论文部分内容阅读
【摘要】:如何确保网络系统免遭攻击以保证信息的安全,成为了人们无法回避的课题。为此,防火墙、Ids等多种网络安全技术被广泛应用到各个网络系统中,在抵御网络攻击和保护网络安全中发挥着重要的作用,为此我们针对防火墙与IDS两种技术的性质和特征加以识别区分,并将二者的联动技术作出分析。
一、防火墙
1.防火墙的概念
防火墙是目前最为流行也是使用最为广泛的一种网络安全技术,在构建安全网络环境的过程中,防火墙作为第一道安全防线,受到越来越多用户的关注。防火墙并不是真正的墙,它是一类防范措施的总称。典型的防火墙具有以下三个方面的基本特征:
(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙,是根据美国国家安全局制定的《信息保障技术框架》实施的。
(2)只有符合安全策略的数据流才能通过防火墙。它能确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。
(3)防火墙自身应具有非常强的抗攻击免疫力。
2.防火墙的常见类型
根据防范的方式和侧重点的不同,防火墙可以分为以下几种类型:
(1).包过滤型防火墙
包过滤型防火墙又称网络级防火墙,它是在网络层对数据包进行选择,根据源地址和目的地址、应用或协议以及每个IP包的端口来做出通过与否的判断。
(2).应用级网关防火墙
应用级网关防火墙主要工作在应用层,应用代理服务技术能将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的服务器通信。
(3).电路级网关防火墙
电路级网关防火墙是在OSI模型中会话层上来过滤数据包,它用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,以此来决定该会话是否合法。
(4).规则检查型防火墙
规则检查防火墙结合了上述三种防火墙的特点,既能在OSI网络层上通过IP地址和端口号过滤进出的数据包,也可以在OSI应用层上检查数据包的内容,查看这些内容是否符合内部网络的安全规则,或是像电路级网关防火墙一样,检查SYN和ACK标记和序列数字是否逻辑有序。
3.防火墙的安全策略
安全策略是防火墙的重要组成部分,它决定了受保护网络的安全性和易用性,一个合理可行的安全策略能够在网络安全需求及用户易用性之间实现良好的平衡。策略设置不当,便会拒绝用户正常请求的合法服务或是给攻击者制造可乘之机。一般防火墙设置有两种策略:
(1)凡是未被准许的就是禁止的。防火墙先是封锁所有的信息流,然后对要求通过的信息进行审查,符合条件的就让通过。这是一种安全性高于一切的策略,其代价是网络的方便性受到限制,网络的应用范围和效率会降低在这个策略下,会有很多安全的信息和用户被拒之门外。
(2)凡是未被禁止的就是允许的。防火墙先是转发所有的信息,开始时防火墙几乎是不起作用,如同虚设,然后再逐项对有害的内容剔除,被禁止的内容越多,防火墙的作用就越大。在此策略下,网络的灵活性得到完整地保留,但是有可能漏过的信息太多,使安全风险加大,并且网络管理者往往疲于奔命,工作量增大。
网络是动态发展的,制定的安全目标也应是动态的,随着网络结构或网络应用范围的调整,防火墙的安全策略也应随之调整或改变。
4.防火墙技术存在的问题
防火墙产品主要是“身份认证”级的安全产品,只是实现了粗粒度的访问控制,无法成为安全解决方案的全部,仍有诸多方面需要改进和完善,比如:
(1)网络上有些攻击可以绕过防火墙,而防火墙却不能对绕过它的攻击提供阻挡。
(2)防火墙管理控制的是内部与外部网络之间的数据流,不能防范来自网络内部的攻击。
(3)当使用端到端的加密时,防火墙的作用会受到很大的限制。
(4)当内部网中存在后门时,将会使防火墙形同虚设。
(5)防火墙不能对被病毒感染的程序和文件的传输提供保护。
