网络防御技术：安全、可靠、有效，但速度较慢

网络防御主要是用于防范网络攻击，为了应对不断更新的网络攻击手段，防御技术也在从被动防御向主动防御发展。现有防御技术大体可以分为加密技术、访问控制技术、安全检测技术、安全监控技术和安全审计技术等，综合运用这些技术，根据目标网络的安全需求，有效形成网络安全防护的解决方案，可以很好地抵御网络攻击。

常见的网络防御技术有信息加密、访问控制、防火墙、入侵防御、恶意代码防范、安全审计与查证等。

1.信息加密

加密是网络安全的核心技术，是传输安全的基础，包括数据加密、消息摘要、数字签名和密钥交换等，可以实现保密性、完整性和不可否认性等基本安全目标。

2.访问控制

访问控制是网络防护的核心策略。它基于身份认证，规定了用户和进程对系统和资源访问的限制，目的是保证网络资源受控且合法地使用，用户只能根据自身权限访问系统资源，不能越权访问。

身份认证是指用户要向系统证明他就是他所声称的用户，包括身份识别和身份验证。身份识别是明确访问者的身份，识别信息是公开的，例如居民身份证件上的姓名和住址等信息。身份验证是对其身份进行确认，验证信息是保密的，例如查验居民身份证上的信息是否真实有效。身份认证就是证实用户的真实身份是否与其申明的身份相符的过程，是为了限制非法用户访问网络资源，是所有其他安全机制的基础。

身份认证包括单机环境下的认证和网络环境下的认证。单机认证一般包括：

（1）基于口令的认证：最常用的身份认证技术。用户输入口令，主机进行验证并给予用户相应权限。其主要考虑如何存储口令，常见方法有明文存储、散列存储和加盐散列存储。UNIX下通常采用加盐散列，而Windows则没有，所以Windows口令相对容易破解。现在，随着全自动暴力破解工具的出现，基于口令的认证方式已经变得越来越不可靠。

（2）基于智能卡的认证：双因素认证方法，也称为增强认证，要求用户拥有两种完全不同因素。每个用户持有智能卡，智能卡存储用户的秘密信息，认证服务器中同样存有该秘密信息，进行认证时，用户输入个人身份识别码（PIN码），智能卡识别PIN是否正确，如果正确，服务器读出智能卡中的秘密信息与智能卡中的信息进行比较来实现认证。如果PIN或者智能卡被窃取，用户依然不会被假冒。

（3）基于生物特征的认证：此类认证以人体唯一可靠且稳定的生物特征（如指纹、脸型、掌纹、虹膜）等为依据，利用服务器的强大计算能力进行图像处理和模式识别。其首先捕捉人的生物特征，转化为数字符号，然后存成此人的特征模板，在此人登录时，再次捕捉此人生物特征与已有模板进行比较来确认。该技术有很好的安全性、可靠性和有效性，目前主要问题是网络环境下，认证速度相对较慢。

网络环境下的身份认证必须防止通过网络传输的身份信息被攻击者窃取和重放，包括多种身份认证协议，如挑战握手认证、Kerberos认证协议、TLS认证协议等。

身份认证解决用户是谁，而访问控制决定用户能够做什么，访问控制的基础是授权，它的目标是防止对任何资源的非授权访问。所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及命令执行等。访问控制系统一般包括：

（1）主体：发出访问操作和存取要求的主动方，通常指用户或某个用户进程。

（2）客体：主体试图访问的一些资源。

（3）安全访问策略：一套规则，用于确定一个主体是否对客体拥有访问能力。

访问控制功能组件包括四部分，即访问发起者、执行组件、决策组件和访问目标。

访问发起者指信息系统的资源请求者，是主体；目标是发起者试图访问的基于主机的实体，是客体；执行组件的功能负责建立主体和客体间的通信桥梁，当主体提出执行操作请求时，执行组件将请求转发给决策组件，由决策组件判定是否允许；决策组件是访问控制系统的核心，它依据一套安全访问策略进行决策。

网络需要保护的资源很多，可能是硬件（如CPU、内存或者打印机等），也可能是软件（如进程、文件和数据库记录等），可以将这些资源看成一个个待保护的对象。根据访问控制的对象粒度，可以分为粗粒度、中粒度和细粒度访问控制，一般认为能够控制到文件的访问可称为细粒度的访问控制。

常见访问控制技术主要包括：

（1）自主访问控制（Discretionary Access Control，DAC）：基于拥有者的访问控制，即某资源的拥有者可以将该资源的访问权限随意赋予其他主体，一般采用访问控制矩阵实现，一行表示一个主体，一列表示一个受保护的客体。具体实现访问控制矩阵的方法分为基于行的访问能力表和基于列的访问控制表两种。DAC在一定程度上实现了权限隔离和资源保护，但是其资源管理较为分散，没有统一的全局控制。

