第一篇:防火墙与入侵检测技术的联动
山西xxxxxxxx学院
毕 业 论 文(设计)
防火墙与入侵检测技术的联动
———————————————————
论文指导教师姓名:
(职称)
所在系及专业名称: 计算机系计算机网络技术
班级:
论文提交日期: 2011年
月
日 论文答辩日期:
****年**月**日
答辩委员会主席:_____________
评 阅 人:_____________ 年 月 日
山西财贸职业技术学院毕业论文
论文题目:防火墙与入侵检测技术的联动 专 业:计算机网络技术
毕 业 生: 签名: 指导教师: 签名:
摘 要
网络的迅猛发展在给人们带来巨大的便利的同时,也给人们带来了众多的烦恼。防火墙与入侵检测的联动,使安全防御体系由静态防御升级为动态防御,提高了网络的整体防御能力,体现了网络安全的整体性和动态性,具有重要的研究意义和实用价值。
本文在深入研究和分析现有联动模型的基础上,结合它们的优点,并考虑联动系统的可实现性、易用性和可扩展性,设计并实现了NSS(Netfilter-Snort-Stunnel)防火墙与入侵检测联动模型。
本文首先介绍了课题研究的背景,并对目前代表性的联动技术进行了研究。接着根据联动系统的功能组成,分别分析了防火墙技术、入侵检测技术和联动技术,为 NSS 防火墙与入侵检测联动模型的设计与实现打下了坚实的理论基础。
其次,本文从功能角度详细描述了 NSS 联动模型各模块的详细设计包括各主要模块的设计思想、体系结构和具体软件配置等。
关键词:防火墙,入侵检测,联动,分析,动态规则,SSL
目录 绪论..............................................................................................................................................4
1.1 研究背景.......................................................................................................................4
1.1.1 网络安全现状...................................................................................................4 1.1.2 本文研究内容及结构安排...............................................................................5 防火墙与入侵检测联动技术分析.........................................................................................6
2.1
防火墙技术分析............................................................................................................6
2.1.1 防火墙简介.....................................................................................................6 2.1.2 防火墙关键技术.............................................................................................6 2.1.3 防火墙发展趋势.............................................................................................7 2.2 入侵检测技术分析.......................................................................................................7
2.2.1 入侵检测系统.................................................................................................7 2.2.2 入侵检测分析手段.........................................................................................8 2.2.3 入侵检测系统分类.........................................................................................8 NSS联动技术的设计与实施分析............................................................................................10 