基于部署的软件应用安全技术研究

基于部署的软件应用安全技术研究

目录前言............................：软件应用的部署技术（3页）（一）部署技术概述（二）现状及重要性：软件应用中常见的安全问题及解决办法（5页）（一）黑客（二）病毒、蠕虫、特洛伊木马（四）网络安全漏洞（三）数据丢失：基于部署的软件应用安全技术（10页）（一）硬件防火墙（二）网闸（三）网关（四）DMZ（五）还原卡（六）Langate：实证研究及结论（10-12页）（一），实证问题概述（二），需要解决的主要问题（三），解决方案（四），重点过程描述（五），实证结论前言随着网络技术的发展和网上各种应用的不断丰富,网络安全问题日益成为人们关注的焦点。人们在网络安全部署策略中更多地注重网络边界的安全，防病毒、防黑客、数据备份是目前常用的数据保护手段，我们通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭，因此采取了一系列的防范措施，如建立两套网络，一套仅用于内部员工办公和资源共享，称之为内部网络;另一套用于连接互联网检索资料，称之为外部网络，同时使内外网物理断开;另外采用防火墙、入侵检测设备等，但据统计超过50%的网络及信息安全问题源于内部人员所为，其次才是外部黑客的攻击。由于内网是一个由网络设备与信息系统组成的复杂环境，连接便捷、应用系统多、重要数据多是其显著特点,如果疏于对内网的安全防范,那么就极易出现应用系统被非法使用、数据被窃取和被破坏等情况，因此注重内网安全系统建设、有效防范源自内部的安全问题，其意义较之于外网安全防范更为重大。目前，在我国的各个行业系统中，无论是涉及科学研究的大型研究所，还是拥有自主知识产权的发展中企业，都有大量的技术和业务机密存储在计算机和网络中，如何有效地保护这些机密数据信息，已引起各单位的巨大关注!第一章软件应用的部署技术（一）部署技术概述什么是部署？简单的说部署就是把设计好的程序或是硬件放到一定的环境系统中运行，从而发挥它的作用，这就是部署。我所要研究的重点是网络安全中的硬件部署，那么就离不开各种硬件配置、网络环境、计算机的操作系统，下面我将详细的作介绍。一硬件配置1防火墙所谓防火墙指的是一个有软件和硬件设备组隙内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.2.网闸网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。网关网关守护着企业网络以防终端用户被植入后门程序或病毒下载器。4还原卡硬盘还原卡，又称电脑还原卡，使用创新的安全硬盘管理技术HDSafe，硬件级解决电脑教室的管理问题，具备强大的数据保护和还原功能是误删除、误格式化、感染病毒等不希望发生的硬盘数据改变，在下一次开机时能够瞬间还原。5磁盘阵列是利用数组方式来作磁盘组，配合数据分散排列的设计，提升数据的安全性。6WinPassCA证书服务器Win-PassCA证书服务器系统是PKI公共密钥安全体系中的关键设备，注册、签发、管理和发布网络系统中各种设备和用户的证书，用于建立和保障网络通信中的身份认证和相互信任体系。7LanGate是基于专用芯片及专业网络安全平台的新一代整体网络安全硬件产品。二网络环境一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题，实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方面：一是计算机病毒，二是黑客犯罪。计算机病毒是我们大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。黑客犯罪是指个别人利用计算机高科技手段，盗取密码侵入他人计算机网络，非法获得信息、盗用特权等，如非法转移银行资金、盗用他人银行帐号购物等。随着网络经济的发展和电子商务的展开，严防黑客入侵、切实保障网络交易的安全，不仅关系到个人的资金安全、商家的货物安全，还关系到国家的经济安全、国家经济秩序的稳定问题，因此各级组织和部门必须给予高度重视。三操作系统Windows2000Server的安全机制是建立在WindowsNT4．0提供的安全机制上的。Windows2000的安全模式使各组织可以与合作伙伴、供应商以及在信任关系之上使用基于Internet技术的消费者安全地交互。Windows2000的活动目录对用户、组及计算机账户信息采用分层命名，存储了所有的域安全策略和账户信息。可以利用组策略编辑器设置各种功能，包括软件设置、应用程序配置选项、脚本、用户设置、文档选项及安全设置。Windows2000安全性，又称为“分布式安全性”，它包括基于Internet标准安全协议的鉴别，采用Kerberos5作为默认鉴别协议。它使用Internet安全协议IPSec。Windows2000使用基于Internet技术的虚拟专用网VPN，通过ISP，IIS及VPN服务器来建立Inter—net连接。可利用VPN通过公共网来传输专用网数据。此外，可利用Windows2000提供的加密文件系统EFS对文件进行加密保护。数据库系统的安全机制SQLServer的安全性与权限管理，数据库安全性是用户权限管理等方面的内容，这种安全性以信息资源和信息资源的用户为主要管理对象，一个用户只要具有对某个对象的访问权限，就可以对信息资源进行操作。