(6)所有防御规则都是事先设置好的,缺乏实时性,对变化的安全形势缺少应变的能力。
(7)防火墙不能防止利用标准网络协议中的缺陷进行的攻击。
网络安全单靠防火墙是不够的,需要和其他形式的安全防护结合起来,在提高防火墙自身功能和性能的同时,由其他技术完成防火墙所缺乏的功能,协同配合,共同建立一个有效的安全防范体系。
二、入侵检测系统(IDS)
1.入侵检测系统的概念
网络安全技术发展到今天,除了防火墙和杀毒系统的防护,入侵检测技术也成为抵御黑客攻击的有效方式,被认为是防火墙之后的第二道安全闸门。
入侵检测系统IDS(Intrusion Detection System)主要是通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中潜在的违反安全策略的行为和被攻击的迹象。
一个基本的入侵检测系统需要解决两个方面的问题:一是如何充分并可靠地提取描述行为特征的数据;二是如何根据特征数据,高效并准确地判定行为的性质。它在很大程度上依赖于收集信息的可靠性和准确性。一个成功的入侵检测系统,不仅可使系统管理员时刻了解网络系统,还能给网络安全策略的制订提供依据。
2.入侵检测系统的类型
根据数据来源和系统结构的不同,入侵检测系统可以分为基于主机、基于网络和混合性入侵检测系统三类:
(1)基于主机的入侵检测(HID,Host-based Intrusion Detection)
通常在被重点检测的主机上运行一个代理程序,用于监视、检测对于主机的攻击行为(如可疑的网络连接、系统日志检查、非法访问等),通知用户并进行响应。HID最适合配置来对抗内部的威胁,因为能监视并响应用户特殊的行为以及对主机文件的访问行为。
(2)基于网络的入侵检测(NID,Network Intrusion Detection) 通过分析主机之间网线上传输的信息来工作,网络入侵检测设备能截取利用不同传输介质以及不同协议进行传输的数据包,当数据包被捕获后,网络入侵检测设备就使用一些不同的方法来对数据包进行分析。NID多被用来当作一种网络周边环境防御的主要方法。
(3)混合型
是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。
根据入侵检测所采用的技术,可以分为异常检测和误用检测两类:
(1)异常检测(Abnormal Detection)
指能够根据异常行为和使用计算机资源的情况检测出来的入侵。
(2)误用检测(Misuse Detection)
该技术是建立在使用某种模式或者特征描述方法能够对任何已知攻击进行表达这一理论基础上的,其关键是如何正确表达入侵的模式,把真正的入侵与正常行为区分开来。
3.入侵检测技术存在的问题
主要有三大问题亟需解决:
(1)如何提高入侵检测系统的检测速度,以适应网络通信的需要网络安全设备的处理速度一直是影响网络性能的一大瓶颈。
(2)如何减少入侵检测系统的漏报和误报,提高其安全性和准确度。
(3)如何提高入侵检测系统的互动性,从而提高整个系统的安全性能。
三、防火墙与IDS的联动技术
1.联动的必要性
随着网络的飞速发展和广泛应用,计算机网络的资源共享进一步加强,网络安全问题日益严重。防火墙作为传统网络安全技术手段无法满足对安全高度敏感的部门的需求。入侵检测系统作为一种网络安全主动防御手段在短时期内得到飞速发展。防火墙和入侵检测系统的功能特点和局限性决定了它们彼此非常需要对方,且不可能相互取代,如果在防火墙和入侵检测系统之间建立紧密的联动关系,以将两者的能力充分发挥出来,相互弥补不足、互相提供保护。从信息安全整体防御的角度出发,这种联动是十分必要的,极大地提高了网络安全体系的防护能力。
2. 联动的互补性
虽然防火墙与入侵检测系统是两种不同的网络安全技术手段,但它们在功能上却有着很大的互补性。二者紧密地结合,防火墙便可以通过入侵检测系统及时发现其策略之外的攻击行为;同时,入侵检测系统也可以通过防火墙来阻隔来自外部网络的攻击行为。这样就可以大大提高整个系统的整体防护性能。防火墙与入侵检测系统的互补性主要表现在以下几个方面:
