网络安全白皮书 前言 由于无法给我们的用户推荐一本全面介绍网络安全理论和实际应用的 书，作为光讯安全网络产品推广时的需要，我整理了这样一份白皮书，我总觉 得，这本书可能永远也写不完、写不全，因此我们将把此书放在光讯网络的站 点：htp://www.fibercom.com.cn上，希望各位专家、用户和其他读者批评指正 ([email protected])，我将随时更正错误、增加新内容。作为一本白 皮书，我将随时跟踪最新的技术和安全问题，使本白皮书成为一份尽量公正的 纯技术资料。 希望本白皮书能够成为您了解网络安全和挑选网络安全产品的参考资 料。 本文首先介绍了网络安全的一些基础知识，然后针对网络安全的两个方 面：系统安全和信息安全，分别介绍了安全需求、功能和相关的紫光安全产 品。 在系统安全部分，我们重点探讨了防火墙所应该具备的功能和目前防火 墙所能起到的作用。这些功能包括我现在所找到的所有防火墙产品的功能，而 任何一个产品好象都并非兼具所有功能，对于有的产品功能，我直接引用了该 产品说明书的介绍，由于许多功能是许多产品都具备的，因此无法列出这些功 能源自哪些产品，这里一并致谢。 我们还将对漏洞扫描系统和入侵检测系统进行扼要介绍。在信息安全部 分，我们主要探讨密码技术。 - 1 - 网络安全白皮书 目 前言 且录 2 网络安全基础 1 51 1.1 网络安全的实质 5 1.1.1 历史原因 5 KNow-How 1.1.2 6 1.1.3 系统缺陷 6 1.1.4 计算技术发展 7 1.2 网络安全面对的两个方面 7 1.2.1 系统安全 8 1.2.2 信息安全 8 1.3 网络攻击基本原理 8 1.3.1 网络的入侵者 8 1.3.2 攻击目标 9 1.3.3 常见网络攻击 11 1.4 防御措施 16 1.4.1 网络拓扑 16 1.4.2 密码技术 17 防火墙 1.4.3 19 1.4.4 安全检测和日志 21 1.4.5 漏洞扫描 22 1.4.6 入侵监测 22 1.4.7 防御应用 23 防火墙功能介绍 2 24 2.1 防火墙类型 25 2.1.1 包过滤防火墙 26 2.1.2 应用代理防火墙 27 混合型防火墙 2.1.3 27 2.2 基本功能 28 2.2.1 包过滤/动态包过滤 29 2.2.2 NAT 29 2.2.3 透明模式 30 2.2.4 DMZ策略 31 2.2.5 端口转发 31 IP 映射 2.2.6 32 2.2.7 应用代理 32 增强功能 2.3 32 - 2 - 网络安全白皮书 2.3.1 IP/MAC绑定 32 2.3.2 安全的管理协议 33 攻击检测 2.3.3 33 2.3.4 实时报警 34 2.3.5 用户认证 34 2.3.6 CACHE服务器 35 2.3.7 URL BLOCKING 35 负载平衡 2.3.8 35 2.3.9 流量控制 35 2.3.10 灵活的策略设置 36 2.3.11 完善的日志 36 2.3.12 计费 36 辅助功能 2.4 37 2.4.1 外部IP池和 DHCP 37 2.4.2 反扫描 37 2.4.3 支持的服务 38 2.4.4 加密技术应用 39 2.4.5 静态路由表 39 2.4.6 重定向 DNS 40 地址簿分组 2.4.7 40 在线帮助 2.4.8 40 1.1.1 内容过滤 40 2.4.9 病毒保护 41 2.4.10 节点分级协议 41 2.4.11 兀余 42 2.4.12 分布式防火墙 42 2.4.13 多层登录权限设置 43 2.4.14 SYSLOG输出 43 2.5 附加功能 43 VPN 2.5.1 43 2.5.2 其他应用服务器 44 防火墙使用 31 45 谁应该使用防火墙? 3.1 45 防火墙的使用 45 3.2 3.2.1 透明模式 45 3.2.2 双端口NAT模式 46 3.2.3 三端口NAT模式 47 3.2.4 使用IP映射/端口转移 47 VPN 之 PPTP 3.2.5 48 3.2.6 VPN 之 IPSEC 48 4 漏洞扫描系统介绍 49 4.1 扫描器概述 49 4.2 基本功能 49 4.3 扫描器结构： 50 4.3.1 策略引擎 50 4.3.2 目标收集 50 4.3.3 数据采集 51 4.3.4 推理引擎 52 报告和分析 4.3.5 52 - 3 - 网络安全白皮书 入侵检测系统介绍 54 5 IDS 概述 54 5.1 5.2 系统组成 54 5.3 监管中心 54 5.4 基于网络的入侵检测 55 5.5 基于主机的入侵检测 57 5.6 