吴刚

达州职业技术学院机械电子与信息工程系 四川 635001

0 前言

计算机网络安全技术包含有包过滤技术、状态检测技术、应用代理网关、端口扫描技术、数字签名与加密技术等等，在拓扑结构和布局上也形成了以防火墙为主要防线的“围城”结构，然而现有网络还是不断遭到数据窃取和网络攻击，现有网络安全体系还存在固有的缺陷，导致网络的强壮性仍然不足。

1 目前计算机网络安全体系

目前的网络防范体系基本上是以“围城”为基本思路的，在被保护的网络边界设置数据包进出的“必经之道”，作为“军事要塞”。在主机上基本也采用这种思路，采用单机防火墙保护主机系统。

根据采用的技术不同，防火墙分为以下类型：包过滤防火墙；代理服务器；电路层网关；混合型防火墙；应用级网关；状态/动态检测防火墙；网络地址翻译NAT；个人防火墙；智能防火墙。

防火墙“围城”架构虽然在一定程度上有效保护了内部网络不受外部攻击，但也日益显示它的脆弱性：

（1）防火墙的操作系统不能保证没有漏洞；

（2）防火墙的硬件不能保证不失效；

（3）防火墙软件不能保证没有漏洞。防火墙软件也是软件，是软件就会有漏洞；

（4）防火墙无法解决TCP/IP等协议的漏洞；

（5）防火墙无法区分恶意命令还是善意命令；

（6）防火墙无法区分恶意流量和善意流量；

（7）防火墙的安全性与多功能成反比；

（8）防火墙的安全性和速度成反比；

（9）防火墙的多功能与速度成反比；

（10）防火墙无法保证准许服务的安全性；

（11）限制有用的网络服务；

（12）无法防护内部网络用户的攻击；

（13）Internet防火墙无法防范通过防火墙以外的其他途径的攻击；

（14）Internet防火墙不能完全防止传送已感染病毒的软件或文件；

（15）不能防范新的网络安全威胁。

2 五行理论框架

五行系统包括组成事物的五种基本物质(对象)，五行，一曰水，二曰火，三曰木，四曰金，五曰土。五行的基本性质，水曰润下，火曰炎上，木曰曲直，金曰从革，土爰稼穑。

水有寒凉、滋润、向下、闭藏、终结等特性；火有温热、光明、变化、活动、升腾等特性；木有生长、兴发、生机、条达、舒展等特性；金有变革、禁制、肃杀、敛降、洁净等特性；土有生长、承载、化生、孕育、长养的特性。

五行学说利用五行的关系来取象类比，表现事物的关系和发展变化。就这种理论本身来说，是一种朴素的统一辩证法，在这个矛盾统一系统中，没有绝对的角色定位，没有绝对的攻击者，也没有绝对的防范者，角色是可以互相转化的，也是可以互相配合的，还可以互相钳制。五行生克关系如图1。

图1 五行生克图

五行相生关系：木生火，火生土，土生金，金生水，水生木。

五行相克关系：木克土，土克水，水克火，火克金，金克木。

五行亢乘：物盛极为亢太过。凡事物亢极则乖，强而欺弱，这叫做乘。相克的两行，克人者太盛为亢乘。

对两组都施以常规治疗：应用硝酸酯类、低分子肝素、β-受体阻滞剂以及阿司匹林肠溶片等药物，嘱咐不使用抗氧化药物。A组加用瑞舒伐他汀，详细如下：瑞舒伐他汀钙片，10 mg/次，经口服用，1次/d，维持治疗6个月，本药品由“南京先声东元制药有限公司”提供，规格：10 mg/片。B组加用阿托伐他汀，详细如下：阿托伐他汀钙胶囊，20 mg/次，经口服用，1次/d，维持治疗6个月，本药品由“河南天方药业股份有限公司”提供，规格：20 mg/粒。

五行反侮：事物亢极则乖，强而欺弱，被克者太盛为反侮。

五行生克关系是对事物的长期观察和经验积累的矛盾统一认识。广泛应用于古代的医学、建筑、政治、军事、文化等多种学科，是古代各学科的理论基础之一。

3 时空结构的整合

五行理论中互相制约的组件架构可以有效地解决现有防火墙系统的大部分局限性，这就要把现有的“围城”安全架构和传统五行理论进行整合，以得到新的网络安全体系。

3.1 网络安全与五行理论的术语对应

首先，网络安全技术中的哪一些技术分类到五行这五大组件中呢？这是人为的划分，主要目的是方便功能细化。网络攻击的技术要进行分类，并入五行之中；防范技术也要进行分类，并入五行之中。

划分大致如下：

（1）攻击技术划分：水式(旁路、陷门、信息泄露)；火式(计算机病毒、完整性破坏)；金式(授权侵犯、非法使用)；木式(假冒、篡改)；土式(拒绝服务)。

（2）防范技术划分：土部(数据加密技术、入侵检测技术、黑客防范技术)；水部(病毒诊断与防治技术、安全审计技术)；火部(访问控制技术)；金部(数字签名技术、鉴别技术、攻击源阻塞技术)；木部(网络嗅探技术、端口扫描技术、防火墙技术)。