(1).防火墙要根据策略转发它所连接的链路上的所有数据流量,为了快速转发数据,防火墙不可能对所有转发的数据报进行详细地分析。而入侵检测系统就可以不必转发数据流量,只是将网段上的数据报内容进行收集查看,监视其行为。这样入侵检测系统就可以对数据报的协议、内容作出详细的分析。
(2).防火墙可以根据策略对数据报进行过滤,减少进入内部网络的数据流量,从而减轻入侵检测系统的数据报分析任务。而入侵检测系统不能对数据报进行过滤,只能对己经进入网络的数据报进行监视。
(3).防火墙是根据策略对数据报在进入内部网络之前进行过滤,因此可以把入侵行为排除在网络外;而入侵检测系统是对绕过防火墙进入网络内部的数据报进行分析和监视,是对进入网络内部或正在发生的入侵行为进行检测和阻止。
(4).防火墙只对数据报的地址、协议、端口号进行检查;而入侵检测系统则是对数据报的内容进行检查。
3.联动的安全性
由于是两个系统的配合,所以入侵检测系统和防火墙互动的安全性成了人们关注的焦点。入侵检测系统和防火墙之间互动的安全性主要考虑以下几个方面:
(1).防止攻击者利用伪造的源地址进行攻击。
(2).防止攻击者伪造成入侵检测系统与防火墙互动。。
(3).由于漏报和误报产生的错误信息,造成防火墙错误地阻断了正常网络。
随着人们对安全性的要求越来越高,立体防护、动态防护己经成为一种必然的趋势。入侵检测系统随着其技术的越来越成熟,也走入主流安全产品的行列,就像日常生活中随处可见的监视仪一样,为捕获、分析、取证各种危害行为提供有力的帮助。
4.防火墙与入侵检测系统的联动方式
防火墙与入侵检测系统联动是联动体系中的重要一环,这是因为这两种技术具有较强的互补性。通常来说,将实现入侵检测系统和防火墙之间的联动一般有三种方式:
(1)系统嵌入方式:把入侵检测系统嵌入防火墙中,即入侵检测系统的数据不再来源于数据包,而是流经防火墙的数据流,所有通过的包不仅接受防火墙检测规则的验证,还要判断是否有攻击,以达到真正的实时阻断。这样实际上是把两个安全产品合成到一起。但是由于入侵检测系统本身也是一个很庞大的系统,所以无论从实施难度上,还是合成后的整体性能上,都会受到很大的影响。
(2)端口映像的方式:防火墙将网络中指定的一部分流量镜像到入侵检测系统中,入侵检测系统再将处理后的结果通知防火墙,要求其相应地修改安全策略,这种方式适用于通信量不大,难以处理数据量较大的网络应用问题。
(3)专用响应方式:当入侵检测系统发现网络中的数据存在攻击企图时,通过一个专用的开放接口实现与防火墙的通信,双方按照固定的协议进行网络安全事件的传输,更改防火墙的安全策略,对攻击的源头进行封堵。这种方式比较灵活,不影响防火墙和入侵检测系统的性能。
当防火墙和入侵检测系统联动时,所有的数据通信是通过认证和加密来确保传输信息的可靠性和保密性。通信双方可以事先约定并设定通信端口,并且相互正确配置对方IP地址,防火墙以服务器(server)的模式来运行,入侵检测系统以客户端(Client)的模式来运行。
经过比较之后,联动处理方式是采用第三种方式来实现要好,即将入侵检测系统与防火墙通过开放接口结合起来联动。主要是由于选择的技术都是较为成熟,而且技术实现难度不大,因为系统越复杂其自身的安全问题就难以解决,这样在系统的实际开发过程中可以降低实现的复杂程度,缩短开发时间,使完成的系统不失其完整性和稳定性。
结语:
本人在研究学习网络安全技术的同时,也参与了工作单位的校园网络建设工程,从中深刻体会到网络安全技术的必要性与重要性,为此特别将这一基础的关键性要素提出和同行们共同探讨研究,本人也将以此为借鉴,继续致力于网络技术的研究与实践中。
参考文献:
【1】(美)王杰,计算机网络安全的理论与实践(第2版),高等教育出版社,2011