误用检测 58 密码技术 6 59 对称密钥密码技术 6.1 60 序列密码 6.1.1 60 6.1.2 分组密码 61 6.2 非对称密钥密码技术 63 RSA公开密钥密码算法 6.2.1 65 6.2.2 DIFFIE-HELLMAN密钥交换协议 65 6.2.3 DSA美国数字签名算法 65 6.2.4 其他公钥体制 66 7 附录 68 7.1 中华人民共和国计算机信息系统安全保护条例 89 7.2 计算机信息系统安全专用产品检测和销售许可证管理办法 69 7.3 商用密码管理条例 71 - 4 - 网络安全白皮书 1网络安全基础 1.1网络安全的实质 很多人都在讨论网络安全，那么到底网络安全的实质是什么？是什么导 致了网络安全问题的出现？下面我们将讨论网络安全的四个方面的产生原因。 1.1.1 历史原因 所谓历史原因，就是由于人们在系统开发的过程中，由于认识所限，而 没有考虑到的问题，导致了现在的安全问题。最明显的就是Y2K问题，由于 计算机发展初期昂贵的存储单价和欧美人的日期表示习惯，使当时的系统和应 用开发人员没有考虑到会在几十年后导致如此巨大的安全漏洞，使人类在解决 这个小小的问题上付出了如此巨大的代价，实际上，这给了我们一个启示，就 是如果一个特性在可预计的未来是会改变的，那么我们就应该考虑到。 特洛伊木马和病毒是另一个例子，实际上，现在许多的病毒(特洛伊)检测 程序都是属于事后诸葛亮的性质，虽然很多病毒(特洛伊)检测程序声称能发现 新病毒，但实际情况并不尽如人意。防御特洛伊木马和病毒的最完备的方法应 该是系统和软件自含的完整性检查(防篡改)，只有这样的系统和软件才能真正 防止特洛伊木马和病毒的侵袭，然而，由于已经有大量的系统和应用程序存 在，我们不可能很快改变这个现状。 - 5 - 网络安全白皮书 1.1.2 Know-How 所谓Know-HoW，指的是开发商企图通过系统内部结构的保密来实现系 统的安全，而不是依靠安全的技术。当然，如果一个人完全不知道一个系统应 该怎么控制，有什么安全漏洞和后门，自然他无法攻入这个系统，但如果通过 某种渠道，他了解了技术内幕，这个系统对他可能就完全开了大门。 个古老的例子Phreaking，当年的对电话网络的入侵者。过去的电话交 换机并没有什么安全保障，在任何一个电话终端处发出特殊的控制信号就可以 控制电话交换机的操作模式。仅仅在几年前，模拟无线电话被盗号的情况泛 滥，就是因为Know-How的原因，盗号者只要使用一台扫描器，就可以从空 中取得别人的手机的交互信号和认证码，可以很轻易地复制出一部盗号手机。 这对我们的教训太深刻了。 有时，我们并不能相信某些商业操作系统和应用，尤其是在网络如此发 达的今天，因为我们不知道在它们背后，到底做了些什么。不仅仅因为可能存 在的后门，而且因为可能存在的安全漏洞和缺陷，虽然大部分人并不知道，但 是我们不能认为谁都不知道。有些软件的开发者也许知道一些问题，但企图利 用人们不知道来掩盖其产品的缺陷，但当这些产品的缺陷被人发现以后，就可 能是一场灾难。而反之，公开源码的系统是我们可以信任的，因为群众的眼 晴是雪亮的，后门不可能存在，漏洞和缺陷可以被很快发现并修补。 1.1.3 系统缺陷 人非圣贤，人创造的系统或多或少会有一些系统缺陷，比如许多操作系 统中的诸多的系统服务，如 Unix 中的 sendmail，强大、灵活的功能的背后， 留下了许多安全漏洞。正常的系统服务如果被错误地使用，同样也是安全漏 洞。Unix 中还有最广为人知的危险的R系列服务(rlogin、rsh 等)，由于使用信 6- 网络安全白皮书 任关系，入侵者可以通过欺骗的方式，使欲攻击的主机信任入侵者的主机，从 而获得被攻击主机的控制权。 1.1.4 计算技术发展 计算机技术日新月异，计算技术的发展导致了原本难以攻克的系统可能 在短时间内被攻克。 无法攻破的，然而在今天的技术下，56位DES 已经完全不能保证系统的安 全。 同样，公开密码技术的破译关键是巨大数的因式分解，随着计算技术的 发展，能在可承受时间里分解的数已经越来越大了。 计算技术的发展，使攻击者可以使用强攻击的方式破译密码，以达到入 侵系统的目的。 但是，值得安慰的是，计算技术的发展对加密技术的推动比解密技术的 推动要大得多。只要信息加密能够跟踪最新、最安全的加密技术，解密技术是 无法追上加密技术的发展的。 1.2网络安全面对的两个方面 对于网络完全，我们主要面对的是系统安全和信息安全两个方面，之所 以说"主要面对”，是因为网络安全是一个系统工程，牵涉到许多的方面，包括 纪律等人为因素，因此只从技术上讨论这两个方面。 7-