作为网络操作系统上的服务，SQLServer的安全性还可以与操作系统的安全性建立某种联系，这就是SQLServer的安全性模式。它有3种安全模式：标准安全、集成安全、混合安全。标准安全完全由SQLServer自身维护安全性，对所有连接采用SQLServer本身的登录证实过程，通过使用LoginID和口令来访问数据库服务器。集成安全允许SQLServer用Windows2000的认证机制来证实SQLServer的所有连接。混合安全使得SQLServ—er的用户和Windows2000的用户都可以获得访问数据库的权限。当然，可以不使用SQLServer自身的用户管理，只允许Windows2000的用户具有访问数据库的权限。在SQLServer中，权限分两大级别：连接权、访问权。连接权指是否可以访问SQLServer，访问权指是否可以查询或修改数据库。每一个网络用户在访问SQLServer数据之前，必须使用一个win—dows2000的账号或SQLServer的LoginID以及口令，与SQLServer建立连接，SQLServer的安全系统通过对用户提供的登录信息的验证决定是否允许这个用户连接。在连接成功后，用户还需要在每个数据库中都有一个数据库用户账号，或者是用户别名，查询或者修改数据时，SQLServer的安全系统根据这个账号或者别名的权限决定是否允许用户请求的操作。（二）内部网络的安全现状目前很多企事业单位都加快了企业信息化的进程，在网络平台上建立了内部网络和外部网络，并按照国家有关规定实行内部网络和外部网络的物理隔离;在应用上从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的应用如财务系统、PDM系统甚至到计算机集成制造(CIMS)或企业资源计划(ERP)，逐步实现企业信息的高度集成，构成完善的企事业问题解决链。在网络安全方面系统内大多企业或是根据自己对安全的认识，或是根据国家和系统内部的相关规定，购置部分网络安全产品，如防火墙、防病毒、入侵检测等产品来配置在网络上，然而这些产品主要是针对外部网络可能遭受到安全威胁而采取的措施，在内部网络上的使用虽然针对性强，但往往有很大的局限性。由于内部网络的高性能、多应用、涉密信息分散的特点，各种分立的安全产品通常只能解决安全威胁的部分问题，而没有形成多层次的、严密的、相互协同工作的安全体系。同时在安全性和费用问题上形成一个相互对立的局面，如何在其中寻找到一个平衡点，也是众多企业中普遍存在的焦点问题。由此可见，无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。所以，计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。内部网络更易受到攻击为什么内部网络更容易受到攻击呢?主要原因如下：(1)信息网络技术的应用正日益普及，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。网络已经是许多企业不可缺少的重要的组成部分，基于Web的应用在内部网正日益普及，典型的应用如财务系统、PDM系统、ERP系统、SCM系统等，这些大规模系统应用密切依赖于内部网络的畅通。(2)在对Internet严防死守和物理隔离的措施下，对网络的破坏，大多数来自网络内部的安全空隙。另外也因为目前针对内部网络安全的重视程度不够，系统的安装有大量的漏洞没有去打上补丁。也由于内部拥有更多的应用和不同的系统平台，自然有更多的系统漏洞。(3)黑客工具在Internet上很容易获得，这些工具对Internet及内部网络往往具有很大的危害性。这是内部人员(包括对计算机技术不熟悉的人)能够对内部网络造成巨大损害的原因之一。(4)内部网络更脆弱。由于网络速度快，百兆甚至千兆的带宽，能让黑客工具大显身手。(5)为了简单和易用，在内网传输的数据往往是不加密的，这为别有用心者提供了窃取机密数据的可能性。(6)内部网络的用户往往直接面对数据库、直接对服务器进行操作，利用内网速度快的特性，对关键数据进行窃取或者破坏。(7)众多的使用者所有不同的权限，管理更困难，系统更容易遭到口令和越权操作的攻击。服务器对使用者的管理也不是很严格，对于那些如记录键盘敲击的黑客工具比较容易得逞。(8)涉密信息不仅仅限于服务器，同时也分布于各个工作计算机中，目前对个人硬盘上的涉密信息缺乏有效的控制和监督管理办法。(9)由于人们对口令的不重视，弱口令很容易产生，很多人用诸如生日、姓名等作为口令，在内网中，黑客的口令破解程序更易奏效。第二章：软件应用中常见的安全问题及解决办法1黑客黑客（hacker），源于英语动词hack，意为“劈，砍”，引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。在日本《新黑客词典》中，对黑客的定义是“喜欢探索软件程序奥秘，并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样，只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中，我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全，他们以保护网络为目的，而以不正当侵入为手段找出网络漏洞。