3.1 联动产生的背景.......................................................................................................10 3.2 联动模型的设计目标和设计思想...........................................................................10 3.2.1 NSS 联动模型的设计目标...........................................................................10 3.2.2 NSS 联动模型的设计思想.............................................................................11 3.3 NSS 联动模型的基本设计.........................................................................................11 3.4 NSS 联动模型各模块的具体设计.............................................................................12 3.4.1 入侵检测系统模块.........................................................................................12 3.4.2 防火墙模块...................................................................................................13 3.4.3 联动模块.........................................................................................................14 3.4.4 管理控制模块.................................................................................................15 4 总结与展望.............................................................................................................................16
山西财贸职业技术学院毕业论文 绪论
1.1 研究背景
1.1.1 网络安全现状
通信技术和计算机技术的迅猛发展,给 IT 及相关行业注入了新的生机和活力,给社会生产、生活方式带来了革命性的影响。众多的企业、组织、政府部门与机构都在组建和发展自己的网络,并连接到 Internet 上,以充分共享、利用网络的信息和资源。网络已经成为社会和经济发展强大动力,其地位越来越重要,已经成为国家的经济基础和命脉。但是伴随着网络的发展,网络安全的问题也越来越严重,网络入侵及安全事件更是频繁发生。
网络面临的主要威胁主要来自下面几方面: 1.黑客的攻击
黑客对于大家来说,不再是一个高深莫测的人物,黑客技术逐渐被越来越多的人掌握和发展,目前,世界上有 20 多万个黑客网站,这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞,因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,是网络安全的主要威胁。
2.管理的欠缺
网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA 的调查显示,美国90%的IT企业对黑客攻击准备不足。目前,美国75%-85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃,其中 25%的企业损失在25万美元以上。
3.网络的缺陷
因特网的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的
TCP/IP 协议族,缺乏相应的安全机制,而且因特网最初的设计考虑是该网不会 因局部故障而影响信息的传输,基本没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。
4.软件的漏洞或“后门” 随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存
在,比如我们常用的操作系统,无论是 Windows 还是 UNIX 几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。大家熟悉病毒大都是利用微软系统的漏洞给企业造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,这也是网络安全的主要威胁之一。