【2】(美)奥巴代特等著,毕红军等译,计算机网络安全导论,电子工业出版社,2009
【3】沈鑫剡,计算机网络安全,人民邮电出版社,2011
一、防火墙
1.防火墙的概念
防火墙是目前最为流行也是使用最为广泛的一种网络安全技术,在构建安全网络环境的过程中,防火墙作为第一道安全防线,受到越来越多用户的关注。防火墙并不是真正的墙,它是一类防范措施的总称。典型的防火墙具有以下三个方面的基本特征:
(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙,是根据美国国家安全局制定的《信息保障技术框架》实施的。
(2)只有符合安全策略的数据流才能通过防火墙。它能确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。
(3)防火墙自身应具有非常强的抗攻击免疫力。
2.防火墙的常见类型
根据防范的方式和侧重点的不同,防火墙可以分为以下几种类型:
(1).包过滤型防火墙
包过滤型防火墙又称网络级防火墙,它是在网络层对数据包进行选择,根据源地址和目的地址、应用或协议以及每个IP包的端口来做出通过与否的判断。
(2).应用级网关防火墙
应用级网关防火墙主要工作在应用层,应用代理服务技术能将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的服务器通信。
(3).电路级网关防火墙
电路级网关防火墙是在OSI模型中会话层上来过滤数据包,它用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,以此来决定该会话是否合法。
(4).规则检查型防火墙
规则检查防火墙结合了上述三种防火墙的特点,既能在OSI网络层上通过IP地址和端口号过滤进出的数据包,也可以在OSI应用层上检查数据包的内容,查看这些内容是否符合内部网络的安全规则,或是像电路级网关防火墙一样,检查SYN和ACK标记和序列数字是否逻辑有序。
3.防火墙的安全策略
安全策略是防火墙的重要组成部分,它决定了受保护网络的安全性和易用性,一个合理可行的安全策略能够在网络安全需求及用户易用性之间实现良好的平衡。策略设置不当,便会拒绝用户正常请求的合法服务或是给攻击者制造可乘之机。一般防火墙设置有两种策略:
(1)凡是未被准许的就是禁止的。防火墙先是封锁所有的信息流,然后对要求通过的信息进行审查,符合条件的就让通过。这是一种安全性高于一切的策略,其代价是网络的方便性受到限制,网络的应用范围和效率会降低在这个策略下,会有很多安全的信息和用户被拒之门外。
(2)凡是未被禁止的就是允许的。防火墙先是转发所有的信息,开始时防火墙几乎是不起作用,如同虚设,然后再逐项对有害的内容剔除,被禁止的内容越多,防火墙的作用就越大。在此策略下,网络的灵活性得到完整地保留,但是有可能漏过的信息太多,使安全风险加大,并且网络管理者往往疲于奔命,工作量增大。
网络是动态发展的,制定的安全目标也应是动态的,随着网络结构或网络应用范围的调整,防火墙的安全策略也应随之调整或改变。
4.防火墙技术存在的问题
防火墙产品主要是“身份认证”级的安全产品,只是实现了粗粒度的访问控制,无法成为安全解决方案的全部,仍有诸多方面需要改进和完善,比如:
(1)网络上有些攻击可以绕过防火墙,而防火墙却不能对绕过它的攻击提供阻挡。
(2)防火墙管理控制的是内部与外部网络之间的数据流,不能防范来自网络内部的攻击。
(3)当使用端到端的加密时,防火墙的作用会受到很大的限制。
(4)当内部网中存在后门时,将会使防火墙形同虚设。
(5)防火墙不能对被病毒感染的程序和文件的传输提供保护。
(6)所有防御规则都是事先设置好的,缺乏实时性,对变化的安全形势缺少应变的能力。
(7)防火墙不能防止利用标准网络协议中的缺陷进行的攻击。