另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作（如用暴力法破解口令），他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重，防火墙的攻破率不断上升，在政府、军队、企业等领域，由于核心部门的信息安全关系着国家安全、社会稳定，因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方，用以解决涉密网络与公共网络连接时的安全。在电子政务建设中，我们会遇到安全域的问题，安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密，但是涉及到本单位，本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密，是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定，政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离，按照安全域的划分，政府的内网就是涉密域，政府的外网就是非涉密域，互联网就是公共服务域。国家有关研究机构已经研究了安全网闸技术，以后根据需求，还会有更好的网闸技术出现。通过安全网闸，把内网和外网联系起来；因此网闸成为电子政务信息系统必须配置的设备，由此开始，网闸产品与技术在我国快速兴起，成为我国信息安全产业发展的一个新的增长点。2病毒、蠕虫、特洛伊木马病毒(n.)：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。与人体病毒按严重性分类（从Ebola病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。蠕虫(n.)：病毒的子类。通常，蠕虫传播无需用户操作，并可通过网络分发它自己的完整副本（可能有改动）。蠕虫会消耗内存或网络带宽，从而可能导致计算机崩溃。蠕虫的传播不必通过“宿主”程序或文件，因此可潜入您的系统并允许其他人远程控制您的计算机。最近的蠕虫示例包括Sasser蠕虫和Blaster蠕虫。与病毒相似，蠕虫也是设计用来将自己从一台计算机复制到另一台计算机，但是它自动进行。首先，它控制计算机上可以传输文件或信息的功能。一旦您的系统感染蠕虫，蠕虫即可独自传播。最危险的是，蠕虫可大量复制。例如，蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本，那些联系人的计算机也将执行同样的操作，结果造成多米诺效应（网络通信负担沉重），使商业网络和整个Internet的速度减慢。当新的蠕虫爆发时，它们传播的速度非常快。它们堵塞网络并可能导致您（以及其他每个人）等很长的时间才能查看Internet上的网页。特洛伊木马(n.)：一种表面上有用、实际上起破坏作用的计算机程序。一旦用户禁不起诱惑打开了以为来自合法来源的程序，特洛伊木马便趁机传播。为了更好地保护用户，Microsoft常通过电子邮件发出安全公告，但这些邮件从不包含附件。在用电子邮件将安全警报发送给客户之前，我们也会在安全网站上公布所有安全警报。在神话传说中，特洛伊木马表面上是“礼物”，但实际上藏匿了袭击特洛伊城的希腊士兵。现在，特洛伊木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。最近的特洛伊木马以电子邮件的形式出现，电子邮件包含的附件声称是Microsoft安全更新程序，但实际上是一些试图禁用防病毒软件和防火墙软件的病毒。基于网络的防病毒LanGate是网关级的安全设备，它不同于单纯的防病毒产品。LanGate在网关上做HTTP、SMTP、POP和IMAP的病毒扫描，并且可以通过策略控制流经不同网络方向的病毒扫描或阻断，其应用的灵活性和安全性将消除企业不必要的顾虑。LanGate的防病毒引擎同时是可在线升级的，可以实时更新病毒库。3网络安全漏洞漏洞是存在于系统中的一个弱点或者缺点。广义的漏洞是指非法用户未经授权获得访问或提高其访问层次的硬件或软件特征。实际上，漏洞可以是任何东西，许多用户非常熟悉的特殊的硬件和软件存在漏洞，如IBM兼容机的CMOS口令在CMOS的电池供电不足、不能供电或被移走情况下会丢失CMOS信息也是漏洞;操作系统、浏览器、TCP/IP、免费电子邮箱等都存在漏洞。微软对漏洞的明确定义：“漏洞是可以在攻击过程中利用的弱点，可以是软件、硬件、程序缺点、功能设计或者配置不当等。”漏洞扫描是一种自动检测计算机安全脆弱点的技术。扫描程序集中了已知的常用攻击方法，针对系统可能存在的各种脆弱点进行扫描，输出扫描结果，以便审查人员分析并发现系统存在的漏洞。扫描程序还可以通过TCP/IP端口查询，记录目标响应的情况，收集相关的有用信息，以发现网络系统的安全漏洞。利用漏洞扫描技术可以快速地在大范围内发现已知的系统安全漏洞。网络漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在互联网上的安全漏洞，从而在计算机网络系统安全保卫战中做到“有的放矢”，及时修补漏洞，构筑坚固的安全长城。4数据丢失如果使用过计算机或者管理过机房，您就可能会有这样的经历，误操作，不正常关机，Windows提示非法操作，遭遇神出鬼没的病毒，以及学生的好奇和失误导致的文件丢失、系统损毁等等。