物联网安全:攻击防护
发布时间:2022-07-06 10:15:25 所属栏目:安全 来源:互联网
导读:对于目前层出不穷的恶意软件攻击,需要采用多种策略来提高系统的安全性。本文结合几个案例对攻击防护的相关内容进行介绍。 1、防火墙 防火墙是众多安全设备中的一种,是一种简单有效的防护方式。防火墙的应用存在两个矛盾:一个是安全和方便的矛盾,另一个是
|
对于目前层出不穷的恶意软件攻击,需要采用多种策略来提高系统的安全性。本文结合几个案例对攻击防护的相关内容进行介绍。 1、防火墙 防火墙是众多安全设备中的一种,是一种简单有效的防护方式。防火墙的应用存在两个矛盾:一个是安全和方便的矛盾,另一个是效果与效能的矛盾。前者是指安全必然会带来过程的繁琐、造成使用的不便,后者是指想要达到更好的安全防护效果就需要消耗更多的资源。在设计合理可用的防火墙时往往需要考虑上述矛盾,并根据要求进行权衡。 防火墙的提出和实现最早可以追溯到20世纪80年代。研究人员采用包过滤(Packet Filter)技术先后推出了电路层防火墙和应用层防火墙,开发了基于动态包过滤技术的第4代防火墙和基于自适应代理技术的防火墙。防火墙有其简单的核心原理和运行机制,以确保有效性。下面介绍防火墙的基本原理、分类、技术架构等问题。 (1)防火墙的基本原理 防火墙是可以对计算机或网络访问进行控制的一组软件或硬件设备,也可以是固件。防火墙将网络分为内部网络和外部网络两部分,而其自身就是这两个部分之间的一道屏障。一般认为防火墙就是隔离在内部网络和外部网络之间的一道执行控制策略的防御系统。如图1所示,防火墙是一种形象的说法,其科学本质是建立在内部网络和外部网络之间的一个安全网关。 图1 防火墙在网络中的位置 防火墙的核心原理是:分析出入的数据包,决定放行还是拦截,只允许符合安全设置的数据通过。从这一点来看,防火墙实质上是一种隔离控制技术,是在不安全的网络环境下构造一种相对安全的内部网络环境,它既是一个分析器,又是一个限制器。 防火墙的必要性和有效性的基本假设是:外部存在潜在的安全威胁,内部绝对安全;内外互通的数据全部流经防火墙。 防火墙的作用是通过访问控制来保证网络安全,具体包括端口管理、攻击过滤、特殊站点管理等。防火墙的具体作用如下。 1)强化安全策略,过滤掉不安全的服务和非法用户,即过滤进、出网络的数据,管理进、出网络的访问行为,拒绝发往或者来自所选网点的请求通过防火墙。 2)监视网络的安全性,并报警。 3)利用网络地址转换技术,将有限的动态地址或静态地址与内部的地址对应起来,以缓解地址空间短缺的问题。 4)防火墙是进出信息都必须通过的关口,适合收集关于系统和网络使用和误用的信息。利用此关口,防火墙能在网络之间进行信息记录,其是审计和记录使用费用的一个最佳地点。网络管理员可以在此提供连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。 5)防火墙可以连接到一个单独的网络上,在物理上与内部网络隔开,并部署服务器以作为向外部发布内部信息的地点。 防火墙一般由服务访问规则、验证工具、包过滤、应用网关4个部分构成,微观上可以存在于路由器、服务器、PC端等多种设备中,宏观上部署在两个网络环境之间,如内部网络和外部网络之间、专用网络和公共网络之间等。 防火墙在运行时原理上可选的安全认证策略有3种:一种是肯定的,认为只有被允许的访问才可以放行,这可能会造成对安全访问行为的误杀;另一种是否定的,认为只有被禁止的访问才是不被允许的,这可能会导致未知的不安全访问发生;还有一种是以上两种策略的协调,即动态制定允许访问与禁止访问的条件。 (2)防火墙的分类 防火墙的实现有多种类型,基于其核心思想,根据分析数据的不同和安全防护机制的不同,其可以划分为3种基本类型,基于这些基本类型可以构建复合类型。各类型的防火墙介绍如下。 1)包过滤型防火墙 包过滤型防火墙工作在网络层,因此又称为网络级防火墙。包过滤技术是指根据网络层和传输层的原则对传输的信息进行过滤,其是最早出现的防火墙技术。在网络上传输的每个数据包都可以分为两部分:数据部分和包头。包过滤技术就是在网络的出口(如路由器)处分析通过的数据包中的包头信息,判断该包是否符合网络管理员设定的规则,以确定是否允许数据包通过。一旦发现不符合规则的数据包,防火墙就会将其丢弃。包过滤规则一般会基于某些或全部包头信息,如数据的源地址和目标地址、TCP源端口和目标端口、IP类型、IP源地址等。 包过滤技术的优点是简单实用、处理速度快、实现成本低、数据过滤对用户透明等。