网膜、脉搏、耳廓、骨架、静脉纹路等)进行身份认证的一种技术。电子生物识别可以通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，实时采集生物体的特征并实时做出判断。防火墙防火墙是指放置在不同网络(如可信任的内部网和不可信的公共网)或者网络安全域之间的系列部件的组合。防火墙的目的就是在不同网络区域之间建立起控制数据交换的唯一通道，通过允许、拒绝或重定向防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制，同时防火墙本身也具有较强的抗攻击能力，从而起到加强不同网络区域之间的访问控制，阻断来自非信任区域网络对受保护网络区域的威胁和入侵的作用，是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器。它有效地监控了内部网和公共网之间的任何活动，保障了内部网络的安全。总得来说，防火墙的功能主要表现在如下几个方面。1提高网络的安全性网络管理员可以通过防火墙定义安全控制策略来防止非法用户进入内部网络，禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。因此，防火墙可以极大地提高被保护网络的安全性，并且通过过滤不安全的服务而降低风险。2强化网络安全策略通过防火墙，网络管理员可以集中地部署和管理整个网络的安全策略，从而提高了管理的效率和维护的成本，便网络安全管理更加经济、有效。3监控、统计内部存取和访问信息防火墙可以记录下所有外网的访问请求，同时也能够提供网络使用情况的统计数据。当发现可疑行为时，防火墙能及时报警，并报告网络是否受到破坏和攻击的详细情况。另外，防火墙还可以监控内部用户对网络的使用情况，预防内部用户的破坏行为。防火墙对网络使用情况的正确、及时的统计分析对于网络需求分析和威胁等具有重要意义。4防止内部信息外泄利用防火墙对内部网络的区域划分，可以实现内部网络重点区域的隔离和访问控制，限制了这些区域重点或敏感网络安全问题对整个网络造成的影响，防止受保护信息资源泄漏到公共网。一、 防火墙关键技术1数据包过滤技术数据包过滤技术是防火墙中最常用的技术，它在网络中对数据包实施有选择的通过，选择的依据就是事先设置好的过滤规则(也称为访问控制列表，Access Control List)。数据包过滤防火墙就是把接收到的每个数据包同预先设定的包过滤规则相比较，从而决定是否阻塞或让数据包通过。如果接收的数据包与允许转发的规则相匹配，则将数据包按预定的规则进行转发;如果与拒绝转发的规则相匹配，则防火墙将丢弃数据包。如果没有匹配规则，则按默认情况处理。包过滤防火墙主要是通过IP数据包过滤模块来实现，工作在网络层和运输层。根据用户事先定义好的过滤规则，禁止或允许数据包的通过，从而达到对站点与站点、站点与网络、网络与网络之间的相互访问控制，但是不能控制传输的数据内容，因为内容是应用层数据，不是包过滤系统所能辨认的。包检查模块应该深入到操作系统的核心，在操作系统或路由器转发数据包之前拦截所有的数据包。通过检查模块，防火墙能拦截和检查所有出站和进站的数据。如图所示，防火墙包检查模块首先分析报头字段如IP、TCP、UPD等，验证这个数据包是否符合当前的过滤规则，如匹配则转发该数据包，否则尝试下一条规则；若不能匹配所有的规则，则丢弃该数据包。一般情况下，不管数据包是否符合过滤规则，防火墙会记录数据包处理的情况。包检查模块能检查数据包中的网络层和传输层的内容，包过滤检查项目主要有IP源地址、IP目标地址、协议类型(TCP，UDP，ICMP，IGMP)、TCP或UDP的源端口、TCP或UDP的目标端口、ICMP消息类型、TCP报头中的ACK位和FIN位、TCP的序列号和确认号、IP校验和分段偏移等。包过滤防火墙作为安全防御系统有简单实用、实现成本低等优点，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。对于小型的、不太复杂的网络，可以直接在现有操作系统上运行包过滤软件就可以实现包过滤功能，而且包过滤防火墙具有很好的传输性能和扩展性，与具体的应用无关，不要求客户端程序做任何改动就可以做到对用户透明服务。包过滤技术是一种完全基于网络层的安全技术，它只能根据数据包的源地址、目标地址、端口号、协议类型以及状态信息等进行过滤，无法对应用层的数据进行过滤，因此对于基于应用层的恶意入侵就无能为力。2代理技术代理技术是防火墙技术中用得较多的技术，也是安全性能较高的技术。代理型防火墙也可以被称为代理服务器，由代理服务软件运行在一台主机上构成代理服务器，其安全性要高于包过滤型产品，作用于应用层。代理型防火墙负责接受因特网服务(如FTP，Telnet)请求，再根据它的安全规则来决定这个请求是否被允许。如果允许的话，再转发到具体的服务中。代理服务位于内部网络上的用户和因特网上的服务两者之间，完全阻挡了两者之间的数据交流。由于内部网络与因特网没有直接的通道，只能分别与代理打交道。代理对所有应用层进行检查，它把端到端连接模型变为客户机到防火墙，防火墙再到服务器。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的通道，外部的恶意侵害也就很难伤害到内部网络系统。代理服务的最大好处是透明性。对用户和服务器来说，他们均认为正在直接通信，不觉得要由代理服务器进行中转。另外，它可以应用协议特定的访问规则，执行基于用户身份和报文分组的访问控制。代理防火墙能完全控制网络信息的交换，控制会话过程，具有灵活性和安全性。代理防火墙能有效地把发起连接的源地址掩藏起来，因此，它能有效地阻止拒绝服务的攻击。代理服务器在中转过程中可以依据安全策略对用户的行为进行调控，要么中转，要么阻止。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其不足的是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，建立对应的网关层，大大增加了系统管理的复杂性。