rfc1636.txt

RFC文档

该会议的流程决定了这些文档的特征，它应当被称作大多数自治组的工作笔记，包含了多种观点和内容的副本特征。虽然它并不是“网络安全研究团体”的产品，但它记录了Internet专家对网络安全发展的主导思想。它为Internet在发展可行性安全机制和程序处理方面提供了帮助。
2.总述
2.1战略和行政观点
尽管该中心着重在网络体制方面的讨论，但仍有很多讨论是关于安全的real－politik方面的。
几年前，IETF－IAB的赞助者一直从事于增强的私密电子邮件（PEM）的发展研究，它可以提供带有大量功能的安全的email。在该活动中心一个问题被再三的提出――为什么用户要接受PEM很慢这个事实？（why has user acceptance of PEM been slow ？）它得到了以下大量的回答：
1．高性能的执行在传送中就会变慢
2．专门技术RSA运算法则的使用，不符合Internet协会协定（social conventions）。
3．出口的限制打消了卖主的积极性。
4．当前的PEM依靠于一个命名的证书层次，并且证书来自于一个新的复杂的地方。在证书名称的地方没有一个组织的下部机构来生成和管理它。
5．为寻找证书没有一个可应用的下部目录。
由于在Internet里X.500缓慢的配置，从而导致使用X.500的决定是一个彻底的失败。由于UDP信息包的限制，即使DNS能够扩展到为个人email用户保存记录，当前在DNS中储存证书也并不是切实可行的。
看上去不只一个，甚至可能是所有存在的原因都阻碍了PEM的采用。
在吃的方面有一个恶意的评论：“我喜欢的每一样东西不是邪恶的、违法的就是猪吃的”（Everything I enjoy is either immoral ,illegal, or fattening）好像可以应用于Internet安全方面必需的加密系统技术。
2.2安全论点
几乎每个人都同意Internet需要更多、更好的安全。然而，这对不同的人可能有不同的看法，Internet安全的四个最高层的需求被确定为：端对端的安全（end－to－end ），终端系统安全（end－system），安全的QOS和安全的网络底层结构（network infrastructure）。
A.端对端的安全
为端对端的通信提供支持加密、认证和完整性的需求。这些安全的服务最好被提供在终端的基础上，目的是为了对用户信任的网络体制编码的最小化。这里的终端可以是系统本身，也可以是充当终端系统利益的代理器（例如，一个防火墙）。
对于点对点的应用软件（point-to-point）,该中心认为现有的安全技术能够有效的提供机密、认证和完整性的服务。这些现有的技术包括应用于端对端的对称加密技术、信息分类功能和密钥管理的运算法则。在IETF，目前从事于这些领域工作的主要包括PEM工作组和公共认证技术工作组。
为对付出口的限制，工作组提出一个战略性的指导：从加密中分离出认证部分。这样，尽管政府限制了对加密技术的出口，工作组仍然能被容许在Internet的认证方面继续工作。反过来说，这就更容易对没有认证部分的加密进行展开，这样很好。
中心研究了端对端安全的多点传送技术。一些单点传送（unicast）的安全技术可以直接应用在多点传送的应用软件上，同时，也可以对别的进行修改。在6.2节中包含了这些讨论的结果。现概述如下：
a） 现在的技术完全可以支持多点传送包的机密性、认证和完整性。目前以单个多点传送源的水平支持认证和完整性认证的实现是有限的，这也是需要发展的技术。
b) 端对端的控制应当建立在终端系统或用户标志符的基础之上。这种需求应当与包含应用
公钥分配和加密技术的工程学相关。
B. 终端系统安全
每个主机都有自己的安全防御措施，但对于这些防御能力得依靠于分配。细心的主机安全管理员总是对内核和应用软件封闭安全漏洞，同时对用户做一些如何设置好的（难破解的）口令的训练。
好的安全管理员通常都有较强的分析能力，然而组织经常发现对于大量的内部机器很难维持它的安全。为保护他们的机器免遭外部的攻击，组织经常建立一个外部安全墙或者称为“围墙”（perimeter）的机构。围墙内部机器的通话只通过一套小的被称作“防火墙”的管理器进行。防火墙可以建立在应用层，这种情况下它们就是应用层转播器；或者建立在IP层，这种情况下它们就是防火墙路由器。
该活动中心在防火墙路由器的构建上花了大量的时间进行研究，主要在第三章进行描述。
C 安全的QOS
Intenet 被扩展到可以提供服务质量的功能，在该中心这个主题被称作为“实时服务”（real time service）。这些扩展为网络结构提出了一套新的安全策略，来确保用户不可访问他们未经授权使用的资源，同时预防资源被盗用和防止由于那些未经授权用户的访问所导致的服务器的拒绝访问（也就是防止通信的阻塞）。被保护的资源包括联机共享（link shares）,服务类或队列（ service classes or queues）,多点传送树（ multicast trees）等等，这些资源被用于网络的虚拟通道（virtual channels），每一个虚拟通道都被一个详细的传输包的子集（subset）或类（class）使用。