（2）强制访问控制（Mandatory Access Control，MAC）：系统强制主体服从访问控制政策。管理员根据主体和客体各自的安全属性之间的关系，决定主体对客体能否执行特定操作，不允许主体直接或间接修改自身或任何客体的安全属性，也不能将自己拥有的访问权限授予其他主体。强制访问控制特别适合于多层次安全级的系统，其主要缺陷在于不够灵活，实现工作量较大。

（3）基于角色的访问控制（Role-Based Access Control，RBAC）：核心思想是将访问权限与角色相联系，包括三个实体，即用户、角色和权限。角色是根据不同任务需要而设置的，用户可以在角色间进行转换，系统可以添加或删除角色，也可以对角色的权限进行添加或删除。用户即对数据对象操作的主体，可以是人或主机。权限即对某客体进行特定模式访问的操作权利。RBAC具有以下特点：①以角色作为访问控制的主体；②每个角色可以继承其他角色权限；③最小权限原则，即用户权限不超过其执行工作所需权限。

RBAC与DAC的区别在于，用户与客体之间无直接联系，只有通过角色才能访问客体，因此用户无法自主将访问权限赋予其他主体；与MAC的区别在于，RBAC不是基于多级安全需求的，MAC主要考虑信息的保密性，而RBAC主要考虑信息的完整性。

3.防火墙

所谓防火墙是指在不同网络或网络安全域之间，对网络流量或访问行为实施访问控制的一系列安全组件或设备，从技术上分类，它属于网络访问控制机制。它通常工作在可信内部网络和不可信外部网络之间的边界，其所遵循的原则是在保证网络畅通的前提下，尽可能保证内部网络的安全。它是一种被动的技术，也是一种静态安全组件。

防火墙应满足的基本条件如下：

（1）内网和外网之间的所有数据流必须经过防火墙。

（2）只有符合安全策略的数据流才能通过防火墙。

（3）自身具有高可靠性，即防火墙本身不能被入侵。

根据安全策略，防火墙对数据流的处理方式有三种，即允许、丢弃和拒绝。

防火墙也存在不少缺陷，主要包括：

（1）不能防范不经过防火墙的攻击。

（2）不能防范来自内网的攻击。

（3）不能防范病毒、后门、木马和数据驱动攻击。

（4）只能防范已知威胁，难以防御新的威胁。

防火墙既要限制数据的流通又要保持数据的流通，因此根据网络安全的总体需求，实现时通常遵循以下两项基本原则：

（1）一切未被允许的都是禁止的。即默认防火墙限制所有数据流，然后对希望提供的服务逐项开放。这种方法很安全，但是限制了用户使用的便利性。

（2）一切未被禁止的都是允许的。即默认防火墙转发所有数据流，然后逐项屏蔽可能有危险的服务。这种方法很灵活，但是安全性较难保证，因为管理员可能会忘记屏蔽某项危险服务。

防火墙仅仅是网络防护的第一道闸门，它必须与其他安全技术结合起来使用，才能有效地保护网络的安全。

4.入侵防御(www.xing528.com)

入侵是指未经授权蓄意访问、篡改数据，使网络系统不可使用的行为。入侵防御系统（Intrusion Prevention System，IPS）是指通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行操作，检测到对系统的入侵或入侵企图，并及时采取行动阻止入侵。IPS是一种主动安全技术，不仅可以检测来自外部的入侵行为，同时可以检测来自网络内部用户的未授权活动和误操作，可有效弥补防火墙的不足，被称为防火墙之后的第二道闸门。它通常与防火墙联合，把攻击拦截在防火墙外。与防火墙的不同之处在于，入侵防御主要检测内部网络流的信息流模式，尤其是关键网段的信息流模式，及时报警并通知管理员。

IETF将一个IPS分成四个组件：事件生成器、事件分析器、响应单元、事件数据库。事件是IPS所分析的数据的统称，它可以是系统或应用程序日志，也可以是网络报文。事件生成器从设备或主机节点收集事件，并向其他部件提供。事件分析器分析得到数据，并产生分析结果。响应单元是对分析结果做出反应的功能组件，可以切断连接、阻隔IP、报警等。事件数据库是存放各种中间数据和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单文本文件。

按照检测对象划分，IPS可分为基于主机、基于网络或混合型IPS。按照分析技术划分，可分为误用检测和异常检测，著名的轻量级IPS-Snort就是基于误用检测技术实现的。按照部署方式划分，可分为集中式、分布式和分层式三类。按照系统工作方式划分，可分为离线分析和在线分析。按照响应方式划分，可分为被动响应和主动响应。

