基于网络层和应用层访问控制实现.docVIP

基于网络层和应用层访问控制实现 　　摘 要：在网络层实施访问控制技术通常能够做到在内外网之间提供网络安全保障，降低网络安全风险。但是，单独在网络层还不能最大限度地做到网络的安全。因为非法入侵者可以随时探测并寻找到网络层之外可能开启的后门，因此，只有在网络层和应用层同时实现访问控制技术，才能最有效的保证网络安全。 　　关键词：网络层；应用层；访问控制；网络安全 　　中图分类号：TN711文献标识码： A 文章编号： 　　随着因特网的开放性、共享性、互连性等方面的影响程度不断扩大，互联网的重要性和对信息传递的影响也越来越大，因特网不但为企业和网络用户发布信息、检索信息以及资源共享提供了方便，也为个人使用网络资源提供了最大的平台，特别体现在大多数企业和用户的重要和关键的数据业务都是通过WEB浏览器得以呈现和交互，而3G业务的飞速推广和三网融合的快速启动，使通信网络逐渐进入全面多媒体化和智能化的时代。由于全球互联网环境的不断变化以及网络业务的不断复杂化将会造成大量互联网数据业务的集中，使整个网络的安全风险也越来越大，一些新的互联网安全隐患不断出现，给互联网用户在使用网络进行业务往来时带来了巨大的安全威胁。 　　一、网络层防火墙技术 　　网络层防火墙一般部署在OSI参考模型的网络层进行数据包的访问控制，可以实现受信任的企业内部网和不可信任的外部公共网之间的安全访问。它是不同网络之间数据信息安全流通的必经之地，能通过配置安全控制访问策略对出入互联网的数据信息进行灵活的控制，包括允许、拒绝和监测经过网络出口的信息流，防火墙本身具有较强的抗网络攻击的能力。它能够为网络层的信息安全提供最可靠的保证，是实现互联网数据信息安全的基础。 　　网络层防火墙也能增强内部网络的安全性。防火墙系统的部署策略可以决定哪些IDC内部网络服务是否允许被外部访问，也可以决定外部的哪些用户是否能访问IDC系统内部允许被访问的网络服务，甚至还可以决定哪些IDC外部网络服务可以被内部用户进行访问。为了使防火墙的控制策略生效，就要使所有从Internet流入到内部的信???流经过防火墙并接受防火墙的过滤检查。网络防火墙只允许经过授权的数据流通过，并且防火墙本身也要避免非法渗透，因为系统一旦被攻击者突破访问控制，就不能提供任何的数据信息保护了。 　　网络层防火墙一般都既有包过滤的功能和状态检测等方面的功能。它应该具备以下方面的特点： 　　（1）综合包过滤和状态检测等方面的技术，能够克服单一技术造成防火墙在网络安全方面的缺陷。 　　（2）能在OSI/RM的网络层进行全方位的安全访问控制。 　　（3）能够在TCP/IP协议的网络层进行各项安全访问控制。 　　（4）在速度方面能够超过传统的包过滤防火墙。 　　（5）能为网络系统提供各种代理模式，减轻客户端的配置工作。 　　（6）能完全支持数据加密、数据解密及数字签名，且能够提供对虚拟专用网VPN的强大支持。 　　（7）能够实现网络内部信息完全隐藏。 　　网络防火墙既不是单一的代理型防火墙，也不是单一的包过滤型防火墙，它应该是集各种功能于一身的网络设备，能从数据链层到网络层都实施安全控制，对出入的所有数据信息进行加密和解密。 　　部署网络防火墙时充分考虑到网络高可用性的要求，有效的避免出现一台网络防火墙宕机而导致整个网络处于瘫痪状态的网络单点故障的严重后果。所以通过部署两台互相可以实现热备份的网络防火墙，其中一台作为主防火墙处于活跃的状态，另外一台作为辅助备份防火墙，如果某一时刻一台主防火墙出现故障，另外一台防火墙可以立刻替代其提供防火墙网络服务，从而有效地做到网络安全保障。 　　二、应用层防火墙 　　应用层防火墙最典型的是WEB应用防火墙WAF，它是用来保护应用层安全最有效的手段，能够对Web的各种应用进行深入地安全解析，同时融合了高性能的XML检测和管理技术，从而真正地保证各种Web应用服务不受黑客的威胁和攻击。WEB应用防火墙能够完全满足互联网最新的PCI的各项安全要求，能够最大限度地保护互联网用户在正常使用Web服务时不受身份和数据盗窃、欺骗和目标式攻击和应用程序运行中断等各方面的攻击影响。总体来说，应用层防火墙必须具有以下功能特点： 　　（1）能保护应用不受基于Web的HTML和XML威胁的影响。 　　（2）能够防御身份和数据盗窃、内容和格式威胁和接入威胁等，能防止拒绝服务(DoS)攻击之类的针对性的网络攻击，并支持用户定制规则和签名。 　　（3）能防止cookie窜改，保证存储在浏览器cookies中信息的保密性。 　　（4）能支持通过在硬件平台中存储专用的安全套接字层SSL密钥来防御SSL密钥的劫持攻击。 　　（5）利用先进的图形用户接口界面GUI进行快速调试和监控Web