5.网络内部攻击
防火墙安全策略的设置的一个基本假设是,网络的一边即外部的人是不可信的,另一边即内部是可信的,但在实际网络中,据统计70%的攻击和越权访问来自与内部,内部人员的不当操作和恶意行为已经成为网络安全的主要威胁之一。
1.1.2 本文研究内容及结构安排
第一章:绪论。
首先介绍了本文的研究背景和内容现状,概述了网络安全的现状。最后介绍了本文的研究内容和结构安排。
第二章:联动技术及理论分析。
本章首先对防火墙和入侵检测进行了基本的阐述,然后分析研究了当前防火墙与入侵检测技术及发展趋势其理论模型,为 NSS(Netfilter-Snort-Stunnel)联动模型设计和实施打下了坚实的理论基础。
第三章:NSS 联动模型的设计与实施分析。
山西财贸职业技术学院毕业论文
本章在第二章对防火墙与入侵检测联动方式的研究分析基础上,结合现有联动模型的优点,着重对防火墙与入侵检测之间的整合方式进行了探讨,设计了NSS(Netfilter-Snort-Stunnel)防火墙与入侵检测系统联动模型,并给出了模型的体系结构图。第四章:联动系统与陷阱系统有机整合 本章结合实际,对防火墙与入侵检测系统联动模型在实际网络中的应用进行了研究,着重研究了联动系统与陷阱系统有机整合以实现更加全面的纵深防御体。第五章:总结和展望。对全文的主要工作进行了总结,并对未来的工作进行了展望。防火墙与入侵检测联动技术分析 2.1
防火墙技术分析
2.1.1 防火墙简介
在计算机科学中,防火墙是指位于可信网络和不可信网络之间并对经过其间的网络流量进行检查的网络安全设备,其核心思想是通过监测和控制网络之间的信息交换和访问行为来实现对网络安全的有效管理,在信任程度不同的网络之间(如Internet 或有着一定风险的局域网之间)构造一个相对安全的子网环境,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效的控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。典型防火墙系统应具有以下几个方面的特征:
1.内部网络和外部网络之间的所有网络数据流都必须经过防火墙。2.只有符合安全策略的数据流才能通过防火墙。3.防火墙能经受得起对其本身的攻击。
2.1.2 防火墙关键技术
1.数据包过滤(Packet Filtering)
数据包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置 的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
2.状态检测(State Detecting)状态检测防火墙在不断开C/S的模式的前提下,提供一个完全的应用层感知。在状态检测防火墙里,信息包在网络层就被截取了,然后,防火墙从接收到的数据包中提取与安全策略相关的状态信息,并将这些信息保存在一个动态状态表中,用于验证后续的连接请求。
3.代理服务(Proxy)代理服务(Proxy)是运行在防火墙上的一种服务器程序,防火墙主机可以是一个具有两个网络接口的双重宿主主机,也可以是一个堡垒主机。代理服务器(ProxyServer)作用在应用层上,它用来提供应用层服务的控制,利用代理服务器起到内部网络向外部网络申请服务时中间转接作用。
2.1.3 防火墙发展趋势
防火墙从技术发展上来看,提高性能和采用模块化设计是主要方向。防火墙处理能力的提高主要集中在两个方面,硬件结构的优化和软件算法的更新。硬件结构的优化是走向软硬件一体化,充分发挥硬件最高效能,又提高系统自身的安全性。功能设计的模块化提高了防火墙的适应能力,处理能力提高是追求防火墙性能的线速处理能力,达到对整个会话过曾中所有传输内容进行检查。审计报告也向智能化方向发展,在报告的基础上对整个网络安全状况进行全盘的把握,并进行总结改进,依据充分的日志记录,为用户提供详细又灵活的使用情况分析报告,为网络管理人员提供一个全局的视角。网络安全不能单一的依靠防火墙,而应与其他安全技术相融合。所以与入侵检测、防病毒技术、反垃圾邮件技术、信息加密技术的协同联动,形成一个立体全面的网络安全防御体系,也是未来防火墙的一个发展趋势。
2.2 入侵检测技术分析
2.2.1 入侵检测系统
实施入侵检测的系统称为入侵检测系统(IDS)。衡量入侵检测系统的两个基
山西财贸职业技术学院毕业论文
本指标为检测率和误报率,两者分别从正、反两方面表明检测系统的检测准确性和有效性。实用的入侵检测系统应尽可能地提高系统的检测率而降低误报率,但在实际的检测系统中这两个指标存在一定的矛盾,实现上需要综合考虑。除检测率和误报率外,在实际设计和实现具体的入侵检测系统时还应考虑操作方便性、抗攻击 能力、系统开销大小、可扩展性、自适应能力、自学习能力以及实时性等。从系统组成上看,入侵检测系统一般由三个部分组成:数据采集、入侵检测、入侵响应。
2.2.2 入侵检测分析手段
