（计算机系统结构专业论文）企业级网络安全连锁系统的分析与设计.pdf

华中科技大学石员士学位论文 摘要 传统的网络安全产品由于结构设计的原因，普遍存在着管理复杂、互操作困难、 功能单一等不足。本文在深入分析安全产品缺陷及其面临的安全威胁的基础上，提出 了企业级网络安全连锁系统的概念和体系结构。 在分析安全管理复杂性问题的基础上，提出采用层次管理结构的“连锁”管理模 型，依据结构化管理的原则，将安全管理任务逐级细化，简化管理过程，以解决安全 系统管理复杂的问题。 设计连锁系统的分布式框架模型，通过集中管理器协调囹鳌塞全垡娶和主机安全 代理之i 训的“动作”，共同防御来自网络内部和外部的安全威胁。在分析系统安全信 息特征的基础上，设计基于信息安全级别的反馈信息处理机制，自适应地调整网络安 全策略，在保证旦丝j 毫姿的情况下提高网络的安全性。 f 为了实现多种安全功能的集成以及各种安全功能的“联动”，提出网络安全语言 的概念。设计类c c + + 的安全语言语法，并通过设计适用于不同操作系统的安全语言 解释器的方法来解决安全语占跨平台的问题。设计具有良好扩展性的安全语言接口， 通过增加特定的安全语言“方法库”来扩展它的安全功能。y 针对系统自身可能存在的安全隐患，分析了网络中信息传输的安全性，设计了基 于? k i 系统的身份认证和加密传输机制，提高了连锁系统自身的安全性。 企业级网络安全连锁系统克服了目前网络安全系统普遍存在的管理复杂、互操作 困难和功能单一的缺陷，集成多种网络安全功能，能够有效的防范来自外部网络和内 部网络的各种非法行为，大大的提高了网络的安全水平。 关键词：网络7 连镄森：安! 磊 i 华中科技大学硕士学位论文 a b s t r a c t c o n v e n t i o n a ln e t w o r kd e v i c e sc o n f r o n td i s a d v a n t a g e ss u c ha sc o m p l e xm a n a g e m e n t ， d i f f i c u l ti n t e r o p e r a b i l i t ya n dl i m i t e df u n c t i o nb e c a u s eo fs t r u c t u r a ld e s i g nf l a w s b a s e do n 三 t h ed e e pa n a l y s i so fs e c u r i t yt h r e a t sa n dp r o d u c tf l a w sf a c e db yt h en e t w o r k ，t h et h e s i s p r e s e n t sc o n c e p ta n d a r c h i t e c t u r eo f n e t w o r ks e c u r i t yc h a i n e d s y s t e mf o re n t e r p r i s e s i nt h e t h e s i s ，l a y e r e d c h a i n e dm a n a g e m e n tm o d e li sb u i l t t h em o d e lr e s o l v e s c o m p l e xs y s t e ms e c u r i t ym a n a g e m e n ti s s u e sb ys i m p l i f y i n gt h em a n a g e m e n tp r o c e d u r e w i t ht h e s e c u r i t ym a n a g e m e n t t a s kd i v i d e d s t e pb ys t e p o fp r i n c i p l eo ns t r u c t u r a l m a n a g e m e n t t h et h e s i sa l s od e s i g n st h ed i s t r i b u t e da r c h i t e c t u r em o d e lf o rt h ec h a i n e ds y s t e m t h e m o d e lc a nr e s i s tb o t ht h ee x t e r n a la n di n t e r n a ls e c u r i t yt h r e a t sj o i n t l yw i t ht h en e t w o r k s e c u r i t ya g e n t sa n dh o s ts e c u r i t ya g e n t sb yh a r m o n i z i n gt h ea c t i o n s f o rt h e mt h r o u g h c e n t r a lm a n a g e r s w i t ht h ea n a l y s i so ft h es y s t e ms e c u r i t yi n