局域网环境下若干安全问题及对策(9)

　　5.1.3.2 网络地址转换技术 
　　网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准,用户必须要为网络中每一台机器取得注册的IP地址[ 7 ] 。在内部网络通过安全网卡访 
　　问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问7 ] 。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。网络地址转换过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。 
　　5.1.3.3 代理技术 
　　代理技术是在应用层实现防火墙功能,代理服务器执行内部网络向外部网络申请时的中转连接作用。 
　　代理侦听网络内部客户的服务请求,当一个连接到来时,首先进行身份验证,并根据安全策略决定是否中转连接。当决定转发时,代理服务器上的客户进程向真正的服务器发出请求,服务器返回代理服务器转发客户机的数据。 
　　另一种情况是,外部网通过代理访问内部网,当外部网络节点提出服务请求时,代理服务器首先对该用户身份进行验证。若为合法用户,则把该请求转发给真正的某个内部网络的主机。而在整个服务过程中,应用代理一直监控着用户的操作,一旦用户进行非法操作,就可以进行干涉,并对每一个操作进行记录。若为不合法用语,则拒绝访问。 
　　5.1.3.4 全状态检测技术 
　　全状态检测防火墙在包过滤的同时，检测数据包之间的关联性，数据包中动态变化的状态码。它有一个检测引擎，在网关上执行网络安全策略。监测引擎采用抽取有关数据的方法对网络通信的各层实施监督测，抽取状态信息，并动态地保存起来，作为以后执行安全策略的参考。当用户访问请求到达网关是操作系统前，状态监测器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密处理动作。 
　　5.2 入侵检测系统 
　　5.2.1 入侵检测系统概述 
　　入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统 
　　5.2.2 入侵检测原理 
　　入侵检测跟其他检测技术有同样的原理。从一组数据中，检测出符合某一特点的数据。攻击者进行攻击的时候会留下痕迹，这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测系统的任务是从这些混合的数据中找出是否有入侵的痕迹，并给出相关的提示和警告。 
　　入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。 
　　第二步是信息分析，收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。 
　　第三步是结果处理，控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。 
　　5.2.3 局域网入侵检测系统的构建方法