图书馆数字化系统中采用分布式防火墙模式探索及展望.docVIP

图书馆数字化系统中采用分布式防火墙模式探索及展望 　　　 [摘要]针对单一的网络安全技术已经无法很好的解决日益复杂的网络安全问题,提出了一种新型的安全系统。该系统基于分布式防火墙环境,结合分布式入侵检测技术,并利用专家系统使两者协同工作,实时检测并响应动态的网络安全事件,弥补了单一网络安全系统的不足,可以很好的满足网络安全的要求。 　　[关键词]分布式防火墙 分布式入侵检测 专家系统 　　 　　一、现行贵州省图书馆数字化系统传统式防火墙设置的安全性改良 　　如今,数字化图书馆面对的网络攻击主要以网络协议自身的不安全性和操作系统、应用程序的bug或弱点这两种途径作为切入点,采用的形式越来越复杂。而网络攻击工具在网络上广为传播,人们可以很容易的利用这些工具对计算机网络系统造成破坏,造成严重损失。CSI/FBI Computer Crime and Security Survey调查结果显示,被调查组织由网络安全造成的经济损失逐年增加,网络安全形势日益严峻。在这种情况下,相应的网络安全措施也层出不穷,然而网络安全事件的数量和影响并没有因此而减少。其原因是: 　　(1)由于当今的网络安全产品往往基于单一的安全技术,产品之间缺乏协作能力,只能提供一定程度的安全保护; 　　(2)无法动态适应网络安全事件的动态变化特性。针对此,本文以分布式防火墙为基础,结合分布式入侵检测技术,提出一种新型的安全系统。 　　二、贵州省图书馆数字化系统的防火墙安全隐患 　　贵州省图书馆目前的防火墙设置方式为传统的边界式和主机防火墙相结合的模式。该模式作为一种成熟有效的安全技术,是解决网络安全问题的一个行之有效的方法,但是传统防火墙模式存在着先天缺陷。边界防火墙依赖于网络拓扑结构,形成网络流量瓶颈,只能提供粗粒度(gross granularity)的安全保护,且无法防御来自受保护网络的内部攻击;主机防火墙自身的处理能力往往十分有限,它的安全策略可以由主机使用者自行设置,这样作为一个组织或企业,无法对主机防火墙进行集中、有效的安全配置,来实现本组织的网络安全保护。 　　三、采用分布式防火墙解决问题 　　分布式防火墙(Distributed FireWall,DFW)基于传统防火墙技术,集中管理、分布防御,即集中制定安全策略、由分布于网络中的各个防火墙实施策略。DFW内外皆防,可以提供细粒度(fine granularity)的网络安全保护,已成为防火墙技术发展的一个重要方向。 　　分布式防火墙,可以分为狭义分布式防火墙和广义分布式防火墙两种。狭义DFW即是分布式的主机防火墙,安全策略的执行主体是主机防火墙。广义DFW是分布式的主机防火墙、边界防火墙。在集中的管理下,主机和边界防火墙均作为安全策略的执行主体。两种类型的DFW最大的差别就是是否使用边界防火墙作为执行主体。狭义DFW相较广义DFW,其长处是由于摈弃了边界防火墙,该体系结构完全不依赖于网络拓扑。然而,广义DFW在安全性和处理能力的综合性能上比狭义分布式防火墙具有更多的优点: 　　(1)广义DFW为网络用户提供了一个多层次的安全保护。广义DFW中的边界防火墙模块(简记为D-BFW)通常作用在受保护网络的边界,为受保护网络提供第一层基本的安全保护,可以对来自外部的大多数攻击进行防范;广义分布式防火墙中的主机防火墙模块(简记为D-HFW),则运行于受保护网络中需要进一步保护的主机和服务器或者网络外远程受保护主机上,提供更细粒度的安全保护。 　　(2)广义DFW中D-HFW的处理负荷相较狭义DFW大大减少。广义DFW中受保护网络的D-HFW只需要针对不同的要求,来处理已经被D-BFW过滤的网络数据。 　　(3)广义DFW中的D-BFW在过滤某种针对整个网络的攻击等方面更为有效,如拒绝服务攻击,碎片攻击等。 　　四、技术方案 　　1.建立协同工作的网络安全系统 　　网络安全问题是一个动态的过程。DFW自身仍然是一个静态防御系统,主要是完成访问控制功能,在入侵检测、动态实时获知安全状况方面的能力薄弱,也就难以动态的调整其安全策略以有针对性的采取措施进行防御,使安全损失达到最小。因此单一的DFW系统在网络防御上能力有限,必须结合其他的网络安全技术。 　　入侵检测系统(Intrusion Detection System,IDS)是动态发现系统,是为保障网络系统的安全而设计与配置的一种能够及时发现并报告网络中异常或未授权现象的系统。分布式入侵检测(Distributed Intrusion Detection System,DIDS)则是利用多个检测主体,采用多种检测方法,依靠分布于网络中的多个入侵数据来源,通过协同工作来实现检测。当前的网络入侵行为通常表现出相互协作入侵的特点,采用