相信您对这些都会记忆犹新，我们觉得您有必要找一个专业维护人员，而不是由您亲自维护每台计算机，所以我们向您推荐硬盘还原卡。只要将还原卡插入计算机，并且指定需要维护的数据区域，这样您就能够一劳永逸，任由学生删除、格式化、安装、卸载，尽最大可能地提供宽松的上机实验环境。因为对您来说，只要重新启动计算机，一切都会复原，硬盘还原卡让从前的烦恼永远地成为了历史。第三章：基于部署的软件应用安全技术一硬件防火墙防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。防火墙基础原理1、防火墙技术防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。下面，我们将介绍这些手段的工作机理及特点，并介绍一些防火墙的主流产品。包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。2、防火墙工作原理（1）包过滤防火墙包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。图1：包过滤防火墙工作原理图（2）应用网关防火墙应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。（图2）图2：应用网关防火墙工作原理图（3）状态检测防火墙状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。（图3）图3：状态检测防火墙工作原理图（4）复合型防火墙复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。（图4）图4：复合型防火墙工作原理图二网闸如今，网络隔离技术已经得到越来越多用户的重视，重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术，即SCSI技术，双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术，双端口RAM也是模拟拷盘技术，物理单向传输技术则是二极管单向技术。本文就是和大家一起来探讨物理隔离交换技术的应用。网闸的概念网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议"摆渡"，且对固态存储介质只有"读"和"写"两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使"黑客"无法入侵、无法攻击、无法破坏，实现了真正的安全。物理隔离网闸应用定位1)涉密网与非涉密网之间：2)局域网与互联网之间（内网与外网之间）：有些局域网络，特别是政府办公网络，涉及政府敏感信息，有时需要与互联网在物理上断开，用物理隔离网闸是一个常用的办法。3)办公网与业务网之间：由于办公网络与业务网络的信息敏感程度不同，例如，银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率，办公网络有时需要与业务网络交换信息。为解决业务网络的安全，比较好的办法就是在办公网与业务网之间使用物理隔离网闸，实现两类网络的物理隔离。4)电子政务的内网与专网之间：在电子政务系统建设中要求政府内望与外网之间用逻辑隔离，在政府专网与内网之间用物理隔离。现常用的方法是用物理隔离网闸来实现。5）业务网与互联网之间：电子商务网络一边连接着业务网络服务器，一边通过互联网连接着广大民众。为了保障业务网络服务器的安全，在业务网络与互联网之间应实现物理隔离。三网关管道网关管道是通过不兼容的网络区域传输数据的比较通用的技术。数据分组被封装在可以被传输网络识别的帧中，到达目的地时，接收主机解开封装，把封装信息丢弃，这样分组就被恢复到了原先的格式。管道技术只能用于3层协议，从SNA到IPv6。虽然管道技术有能够克服特定网络拓扑限制的优点，它也有缺点。管道的本质可以隐藏不该接受的分组，简单来说，管道可以通过封装来攻破防火墙，把本该过滤掉的数据传给私有的网络区域。专用网关很多的专用网关能够在传统的大型机系统和迅速发展的分布式处理系统间建立桥梁。典型的专用网关用于把基于PC的客户端连到局域网边缘的转换器。该转换器通过X.25网络提供对大型机系统的访问。shoO这些网关通常是需要安装在连接到局域网的计算机上的便宜、单功能的电路板，这使其价格很低且很容易升级。2层协议网关2层协议网关提供局域网到局域网的转换，它们通常被称为翻译网桥而不是协议网关。在使用不同帧类型或时钟频率的局域网间互连可能就需要这种转换。安全网关安全网关是各种技术有趣的融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤1、包过滤器包过滤是安全映射最基本的形式，路由软件可根据包的源地址、目的地址或端口号建立许可权，对众所周知的端口号的过滤可以阻止或允许网际协议如FTP、rlogin等。过滤器可对进入和/或流出的数据操作，在网络层实现过滤意味着路由器可以为所有应用提供安全映射功能。作为（逻辑意义上的）路由器的常驻部分，这种过滤可在任何可路由的网络中自由使用，但不要把它误解为万能的，包过滤有很多弱点，但总比没有好。包过滤很难做好，尤其当安全需求定义得不好且不细致的时候更是如此。这种过滤也很容易被攻破。包过滤比较每个数据包，基于包头信息与路由器的访问列表的比较来做出通过/不通过的决定，这种技术存在许多潜在的弱点。