f o r m a t i o nc h a r a c t e r i s t i c ，t h e t h e s i s p r e s e n t s af e e d b a c ki n f o r m a t i o n p r o c e s s i n g m e c h a n i s mb a s e do ni n f o r m a t i o n s e c u r i t yl e v e l ，w h i c hc a na d a p t i v e l ya d j u s tt h en e t w o r ks e c u r i t yp o l i c ya n di m p r o v et h e n e t w o r ks e c u r i t yw i t h o u td e t e r i o r a t i o no f n e t w o r ke f f i c i e n c y t h et h e s i sd e s i g n sas e to fn e t w o r ks e c u r i t yl a n g u a g ew h i c hi n t e g r a t e st h es e c u r i t y f u n c t i o n a l i t i e sa n de n a b l et h e mt ob e h a v ej o i n t l y d e s i g n i n gas e to fc c + + 一s i m i l a rs y n t a x a n da p a r s e r f o rt h e s e c u r i t yl a n g u a g e u n d e rd i f f e r e n t o s ，a c r o s s - p l a t f o r ms e c u r i t y l a n g u a g ei s a v a i l a b l e a l s oas e to f e a s ys c a l a b l el a n g u a g ei n t e r f a c ei sd e f i n e d ，i nw h i c h m e t h o dl i b r a r i e sc a nb ea d d e dt oe x t e n dt h es e c u r i t yf u n c t i o n a l i t i e s f o rt h ep o t e n t i a ls e c u r i t yt r o u b l e so fs y s t e mi t s e l gt h ei d e n t i t ya u t h e n t i c a t i o na n d c i p h e rt r a n s m i s s i o n m e c h a n i s mb a s e do np k ii sp r o p o s e dt oi m p r o v et h es e c u r i t yf o r c h a i n e d s y s t e m i t s e l f t h en e t w o r k s e c u r i t y c h a i n e ds y s t e mf o re n t e r p r i s er e s o l v e st h ec u r r e n t l ye x i s t e d c o m m o nt r o u b l e ss u c ha s c o m p l e x m a n a g e m e ，n t , d i f f i c u l t i n t e r o p e r a b i l i t y a n d l i m i t e d 一 华中科技大学硕士学位论文 f u n c t i o n a l i t y i nt h e n e t w o r k s e c u r i t ys y s t e m s ，i n t e g r a t e sm a n yn e t w o r k s e c u r i t y f u n c t i o n a l i t i e sa n dc a n p r e v e n ta l l k i n d so fm a l i c i o u sa c t i o n sb o t hf r o m e x t e r n a l i t ya n d i n t e r n a l i t y , t h u si m p r o v e st h en e t w o r ks e c u r i t yl e v e l k e y w o r d s ：n e t w o r k s e c u r i t y ；c h a i n e ds y s t e m ；s e c u r i t yl a n g u a g e i i i 华中科技大学硕士学位论文 1 概述 从1 9 4 6 年世界上第一台计算机在美国诞生以来，随着芯片集成技术和工艺的不 断提高，计算机技术在整个社会的发展中占据了越来越重要的地位。