同时其也有很多缺点,主要的缺点是安全性较低,不能彻底防止地址欺骗,正常的数据包过滤路由技术无法执行某些安全策略。包过滤技术工作在网络层和传输层,与应用层无关,因此,其无法识别基于应用层的恶意侵入。 2)应用代理(Application Proxies)型防火墙 代理服务器技术也称为应用层防火墙技术,它控制对应用程序的访问,能够代替网络用户完成特定的TCP/IP功能。一个代理服务器实质上是一个为特定网络应用而连接两个网络的网关。当内部客户机要使用外部服务器的数据时,首先会将数据请求发送给代理服务器,代理服务器接收到该请求后会检查其是否符合规则,如果符合,则代理服务器会向外部服务器索取数据,然后外部服务器返回的数据会经过代理服务器的检测,由代理服务器传输给内部客户机。由于代理服务器技术彻底隔断了内部网络与外部网络的直接通信,因此外部网络的恶意侵害也就很难进入内部网络。 代理服务器技术的优点是安全性较高,实施较强的数据流监控、过滤和日志功能,可以方便地与其他安全手段集成等。同时其也有很多缺点,主要的缺点是访问速度慢、对于每项服务代理可能会要求不同的服务器、代理对用户不透明等。 3)网络地址转化代理(NAT Proxies)型防火墙 网络地址转换技术是一种通过在防火墙上装一个合法的IP地址集,把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。当不同的内部网络用户向外连接时,使用一个公用的IP地址;当内部网络用户互相通信时,则使用内部IP地址。 内部网络的IP地址对外部网络来说是不可见的,这极大地提高了内部网络的安全性,同时这种技术也缓解了少量的IP地址和大量主机间的矛盾。当然这种技术也有很多的局限,例如,内部网络可以通过木马程序利用网络地址转换技术与外部连接而穿越防火墙。 4)状态检测防火墙 状态检测技术采用的是一种基于连接的状态检测机制,能够对各层的数据进行主动的、实时的检测。当防火墙接收到初始化连接的数据包时,会根据事先设定的规则对该数据包进行检查,如果该数据包被接受,则在状态表中记录下该连接的相关信息,并将其作为以后制定安全决策的参考。对于后续的数据包,将它们与状态表中记录的连接内容进行比较,以决定是否接受它们。状态检测技术的优点是提高了系统的性能、安全性高等。同时其也有很多缺点,主要的缺点是实现成本高、配置复杂、会降低网速等。 5)复合型防火墙 把前述的基于各种技术的防火墙整合成一个系统,即为复合型防火墙,其可构筑多道防御,确保更高的安全。 (3)防火墙的技术架构 从实现原理上分,防火墙的技术架构可分为4类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们各有所长,具体使用哪一种或是否混合使用,要根据具体需要确定。 1)网络级防火墙 网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来做出通过与否的判断的。一个路由器便是一个“传统”的网络级防火墙,大多数路由器都能通过检查信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方、去向何处。防火墙会检查每条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,则防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet连接、FTP连接等。 2)应用级网关 应用级网关能够检查进出的数据包,通过网关复制传递数据,防止受信任服务器和客户机与不受信任的主机直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂的访问控制,以及精细的注册和稽核。应用级网关针对特别的网络应用服务协议,即数据过滤协议,并且能够对数据包进行分析以形成相关的报告。应用级网关会给予某些易于登录和控制所有输出输入的通信环境严格的控制,以防有价值的程序和数据被窃取。在实际工作中,应用级网关一般由专用工作站系统来充当。但每一种协议都需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。应用级网关有较好的访问控制性能,是最安全的防火墙技术,但其实现困难,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会出现时延问题并且必须进行多次登录才能访问Internet或Intranet。 3)电路级网关 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,进而来决定该会话(Session)是否合法。