3状态检测技术状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，追踪活跃的会话(session)连接，由用户定义的规则表决定允许建立哪些会话，只有与活跃会话相关联的数据包才能通过防火墙。状态检测技术的防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。状态检测技术的防火墙要监视每个连接发起到结束的全过程，它通过检查应用程序信息，来判断端口是否允许需要临时打开，当传输结束时，端口又马上恢复为关闭状态。检测模块对控制通信的基本因素状态信息(状态信息包括通信信息、通信状态、应用状态和信息操作性)进行检测，同时维护一个动态的状态表，记录所有的连接通信信息、通信状态，完成对数据包的检测和过滤最大限度地保证了网络的安全。4智能防火墙技术智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。新一代防火墙技术不仅要覆盖传统包过滤防火墙的全部功能，而且在全面对抗IP欺骗、SYN Flood，ICMP、ARP等攻击手段方面有显著优势，增强代理服务，并使其与包过滤相融合，再加上智能过滤技术，使防火墙的安全性提升到又一高度。智能防火墙相对于传统防火墙来说，具备了更多防范网络攻击的新技术： 防攻击技术：智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYN Flooding、Land Attack、UDP Flooding、Fraggle Attack、Ping Flooding、smurf、Ping of Death、unreachable Host等攻击。防攻击技术还可以有效的切断恶意病毒或木马的流量攻击。 防扫描技术：智能防火墙能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS、SSS、NMAP等扫描工具，智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。 防欺骗技术：智能防火墙提供基于MAC的访问控制机制，可以防止MAC欺骗和IP欺骗，支持MAC过滤，支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。 入侵防御技术：智能防火墙为了解决准许放行包的安全性，对准许放行的数据进行入侵检测，并提供入侵防御保护。入侵防御技术采用了多种检测技术，特征检测可以准确检测已知的攻击，特征库涵盖了目前流行的网络攻击;异常检测基于对监控网络的自学习能力，可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控，并能阻断应用层攻击。 包擦洗和协议正常化技术：智能防火墙支持包擦洗技术，对IP，TCP，UDP，ICMP等协议的擦洗，实现协议的正常化，消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁，效果显著。 AAA技术：IPv4版本的一大缺陷是缺乏身份认证功能，所以在IPv6版本中增加了该功能。问题是IPv6的推广尚需时日，IPv4在相当长一段时间内，还会继续存在。智能防火墙增加了对IP层的身份认证。基于身份来实现访问控制。智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的问题，病毒传播的问题和高级应用入侵的行为，代表着防火墙的主流发展方向。新一代的智能防火墙自身的安全性较传统的防火墙有很大的提高，在特权最小化，系统最小化，内核安全，系统加固，系统优化和网络性能最大化方面，与传统防火墙相比，有质的飞跃。三、 防火墙体系结构根据不同的场合，防火墙可以被设置成许多不同的结构，并提供不同级别的安全，而维护运行的费用也不同。各种组织机构根据不同的风险评估来确定不同的防火墙类型。常见的防火墙体系结构有:双重宿主主机(包过滤)体系结构、屏蔽主机体系结构和屏蔽子网体系结构。下面将讨论这三个些典型的防火墙的体系结构。1双重宿主主机体系结构双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络)。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。2屏蔽主机体系结构屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开，而将内部网络上的某台主机作为堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统，任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。3屏蔽子网体系结构屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络隔离开。屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器。四、 防火墙的部署策略防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，防火墙才能对此实行检查、防护等功能。因此，在网络拓扑上，防火墙应当处在网络的出口处和不同安全等级区域的结合点处。这些位置通常位于：内部网到Internet出口链路处；主干交换机至服务器区域工作组交换机的骨干链路上；内部网与高安全等级的涉密网的连接点远程拨号服务器与骨干交换机或路由器之间等等。另外，防火墙的部署还需要根据不同的网络拓扑情况和内部网络的安全需求来具体确定。