在信息时代的今 天，我们似乎已经无法离开计算机去办一件看起来微不足道的小事。 i n t e r n e t 网络所使用的t c p p 协议族自身的开放性极大地方便了各种计算机的 网络互联，并直接推动了网络技术的迅猛发展。但是，由于在早期网络协议设计上对 安全问题的忽视，以及i n t e r n e t 在使用和管理上的无政府状态，逐渐使i n t e r n e t 自身的安全受到威胁【l j 。黑客泛滥，病毒蔓延，不良信息污染，信息间谍潜入，机 要信息流失，网络的脆弱性以及网络安全产品缺少自控权等，所有的这些都成为限制 网络的瓶颈，严重的阻碍了计算机网络的健康发展p j 。 本文将针对计算机网络安全的问题作一些有益的尝试和探讨。 1 1 计算机网络面临的安全威胁 1 1 1 来自网络外部的安全威胁 目前，计算机网络在我国党政机关、金融机构、企事业单位、教育科技等领域的 各部门得到了广泛应用，各单位的局域网近年来通过互联网络逐步与外部公共网络连 接，为信息传输和利用带来了极大的方便。但是随着各个部门局域网的不断开放，有 关网络的违规和攻击事件也与日俱增，给网络信息安全带来了极大的威胁和危害。 对大多数人来说，“黑客”这个词汇已经不再陌生，去年的中美“黑客大战”被 各种媒体炒的沸沸扬扬，在这次“交战”中，我国共有近3 0 0 家网站遭受到攻击，4 0 多家网站一度中断服务，2 0 0 多家网站的页面被篡改。分析这些黑客使用的手法，其 实并不高明，大多数是利用一些现有的黑客软件工具对计算机系统本身的安全漏洞进 行攻击，使用的手法包括：弱口令猜测、缓冲区溢出、o n i c o d e 编码漏洞、i i s 服务 一 1 华中科技大学硕士学位论文 器漏洞等，即使这洋，在已经掌握的4 月份国际互联网上发生的数千起黑客事件中， 针对中国大陆的就有数百起之多，占1 3 8 2 ，在所有被攻击的网站中，商业网站占 5 4 ，政府网站占1 2 ，教育和科研网站占1 9 ，其他类型网站占l j 。网站系统一旦 遭受到攻击，数据往往被窃或删除，仅保留被替换过的主页，导致网站形象受损并引 发泄密、数据错误等问题，有的甚至整个系统被破坏，损失难以估量。可见我们正面 临着严重的安全危机。 一般而言，一次完整的网络入侵行为是一个比较长的时期，可以是几天，几个星 期甚至是几个月【4 】。在一次入侵行为中，入侵者往往同时使用多种入侵手段和方法提 高入侵行为的命中率，这将是以后网络入侵行为的一个发展趋势。 计算机网络面临的另一个主要的安全威胁来自于计算机病毒。所谓计算机病毒， 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使 用，并能自我复制的一组计算机指令或者程序代码【5 1 。任何病毒只要侵入系统，都会 对系统及应用程序产生程度不同的影响。轻者会降低计算机系统的工作效率，占用系 统资源：重者可导致系统崩溃。由这个特性，可以将病毒分为良性病毒与恶性病毒。 良性病毒可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作， 只是占用系统资源。这类病毒较多，如：g e n p 、小球、w - b o o t 等。恶性病毒则有明 确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽 回的破坏。恶性病毒造成的损失是巨大的，象c i h 、r e d c o d e 、尼姆达这些赫赫有名 的病毒，它们在网络上肆虐时给大家带来的灾难性的后果，有些至今仍无法弥补。 其他还有很多各种各样的安全威胁，例如，信息监听、应用协议解码、口地址 伪装等等 6 l ，这里就不再累述了。从以上的资料可以看出，我们的信息正面临着来自 外部网络的严重的安全威胁。 1 1 2 来自网络内部的安全威胁 黑客大战让大家亲身体会了来自外部网络的安全威胁，但是更多的数据表明，局 域网内部才是信息安全最大的威胁。局域网中信息的传输采用广播技术，信息在局域 网中很容易受到监听或者截获，这就为入侵者提供了大量有用的信息，即使这些信息 2 华中科技大学硕士学位论文 不是入侵者的直接目标，入侵者也可以利用这些信息达到自己的目的。 另外，很多的网络用户错误的认为局域网内是安全的，“我们已经安装了防火墙 系统了呀! ”，所以他们放松了警惕，一些本来应该注意的安全细节被忽视了，局域网 共享目录在使用完毕后不关闭，一些并不使用的网络服务也不及时地停止。殊不知安 全本来就是一个相对的概念，“道高一尺，魔高丈”，这些被忽略了的安全细节恰恰 给了那些入侵者一个可乘之机。入侵者在成功地入侵了一台计算机之后，往往会安装 一个后门程序，方便以后再登陆到这个目标主机上，实际上在大多数情况下，入侵者 在控制了局域网中的一台主机之后，利用这些被人们忽视了的网络安全细节，往往就 控制了整个局域网。 不仅如此，越来越智能的黑客程序甚至病毒根本就不需要人的干预就可以自动的 扫描局域网中的安全漏洞，进行破坏活动。例如，前些时候非常流行的尼姆达病毒通 过电子邮件感染了局域网中某一台主机之后，就会自动地扫描局域网中的共享目录， 并通过这些共享目录感染其它的主机。 