安全的QOS,例如，保护虚拟通道不恰当的使用，这种保护就是访问控制机构的一种形式，通常它建立在被认证类的状态模式上。这种结构可以通过管理机制使用（主要是面对前面的和全体的用户）；或者被控制信息包或专门信息所使用（主要针对源用户和流程、数据的接收者）。
另外的一些状态制度，被认证的一些模式需要确保那些连续的包属于建立的类。通常解决的方法就是多点传送组，因为一般多点传送问题包括一个子集的两大方面。该中心揭露了一些安全QOS问题的方法。主要在第四章进行描述。
D．安全的网络底层结构（Secure Network infrastructure ）
网络运转依靠于使用设置和操作网络底层的管理和控制协议，包括路由器和DNS服务器。在网络底层来自于用户端的攻击可以导致拒绝服务，但是如果来自于网络操作端，因为网络控制和管理信息，被攻击的信息的安全性就需要被认证和确保完整。
安全的传送协议也就成了一个直截了当的工程任务，该中心对这方面的研究包含以下内容：
a). 所有信息交换的传送通道应当被相邻的路由器认证。
b). 所有通道信息源应当被鉴别。
c). 虽然对通道信息鉴定结构的认证是可行的，对于通道信息实施的认证仍需要进一步的考虑。
由于当前的威胁很活跃，因此迫切的需要安全的通道管理协议（例如，SNMP,Telnet，TFTP）
更进一步，该设计任务应当是可直接对现有认证体制的应用。
安全的DNS是一个重要的策略，但是在该活动中心它并没有得到广泛的注意。
2.3 DNS 的证书名称
在2.1节中，在PEM上的工作是建立在使用X.509可区别的名称作为带有公钥加密的发行证书的假定基础上的。在中心最有争议的讨论就是使用DNS名称代替X.509可区别的名称作为Internet安全的一个临时基础的可行性。
讨论中大家都赞同DNS名称在Internet里具有简单易懂的特点，对一个计算机的操作来说，它可以很容易的被鉴别，同时在这个机制上接收email的用户已经拥有DNS邮箱的名称。与之相对照，为安全而引入的X.509可区别的名称在应用中则要增加一个新的名称层。更重要的是，为指派DNS名称，它没有一个现有的管理模式。也没有一个管理底层来指派X.509可区别的名称，同时它们对早期的接收体系来说可能太复杂。对使用DNS名称证书的提倡将鼓舞Internet上对安全使用的广泛性。可以预测在以后，DNS名称将被更具功能的名称机制如建立在X.509基础上的证书所取代。
反对DNS名称的人认为作为安全的一个基础它太薄弱了（weak）。它们的使用可能会导致许多情况的混乱，并且这种混乱会随着更多的组织和个人加入到Internet里而增加的更多。一些商业的email系统启用数字的邮箱名称，在许多组织它们是不可靠的。例如，"bumber@foo.edu是否属于Bill Umber 或 Tom Bumber,。不过对DNS名称做进一步的描述是可行的，这涉及到现有的带有成百万简短的，不带描述符名称的网络底层，它们对采用进一步描述符的功能构成了阻碍。
记录中谈论到有关证书使用的名称空间问题时是独立于为查询这些名称而建立一个底层机构的。由于UDP包的限制，在没有重大改变的DNS中储存证书是不可行的，即使DNS扩展到可以为个人email用户保存记录。
该组没能达成为网络安全而使用DNS名称策略的一致。因此，需要进一步的讨论。
3防火墙体系
3.1简介
防火墙是用于隔离Internet拓扑结构的一个特殊连接段。当连接段与其他Internet有多重连接时，所有连接都需要相应的防火墙机制。
防火墙可在协议堆栈的不同层执行。它们通常由发送网关在应用层执行或由过滤路由器在IP层执行。3.2章节讨论应用网关。3.3章节涉及过滤IP数据报进入或离开安全周界的Internet层防火墙。
防火墙的普通体系模型应将原则（例如：决定服务请求者是否被允许访问该项服务）与控制（例如：对已被允许访问的用户限制资源访问）分离。
3.1.1防火墙的使用
防火墙在Internet领域是一个非常敏感的话题。一些委员会成员感觉到防火墙的概念非常大，因为防火墙聚集了单个地方，单一操作，安装和配置的安全功能。其他人认为由于同样的原因防火墙又具有破坏性：它提供了“一个坚硬的，易碎的外表和一个柔软的，不易碎的中心”。例如：防火墙形成了错误的安全感，导致防火墙周界内安全性很松懈。他们还观察到在共同环境内的计算机犯罪是由知情人，对周界防御策略有免疫力的人犯下的。防火墙向用户主张防火墙象附加安全装置一样重要；它们不应该被作为周界内安全管理的代替品来看待。防火墙反对者还关注着使用防火墙的困难，需要多次登陆和其他额外的装置，并且和Internet的可用性和生动性有冲突。