网络安全单靠防火墙是不够的,需要和其他形式的安全防护结合起来,在提高防火墙自身功能和性能的同时,由其他技术完成防火墙所缺乏的功能,协同配合,共同建立一个有效的安全防范体系。
二、入侵检测系统(IDS)
1.入侵检测系统的概念
网络安全技术发展到今天,除了防火墙和杀毒系统的防护,入侵检测技术也成为抵御黑客攻击的有效方式,被认为是防火墙之后的第二道安全闸门。
入侵检测系统IDS(Intrusion Detection System)主要是通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中潜在的违反安全策略的行为和被攻击的迹象。
一个基本的入侵检测系统需要解决两个方面的问题:一是如何充分并可靠地提取描述行为特征的数据;二是如何根据特征数据,高效并准确地判定行为的性质。它在很大程度上依赖于收集信息的可靠性和准确性。一个成功的入侵检测系统,不仅可使系统管理员时刻了解网络系统,还能给网络安全策略的制订提供依据。
2.入侵检测系统的类型
根据数据来源和系统结构的不同,入侵检测系统可以分为基于主机、基于网络和混合性入侵检测系统三类:
(1)基于主机的入侵检测(HID,Host-based Intrusion Detection)
通常在被重点检测的主机上运行一个代理程序,用于监视、检测对于主机的攻击行为(如可疑的网络连接、系统日志检查、非法访问等),通知用户并进行响应。HID最适合配置来对抗内部的威胁,因为能监视并响应用户特殊的行为以及对主机文件的访问行为。
(2)基于网络的入侵检测(NID,Network Intrusion Detection) 通过分析主机之间网线上传输的信息来工作,网络入侵检测设备能截取利用不同传输介质以及不同协议进行传输的数据包,当数据包被捕获后,网络入侵检测设备就使用一些不同的方法来对数据包进行分析。NID多被用来当作一种网络周边环境防御的主要方法。
(3)混合型
是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。
根据入侵检测所采用的技术,可以分为异常检测和误用检测两类:
(1)异常检测(Abnormal Detection)
指能够根据异常行为和使用计算机资源的情况检测出来的入侵。
(2)误用检测(Misuse Detection)
该技术是建立在使用某种模式或者特征描述方法能够对任何已知攻击进行表达这一理论基础上的,其关键是如何正确表达入侵的模式,把真正的入侵与正常行为区分开来。
3.入侵检测技术存在的问题
主要有三大问题亟需解决:
(1)如何提高入侵检测系统的检测速度,以适应网络通信的需要网络安全设备的处理速度一直是影响网络性能的一大瓶颈。
(2)如何减少入侵检测系统的漏报和误报,提高其安全性和准确度。
(3)如何提高入侵检测系统的互动性,从而提高整个系统的安全性能。
三、防火墙与IDS的联动技术
1.联动的必要性
随着网络的飞速发展和广泛应用,计算机网络的资源共享进一步加强,网络安全问题日益严重。防火墙作为传统网络安全技术手段无法满足对安全高度敏感的部门的需求。入侵检测系统作为一种网络安全主动防御手段在短时期内得到飞速发展。防火墙和入侵检测系统的功能特点和局限性决定了它们彼此非常需要对方,且不可能相互取代,如果在防火墙和入侵检测系统之间建立紧密的联动关系,以将两者的能力充分发挥出来,相互弥补不足、互相提供保护。从信息安全整体防御的角度出发,这种联动是十分必要的,极大地提高了网络安全体系的防护能力。
2. 联动的互补性
虽然防火墙与入侵检测系统是两种不同的网络安全技术手段,但它们在功能上却有着很大的互补性。二者紧密地结合,防火墙便可以通过入侵检测系统及时发现其策略之外的攻击行为;同时,入侵检测系统也可以通过防火墙来阻隔来自外部网络的攻击行为。这样就可以大大提高整个系统的整体防护性能。防火墙与入侵检测系统的互补性主要表现在以下几个方面:
(1).防火墙要根据策略转发它所连接的链路上的所有数据流量,为了快速转发数据,防火墙不可能对所有转发的数据报进行详细地分析。而入侵检测系统就可以不必转发数据流量,只是将网段上的数据报内容进行收集查看,监视其行为。这样入侵检测系统就可以对数据报的协议、内容作出详细的分析。
(2).防火墙可以根据策略对数据报进行过滤,减少进入内部网络的数据流量,从而减轻入侵检测系统的数据报分析任务。而入侵检测系统不能对数据报进行过滤,只能对己经进入网络的数据报进行监视。
(3).防火墙是根据策略对数据报在进入内部网络之前进行过滤,因此可以把入侵行为排除在网络外;而入侵检测系统是对绕过防火墙进入网络内部的数据报进行分析和监视,是对进入网络内部或正在发生的入侵行为进行检测和阻止。
(4).防火墙只对数据报的地址、协议、端口号进行检查;而入侵检测系统则是对数据报的内容进行检查。
3.联动的安全性
由于是两个系统的配合,所以入侵检测系统和防火墙互动的安全性成了人们关注的焦点。入侵检测系统和防火墙之间互动的安全性主要考虑以下几个方面:
(1).防止攻击者利用伪造的源地址进行攻击。
(2).防止攻击者伪造成入侵检测系统与防火墙互动。。
(3).由于漏报和误报产生的错误信息,造成防火墙错误地阻断了正常网络。
随着人们对安全性的要求越来越高,立体防护、动态防护己经成为一种必然的趋势。入侵检测系统随着其技术的越来越成熟,也走入主流安全产品的行列,就像日常生活中随处可见的监视仪一样,为捕获、分析、取证各种危害行为提供有力的帮助。
4.防火墙与入侵检测系统的联动方式
防火墙与入侵检测系统联动是联动体系中的重要一环,这是因为这两种技术具有较强的互补性。通常来说,将实现入侵检测系统和防火墙之间的联动一般有三种方式:
(1)系统嵌入方式:把入侵检测系统嵌入防火墙中,即入侵检测系统的数据不再来源于数据包,而是流经防火墙的数据流,所有通过的包不仅接受防火墙检测规则的验证,还要判断是否有攻击,以达到真正的实时阻断。这样实际上是把两个安全产品合成到一起。但是由于入侵检测系统本身也是一个很庞大的系统,所以无论从实施难度上,还是合成后的整体性能上,都会受到很大的影响。
(2)端口映像的方式:防火墙将网络中指定的一部分流量镜像到入侵检测系统中,入侵检测系统再将处理后的结果通知防火墙,要求其相应地修改安全策略,这种方式适用于通信量不大,难以处理数据量较大的网络应用问题。
(3)专用响应方式:当入侵检测系统发现网络中的数据存在攻击企图时,通过一个专用的开放接口实现与防火墙的通信,双方按照固定的协议进行网络安全事件的传输,更改防火墙的安全策略,对攻击的源头进行封堵。这种方式比较灵活,不影响防火墙和入侵检测系统的性能。
当防火墙和入侵检测系统联动时,所有的数据通信是通过认证和加密来确保传输信息的可靠性和保密性。通信双方可以事先约定并设定通信端口,并且相互正确配置对方IP地址,防火墙以服务器(server)的模式来运行,入侵检测系统以客户端(Client)的模式来运行。
经过比较之后,联动处理方式是采用第三种方式来实现要好,即将入侵检测系统与防火墙通过开放接口结合起来联动。主要是由于选择的技术都是较为成熟,而且技术实现难度不大,因为系统越复杂其自身的安全问题就难以解决,这样在系统的实际开发过程中可以降低实现的复杂程度,缩短开发时间,使完成的系统不失其完整性和稳定性。
结语:
本人在研究学习网络安全技术的同时,也参与了工作单位的校园网络建设工程,从中深刻体会到网络安全技术的必要性与重要性,为此特别将这一基础的关键性要素提出和同行们共同探讨研究,本人也将以此为借鉴,继续致力于网络技术的研究与实践中。
参考文献:
【1】(美)王杰,计算机网络安全的理论与实践(第2版),高等教育出版社,2011
【2】(美)奥巴代特等著,毕红军等译,计算机网络安全导论,电子工业出版社,2009
【3】沈鑫剡,计算机网络安全,人民邮电出版社,2011