首先，它直接依赖路由器管理员正确地编制权限集，这种情况下，拼写的错误是致命的，可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。即使管理员准确地设计了权限，其逻辑也必须毫无破绽才行。虽然设计路由似乎很简单，但开发和维护一长套复杂的权限也是很麻烦的，必须根据防火墙的权限集理解和评估每天的变化，新添加的服务器如果没有明确地被保护，可能就会成为攻破点。随着时间的推移，访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组，它必须识别该分组要到达目的地需经由的下一跳地址，这必将伴随着另一个很耗费CPU的工作：检查访问列表以确定其是否被允许到达该目的地。访问列表越长，此过程要花的时间就越多。包过滤的第二个缺陷是它认为包头信息是有效的，无法验证该包的源头。头信息很容易被精通网络的人篡改，这种篡改通常称为“欺骗”。包过滤的种种弱点使它不足以保护你的网络资源，最好与其它更复杂的过滤机制联合使用，而不要单独使用。2、链路网关链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP请求，甚至某些UDP请求，然后代表数据源来获取所请求的信息。该代理服务器接收对万维网上的信息的请求，并代表数据源完成请求。实际上，此网关就象一条将源与目的连在一起的线，但使源避免了穿过不安全的网络区域所带来的风险。3、应用网关应用网关是包过滤最极端的反面。包过滤实现的是对所有穿过网络层包过滤设备的数据的通用保护，而应用网关在每个需要保护的主机上放置高度专用的应用软件，它防止了包过滤的陷阱，实现了每个主机的坚固的安全。应用网关的一个例子是病毒扫描器，这种专用软件已经成了桌面计算的主要产品之一。它在启动时调入内存并驻留在后台，持续地监视文件不受已知病毒的感染，甚至是系统文件的改变。病毒扫描器被设计用于在危害可能产生前保护用户不受到病毒的潜在损害。这种保护级别不可能在网络层实现，那将需要检查每个分组的内容，验证其来源，确定其正确的网络路径，并确定其内容是有意义的还是欺骗性的。这一过程将产生无法负担的过载，严重影响网络性能。4、组合过滤网关使用组合过滤方案的网关通过冗余、重叠的过滤器提供相当坚固的访问控制，可以包括包、链路和应用级的过滤机制。这样的安全网关最普通的实现是象岗哨一样保护私有网段边缘的出入点，通常称为边缘网关或防火墙。这一重要的责任通常需要多种过滤技术以提供足够的防卫。下图所示为由两个组件构成的安全网关：一个路由器和一个处理机。结合在一起后，它们可以提供协议、链路和应用级保护。这种专用的网关不象其它种类的网关一样，需要提供转换功能。作为网络边缘的网关，它们的责任是控制出入的数据流。显然的，由这种网关联接的内网与外网都使用IP协议，因此不需要做协议转换，过滤是最重要的。保护内网不被非授权的外部网络访问的原因是显然的。控制向外访问的原因就不那么明显了。在某些情况下，是需要过滤发向外部的数据的。例如，用户基于浏览的增值业务可能产生大量的WAN流量，如果不加控制，很容易影响网络运载其它应用的能力，因此有必要全部或部分地阻塞此类数据。联网的主要协议IP是个开放的协议，它被设计用于实现网段间的通信。这既是其主要的力量所在，同时也是其最大的弱点。为两个IP网提供互连在本质上创建了一个大的IP网，保卫网络边缘的卫士--防火墙--的任务就是在合法的数据和欺骗性数据之间进行分辨。5、实现中的考虑实现一个安全网关并不是个容易的任务,其成功靠需求定义、仔细设计及无漏洞的实现。首要任务是建立全面的规则，在深入理解安全和开销的基础上定义可接受的折衷方案，这些规则建立了安全策略。安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下，安全策略的基始承诺是允许所有数据通过，例外很少，很易管理，这些例外明确地加到安全体制中。这种策略很容易实现，不需要预见性考虑，保证即使业余人员也能做到最小的保护。另一个极端则极其严格，这种策略要求所有要通过的数据明确指出被允许，这需要仔细、着意的设计，其维护的代价很大，但是对网络安全有无形的价值。从安全策略的角度看，这是唯一可接受的方案。在这两种极端之间存在许多方案，它们在易于实现、使用和维护代价之间做出了折衷，正确的权衡需要对危险和代价做出仔细的评估。四DMZDMZ是英文“demilitarizedzone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。一般网络分成内网和外网，也就是LAN和WAN,那么，当你有1台物理位置上的1台服务器，需要被外网访问，并且，也被内网访问的时候，那么，有2种方法，一种是放在LAN中，一种是放在DMZ。因为防火墙默认情况下，是为了保护内网的，所以，一般的策略是禁止外网访问内网，许可内网访问外网。但如果这个服务器能被外网所访问，那么，就意味着这个服务器已经处于不可信任的状态，那么，这个服务器就不能（主动）访问内网。构建DMZ的策略1.内网可以访问外网内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。2.内网可以访问DMZ此策略是为了方便内网用户使用和管理DMZ中的服务器。3.外网不能访问内网很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。