李志剛

摘要在主流的網(wǎng)絡(luò)安全技術(shù)中,防火墻、IDS、IPS是三項(xiàng)比較重要的技術(shù)。針對(duì)網(wǎng)絡(luò)上存在的安全問題,分析這三項(xiàng)技術(shù)的優(yōu)缺點(diǎn),展望其技術(shù)發(fā)展趨勢(shì)對(duì)加強(qiáng)網(wǎng)絡(luò)安全工作至關(guān)重要。

關(guān)鍵詞網(wǎng)絡(luò)安全;防火墻;IDS;IPS

中圖分類號(hào)TP393.08文獻(xiàn)標(biāo)識(shí)碼A文章編號(hào)1673-9671-(2009)112-0028-01

近年來我國(guó)信息化建設(shè)如火如荼,方便快捷的網(wǎng)絡(luò)系統(tǒng)給我們帶來了很多便利,各種各樣的信息由相關(guān)平臺(tái)進(jìn)行迅速的傳遞。帶來便利的同時(shí)也帶來了新的問題。現(xiàn)在傳送的信息已經(jīng)不是簡(jiǎn)單的文字、圖像,更多的是音頻、視頻,流量大,用戶多,大范圍的病毒感染,防不勝防的黑客攻擊,這對(duì)安全是一個(gè)極大的考驗(yàn)。怎樣來進(jìn)行相應(yīng)的網(wǎng)絡(luò)架構(gòu),能夠使它們?cè)诓粩嘧兓?、日趨變多的網(wǎng)絡(luò)風(fēng)險(xiǎn)中從容應(yīng)對(duì)?一般情況下,當(dāng)用戶連接到互聯(lián)網(wǎng)時(shí),選擇使用主流的安全技術(shù),預(yù)防有人通過網(wǎng)絡(luò)進(jìn)行各種非法活動(dòng),并保證提供可靠完整的數(shù)據(jù),成為大家的共識(shí)。

1主流網(wǎng)絡(luò)安全技術(shù)簡(jiǎn)介

1)防火墻技術(shù),就是使用包過濾策略實(shí)現(xiàn)保護(hù)的目的,從原理上來講,這是一種隔離技術(shù)。防火墻是在網(wǎng)絡(luò)進(jìn)行通訊時(shí)的訪問控制標(biāo)準(zhǔn),它能讓經(jīng)過允許的人和數(shù)據(jù)進(jìn)入相關(guān)網(wǎng)絡(luò),還可以讓沒有經(jīng)過允許的人和數(shù)據(jù)拒之門外,極大程度上阻止網(wǎng)絡(luò)非法入侵者進(jìn)入相關(guān)網(wǎng)絡(luò)。

防火墻,英文firewall,是使用包過濾策略的設(shè)備。這種設(shè)備放置在不同的網(wǎng)絡(luò)安全域之間,信息流通過這個(gè)設(shè)備進(jìn)行通信,它可以根據(jù)用戶需求進(jìn)行策略配置,達(dá)到訪問控制的目的。防火墻一般處于網(wǎng)絡(luò)的邊緣,用于連接不同的網(wǎng)絡(luò),因?yàn)榉阑饓Φ奈恢?它實(shí)際是網(wǎng)絡(luò)防御的前沿陣地,用戶接受的信息實(shí)際上都要經(jīng)過防火墻判斷處理,根據(jù)相應(yīng)策略判定數(shù)據(jù)是否交予用戶計(jì)算機(jī),如果察覺數(shù)據(jù)異常或有害,數(shù)據(jù)包將被攔截,最終實(shí)現(xiàn)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的保護(hù)。防火墻從技術(shù)角度看,雖然種類繁多,但總體上可分為“包過濾型”和“應(yīng)用代理型”兩大類。

2)IDS技術(shù),IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測(cè)系統(tǒng)”。按照專業(yè)上講就是依照一定的安全策略,對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

假如防火墻是別墅的大門,那么IDS就是這幢別墅里的監(jiān)控。如果有歹徒從陽臺(tái)進(jìn)入別墅,或別墅內(nèi)服務(wù)人員有不軌行為,只有實(shí)時(shí)監(jiān)控系統(tǒng)才能發(fā)現(xiàn)問題并發(fā)出警告。

最早的IDS只不過是一個(gè)監(jiān)聽系統(tǒng),它是一個(gè)旁路設(shè)備,相當(dāng)于并聯(lián)在網(wǎng)絡(luò)中,我們也可以把監(jiān)聽理解成竊聽的意思。對(duì)目前局域網(wǎng)的工作模式,IDS能夠?qū)妥约涸谝粋€(gè)交換機(jī)或者集線器的server的相關(guān)操作記錄進(jìn)行存儲(chǔ),類似于事件查看器的功能;隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)應(yīng)用的增加,流量的激增,IDS的記錄越來越多,現(xiàn)在最新的IDS分析功能,能夠?qū)τ涗浀臄?shù)據(jù)進(jìn)行分析保留一部分有危險(xiǎn)的記錄,功能與效率得到加強(qiáng);現(xiàn)在一般的企業(yè)主流的安全架構(gòu)是使用IDS與防火墻聯(lián)動(dòng),利用IDS進(jìn)行分析,使用防火墻進(jìn)行有效的阻斷的方式。

