摘要:這里簡(jiǎn)要分析了分布式系統(tǒng)存在的安全性問題,說明了構(gòu)建安全的分布式系統(tǒng)的重要性,同時(shí)針對(duì)這些問題從技術(shù)角度介紹了幾種關(guān)鍵技術(shù)以及每種技術(shù)的特點(diǎn),并對(duì)其實(shí)現(xiàn)原理進(jìn)行了簡(jiǎn)單分析。

關(guān)鍵詞:分布式系統(tǒng);安全

收稿日期:2009-11-08

作者簡(jiǎn)介:楊立華(1964-),男,黑龍江綏化人,武警黑龍江省總隊(duì)司令部通信處處長(zhǎng)。

一、局域網(wǎng)的安全性問題

目前大多數(shù)企業(yè)、公司乃至軍隊(duì)、政府機(jī)關(guān)都有自己內(nèi)部的局域網(wǎng)。在這里,我們可以根據(jù)其連接性質(zhì)將它們分類為連接的局域網(wǎng)和非連接的局域網(wǎng)。非連接的局域網(wǎng)即:這個(gè)網(wǎng)絡(luò)在物理上只對(duì)有限人員開放,通常是一個(gè)組織的成員。很顯然,非連接的局域網(wǎng)和那些不是非連接的局域網(wǎng)相比,在安全方面要考慮的問題要少得多,因?yàn)楹湍切┎皇欠沁B接的局域網(wǎng)相比,潛在的威脅要少很多。對(duì)于非連接的局域網(wǎng)而言,最大的威脅來自于那些組織成員內(nèi)部。因?yàn)橹挥羞@些人可以在物理上訪問網(wǎng)絡(luò),所以只有這些人才能對(duì)網(wǎng)絡(luò)構(gòu)成威脅。但是這些來自于內(nèi)部人的威脅是最難防范的。正所謂家賊難防。大多數(shù)情況下,他們對(duì)系統(tǒng)的工作原理了解得非常清楚,當(dāng)然他們對(duì)系統(tǒng)的弱點(diǎn)也了解得非常清楚。非連接網(wǎng)絡(luò)的一個(gè)潛在的威脅是,這個(gè)網(wǎng)絡(luò)在大家都不知道的情況下已經(jīng)和外部連上了。你可以認(rèn)為你的局域網(wǎng)是安全的,以為這個(gè)網(wǎng)絡(luò)只聯(lián)了你們工作組的幾臺(tái)計(jì)算機(jī),而這些計(jì)算機(jī)都屬于可以信賴的人的。但是在誰都不知道的情況下,某個(gè)人在某臺(tái)計(jì)算機(jī)上安置了一個(gè)調(diào)制解調(diào)器。這時(shí),這個(gè)網(wǎng)絡(luò)就變得不安全了。

連接的局域網(wǎng)除了連接本組織內(nèi)部的網(wǎng)絡(luò)外還和一些不受該組織控制的其他網(wǎng)絡(luò)相連。和非連接的局域網(wǎng)相比,一個(gè)主要的不同是,這個(gè)網(wǎng)絡(luò)面臨的潛在威脅要大得多。除了要面對(duì)來自于內(nèi)部人員的威脅以外,還要面對(duì)那些通過網(wǎng)際互聯(lián)可以訪問該網(wǎng)絡(luò)的外部人員的威脅。和外部連接的局域網(wǎng)可以分為兩類,一類是全連接的局域網(wǎng)。這個(gè)局域網(wǎng)和外部網(wǎng)絡(luò)有無縫接口。還有一類是部分連接的局域網(wǎng)。這種網(wǎng)絡(luò)可以在外部進(jìn)行訪問,但是得通過這個(gè)組織自己定義的技術(shù)和方法,而這種技術(shù)和局域網(wǎng)流行技術(shù)不相同。一個(gè)簡(jiǎn)單的例子是上面所提到的。某個(gè)人通過一臺(tái)機(jī)器上的調(diào)制解調(diào)器訪問一個(gè)非連接的網(wǎng)絡(luò),結(jié)果就造成了一個(gè)部分連接的局域網(wǎng)。這個(gè)連接之所以是部分連接,是因?yàn)橥ㄟ^調(diào)制解調(diào)器訪問該網(wǎng)絡(luò),本身就是通過電話線來訪問的,這個(gè)手段本身就可能包含了對(duì)訪問該網(wǎng)絡(luò)的某些權(quán)限限制。對(duì)于和外部連接的局域網(wǎng)而言,最大的威脅是它可能遭受來自于世界上任何一個(gè)地方的威脅。