4.外网可以访问DMZDMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。5.DMZ不能访问内网很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。6.DMZ不能访问外网此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。DMZ的实现根据以上访问控制策略可以设定Linux防火墙的过滤规则。下面将在一个虚构的网络环境中，探讨如何根据以上六条访问控制策略建立相应的防火墙过滤规则。这里的讨论和具体应用会有所区别，不过这种讨论将有助于实际应用。用户在实际应用时可根据具体的情况进行设置。该虚拟环境的网络拓扑如图1。如图1所示，路由器连接Internet和防火墙。作为防火墙的Linux服务器使用三块网卡：网卡eth0与路由器相连，网卡eth1与DMZ区的Hub相连，网卡eth2与内网Hub相连。作为一个抽象的例子，我们用“[内网地址]”来代表“/24”之类的具体数值。同理还有“[外网地址]”和“[DMZ地址]”。所以，如果服务器放在内网（通过端口重定向让外网访问），一旦这个服务器被攻击，则内网将会处于非常不安全的状态。但DMZ就是为了让外网能访问内部的资源，也就是这个服务器，而内网呢，也能访问这个服务器，但这个服务器是不能主动访问内网的。DMZ就是这样的一个区域。为了让物理位置在内网的，并且，希望能被外网所访问的这样的一个区域。五还原卡工作原理还原卡的主体是一种硬件芯片，插在主板上与硬盘的MBR（主引导扇区）协同工作。大部分还原卡的原理都差不多，其加载驱动的方式十分类似DOS下的引导型病毒：接管BIOS的INT13中断，将FAT、引导区、CMOS信息、中断向量表等信息都保存到卡内的临时储存单元中或是在硬盘的隐藏扇区中，用自带的中断向量表来替换原始的中断向量表；再另外将FAT信息保存到临时储存单元中，用来应付我们对硬盘内数据的修改；最后是在硬盘中找到一部分连续的空磁盘空间，然后将我们修改的数据保存到其中。每当我们向硬盘写入数据时，其实还是写入到硬盘中，可是没有真正修改硬盘中的FAT。由于保护卡接管INT13，当发现写操作时，便将原先数据目的地址重新指向先前的连续空磁盘空间，并将先前备份的第二份FAT中的被修改的相关数据指向这片空间。当我们读取数据时，和写操作相反，当某程序访问某文件时，保护卡先在第二份备份的FAT中查找相关文件，如果是启动后修改过的，便在重新定向的空间中读取，否则在第一份的FAT中查找并读取相关文件。删除和写入数据相同，就是将文件的FAT记录从第二份备份的FAT中删除掉。硬盘还原卡是一种基于硬件的硬盘保护系统，跟还原软件的作用相同都是在系统损坏或数据丢失时及时恢复。还原卡将计算机的系统分区或其他需要保护的分区保护起来，用户可以将还原卡设定为下次启动或过一定的时间后对系统进行自动还原，这样，在此期间内对系统所作的修改将不复存在，免去了系统每使用一段时间后就由于种种原因造成系统紊乱、经常出现死机而不得不再次重装系统之苦。计算机系统恢复时的操作更加方便，只需重启一下计算机即可，并且还原卡的保护效果也远远的好于软件还原，能防止各种病毒的侵袭。还原卡的原理是在操作系统启动之前获得机器的控制权。用户对硬盘的操作，实际上不是对原来数据的修改，而是对还原卡保留区进行操作，从而达到对系统数据保护的功能。具体来说：（一）控制权的获得要得到控制权就要求还原卡里的程序赶在操作系统引导以前运行。计算机的启动过程是在BIOS（基本输入输出系统）的控制下进行的。BIOS是直接与硬件打交道的底层代码，它为操作系统提供了控制硬件设备的基本功能。BIOS包括有系统BIOS（即常说的主板BIOS）、显卡BIOS和其它设备（例如IDE控制器、SCSI卡或网卡等）的BIOS，BIOS一般被存放在ROM(只读存储芯片)之中，即使在关机或掉电以后，这些代码也不会消失。而绝大部分硬件还原卡程序正是驻留在网卡的BIOS里。计算机的启动过程是这样的，当按下电源开关时，电源开始向主板和其它设备供电，这时CPU从固定的内存地址开始执行一条跳转指令，跳到系统BlOS中真正的启动代码处装载系统BlOS程序。接着系统BIOS的启动代码首先要做的事情就是进行POST(加电后自检)，POST的主要任务是检测系统中一些关键设备是否存在和能否正常工作。接下来BIOS将查找显卡的BlOS，对显卡进行初始化工作。查找网卡等其它BIOS并装载运行之。还原卡上的程序正是利用这个时机将自己装载到内存中的特定地址。紧接着是对CPU、内存等一系列设备的测试。系统BlOS的启动代码的最后一项工作就是读取并执行硬盘上的主引导记录里的主引导程序。我们看到还原卡程序是在硬盘启动前得到了机器的控制权，从而达到对计算机运行时硬盘的全程监控。（二）对数据保护我们先来看看是什么改变和破坏了硬盘内的数据。首先是用户的修改和删除数据，其次是计算机病毒的影响。我们引用较为普遍计算机病毒定义：计算机病毒是一种人为制造的、隐藏在计算机系统的数据资源中的、能够自我复制进行传播的程序。可见用户和病毒对数据的改变都是通过写操作和删除操作引起的，而还原卡正是通过对这两项操作加以影响而达到对硬盘数据的保护的。操作物理机的最低层是ROMBIOS，而层次越低适用范围越广，因为上层都要调用它。因此截取到ROMBIOS的硬盘读写例程，就能拦截到系统运行时所有的硬盘读写操作。