3.2 安全技术“各自为阵”变为“有机集成”

传统网络安全技术基本上处于分立工作，互无往来的状态。比如实现审计技术的主机和防火墙主机并无关系。

五行架构将网络安全技术统一纳入系统中，分工合作，互通有无，协同作战。在五行架构中运用了所有的安全技术手段。

3.3 变阻止攻击为设置陷阱

传统的防火墙架构中，如果判断出现网络攻击数据包，就竭力阻止入侵。一旦防范失败，没有检测到恶意数据包，则这类攻击如入无人之境，城门洞开。

五行架构的安全体系，防范重点不在城门处，而是分布在系统的五个部分，形成一个互相制衡、相互援助的体系。

五行架构体系要先判断攻击的类型，或者说是网络访问的类型，再将访问数据包交由相应的“行部”处理。如果首先遭遇攻击的“行部”被瘫痪，则安全防范由体系中的其它“行部”接管，其它“行部”不仅要继续处理攻击数据包，而且要恢复被瘫痪的“行部”正常工作。这种思想来源于中医中的五脏相生的关系。

现有防火墙体系不能检测和处理内部网产生的网络攻击，新的五行架构将内部网数据包捕获功能、攻击源检测和阻塞功能加入五行之中，利用五行“生克”关系“克住”内部攻击源。攻克的方法可以采用现有的黑客攻击技术包括ARP攻击技术。

把判断网络访问类型并交由其它“行部”处理的过程称为“设置陷阱”。

3.4 变围城结构为五行递归结构

如前所述，传统的防火墙架构一旦防范失败，则城门洞开。

图2 五行网络架构图

五行架构(参见图2“五行网络架构图”)中，一个“行部”不能对付的网络攻击，由另一个与之“相生”的“行部”而与外部访问“相克”的“行部”处理。当然，对于正常的网络访问也是这样，正常的网络访问通过五行系统验证就可以正常访问。

网络数据包在五行架构中流转的过程称之为“五行递归”。如果遇到网络攻击将首先遭遇的“行部”瘫痪，五行递归结构具有优良的自恢复特性，如前所述，安全防范工作由体系中的其它“行部”接管，其它“行部”可以恢复被瘫痪的“行部”正常工作。

3.5 变主机独立对抗为五行组合对抗

传统的网络安全体系一般为主机独立对抗，如果出现恶意攻击，主机孤立无援。防火墙也是一台主机，它没有向其它主机求援的功能，主机之间也没有互相援助的功能。

五行架构的思想是分工负责，协作对抗，互相援助，循环往复。“木部”生“火部”，克“土”式攻击(或者检验“土”式网络访问)；“火部”生“土部”，克“金”式攻击(或者检验“金”式网络访问)；“土部”生“金部”，克“水”式攻击(或者检验“水”式网络访问)；“金部”生“水部”，克“木”式攻击(或者检验“木”式网络访问)；“水部”生“木部”，克“火”式攻击(或者检验“火”式网络访问)。循环往复，生生不息。

“木部”生“火部”，就是“火部”是“木部”的后继者，当“木部”处理了网络访问后，就交由“火部”处理，还有一个意义，当“火部”瘫痪，由“木部”来负责恢复运行；

“火部”生“土部”，就是“土部”是“火部”的后继者，当“火部”处理了网络访问后，就交由“土部”处理，当“土部”瘫痪，由“火部”来负责恢复运行；依此类推。

3.6 大五行与小五行

网络中的五行架构同样适用于一台主机内部，主机内部的“小五行”组成最后一道防线，共同防范越过“大五行”的网络数据包。当大五行系统配置不阻止未知类型的数据包时，这个“小五行”主机防范系统保障主机得以安全运行。

3.7 网络安全五行结构的类定义

为了说明实现的大致框架，用Rational Rose做了框架的类定义。如图3、图4所示。

图3 五行架构的类图

图4 网络访问处理时序图

4 总结

用五行理论整合的新的网络安全架构协作性更强，将大量的网络安全技术集成到这一体系中，运行机制循环往复、井然有序，能更有效地防范网络攻击，网络安全系统的强壮性大大提高。同时，将内部网络攻击的检测和阻塞功能加入五行体系中，保证内部网的相对纯净，使内部网络主机不再疲于应付大量恶意的内部攻击数据包，提高网络运行效率，保障网络安全。

[1] 杨云江.计算机与网络安全实用技术[M].北京:清华大学出版社.2007.

[2] (美)Chris Hare.Internet防火墙与网络安全[M].北京:机械工业出版社.1998.

[3] 网易网友“游魂”.水曰润下,火曰炎上,木曰曲直,金曰从革,土爰稼穑[EB/OL].http://blog.163.com/3121980.net/blog/static/24039 82007112585112761/.2007．