二、分布式系統(tǒng)的網(wǎng)絡(luò)安全策略

(一)防火墻

一個(gè)最常用的網(wǎng)絡(luò)安全技術(shù)就是使用防火墻。防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。構(gòu)建一個(gè)防火墻就是在連接該局域網(wǎng)和外部網(wǎng)絡(luò)的路由器上建立包過濾。只有那些符合規(guī)定的包才能從防火墻里邊傳到防火墻外邊。

防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上,企業(yè)對(duì)安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)絡(luò)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。

防火墻的關(guān)鍵技術(shù)就在于端口之間進(jìn)行訪問控制。比如一個(gè)路由器可以被設(shè)置成把所有從外邊過來的試圖通過端口23來訪問的包都丟棄掉。這樣做可以有效地關(guān)掉從外邊進(jìn)來的TELNET。大部分的路由器供應(yīng)商都支持網(wǎng)絡(luò)管理員建立一張關(guān)于允許訪問和不允許訪問的端口號(hào)表。使用防火墻的一個(gè)好處是網(wǎng)絡(luò)管理員可以做到不用去訪問組織內(nèi)的每個(gè)用戶的計(jì)算機(jī)就能提高系統(tǒng)的安全性。換句話來說,組織內(nèi)的用戶可以隨意配置他們的計(jì)算機(jī),防火墻可以保護(hù)他們。

防火墻的配置是非常重要的,必須要保證網(wǎng)絡(luò)支持的協(xié)議(Domain Name System protocal)能夠通過防火墻。否則,組織內(nèi)部的機(jī)器就不能解析防火墻外的機(jī)器名字。同樣,如果你想讓防火墻內(nèi)外的機(jī)器能夠通訊的話,就要保證防火墻外的機(jī)器能夠訪問相應(yīng)的DNS服務(wù)器,這樣它們才能解析防火墻內(nèi)的主機(jī)地址。實(shí)現(xiàn)防火墻的通常辦法是拒絕絕大部分從防火墻外發(fā)起的到防火墻內(nèi)的機(jī)器的連接。當(dāng)然,特定的機(jī)器除外,這種機(jī)器被保證是絕對(duì)安全的。

必須嚴(yán)格限制從防火墻內(nèi)發(fā)起的到防火墻外的連接,必須對(duì)這種連接特別小心。你必須明白誰會(huì)對(duì)你構(gòu)成威脅,以及什么會(huì)對(duì)你構(gòu)成威脅。禁止從內(nèi)部發(fā)起的連接即意味著你連接到的主機(jī)可能就是潛在的威脅。如果防火墻允許任何協(xié)議通過的話,一個(gè)惡意的內(nèi)部人員很容易攻破防火墻。

防火墻的另外一個(gè)成本是機(jī)會(huì)成本。因?yàn)榇蟛糠址阑饓νǔＶ辉试S特定的協(xié)議通過,一般是電子郵件。而其他的協(xié)議則一律不允許通過。這就使得公司的員工不能訪問一些新的,有潛在價(jià)值的網(wǎng)絡(luò)。這會(huì)使得網(wǎng)絡(luò)不能得到很好的利用。目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。1.包過濾型 包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn)。一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。包過濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻。2.網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí),將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口,讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí),防火墻認(rèn)為訪問是安全的,可以接受訪問請(qǐng)求,也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí),防火墻認(rèn)為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。3.代理型 代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。4.監(jiān)測(cè)型 監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品。

(二)應(yīng)用網(wǎng)關(guān)(Application Gateways)

網(wǎng)關(guān)經(jīng)常和防火墻聯(lián)合起來使用?；舅枷胧怯梅阑饓Π汛蟛糠炙屯付☉?yīng)用網(wǎng)關(guān)的包阻塞住。舉個(gè)例子,如果電子郵件不是能夠毫無阻礙地到達(dá)每臺(tái)主機(jī),而是只能到達(dá)某個(gè)特定的主機(jī),這樣的話,這臺(tái)機(jī)器就能被設(shè)置成能夠?yàn)檎麄€(gè)組織收發(fā)電子郵件。同樣地,只有一臺(tái)特定的機(jī)器開放TELNET服務(wù)(這臺(tái)機(jī)器是安全管理的),只有登錄到這臺(tái)機(jī)器上以后,你才能訪問防火墻內(nèi)的其他機(jī)器。應(yīng)用網(wǎng)關(guān)可以被用來處理電子郵件,遠(yuǎn)程登錄,及文件傳輸。大部分情況,僅僅是要正確配置一些軟件。