由此可见，网络安全的威胁是无时不在的，我们要提高整个网络的安全性，除了 采用先进的网络安全技术之外，提高网络用户自身的安全意识也非常重要【”。 1 1 3 目前网络安全系统的局限 面对如此严重的网络安全威胁，越来越多的人开始意识到网络安全的重要性，他 们开始使用一些网络安全设备来保证自己信息的安全。防火墙是这些网络安全设备中 最重要也是最基本的设备。 传统意义上的防火墙，广义的来讲，是一种基于网络安全规则的，在内部网络和 外部网络之间进行访问控制的网络安全系统【。由于防火墙位于内部网络的周边，是 从内部网络到外部网络的一种关口，显然要做很多与安全相关的事情。不仅如此，现 代的防火墙，除了进行基于包过滤的访问控制以外，又增加了许多新功能【9 】，包括： 1 网络地址转换( n a t ) 从网络安全的角度考虑，网络地址转换对外屏蔽了网络内部的拓扑信息， 在防火墙的外部，只能看到防火墙的p 地址，而无法得到更多的关于内部网 1 华中科技大学硕士学位论文 络的信息。 2 内容限制 通过限制访问已知的包含威胁网络安全内容的u r l ，或者通过对流入的 数据包进行关键字检查等方法，防火墙可以限制用户在i n t e m e t 网上存取某些 信息。 3 应用代理 应用代理服务为某种特别的应用而拦截信息流，并把它们连接到驻留在 局域网外边的服务器上。这样，内部用户绝不可能与外边的服务器建立直接 连接。 防火墙系统能够解决一些安全问题，使整个网络的安全状况能够得到很大的提 高，但是防火墙系统也有一些不能解决的问题【l o 】。传统的防火墙系统不能防止来自内 部网络的入侵事件，也就是说，如果内部的用户想损害网络的话，普通的防火墙是无 能为力的，因为信息根本就不通过防火墙系统，它也就无法采取相应的措施来对这些 行为进行防范。 个人防火墙技术是一种新型的网络安全技术，它运行在每台受保护的主机上， 由用户来配置安全规则，能够较好地防范来自内部网络的安全威胁。但是，个人防火 墙系统使每一位网络用户各自为政，大家配置的安全策略参差不齐，缺乏统一的安全 管理，无法制订基于整个网络的安全策略，实际上降低了网络整体的安全性。 而且，防火墙系统的功能单一，面对网络中各种各样的安全威胁，不可能全部能 够防范”。即使我们在网络中安装多种网络安全设备，例如，i d s 系统、审计系统、 v p n 等等，这些系统之间的兼容，互操作又成了一个难题。其实，网络安全是一个 整体的概念，决定网络安全性的恰恰是哪一块“最短的木板”，要想解决整个网络的 安全问题，必须提出一种新的网络安全体系结构。 1 2 国内外发展现状 严重的网络安全威胁使越来越多的入认识到了安全的重要性，也推动了网络安全 4 华中科技大学硕士学位论文 技术的迅猛发展，本小节讨论了在网络安全领域最基本也是最重要的几种安全技术的 发展状况。 1 2 1 防火墙技术 防火墙技术是网络安全领域最基本的技术之，大多数网络安全体系都是以防火 墙系统为中心建立起来的。传统意义上的防火墙系统，往往被部署在整个受保护网 络的边缘，充当网络的“看门人”，因此被称为“边缘防火墙”。受保护网络内的任何 一台主机与外部网络之间的信息交换，都受到防火墙系统的控制，防火墙系统就是通 过这种方式来保证内部网络的安全。 但是，边缘防火墙技术存在着一些不足，例如：无法防范内部的安全隐患，效率 不高，故障点多等缺点。针对传统边缘防火墙的欠缺，专家提出“分布式防火墙”的 概念 1 0 , 1 4 】。 从狭义来讲，“分布式防火墙系统”是指那些驻留在网络中的主机上( 服务器或 桌面机) 并对主机系统自身提供安全防护的软件系统；从广义来讲，“分布式防火墙” 是一种新的防火墙体系结构，它包含如下功能组件： 1 网络防火墙 用于内部网与外部网之间( 即传统的边界防火墙) 和内部网子网之间的 防护系统，后者区别于前者的一个特征是需支持内部网可能有的i p 和非i p 协议。 2 主机防火墙 对网络中的服务器和桌面机进行防护，这些主机的物理位置可能在内部 网中，也可能在内部网外，如托管服务器或移动办公的便携机。 3 中心管理 边界防火墙只是网络中的单一设备，管理是局部的。对分布式防火墙来说， 每个防火墙作为安全监测机制可以根据不同的安全需求布置在网络中任何需 要的位置上，但总体安全策略又是统一策划和管理的，安全策略的分发及日志 的汇总都是中心管理应具备的功能。中心管理是分布式防火墙系统的核心和重 5 华中科技大学硕士学位论文 要特征之一 分布式防火墙系统通过这三个主要的功能组件解决边缘防火墙在应用中的困难 具有传统的边缘防火墙无法比拟的优点。 1 2 2 入侵检测技术 从上个世纪八十年代初期开始，安全专家就已经对入侵监测技术进行了深入的研 究，取得了大量的成果 1 5 - 1 7 。一般而言，入侵检测系统的数据来源有两类：系统审 计和网络流。根据数据来源的不同，就产生了两种不同的入侵检测系统：基于审计的 入侵监测系统( a i d s ) 和基于网络的入侵监测系统( n i d s ) 。它们有各自的优势， 也存在不足。a i d s 能够准确地知道目标系统所发生的事件，但是并不是所有操作系 统都提供详细完整的审计日志。