然而，防火墙是当今Internet生活中的事实。由于现实原因，它们已被有关组织在更高的安全水平上进行构造。本章节将试着略述一些防火墙的优势和劣势，以及一些有用的实例。
考虑有几千个主机的一个大型组织。如果每个主机都允许直接与外界交流，则黑客通过寻找最弱的主机试图渗透到该组织，破坏其防御措施，然后利用该主机资源进一步渗透到该组织中。在某些方面，防火墙并不是安全问题的解决方法，就象它们对基本软件工程/管理问题的反应：为可靠安全性配置很多主机的系统。如果这些基本问题可以解决，则防火墙基本上就不需要了。
考虑在该组织的不同个体上运行防火墙的结果是很有趣的。首先考虑在组织中最安全的主机上运行防火墙。该主机基本上有很少或没有额外的保护措施，因为其自身周界防御措施如防火墙一样强大甚至比防火墙更强大。此外，防火墙将降低与该主机的连通性和与外界交流路径的可靠性，结果给该主机用户造成了许多麻烦。用户的观点是因为没有了防火墙。
另一方面，低安全性的主机还可以“藏”在防火墙后。由此易彼，与外界交流的一个更有限的性能，该主机能从由防火墙提供的高安全性上获益，假定它是基于整个组织中最安全的。如果该主机只想与组织内的其他主机交流，则防火墙强加的外部交流限制几乎不会被察觉到。从主机的观点来看，几乎花很少的钱甚至不花钱就可获得更可靠的安全性。
最后，把该组织作为一个整体来考虑其观点。防火墙允许通过整个组织在组织中进行最可靠的安全性扩展。这是一个益处（除了组织中所有主机周界防御措施相同）。中央访问控制也成为可能，它要么是个益处，要么是个代价，取决于该组织。组织中的“安全”主机在“不安全”主机获益时能察觉到损失。把该组织作为一个整体的代价/获益比率取决于组织中“安全”主机和“不安全”主机的相关数目。
考虑防火墙不做出反应的一些情况。个体可作为组织的一个主机来看待。所有主机的安全性是同样的，并定义该组织中最可用的。在这种情况下，防火墙的选择是单一的。该个体是不是想与外界交流呢？如果是，则“完美的”防火墙将被运行，如果不是，则主机周界就与防火墙周界一样，因此不需要防火墙。
另一个有趣的情形是一个含有少数共享利益个体的组织。它将是向网络出售公共访问权的服务供应商。用户的不相关团体应看成是个体，而不是组织。整个组织的防火墙在这种情况下作出很小的反应。
总之，防火墙的益处取决于该组织所保护的本体。防火墙可用于扩展组织中的最可靠保护，用许多管理差的主机给大量组织带来益处。防火墙能产生很少或不被察觉的益处，尽管是对已有强大主机周界的组织中的个体而言。
3.2应用层防火墙
应用层防火墙能用以下图表描述：C < - - - > F < - - - > S
客户请求C向防火墙打开其传输连接。F并非直接通向所需要的服务器S。重定向C的一种机制需要F的IP地址而不是能基于DNS的S。当C尝试解析S的名字时，其DNS查找向S返回一个“服务重定向”记录（与MX记录类似）。该服务重定向记录将返回F的IP地址。
C进入某个鉴定会话来向F确认其身份，并指定其向S请求一个特殊服务的意图。F决定C是否被授权调用该服务。如果C被授权了，则F向S启动一个传输层连接并开始该操作，传送请求和C，S间的响应。
超过IP层防火墙的该方案的主要优点是未处理的IP数据报决不可能通过防火墙。因为防火墙运行于应用层，它有处理的机会和校验通过它的所有数据，并且它对于非法的聚合点攻击能更安全（参见以下部分）。
应用层防火墙还有重大缺陷。对于所有益处，应用级防火墙必须对每个应用进行特殊编码。这严格限制了新应用的扩展。防火墙还描绘了一个新的错误点；如果它终止访问，则应用失败。应用层防火墙还可能不止影响IP层防火墙的性能，这取决于使用中的特殊机制。
3.3IP层防火墙
IP层防火墙模块是一个多端口IP路由器，它对每个引入的IP数据报应用一系列规则，以此来决定它是否被发送。“过滤”IP数据报基于可用的包头信息。
防火墙路由器通常有一套过滤规则，其中的每一个指定一个“数据包文件”和一次“操作”。数据包文件为特殊头字段指定值，例如：源文件和目标文件的IP地址，协议号，和其他适当源文件和目标文件的鉴别信息（例如：端口号）。这些可用于匹配数据包的信息称为“联盟”。联盟的本质是一种开放式的命令。
防火墙中的高速数据报发送路径处理每个到达的数据包而不是所有现行规则中的数据包文件，当文件匹配时，它实行相关操作。典型操作包括发送，撤消，传送无效响应，或记录异常追踪。当无其他规则匹配时，使用中有一个默认规则，它可指定一个撤消操作。
除了数据包文件，有些防火墙也使用一些加密信息来鉴别数据包，如3.2章节所述。
3.3.1策略控制标准
本节利用一些可能用到的详细机制实例，描绘防火墙路由器的控制模型。
1. 客户C要访问服务S。（客户这里既不是一个人也不是一次操作，它也是需要解析的一个命令）。