而ROMBIOS的程序是由许多中断程序所组成，完成硬盘操作的中断是INTl3，因此还原卡程序启动后的第一件工作便是查找到系统BlOS的中断向量表，用自己的INTl3程序替换掉原有的INTl3程序。来达到对硬盘读写的拦截。那么还原卡程序如何通过拦截INTl3来达到对硬盘的保护呢?还原卡程序接管BIOS的INT13中断，将FAT（文件分配表）、引导区、CMOS信息、中断向量表等信息都保存到卡内的临时储存单元中或是在硬盘的隐藏扇区中，用自带的中断向量表来替换原始的中断向量表，再另外将FAT信息保存到临时储存单元中，用来应付我们对硬盘内数据的修改；最后是在硬盘中找到一部分连续的空磁盘空间作为保留区，然后将我们修改的数据保存到其中。每当我们向硬盘写入数据时，其实还是写入到硬盘中，可是没有真正修改硬盘中的FAT。由于还原卡接管INT13，当发现写操作时，便将原先数据目的地址重新指向先前的连续空磁盘空间，并将先前备份的第二份FAT中的被修改的相关数据指向这片空间。当我们读取数据时，和写操作相反，先在第二份备份的FAT中查找相关文件，如果是启动后修改过的，便在重新定向的空间中读取，否则在第一份的FAT中查找并读取相关文件。删除和写入数据相同，就是将文件的FAT记录从第二份备份的FAT中删除掉。可见还原卡的主要功能就是改变原有读写数据的地址。使其对原有数据的读写转向到对保留区里的数据进行操作，而并没有对数据存在的原有地址进行读写，从而达到对原有数据的保护七LangateLanGate是网关级的安全设备，它不同于单纯的防病毒产品。LanGate在网关上做HTTP、SMTP、POP和IMAP的病毒扫描，并且可以通过策略控制流经不同网络方向的病毒扫描或阻断，其应用的灵活性和安全性将消除企业不必要的顾虑。LanGate的防病毒引擎同时是可在线升级的，可以实时更新病毒库。基于用户策略的安全管理整个网络安全服务策略可以基于用户进行管理，相比传统的基于IP的管理方式，提供了更大的灵活性。防火墙功能LanGate系列产品防火墙都是基于状态检测技术的，保护企业的计算机网络免遭来自Internet的攻击。防火墙通过“外->内”、“内->外”?ⅰ澳?->内”（子网或虚拟子网之间）的接口设置，提供了全面的安全控制策略。VPN功能LanGate支持IPSec、PPTP及L2TP的VPN网络传输隧道。内容过滤功能LanGate的内容过滤不同于传统的基于主机系统结构内容处理产品。LanGate设备是网关级的内容过滤，是基于专用芯片硬件技术实现的。LanGate专用芯片内容处理器包括功能强大的特征扫描引擎，能使很大范围类型的内容与成千上万种关键词或其它模式的特征相匹配。具有根据关键字、URL或脚本语言等不同类型内容的过滤，还提供了免屏蔽列表和组合关键词过滤的功能。同时，LanGate还能对邮件、聊天工具进行过滤及屏蔽。入侵检测功能LanGate内置的网络入侵检测系统（IDS）是一种实时网络入侵检测传感器，它能对外界各种可疑的网络活动进行识别及采取行动。IDS使用攻击特征库来识别过千种的网络攻击。同时LanGate将每次攻击记录到系统日志里，并根据设置发送报警邮件或短信给网络管理员。垃圾邮件过滤防毒功能包括：对SMTP服务器的IP进行黑白名单的识别垃圾邮件指纹识别实时黑名单技术对所有的邮件信息病毒扫描带宽控制（QoS）LanGate为网络管理者提供了监测和管理网络带宽的手段，可以按照用户的需求对带宽进行控制，以防止带宽资源的不正常消耗，从而使网络在不同的应用中合理分配带宽，保证重要服务的正常运行。带宽管理可自定义优先级，确保对于流量要求苛刻的企业，最大限度的满足网络管理的需求。系统报表和系统自动警告LanGate系统内置详细直观的报表，对网络安全进行全方位的实时统计，用户可以自定义阀值，所有超过阀值的事件将自动通知管理管理人员，通知方式有Email及短信方式（需结合短信网关使用）。多链路双向负载均衡提供了进出流量的多链路负载均衡，支持自动检测和屏蔽故障多出口链路，同时还支持多种静态和动态算法智能均衡多个ISP链路的流量。支持多链路动态冗余，流量比率和智能切换；支持基于每条链路限制流量大小；支持多种DNS解析和规划方式，适合各种用户网络环境；支持防火墙负载均衡。：实证研究及结论，实证问题概述网络安全技术是当前信息化应用的重中之重，其实现方式通常包括硬件和软件两种，本题目主要以《铁道部货检集中监控系统技术条件》为需求，研究软件应用安全的主要问题、基于部署的主要解决方案，目前，哈尔滨铁路局机房启用了4台服务器，承担着中间站网络的运行（货运站及货运处网站）。经过几年来的运行，数据量不断增大，子系统不断增加，导致信息冗余加剧。加之铁道部使用的应用平台没有经过专业测试，未能判断程序间的兼容性，在与铁路局信息互访、统一办公过程中，各方面数据相互冲突，网络内部数据互访、信息链接、数据冗余没有经过系统划分，杂乱无章，造成了应用程序混乱，从而导致系统响应缓慢，链接失败，站段不能正常上传信息，进而影响了整体路局的网络办公体系。随着计算机的不断升级换代，网络应用的不断深入，毋庸置疑，局域网已经成为信息传递的重要载体和平台。客户端的不断增加，信息化的迅速发展，数据库的不断升级扩容，100Mbit/s已经不能满足现行网络大量传输。因此，信息链路的简洁化实施已经迫在眉睫，必须改造网络的端口速率，调整各自应用平台，确保正常办公。根据哈尔滨电子所机房实地考察，从网络分布、硬件及配置、软件现状三个方面作以简要描述。