a t & tb e l l 实验室的c o m p u t e r w a t c h ，德国 b r a n d e n b u r gu n i v e r s i t yo ft e c h n o l o g ya tc o t t b u s 研制的a i d ( a d a p t i v ei n t r u s i o n d e t e c ti o ns y s t e m ) 属于此类i d s 产品。n i d s 能够较好的识别涉及网络层和传输层 的入侵行为，而且不影响受保护的系统，但是它不能准确地知道目标系统发生的事件， 也不大可能准确地重构系统应用层所发生的事情。i n t e r n e ts e c u r i t ys y s t e m 公司 的r e a l s e c u r e ( v 1 0 2 9 2 2 4f o rw i n d o w sn t ) 、 w h e e l g r o u p公司的 n e t r a n g e r ( v 1 2 2 ) 、a b i r n e t 公司的s e s s i o n w a l l - 3 ( v l ，r 2 ，v 1 2 0 2 6f o rw i n d o w s n t ) 和n e t w o r kf 1 i g h tr e c o r d e r 公司的n f r ( vb e t a 一2 ，n f r 公布了部分代码) 属于 此类产品。目前入侵检测技术的发展趋势是将a i d s 和n i d s 融合，相互取长补短【1 8 i 。 入侵检测技术的发展，除了将a i d s 和n i d s 融合以外，也出现了滥用检测模型和 异常检测模型融合的趋势。所谓滥用检测模型【2 0 j 是指根据已知的入侵行为模型， 匹配当前目标系统或用户的行为或状态，判别目标系统是否遭受入侵，目前大多数入 侵检测系统采用这种检测模型。异常检测模型【2 0 1 是通过学习，建立关于系统或用户正 常行为的模型，然后检查当前系统或用户的行为是否正常，如果不正常就可以判断目 标系统遭受到了入侵。 6 j 二。， 二jt 二j 二j i 一二? f 7 王：j 文 ? - l 一_ _ ? ! ! = t ，= ! ! ! ! t ! ! ，= ! = = ? ，_ = i ! ! = ! = ! l ! ，= ! _ ! = ! ，= _ 1 2 3c h e c k p o ln t 的o p s e c i 孙：i 墨严jn 卜哪- 的厅! 月郡需要强；新的女垒琦绝术饭护其顺利进行，否则吲户 ，；等面临由j ：安仝急警带束的巨大损失。保护信鬯、和网络安全的关键就在于建立一个完 亳篷的i 毗qf i l e t 安垒架构，o p s e c i 圳斧为我们提供了一个这样的安全构架。 o p s e c o p e np l a t f o r mf o rs e c u r i t y ) 牙放安全平台，是出c h e c kp q i n t 公司 倡导和发起的，它的目的就是解决目前各种安全产品恻的互操作肚问题。它回答了当 t 污网络安全投术厂百解决万集丰面临的最人难题互磉作陛和管理复杂性，避免 丁选择卓个厂丽带，= 苌的最大问题集成和灵活陛的限制。o p s e c 的安全构架如图 11 所示： 图1 1o p s e c 体系结构框架示意图 o p s e c 通过提供公开的a p i 、工业标准的协议和高级编程语言来轻松地实现集 成。在这些o p s e c 集成方法中最根本的是各种安全协议，他们包括： 1 内容安全c v p ( c o n t e n tv e c t o r i n gp r o t o c 0 1 ) 内容安全允许用户扫描经过网络的所有数据包内容。例如，病毒、恶意 j a v a 或a c i t v e x 程序等。c h e c kp o i n t 提供的c v pa p i 定义了异步接口将数据 包转发到服务器应用程序去执行内容验证。用户可以根据多种标准来验证内容 一一 7 ! 。乏：之 一： n 、，；曩j 孑建- r i ，f ：= ：一! _ = 。一j _ n 五 if 芝义j i 。? ”+ e r ，导! 步譬二累兮娄i 口控制基一_ = 二哥定l 地址的通 f 言，蒴火墙上的1 。f p 客户端碑l r l 传送到l f pj 日务器上，l j ? 服务器使用动念 j 。、类技，弋。冬l 恐连。亍分类，笏火墙则曼撂安全规：e _ j 的定义t 、娄进 亍处理。对 客户柬波，通过年臭的安全策略管理j 口可以实现高效的i v e c 资源管理 3 入埕睑测s p s u s p i c i o u sa c t iv i f o n i t o r n p r o t c c o ! ) j 、j l p pr 定义了入陧睑测j 立用同? ? 1 f i r a w a l l l 通言的接口：入侵俭 j 娜引擎一更用s 。