目前,IDS 分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征匹配、统计分析、完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则常用于事后分析。
1.特征匹配
特征匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
2.完整性分析
完整性分析主要关注某个文件或对象是否被篡改,包括文件和目录的内容及属性。它在发现被更改的、被特洛伊化的应用程序方面特别有效。
3.统计分析
统计分析首先给信息对象(如用户、连接、文件、目录和设备等)创建一个
统计描述,统计正常使用时的一些测量属性(如访问次数、读写次数、操作失败 次数和延时等)。
2.2.3 入侵检测系统分类
从入侵检测系统所采用的分析技术来看,它可以分为采用异常检测的入侵检测系统和采用误用检测的入侵检测系统。1.误用检测(Misuse Detection)误用检测是指根据已知入侵所独有的模式或特征,监视特定目标的特定行为,通过对检测数据的模式匹配来进行的检测。误用检测的关键是如何发现并表
达入侵独有的模式或特征,把真正的入侵与正常行为区分开来。误用检测的优点是可明确地指出入侵的类型,误报少,准确性高。而局限性是它只能发现已知的攻击,对未知的攻击无能为力。误用检测模型如图 2.1 所示。
2.异常检测(Anomaly Detection)异常检测假设入侵者活动异常于正常的活动。为实现该类检测,IDS 建立正常活动的“规范集(Normal profile)”,当主体的活动违反其统计规律时,认为可能是“入侵”行为。异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。这种能力不受系统以前是否知道这种入侵与否的限制,所以能够检测新的入侵行为。
山西财贸职业技术学院毕业论文
常用的入侵检测统计模型为:操作模型、方差、计算参数的方差、多元模型、马尔柯夫过程模型和时间序列分析。统计方法的最大优点是它可以“学习”用户的 使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机 会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。异常检测的模型如图 2.2 所示。
2.2.4 入侵检测技术发展趋势
入侵检测在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术、主动的自主代理方法、智能技术以及免疫学原理的应用。其主要的发展方向可概括为:
1.大规模分布式入侵检测 2.宽带高速网络的实时入侵检测 3.入侵检测的数据融合技术 4.与其它网络安全技术相结合 NSS联动技术的设计与实施分析
3.1 联动产生的背景
真正的网络安全应该是一个综合的、动静结合的、关联互动的安全体系。不但应有多种相关技术的有机集成,也应该有多种安全产品之间的动态联动,若仅仅是相关安全产品的简单叠加是远远不够的。正因如此,联动思想应运而生,并逐渐成为网络安全研究的热点。
3.2 联动模型的设计目标和设计思想
3.2.1 NSS 联动模型的设计目标
一个有效的联动模型需要考虑和解决以下问题: 1.联动的有效性
针对具体入侵行为,联动系统所采取的响应措施应该能够有效阻止入侵的延续和最大限度降低系统损失,这也是联动的目的。
2.联动的实时性
联动的目标是及时地采取措施以尽量降低入侵对系统造成的危害,需要尽可能地缩短入侵发现和响应实施之间的时间窗口,即缩短响应时间。这一方面要求 响应决策和响应执行的计算复杂度不能太高,另一方面要求系统有预测攻击者意图的能力。
3.联动系统自身的安全性
联动系统的作用在于保护网络及主机免遭非法入侵,显然其自身的安全性是最基本的要求。安全性的要求使入侵响应策略不能是简单的静态策略,而是能够具有时效性和自删除性。
3.2.2 NSS 联动模型的设计思想
在 NSS 联动模型中,防火墙作为网络的第一道安全屏障,根据预先设定好的安全策略来控制网络流量,并阻挡一部分外来的入侵。另外,入侵检测系统时刻检测网络动态信息,一旦发现异常情况或者攻击行为,便通过加密通道向联动模块发送告警信息,联动模块提取其中的重要信息(入侵事件类型、源地址、源端口、目的地址、目的端口)等,对其进行综合分析,拟定合适的响应策略发送给防火墙模块,防火墙模块根据接收到的控制信息添加阻断规则以实现动态响应。NSS 联动模型中通过联动模块来进行防火墙模块与入侵检测模块之间的信息交互。联动模块作为整个系统的核心的部分,需要对入侵告警信息进行综合、分析、处理,并制定、调整相关的响应策略。经过联动模块的综合分析,不仅能减少误报率,防止对防火墙模块造成 Dos 攻击。而且可以减少安全组件间的通信流量,有效提高系统的性能。
3.3 NSS 联动模型的基本设计
本章根据通用的安全联动系统的决策流程,采用间接联动、开放接口的方式设计了一种基于 Linux平台的 NSS(Netfilter-Snort-Stunnel)防火墙与入侵检测系统的联动模型。并对联动模型的主要的功能模块的设计进行了详细的分析 描述。NSS 联动模型主要由四部分组成,分别为防火墙模块,入侵检测模块,联动模块以及管理控制模块。
图 3.1 为 NSS 联动模型的基本架构图。
