一种集成的可伸缩的网络安全系统.PDFVIP

1000-9825/2002/13(03)0376-06 ©2002 Journal of Software 软 件 学 报 Vol.13, No.3 一种集成的可伸缩的网络安全系统 蒋 韬, 刘积仁, 秦 扬, 常桂然 (东北大学 计算机软件国家工程研究中心,辽宁 沈阳 110006) E-mail: jiangtao@ 摘要: 常用的网络安全技术有防火墙、VPN(virtual private network)和NAT(network address translation)等, 它们的 作用各异.但现有的一些网络安全系统未能将上述技术有机地加以结合,不能很好地兼顾系统执行效率,对系统 内部缺乏细粒度的安全管理.针对上述问题,提出了一种集成的可伸缩的网络安全系统——NEUSec(NEUsoft security system),它在Linux 环境下将包过滤防火墙、VPN 和NAT 技术有机地融合在一起,结合NAT 和代理服 务技术组成了可伸缩的虚拟代理服务器, 提出了基于改进型 Radix 树的安全策略查找机制, 采用 RBAC(role-based access control)技术解决了系统内部安全管理的问题.与其他安全系统相比,NEUSec 是一个较为 全面的、可伸缩的、兼顾效率的网络安全系统,在实际应用中取得了较好的效果. 关 键 词: 防火墙;VPN(virtual private network);NAT(network address translation);Linux 环境;虚拟代理服务器; RBAC(role-based access control) 中图法分类号: TP393 文献标识码: A 随着 Internet 技术的迅速发展, 网络安全问题却日益严重,成为其进一步应用的瓶颈之一.常用的网络安全 技术有防火墙、VPN(virtual private network)和NAT(network address translation) [1,2]等,但是它们各自只能解决 某一方面的安全问题,然而安全系统必须遵循所谓的“木桶原理”, 即整个系统的安全性取决于系统中安全性最 弱的一环,并且目前形势对传统的网络安全产品提出了新的需求:① 必须是一种综合的网络安全解决方案,尽 可能解决大部分网络安全问题;② 必须在系统的安全性和性能之间合理地折衷;③ 必须重视内部网的安全管 理.因此将防火墙、VPN 和NAT 等功能集成在一起不仅有利于提供完善的安全功能,而且有利于制订统一的安 全策略,实现基于策略的网络安全管理. 同时, 由于政治、军事、经济上的原因,我国也应研制开发并采用自己的 网络安全系统和数据加密软件, 以满足用户和市场的巨大需求,这也是信息安全技术有别于其他技术的重要特 征.为此,在我们承担的国家863 高科技发展计划资助项目“Internet/Intranet 环境下的网络安全系统” 中,实现了 一个 Linux 环境下的集成的可伸缩的网络安全系统——NEUSec(NEUsoft security system), 并利用 RBAC(role-based access control)技术实现了对内部网有效的安全管理.本文将着重介绍系统的总体结构和关键 技术的实现. 1 NEUSec 系统的体系结构 NEUSec 系统主要由NEUGate 、虚拟代理服务器和角色服务器几个部分组成(如图 1 所示),可以完成包过 滤、代理、加密、认证、审计和日志等功能, 以及对内网进行基于角色的访问控制,基本满足了目前绝大多数 收稿日期: 2000-04-18; 修改日期: 2000-09-19 基金项目: 国家863 高科技发展计划资助项目(863-306-ZT05-05-5) 作者简介: 蒋韬(1970 －), 男,重庆人,博士,工程师,主要研究领域为网络安全技术,信息系统;刘积仁(1955 －), 男,辽宁丹东人,博 士,教授,博士生导师,主要研究领域为信息安全系统,分布式多媒体技术;秦扬(1972 －),女,河南沁阳人,工程师,主要研究领域为网络管 理技术;常桂然(1946 －),男,河北邯郸人,博士,教授,主要研究领域为计算机网络. 蒋韬 等:一种集成的可伸缩的网络安全系统 377 单位对网络安全的需求,在