3)IPS技術(shù),IPS是英文術(shù)語Intrusion Prevention System的縮寫,意譯為入侵防御系統(tǒng)。入侵防御系統(tǒng)在具備網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)功能的基礎(chǔ)上,增加了網(wǎng)絡(luò)數(shù)據(jù)包阻斷功能,IPS位于防火墻和網(wǎng)絡(luò)的設(shè)備之間。這樣,如果檢測(cè)到攻擊,IPS會(huì)在這種攻擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個(gè)惡意的通信。IDS只是存在于你的網(wǎng)絡(luò)之外起到報(bào)警的作用,而不是在你的網(wǎng)絡(luò)前面起到防御的作用。

2主流網(wǎng)絡(luò)安全技術(shù)存在的缺陷

2.1防火墻技術(shù)的缺陷

隨著網(wǎng)絡(luò)技術(shù)的迅速普及,安全問題顯得越來越重要,防火墻技術(shù)的發(fā)展勢(shì)頭迅猛,在安全體系中扮演越來越重要的角色。網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì)也對(duì)防火墻技術(shù)的發(fā)展提出了更高、更新的要求。在越來越依賴防火墻技術(shù)的情況下,我們也應(yīng)該清醒地認(rèn)識(shí)到:防火墻并不是“包治百病”的,它對(duì)于一些特殊的攻擊或其他行為有時(shí)也無能為力。所以,我們也應(yīng)該了解其技術(shù)方面的一些局限性,畢竟沒有任何一種技術(shù)能絕對(duì)保證安全。

1)無法防御繞過防火墻的攻擊?！疤芈逡聊抉R”的典故來進(jìn)行描述解釋十分恰當(dāng),對(duì)于網(wǎng)絡(luò)內(nèi)部的攻擊行為無法防御。在實(shí)際應(yīng)用中來自內(nèi)網(wǎng)的非法攻擊十分普遍。

2)對(duì)于病毒缺乏及時(shí)有效的應(yīng)對(duì)。防火墻按照策略進(jìn)行數(shù)據(jù)過濾,只能在應(yīng)用層和網(wǎng)絡(luò)層進(jìn)行訪問控制,過濾數(shù)據(jù)包中含有病毒,通過防火墻時(shí)無法檢測(cè)出含有病毒的數(shù)據(jù),數(shù)據(jù)進(jìn)入內(nèi)網(wǎng)后,病毒在內(nèi)網(wǎng)中進(jìn)行擴(kuò)散,給內(nèi)部網(wǎng)絡(luò)帶來極大的危害。

3)技術(shù)本身的限制。任何一種技術(shù)的發(fā)展,都是一個(gè)逐步完善的過程,防火墻技術(shù)也不例外,雖然在近十年技術(shù)發(fā)展迅速, 漏洞仍然不可避免的存在。利用該技術(shù)的防火墻,在使用中肯定也有因?yàn)楸旧砺┒丛獾焦?。防火墻的技術(shù)策略使用會(huì)對(duì)出現(xiàn)新的未知攻擊行為無法防范。

4)容易造成擁塞以及溢出現(xiàn)象。由于防火墻需要處理每一個(gè)通過它的數(shù)據(jù)包,所以當(dāng)數(shù)據(jù)流量較大時(shí),容易導(dǎo)致數(shù)據(jù)擁塞,影響整個(gè)網(wǎng)絡(luò)性能。嚴(yán)重時(shí),如果發(fā)生溢出,就像大壩決堤一般,無法阻擋,任何數(shù)據(jù)都可以來去自由了,防火墻也就不再起任何作用。

盡管羅列了這么多防火墻技術(shù)的局限性,但防火墻在網(wǎng)絡(luò)安全中所扮演的重要角色是不可撼動(dòng)的,雖然設(shè)置了防火墻不一定能完全保證網(wǎng)絡(luò)安全,但在保護(hù)網(wǎng)絡(luò)方面,除了要重視物理上的隔離外,更主要的著眼點(diǎn)還是防火墻。

2.2入侵檢測(cè)面臨的問題

2.2.1誤報(bào)和漏報(bào)

誤警和漏警產(chǎn)生的原因很多,主要有以下幾點(diǎn):

基于特征的入侵檢測(cè)技術(shù)落伍。由于缺少信息管理,難于抵擋一些欺騙工具的攻擊和滲透。對(duì)于檢測(cè)主機(jī)的依賴性,影響到被檢測(cè)主機(jī)的效率。被檢測(cè)主機(jī)的資源被消耗,IDS的處理數(shù)據(jù)的速度跟不上大流量的,從而造成數(shù)據(jù)包丟失;網(wǎng)絡(luò)上復(fù)雜的情況,也加重了IDS的誤報(bào)現(xiàn)象。