IPS关键技术之一是分析技术，它关系到对入侵的检测效果、效率和误报率等，但是目前IPS与防火墙产品相比，还存在不少问题：

（1）攻击技术不断更新，检测手段容易被绕过，IPS很难及时跟踪最新的攻击技术。

（2）IPS通常假设攻击信息是明文传输的，加密的恶意信息可以较轻松地逃避检测。

（3）网络设备多样化，IPS需要协调和适应多样性的环境。

（4）用户需要IPS实时报警，因此需要对大规模数据实时分析。

（5）各厂家各自为战，缺乏统一的标准，使得产品间互通很困难。

（6）大量的误报和漏报使得发现真正的入侵非常困难。

5.恶意代码防范

所谓恶意代码实质是一种在一定环境下可以独立执行的指令集或嵌入到其他程序中的代码。恶意代码分类的标准是独立性和自我复制性。独立性是指恶意代码本身可独立执行，非独立性（即依附性）指必须要嵌入到其他程序中执行的恶意代码，本身无法独立执行。自我复制性指能够自动将自己传染给其他正常程序或传播给其他系统，不具有自我复制能力的恶意代码必须借助其他媒介传播。因此恶意代码可分为四大类：

（1）不具有复制能力的依附性恶意代码，包括木马、逻辑炸弹、后门。

（2）不具有复制能力的独立性恶意代码，包括木马生成器、恶作剧、木马、后门、Rootkits。

（3）具有自我复制能力的依附性恶意代码，包括病毒。

（4）具有自我复制能力的独立性恶意代码，包括蠕虫、恶意脚本、僵尸、计算机细菌。

恶意代码的传播途径包括移动媒介、Web站点、电子邮件和自动传播等。所有编程语言都可编写恶意代码，常见的恶意脚本使用VBS或JavaScript实现，木马和病毒多用C和C++实现。

恶意代码行为表现各异，破坏程度千差万别，但是基本机制大体相同，可分为如下几个步骤：

（1）入侵系统。入侵系统是恶意代码实现目的的必要条件。入侵途径可以是远程攻击、网页木马、邮件病毒、网络钓鱼等。

（2）维持或提升权限。恶意代码的传播与破坏必须使用用户或进程的合法权限才能完成。

（3）隐身。可以通过改名、删除文件或修改系统安全策略来隐藏自己。

（4）潜伏。平时不运行，等待条件成熟时发作并进行破坏。

（5）破坏。恶意代码本质具有破坏性，目的是造成信息丢失、泄密、破坏系统完整性等。

（6）重复上述过程，对新的目标实施攻击。

针对不同类别的恶意代码，防范方法各有不同，但是使用的防范技术类似，主要包括：

（1）基于特征的扫描技术：反病毒引擎最常用的技术。首先建立恶意代码的特征文件，在扫描时根据特征进行匹配查找。

（2）校验和法：在系统未被感染前，对待检测的正常文件生成其校验和值，然后周期性地检测文件的改变情况。

（3）沙箱技术：根据可执行程序需要的资源和拥有的权限建立程序的运行沙箱。每个程序都运行在自己的沙箱中，无法影响其他程序的运行，在沙箱中可以安全检测和分析恶意代码的行为。

（4）基于蜜罐的检测技术：蜜罐是虚拟系统，伪装成有许多服务的服务器主机以吸引黑客攻击，同时安装强大的监测系统，用于监测恶意代码的攻击过程。

6.安全审计与查证

网络安全审计是指在特定网络环境下，为了保证网络系统和信息资源不受来自外网和内网用户的入侵和破坏，运用各种技术手段实时收集和监控网络各组件的安全状态和安全事件，以便集中报警、分析和处理的一种技术。它作为一种新的概念和发展方向，已经出现许多产品和解决方案，如上网行为监控、信息过滤等。

安全审计对于系统安全的评价、对攻击源和攻击类型与危害的分析、对完整证据的收集至关重要，其主要作用包括：

（1）对潜在攻击者起到震慑或警告作用。

（2）对已发生的系统破坏行为提供有效证据。

（3）提供有价值的日志，帮助管理员发现系统入侵行为或潜在系统漏洞。

（4）提供系统运行的统计日志，发现系统性能的脆弱点。

安全审计的内容多种多样，若按审计对象划分，可分为操作系统审计、应用程序审计、网络设备审计和安全应用审计等。网络安全审计主要包括网络设备及关键数据、日志文件和安全威胁审计等内容。

（1）网络设备审计：路由器、交换机、防火墙、入侵检测设备、主机、服务器等，主要审计配置信息、用户权限、链路带宽等。

（2）日志文件审计：日志记录了系统运行情况，通过它可以检查发生错误的原因，或发现攻击痕迹。

（3）安全威胁审计：未经授权的资源访问、未经授权的数据修改和操作、拒绝服务等。