總的來說,防火墻和網(wǎng)關(guān)聯(lián)合起來的話,可以提供某種程度上的安全。既使這個(gè)局域網(wǎng)運(yùn)行在不安全的網(wǎng)上,只要網(wǎng)絡(luò)管理員對(duì)局域網(wǎng)的安全負(fù)責(zé)的話,即使他不能為每臺(tái)機(jī)器進(jìn)行合理的配置,這個(gè)網(wǎng)絡(luò)還是安全的。不過要記住,防火墻和網(wǎng)關(guān)結(jié)合并不是完美的。大部分的網(wǎng)絡(luò)管理員應(yīng)該對(duì)1988年的蠕蟲還記憶猶新。既使是在今天,蠕蟲病毒還是能夠輕而易舉地越過大部分的防火墻。

(三)虛擬專用網(wǎng)絡(luò)(Virtual Private Networks)

有一些企業(yè)上網(wǎng)只是為了和異地的其他部門進(jìn)行通訊,對(duì)于這種情況,在Internet上建立自己的虛擬專用網(wǎng)絡(luò)是一個(gè)安全的策略。

這種技術(shù)具有成本低的優(yōu)勢(shì),還克服了Internet不安全的弱點(diǎn)。其實(shí),簡(jiǎn)單來說就是在數(shù)據(jù)傳送過程中加上了加密和認(rèn)證的網(wǎng)絡(luò)安全技術(shù)。在VPN網(wǎng)絡(luò)中,位于Internet兩端的網(wǎng)絡(luò)在Internet上傳輸信息時(shí),其信息都是經(jīng)過RSA非對(duì)稱加密算法的Private/Public Key加密處理的,它的密鑰(Key)則是通過Diffie-Hellman算法計(jì)算得出。如,假設(shè)A、B在Internet網(wǎng)絡(luò)的兩端,在A端得到一個(gè)隨機(jī)數(shù),由VPN通過Diffie-Hellman算法算出一組密鑰值,將這組密鑰值存儲(chǔ)在硬盤上,并發(fā)送隨機(jī)數(shù)到B端,B端收到后,向A端確認(rèn),如果驗(yàn)證無誤則在B端再由此產(chǎn)生一組密鑰值,并將這組值送回A端,注冊(cè)到N0vell的目錄服務(wù)中。這樣,雙方在傳遞信息時(shí)便會(huì)依據(jù)約定的密鑰隨機(jī)數(shù)產(chǎn)生的密鑰來加密數(shù)據(jù)。

確切來說,虛擬專用網(wǎng)絡(luò)(VirtUal PrivateNetwork,VPN)是利用不可靠的公用互聯(lián)網(wǎng)絡(luò)作為信息傳輸媒介,通過附加的安全隧道、用戶認(rèn)證和訪問控制等技術(shù)實(shí)現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性能,從而實(shí)現(xiàn)對(duì)重要信息的安全傳輸。

到這里,我們論述了構(gòu)建安全的分布式系統(tǒng)的重要性,同時(shí)從技術(shù)角度介紹了幾種關(guān)鍵技術(shù)以及每種技術(shù)的特點(diǎn)和實(shí)現(xiàn)手段。我們應(yīng)該認(rèn)識(shí)到系統(tǒng)的安全性問題是不斷地發(fā)展變化的,這要求我們不斷探索新技術(shù)、新方法確保系統(tǒng)的安全性。同時(shí)我們也應(yīng)該認(rèn)識(shí)到,安全不是絕對(duì)的。因?yàn)槲覀兒苋菀拙湍芙ㄔ焓澜缟献畎踩挠?jì)算機(jī),但它卻什么都不能干。在很多情況下,安全需求必須和系統(tǒng)的其他設(shè)計(jì)目標(biāo)之間做出妥協(xié),比如說性能和用戶界面的友好等等。還有一點(diǎn)很重要,就是你必須得考慮為了達(dá)到所要求的安全,你所需要花費(fèi)的資金和個(gè)人的精力。這就要求我們能夠準(zhǔn)確衡量其之間的權(quán)重,根據(jù)不同的安全級(jí)別需要構(gòu)建安全、可靠的網(wǎng)絡(luò)安全系統(tǒng)。

參考文獻(xiàn):

[1]宋麗華.網(wǎng)絡(luò)流量特征對(duì)排隊(duì)性能影響的仿真分析與比較[J].系統(tǒng)仿真學(xué)報(bào),2005-1,(17).

[2]闕喜戎等.信息安全原理及應(yīng)用[M].北京:清華大學(xué)出版社,2003.

[3]周學(xué)廣,劉藝.信息安全學(xué)[M].北京:機(jī)械工業(yè)出版社,2003.

[責(zé)任編輯:吳紀(jì)龍]