电路级网关在OSI模型中的会话层上过滤数据包,这样比包过滤防火墙要高两层。电路级网关还提供了一个重要的安全功能:代理服务器(Proxy Server)。代理服务器是设置在Internet防火墙网关中的专用应用级代码。这种代理服务准许网络管理员允许或拒绝特定的应用程序或一个应用程序的特定功能。包过滤技术和应用级网关是通过特定的逻辑判断来决定是否允许特定的数据包通过的,一旦判断条件满足,防火墙内部网络的结构和运行状态便会“暴露”在外来用户面前,这就引入了代理服务的概念,即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现,这就成功地实现了防火墙内外计算机系统的隔离。同时,代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件(如工作站等)来实现。 4)规则检查防火墙 规则检查防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,能够在OSI网络层上通过IP地址和端口号过滤进出的数据包。规则检查防火墙也像电路级网关一样,能够检查SYN和ACK标志和序列数字是否逻辑有序。当然,其也像应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否符合企业网络的安全规则。规则检查防火墙虽然集成了前三者的特点,但是其不同于一个应用级网关的是,规则检查防火墙并不打破客户机/服务器模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样在理论上其就能比应用级网关在过滤数据包上更有效。 (4)防火墙的问题分析 防火墙自身有其局限性,它解决不了的问题包括:① 不能防范不经过防火墙的攻击和威胁;② 只能对跨越边界的信息进行检测、控制,而对网络内部人员的攻击不具备防范能力;③ 不能完全防止传送已感染病毒的软件或文件;④ 难于管理和配置,容易造成安全漏洞。 今后,防火墙技术的发展要求防火墙采用多级过滤措施,并辅以鉴别手段,使过滤深度不断加强,从目前的地址过滤、服务过滤发展到页面过滤、关键字过滤等,并逐渐具备病毒清除功能,安全管理工具、可疑活动的日志分析工具不断完善,对网络攻击的检测和警告将更加及时和准确。现行操作系统自身往往存在许多安全漏洞,而运行在操作系统之上的应用软件和防火墙也不例外,一定会受到这些安全漏洞的影响和威胁。因此,其运行机制是防火墙的关键技术之一。为保证防火墙自身的安全和彻底堵住因操作系统的漏洞而带来的各种安全隐患,防火墙的安全检测核心引擎可以采用嵌入操作系统内核的形态运行,直接接管网卡,将所有数据包进行检查后再提交给操作系统。并且,可以预见,未来防火墙的发展趋势有高性能防火墙、分布式防火墙、集成智能化防火墙等。 (5)安卓防火墙 下面以安卓(Android)系统下基于服务申请拦截的恶意软件检测防护工具为例介绍安卓防火墙。Android系统的重要系统资源都是以服务的形式提供给应用程序的,基于这一点,可以对服务进行拦截、判定,从而防止恶意软件非法申请资源。 Android系统下基于服务申请拦截的恶意软件检测防护工具的工作原理如图2所示。 图2 恶意软件检测防护工具工作原理 当Android系统启动后,恶意软件检测防护工具的服务管理器跟踪和入侵系统的服务管理进程,修改服务申请响应函数,拦截服务申请以供后续判断;应用程序运行时,会申请其所需的各种服务,此时,服务管理器会对该服务申请进行拦截,获取服务申请的各个参数,判定服务的类型;接下来,根据应用程序申请的服务类型,查询行为规则库,判定该服务申请是否安全;若该服务申请危险,则拒绝服务申请,并中止提出申请的应用程序;若该服务申请的安全性未知,则提示用户,由用户自行拒绝或接受服务申请。通过这样的方法,我们可以在运行应用程序时发现并阻止软件的恶意行为,增强系统的安全性。 2、病毒查杀 计算机病毒的防治要从防毒、查毒、解毒3个方面进行,系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力3个方面来评判。防毒能力是指预防病毒侵入的能力,查毒能力是指发现和追踪病毒的能力,解毒能力是指从感染对象中清除病毒、恢复被病毒感染前的原始信息的能力,该恢复过程不能破坏未被病毒修改的内容。 (编辑:长春站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