w p 柬识别网络中的可疑 亍为，并通知防火墙处理，另外s 1 m p 应用可以使用其地o p s e c 接口和a p i 来发送曰志、告警和状态信息到 v p 一1 f ir e w a h 一：管理服务器 以上对o p s e c 的介绍只是“冰止鸵一角“，更详细的岩息、可以参见 h t t p ：l w w w c h e c k p o i n t c o m 。 1 3 网络安全连锁系统概述 锌对目前网络安全系统的不足，在综合分折国内外网络安全技术发展现状和趋势 的基础上，我们提出“网络安全连锁系统”的概念。网络安全连锁系统是一种基于 s l 的( s l 安全语言，将在第三章中详细论述) ，整体和局部安全策略相结合的， 集成多种安全功能的安全系统。 “连锁”的概念来源于商业术语“连锁店”。所谓连锁，国际连锁加盟协会( i f a ) 做出了如下的定义：“总公司和加盟店基于契约关系，彼此都是独立的事业体。总公 司提供加盟店商标、商品( 或劳务) 、象征该公司的整体设计及经营技术。加盟店在 和总公司同一形象、商誉下从事销售活动，其必须遵守总公司的种种限制和规定，同 时具有相对独立的权限”。从这段定义中，我们可以得出两点结论：第一，连锁店之 间以及连锁店与总店是相互独立的实体，他们有一定的自主权：第二，连锁店也存在 相应的义务，它们必须遵守总店的种种限制和规定。 一一 r 华中科技大学硕士学位论文 网络安全连锁系统也遵守这两点结论，它由集中管理器和安全代理系统组成，每 一个安全代理必须服从集中管理器统一制定的安全策略：而同时安全代理系统又是一 个独立的系统，在不违反总的安全策略的基础上，可以根据个体情况为每一个安全代 理制定最符合其安全需求的安全策略。 除此之外，网络安全连锁系统还有如下的特点： l集成多种安全防范功能，是一个综合的网络安全系统； 2 多种安全防范功能在计算机系统核心的统一，这些安全功能包括：访问控制、 入侵检测、网络病毒防范、内容检查等等； 3 采用“连锁”管理模型，降低网络安全管理的复杂性： 4 嵌入操作系统的内核，避免协议栈的安全漏洞； 5具有良好的开放性和可扩展性。 网络安全连锁系统在很大的程度上解决了目前安全系统存在的不足。它能够对内 部网络与外部网络之间的信息交换进行访问控制，也能够防范来自内部网络的安全威 胁，同时采用多种网络安全防范手段，并且实现了各种安全功能的“联动”，提高了 整个网络的效率和安全性。 图1 2 是网络安全连锁系统典型的应用拓扑结构示意图。 在下一章中，我们将对网络安全连锁系统的体系结构作详细的论述。 华中科技大学硕士学位论文 i n t e i l l 图1 2 连锁系统的典型应用拓扑结构示意图 次级管理罂 0 华中科技大学硕士学位论文 2连锁系统的体系结构 本章主要论述企业级网络安全连锁系统的体系结构，为了方便对体系结构的理 解，在论述连锁系统的体系结构之前，对连锁系统的管理结构作了一些讨论。 2 1 连锁管理模型 企业级网络安全连锁系统是一个以安全语言为基础，以集中管理器为核心的安 全系统。它从结构上可以分为集中管理器和安全代理。集中管理器是整个系统的结 构核心，采用“连锁”管理模型，其管理结构如图2 1 所示， 图2 1 连锁系统管理结构图 罂 中央集中管理器负责制定整个网络的安全策略，管理二级管理器和网络安全代 理。二级管理器负责接收来自中央管理器的安全策略，同时在不违反中央管理器安 全策略的情况下，制定符合本安全组的安全策略，并负责将安全策略发送到本安全 组的安全代理上。 在上面的论述中，提到了“安全组”的概念，所谓“安全组”是指具有相同或 者相近安全策略的主机的集合。同一个安全组内的主机，接受同一个管理器的管理， 执行相同或者相近的安全策略。通过这样的管理结构，上级管理器制定的安全策略 会随着管理器延伸到每一台主机。主机必须遵从总的安全策略，同时对于主机而言， 华中科技大学硕士学位论文 其直接管理器会根据各个主机不同的安全需求，为每一台主机制定与其安全需求密 切吻合的安全策略。安全代理则负责具体地执行这些安全规则，同时将发现的网络 异常隋况向管理器报告，以便管理器及时地调整网络安全策略。这就是“连锁”管 理的含义。 网络安全代理的位置比较特殊，它的物理位置处在网络的边缘，类似于边缘防 火墙。它直接接受中央管理器的管理，中央管理器将其制定的安全策略中与外部网 络相关的部分交给网络安全代理去执行。 连锁管理模型从结构上解决了网络中整体安全与个体安全需求之间的矛盾，使 网络的整体安全与局部安全有机地融合起来，提高了整个系统的安全性。同时，这 样的管理结构将安全管理任务逐级细化，在不违反总的安全策略的情况下，让最了 解系统安全需求的管理员制定最适合于系统的安全策略，降低了网络安全管理的复 杂性。 2 2 连锁系统的框架模型 企业级网络安全连锁系统( 以下简称连锁系统) 以安全语言为整个系统的技术核 心，将用户定制的安全规则“翻译”成为安全语言代码，通过编译器编译成为中间代 码后，发送到各个安全代理上。安全代理在接收到中间代码后，利用其内嵌的解释器 对中间代码解释执行，以达到保护网络安全的目的。连锁系统的框架模型如图2 2 所 示，它主要由入侵检测模块、访问控制模块、网络监测模块、安全语言编译器、信息 加密及身份认证、通讯模块、安全语言解释器和反馈信息处理器组成。 