比如，对于一般的小型网络来说，通过只有一个网络出口，因此防火墙一般都部署在内部网络的出口处，并且还可以根据不同的需求选择部署策略，如果只是作为内部网络和外部网络的安全连接，则可以采用两端口部署(如透明网桥型、两端口路由型、两端口NAT型)，如果需要对特殊区域(如非军事防火区，DMZ)保护的，则可以采用三端口部署(如三端口路由型、三端口NAT型)；对于大型网络来说，可能有两个甚至是多个网络出口，则要求防火墙具有策略路由、NAT等附加功能；对于某些对可靠性要求很高的网络则要求多台防火墙同时工作，并支持冗余配置和负载均衡，当某个防火墙结点出现故障时，可以由其它防火墙接替它的工作，从而可以避免防火墙故障造成损失。入侵检测系统随着网络安全风险系数不断提高，曾经作为最主要的安全防范手段的防火墙，己经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充，IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生，它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。入侵检测(Intrusion Detection)的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象(人或程序)针对系统的入侵企图或行为(Inirusion)，同时监控授权对象对系统资源的非法操作(Misuse)。入侵检测系统可以看作是防火墙后边的第二道安全保障，它的主要职责是：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向网络管理员报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，识别用户违反安全策略的行为。入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足，从某种意义上说是防火墙的补充。一、入侵检测技术根据采用的检测方法，可将入侵检测技术分为异常入侵检测技术(Anomaly Detection)和误用入侵检测技术 (Misuse Detection)。异常检测，也被称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。原理：首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵，而不是依赖于具体行为是否出现来进行检测的，一从这个意义上来讲，异常检测是一种间接的方法。常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。误用检测，也被称为基于知识的检测。其基本前提是：假定所有可能的入侵行为都能被识别和表示。原理：首先对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示己知的攻击模式)表示，然后根据己经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是直接判断攻击签名的出现与否来判断入侵的，从这一点来看，它是一种直接的方法。常用的具体方法有：基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。二、 入侵检测系统分类按照数据来源的不同，可以将入侵检测系统分为如下三类： 基于主机的入侵检测系统(Host-based Intrusion Detection System，HIDS)基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时，IDS将新的记录条目与己知的攻击特征相比较，看它们是否匹配。如果匹配，就会向系统管理员报警或者做出适当的响应。基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵的一个常用方法是通过定期检查文件的校验和来进行的，以便发现异常的变化。反应的快慢取决于间隔时间的长短。许多基于主机的IDS都是监听端口的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。 基于网络的入侵检测系统(Network-based Intrusion Detection System，NIDS)基于网络的入侵检测系统以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为，IDS的响应模块就做出适当的响应，比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应方式也可能不同，但通常都包括通知管理员、切断连接、记录相关的信息以提供必要的法律依据等。 基于主机和基于网络的入侵检测系统的集成，许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统。因为这两种系统在很大程度上是互补的。实际上，许多客户在使用IDS时都配置了基于网络的入侵检测。在防火墙之外的检测器检测来自外部Internet的攻击。DNS、Email和Web服务器经常是攻击的目标，但是它们又必须与外部网络交互，不可能对其进行全部屏蔽，所以应当在各个服务器上安装基于主机的入侵检测系统，其检测结果也要向分析员控制台报告。因此，即便是小规模的网络结构也常常需要基于主机和基于网络的两种入侵检测能力。.三、入侵检测系统与防火墙的联动技术防火墙与入侵检测这两种技术具有较强的互补性。目前，实现入侵检测和防火墙之间的联动有两种方式可以实现，一种是实现紧密结合，即把入侵检测系统嵌入到防火墙中，即入侵检测系统的数据来源不再来源于抓包，而是流经防火墙的数据流。所有通过的包不仅要接受防火墙检测规则的验证，还需要经过入侵检测，判断是否具有攻击性，以达到真正的实时阻断，这实际上是把两个产品合成一体。但是，由于入侵检测系统本身也是一个很庞大的系统，所以无论从实施难度、合成后的性能等方面都会因此受到很大影响。所以，目前还没有厂商做到这一步，仍处于理论研究阶段。但是不容否认，各个安全产品的紧密结合是一种趋势。第二种方式是通过开放接口来实现联动，即防火墙或者入侵检测系统开放一个接口供对方