2.2.2對(duì)攻擊防范單一

現(xiàn)在的IDS只能防范建立在TCP基礎(chǔ)上的攻擊,對(duì)于建立在UDP基礎(chǔ)之上的入侵則無法防御。

2.2.3端口的數(shù)據(jù)鏡像

端口鏡像的原理是交換機(jī)會(huì)將指定端口的通信數(shù)據(jù)鏡像到該監(jiān)聽端口,由網(wǎng)絡(luò)傳感器獲得指定端口的數(shù)據(jù)。但一些交換機(jī)不支持鏡像端口功能,也就不能將所有的數(shù)據(jù)傳輸給鏡像端口,所以IDS即使配置了針對(duì)某種攻擊的檢測(cè)規(guī)則,該攻擊也會(huì)被漏檢。另外在同一時(shí)刻交換機(jī)只能鏡像一個(gè)端口,無法監(jiān)控多臺(tái)機(jī)器。

2.3IPS面臨的挑戰(zhàn)

IPS 技術(shù)需要面對(duì)很多挑戰(zhàn),其中主要有三點(diǎn):

1)節(jié)點(diǎn)問題。IPS技術(shù)部署方式不像IDS并聯(lián)在網(wǎng)絡(luò)中,而是以串聯(lián)的方式接入網(wǎng)絡(luò)中,一旦發(fā)現(xiàn)有攻擊行為,立即響應(yīng),主動(dòng)切斷連接,這就意味著如果IPS設(shè)備出現(xiàn)問題,網(wǎng)絡(luò)無法正常運(yùn)轉(zhuǎn)。

2)瓶頸問題。因?yàn)镮PS以串聯(lián)的方式接入網(wǎng)絡(luò)中,所有的網(wǎng)絡(luò)信息通過該設(shè)備進(jìn)行特征檢測(cè)匹配,當(dāng)設(shè)備響應(yīng)速度無法跟上時(shí),就成為了網(wǎng)絡(luò)瓶頸。雖然很多實(shí)際產(chǎn)品使用硬件加速器來改善這個(gè)問題。

3)錯(cuò)漏報(bào)問題。在實(shí)際較大規(guī)模的網(wǎng)絡(luò)中,IPS每天需要處理的警報(bào)成千上萬,它的處理依據(jù)就是特征檢測(cè)庫,如果對(duì)入侵特征描述不完善,就會(huì)出現(xiàn)錯(cuò)漏報(bào)現(xiàn)象。

3主流網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)

僅依靠單一的網(wǎng)絡(luò)安全技術(shù)難以防范所有的攻擊行為,為了彌補(bǔ)這些缺陷,現(xiàn)在已經(jīng)開始安全產(chǎn)品協(xié)同工作的路子。即將防火墻技術(shù)、病毒檢測(cè)技術(shù)、入侵檢測(cè)等技術(shù)有效協(xié)同,共同完成保護(hù)網(wǎng)絡(luò)安全的任務(wù)。

1)傳統(tǒng)的防火墻技術(shù)通常都設(shè)置網(wǎng)絡(luò)邊緣,無法處理內(nèi)部網(wǎng)絡(luò)的攻擊,所以防火墻技術(shù)的模式開始向分布式結(jié)構(gòu)的思路發(fā)展。分布式體系的防火墻將各個(gè)節(jié)點(diǎn)有效地保護(hù)起來,這將大大提高安全保護(hù)的力度。而且分布式體系的產(chǎn)生將從理論上改善防火墻技術(shù)的防御理念。防火墻產(chǎn)品由于在功能性上的擴(kuò)展,更強(qiáng)的規(guī)則處理能力將使其對(duì)自身軟、硬件提出更高的性能要求。硬件因素往往受技術(shù)瓶頸地拖累,所以防火墻的軟件部分將需要更多先進(jìn)的技術(shù),以解決防火墻性能要求與實(shí)際水平的矛盾。

2)對(duì)于IDS技術(shù)和IPS技術(shù),發(fā)展的趨勢(shì)為分析技術(shù)的改進(jìn),解決誤報(bào)和漏報(bào)的問題;結(jié)合數(shù)據(jù)挖掘技術(shù),從海量告警數(shù)據(jù)中獲取真正有意義的信息,從而使得IDS/IPS能夠提供一種動(dòng)態(tài)的策略;內(nèi)容恢復(fù)和審計(jì)功能,能讓管理員可以看到系統(tǒng)/網(wǎng)絡(luò)真正的運(yùn)行狀況,這樣不僅可以使管理員看到孤立的攻擊事件告警,還可以看到整個(gè)攻擊過程,為進(jìn)一步的分析提供了可能;產(chǎn)品標(biāo)準(zhǔn)化,為安全產(chǎn)品之間的聯(lián)合提供了方便。

最后,安全技術(shù)和安全管理不可分割,它們必須同步推進(jìn)。因?yàn)榧幢阌辛撕玫陌踩O(shè)備和系統(tǒng),如果沒有好的安全管理方法并貫徹實(shí)施,那么安全也是空談。

參考文獻(xiàn)

[1]黎連業(yè),張維.防火墻及其應(yīng)用技術(shù)[M].北京:清華大學(xué)出版社,2007.

[2]張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京:科學(xué)出版社,2003.

[3]姜文紅.網(wǎng)絡(luò)安全與管理[M].北京:清華大學(xué)出版社,2007.