入侵检测模块、访问控制模块和网络监测模块为用户提供了对安全规则进行配置 的环境，负责根据用户制定的安全规则产生相应的安全语言代码，并将代码提交编译 器进行编译。这些模块非常容易扩充，可以包括更多的内容，例如，防病毒、内容审 计等等。 华中科技大学硕士学位论文 图2 2 网络安全连锁系统框架结构图 安全语言编译器所完成的任务是将功能模块产生的代码编译成安全语言解释器 能够识别的中间代码。由于在产生安全语言代码的过程中可能会出现语法错误，所以 编译器在编译代码的同时还必须能够返回编译错误，这样可以帮助用户调试他们的安 全规则。 中间代码必须发送到安全代理上并正确地运行起来，才能够确保网络的安全，但 是如果入侵者冒充管理器向安全代理发送中间代码，这将造成巨大的安全损失。因此 中间代码在发送和接收时必须进行身份认证：为了防止中间代码在网络传输过程中被 窃听或篡改，必须有保证其完整性和机密性的措施。加密和身份认证模块正是基于这 种需求产生的。在中间代码进行网络传输之前，将由该模块对中间代码进行确保完整 性和机密性的安全处理，同时附上身份认证信息。安全代理接收到中间代码后，首先 对信息发送者的身份进行验证，确认信息发送者的身份无误后才会执行解密、加载和 执行中间代码等操作。 _ _ _ _ _ _ _ _ _ _ _ _ _ _ - _ _ _ _ _ - _ _ _ - - _ h - _ _ _ _ _ _ _ _ _ - - - _ _ _ _ _ _ _ - - _ _ _ _ _ _ _ - _ _ _ _ _ _ _ _ _ - _ _ _ _ _ _ _ _ _ 一 13 华中科技大学硕士学位论文 通讯模块分为两种，一种在管理器上运行，另一种则运行在安全代理上，两种通 讯模块所完成的任务略有不同。运行在管理器上的通讯模块负责将经过安全处理的中 间代码发送到安全代理，并接收从安全代理返回的反馈信息：管理器的通讯模块则负 责将反馈信息向上级管理器报告和接收来自于上级管理器的安全规则信息。 安全语言解释器是安全代理中的核心部分，它负责中间代码的解释执行。解释器 以嵌入操作系统核心的形态运行，直接接管网卡，把所有的数据包进行检查后再提交 系统协议栈，这样做可以避免网络协议栈的安全漏洞，极大地提高了系统的安全性。 反馈信息处理器使系统能够自适应地调整网络安全策略，在保证系统效率的前提 下，提高网络对安全威胁的自动适应能力。在安全代理发现网络出现异常时，会向它 的直接管理器“反映”，管理器的反馈信息处理器分析这些信息，根据信息的安全级 别做出相应的处理，必要时调整本安全组的安全策略( 例如，启动某些安全规则等) ， 并向它的上级管理器反映，以期在更大的范围内进行安全策略的调整。 2 3 集中管理器 集中管理器要完成大量的安全规则配置和管理工作，同时还必须能够在发现异常 的情况下自动的调整网络的安全策略，协调各个安全代理之间的动作，以达到确保整 个网络安全的目的。其主要有以下几个模块组成： 1 访问控制模块； 2 网络监测模块； 3 入侵检测模块( s l 集成开发环境) ； 4 安全语言编译器： 5 加密认证模块； 6 通讯模块： 7 反馈信息处理模块。 在接下来的章节中，将对组成集中管理器的各个模块作更加详细的论述。 d 华中科技大学硕士学位论文 2 3 1 访问控制模块 访问控制是网络安全防范和保护的主要手段，其主要任务是保证网络资源不被 非法使用和访问，是保证网络安全最重要的核心策略之一。 访问控制模块主要用于配置关于访问控制的安全规则。由于它既要管理网络安 全代理，配置内部网络与外部网络之间的访问控制规则，也要管理普通的主机安全 代理，配置基于某一台特定主机的安全规则，所以它既拥有传统边缘防火墙的规则 配置特点，也拥有个人防火墙的规则配置特点。两种访问控制规则针对的对象不同， 组成这两种规则所需要的要素也有差异，因此访问控制模块必须包含两种安全规则 的特征。 访问控制模块由规则配置、配置文件管理、规则一) s l 转换器等几个主要部分 组成，其结构图如图2 3 所示。 图2 3 访问控制模块结构示意图 规则配置功能块是访问控制模块的用户接口，它向用户提供各种访问控制规则 的模板，用户通过决定安全规则中各个元素的取值来制定适合用户需求的安全规则。 在用户制定好安全规则之后，这些安全规则会按照一定的格式存储到规则配置 文件中。但是，功能模块并不直接与规则配置文件进行交互，所有与文件的交互工 华中科技大学硕士学位论文 作全部交给配置文件管理器来执行，这样的设计可以将功能块从繁重的文件管理中 解放出来，“专心致志”地做好自己的本职工作。 配置文件管理器负责所有文件的管理工作，这些文件包括： 1 日志配置文件 日志配置文件中主要存储了与日志相关的信息。为了提高系统的灵活 性，系统允许用户定制系统产生安全目志的内容和格式，这些关于内容、 格式的信息就存储在同志配置文件中。反馈信息处理器在收到反馈信息( 也 就是日志) 之后，查询相应的日志配置文件，就可以理解这些反馈信息的 含义并做出相应的处理。 2 规则配置文件 在连锁系统中，规则最终的形式是安全语言代码，但是用户必须了解 目前系统中正在运行的规则。规则配置文件是一个中间的过渡，规则配置 文件可以非常方便地还原成为用户易于理解的安全规则，也比较容易转换 成为正确的安全语言代码。 