铁路局八台服务器物理分布（如图1所示）。中间站为服务器1、服务器2、服务器3、服务器4；铁道部危险品监控系统为服务器5（铁道部规章）、服务器6；报价系统为服务器7、服务器8。发现问题：在月初和月末文件传输当中出现无法上传、网络响应慢或者链接超时，引起各站段不能正常办公。网络分布图1：网络简易图硬件及配置1、服务器服务器计算机名用户名/口令remontecontrol口令配置参数中间站服务器一ZJZ-1administratorhebhyctoechebtoec134C2.66G/R8G/H146*2服务器二ZJZ-2administratorhebhyctoechebtoecC2.66G/R8G/H146*3服务器三ZJZ-3administratorhebhyctoechebtoec137C2.66G/R8G/H146*3服务器四（数据库）hyc-web.hyc.dnsadministratorhycwz0802C3.2G/R4G/H73*4危险品及铁道部规章服务器五hebhycadministrator缺hebtoecC3.2G/R8G/H73*4服务器六（新增）hebhycadministratorhebwxptoec空C3.0G/R8G/H146*3保价系统服务器七hebbj1administratorhebbjhebhyaqC3.0G/R8G/H146*3服务器八hebbj2administratorhebbjhebhyaqC3.0G/R8G/H146*32、网络设备设备名称参数用户名/密码备注负载均衡AIP:9VIP:0admin/admin中间站使用路由模式负载均衡BIP:9VIP:0admin/admin中间站备用路由模式负载均衡CIP:6VIP:7admin/admin危险品使用交换机24口百兆+2口千兆，背板带宽4.4GLAN交换24口百兆交换机，背板带宽2.4GWAN交换软件现状服务器IP地址应用备注服务器1货运站系统，其中包括货运站网页、装载加固系统、问题库、hebweb网页、规章系统、设备专用线系统、人力资源、培训考核。，货运处系统包括货运处网页、装载加固系统、问题库、hebweb网页服务器1：货运处管理系统、规章系统、设备专用线系统、培训教材、技术表演赛。服务器2：设备专用线系统中的“设备图形”文件及FTP文件服务器2服务器33服务器410货运站系统、货运处系统、各子系统的数据库SQL数据库服务器511铁道部危险品监控系统和铁道部规章系统及铁道部危险品数据库服务器5：铁道部危险品数据库SQL,规章数据库Oracle服务器65服务器711保价系统服务器812（二）、需要解决的主要问题硬件分析整体网络物理分布位置不统一。数据库与应用服务器分布在不同机房，中间链接无法确认，使得应用服务器访问数据库需要经过N个接点，出现冗余信息影响网络正常通信，加大了访问时间。为满足日益增加的各站段数据录入，数据处理的需求，我们曾将中间站3台服务器部署成集群模式，以提高服务器的性能。但因长期数据积累，信息量大，使得百兆的交换机无法满足当前的应用环境，即使在集群模式下也会出现端口瓶颈，引起网络阻塞，导致网络页面响应缓慢、延迟及无法响应等现象。危险品数据库（服务器5）、中间站数据库（服务器4）硬盘空间不足。服务器型号老，接口不统一，扩充能力差，无法满足后期应用需求。软件分析中间站三台服务器安装的应用有差别，没有真正达到集群要求。铁路局和铁道部的应用部署混乱，数据不能明确划分，导致系统响应缓慢，信息读取延时，影响整体应用的稳定性。（三），解决方案1、带宽提升增加网络带宽，提升端口吞吐量，升级百兆端口到千兆，端口模式设为全双工，实现端口汇聚功能，保证网络内部无瓶颈。2、优化链接简化网络物理链接结构，优化网络设备分布，减少冗余链路。从而提升网络读写速度，保证多客户端信息上传、下载流畅无延时。3、数据整合合并中间站数据库和危险品数据库，保证一台服务器专门处理单一形式文件，防止应用繁琐而导致系统崩溃或响应延时现象。在一台磁盘容量可扩展的服务器上安装中间站数据库SQL、铁道部危险品数据库SQL及铁道部规章数据库Oracle,提供6*146G大容量磁盘空间，提供高可用性的RAID-5保证数据的安全性。4、集群设计负载均衡调整为桥接模式，进行服务器间应用的均衡。通过权重比安排服务器各自承载的数据量，保证每台相同负载均衡下的服务器应用软件统一，从而提供多台冗余，保证集群7*24小时运行，避免软件不统一导致单台服务器宕机，影响局部应用无法正常运行。5、信息分离八台服务器中的应用进行物理隔离，铁道部的危险品监控系统及铁道部保价系统进行单独划分，与中间站的应用分割在不同服务器，从而保证各自系统安全稳定、安全、独立运行，减少单独系统资源非正常被占用情况，便于维护及升级。应用链接网站中各子系统链接之间减少数据处理，数据编辑，添加数据库链接，提取现有数据，提高网络读取速度。7、性能标准确保服务器硬件、应用软件及机器本身性能满足安全1+1+1；权限1/3+1/3+1/3；性能3A标准。硬件冗余硬盘数据需要做本地或异地备份，防止因硬盘损坏而丢失数据。（二）物理设计1、网络规划设计如图2所示图2：规划图2、服务器部署服务器配置参数备注中间站服务器一C2.66G/R8G/H146*2货运站及货运处网站服务器二C2.66G/R8G/H146*2服务器三C2.66G/R8G/H146*2危险品及铁道部规章服务器四C3.2G/R4G/H73*4铁道部危险品系统及铁道部规章服务器五C3.2