3 模块配置文件 访问控制模块的初始化配置信息保存在模块配置文件中，在访问控制 模块每次启动时读取这些初始化参数，对模块进行初始化配置，在模块关 闭之前，再将修改过的信息保存到模块配置文件中。 安全规则到安全语言代码的转换是访问控制模块的核心功能。连锁系统的所有 的安全防范功能最终都是基于安全语言的解释执行，将用户配置的安全规则正确的 转换为安全语言代码之后，直接送往安全语言编译器编译成中间代码，就可以发送 到各个安全代理。 2 3 2 网络监测模块 网络流量分布，网段的负荷，某种报文的比例，网络带宽资源利用率等这些表 现网络运行状况的信息是网络运行、管理、维护和规划的基石，是一个网络管理员 华中科技大学硕士学位论文 所必须了解的信息。网络安全管理员只有在了解了整个网络的运行状况之后，才能 制定出符合整个网络安全需求的安全策略。 安全连锁系统的网络监测模块向用户提供了这样一个功能。用户可以根据需要 设置网络探测过滤器，系统可以根据用户设置的过滤条件在阿络上捕获符合条件的 报文，并对这些捕获的信息进行统计，分析出网络当前的运行状况，为用户制定高 效的安全策略提供依据。 网络监测模块由过滤器设置、监测结果显示器和过滤规则一) 安全语言转换器 等主要的部分组成，其结构如图2 4 所示。 图2 4 网络监测模块结构示意图 过滤器设置功能块向用户提供设置网络报文过滤条件的功能，这些过滤条件由 很多条件元素组成，用户配置这些条件元素形成过滤条件。例如，用户希望察看某 个网段的实时流量状况，只需要将过滤条件设置成为该网段的d 地址和网络掩码就 可以了。 配置好的过滤条件存为一个过滤器配置文件，将这个保存有过滤器配置信息的 华中科技大学硕士学位论文 文件转换为安全语言代码是网络监测模块的核心功能。由于网络监测模块的过滤规 9 1 | j 与访问控制模块的安全规则在形式上存在差异，将它们进行统一处理的难度较大， 所以在网络监测模块中也有一个从规则到安全语言代码转换的功能块。 在将过滤条件正确地转换为安全语言代码之后，经过编译器的编译，直接发送 到安全代理上执行，就可以接收按照过滤规则捕获的网络报文了。 通讯模块将安全代理捕获的网络报文提交到网络监测模块，网络监测模块就开 始对这些捕获的报文进行统计分析，然后用各种形式向管理员显示这些结果( 例如， 曲线图、柱状图、饼图、表格等) 。对于高级用户，也可以直接提供捕获的原始报文， 让用户按照自己的目标对网络状况进行分析。 2 3 3 入侵检测模块 入侵检测模块为用户提供配置入侵检测规则的功能。入侵检测模块与访问控制模 块和网络监测模块不同，访问控制规则和网络监测的过滤规则都比较规整，可以用统 一的格式来描述，只需要用户填入相应的规则元素取值就可以转换为标准的安全语言 代码，但是，用于入侵检测的安全规则面对的是网络上各种入侵行为，这些行为虽然 有一定的共性，但是更多的是各自的特性，因此很难找到一种规整的格式来描述入侵 检测规则，只能由用户直接编写安全语言代码。 入侵检测模块与访问控制模块、网络监测模块还有另外一个不同点。访问控制和 网络监测的安全语言代码是系统根据用户配置的安全规则自动产生的，不会产生编译 错误和逻辑错误，因此也不必要与编译器存在交互。但是，入侵检测的规则是用户直 接用安全语言编写的代码，可能会出现各种各样的错误，所以必须和编译器进行交互， 入侵检测模块将编辑好的代码交给编译器，编译器将编译后的信息传递给入侵检测模 块。 入侵检测模块实际上是安全语言的集成开发环境( s l i d e ) ，它不仅可以编写入 侵检测规则，也可以提供给高级用户作为其它安全规则配置模块的补充，甚至可以对 安全连锁系统进行二次开发。 入侵检j 9 | l l 模块包括安全语言编译器、文本编辑器、安全语言语法分析器、编译信 华中科技大学硕士学位论文 包处理器等几个主要部分。其结构如图2 5 所示。 图2 5 入侵监测模块结构示意图 文本编辑器是入侵检测模块中最基本的功能，用户使用文本编辑功能编写安全语 言代码。但是，仅仅具有基本的文本文件编辑功能是远远不够的，所以我们设计了语 法分析器。 语法分析器的主要功能是分析文本编辑器中代码的语法结构，形成语法单元树， 同时根据语法分析的结果将语法关键字高亮显示。语法分析器所分析的源代码通常是 不完整的，而且是动态的，所以语法分析器必须对代码进行动态的语法分析，才能产 生实时的语法分析结果。 为了提高系统的灵活性，用户对系统产生日志的形式、内容都可以配置，但是为 了系统可以理解和分析日志( 反馈信息) ，就必须对用户配置的日志形式和内容有一 个“解释”，这些解释就存放在日志配置文件中。在前面的章节中，我们也谈到日志 配置文件，访问控制模块和网络监测模块中的日志形式和内容虽然也存在着多样性， 但是它们是固定的，在入侵检测模块中，这些内容全部由用户配置，日志配置文件就 显得格外重要。所以，在入侵检测模块中，除了编写正确的安全规则代码，还要根据 堕呈塑垡亟苎生旦查堡墨垡垦：垄塞全塑型垫塾型窒全垡堡垫堑敛回堕：夏堑丕筮笪 9 华中科技大学硕士学位论文 f 1 志配置信息。 编译信息处理器的设计相对而言比较简单，在编译器对用户提交的安全语言代码 编译之后，产生关于这次编译操作的信息，编译信