山西财贸职业技术学院毕业论文
3.4 NSS 联动模型各模块的具体设计
3.4.1 入侵检测系统模块
入侵检测系统模块主要完成入侵检测、入侵告警及日志记录等功能。入侵检测系统模块结构如图 3.2 所示,包括数据采集模块、规则匹配模块、入侵告警模块和日志记录模块。
1.数据采集模块
数据采集模块截获网络数据包从而获得网络事件,并对事件进行预处理,以便规则匹配模块进行进一步处理;
2.规则匹配模块
规则匹配模块采用误用检测的方法把从数据采集模块中所获得的事件记录与规则库中的规则一一匹配。
3.入侵告警模块
此模块负责按照规则匹配的结果生成入侵告警信息。该告警信息应包括入侵发生时间、入侵种类、协议类型、入侵源 IP 地址与端口、入侵目的 IP 地址与端口等,为联动做准备。
4.日志记录模块
日志记录模块负责将入侵告警信息存入日志记录库,为进一步的分析入侵事件或日后取证提供必要的依据。
3.4.2 防火墙模块
防火墙模块主要负责执行数据包处理的功能,并且根据联动模块发送的策略
山西财贸职业技术学院毕业论文
响应控制信息生成相应的防火墙动态阻断规则,以实现对网络攻击的实时阻断。根据上述功能需求,我们设计了图 3.4 所示防火墙模块。该模块包括控制信息解析子模块、动态规则处理子模块及数据包处理模块。
1.控制信息解析模块 2.动态规则处理模块 3.数据包处理模块 最后,为实现系统的完整性,还需开发防火墙系统的日志审计系统。日志审计系统包括响应事件存储数据库及防火墙流量记录数据库,并提供显示查询的 WEB 接口,本文将这一部分功能集成到了管理控制模块。
3.4.3 联动模块
联动模块是 NSS 模型最为重要的部分,它不仅承担为入侵检测系统模块和防火墙模块提供安全可信的信息交互通道,并且还需对入侵事件进行综合分析和响应决策。联动模块主要完成对入侵检测系统生成的告警信息进行分类和优先级标定,然后根据不同的告警事件提供不同的响应策略。另外,联动模块还负责信息交互的安全性。模块间的信息交互需采用统一的格式,当有入侵事件发生时,从入侵事件中提取相关信息,生成特定的控制信息,然后通过安全通信方式发送给防火墙。
针对联动模块的主要功能需求,我们分别加以阐述。1.联动模块的安全通信
由于防火墙对于防火墙与入侵检测系统之间的通信,应考虑以下问题: 1)交互的信息应有标准的表示机制,并能够支持扩展。2)保证信息交互的安全性。3)应该保证传输的实时性。
基于以上考虑,本文采取基于 XML [14]国际标准的信息格式进行控制信息的传递处理,底层通过 SSL [15]等加密方式对报文进行加密传输。
2.联动模块的策略管控
由于入侵检测系统不可避免的存在误报和漏报,所以若是对入侵检测系统生成的入侵告警事件不加区分,一概发送给防火墙添加动态规则加以阻断,这无疑会大大加重防火墙的负担,浪费两者之间宝贵的通信带宽,实在是得不偿失。并且攻击者有可能利用入侵检测误报率高的弱点,不断的发送攻击数据包,入侵检测系统不断产生告警信息,则这就会对防火墙形成 Dos 攻击。具体架构如图 3.3
3.4.4 管理控制模块
管理控制模块是用户与系统的一个交互平台,主要提供对联动模块的配置及
山西财贸职业技术学院毕业论文
管理功能,日志审计功能等。管理控制模块可以分为以下几个子模块:配置信息读写模块,日志审计模块,人工控制模快。配置信息读写模块:主要负责对联动模块的配置加以设和查看,包括联动组件的 IP 地址设定、联动模块的加密通信的证书设定等。另外新联动组件的加入或移除也需通过该模块更改相关的配置。日志审计模块:主要提供查看入侵告警日志及防火墙日志的功能,用户可根据日志信息调整安全策略以因应安全形势的变化。人工控制模块:根据实际需求更改、添加或删除策略响应,或者在遇到紧急情况下断开联动机制,实施人工干预,以保证系统安全。总结与展望
当前,单一的网络安全防御技术已无法适应网络安全形势的发展,急需多种安全技术整合构建全面的防御体系。本文研究的防火墙与入侵检测的联动技术,可以实现网络的动态和全面安全防护,具有十分重要的现实意义。本文的主要工作有: 1.分析了联动技术的研究现状、对现存的代表性联动技术进行了研究。对防火墙与入侵检测联动技术的关键技术进行了深入的研究和分析,着重对防火墙与入侵检测的不同整合方式进行了探讨和比较。2.结合现有联动模型的优点,设计了采用通用开放接口、间接联动方式的 NSS(Netfilter-Snort-Stunnel)防火墙与入侵检测系统联动模型,并给出 了模型的体系结构图。然后从功能的角度对 NSS 联动模型进行了划分,并详细介绍了各个模块的体系结构和功能设计。
3.详细介绍和阐述了 NSS 联动模型各模块的实现细节,包括模块架构,具体算法,决策流程图、信息交互格式及所需软件的配置并附上一些模块具体实现代码。在入侵检测模块的实现中,针对入侵检测误报率高的问题提出了一个简单的改进机制,并对告警信息的格式进行了定义。在今后的工作中要: 1.进一步完善 NSS 模型的入侵检测系统的效率,减少误报率。研究神经网络及其他智能检测手段在入侵检测系统中的应用。
2.对事件分析,策略决策和响应模型需进行更深入的研究,完善和优化
NSS模型的策略决策与响应流程。3.研究不同安全产品之间的数据交换标准。目前国际上还没有安全产品间数据交互的通用标准,如何使防火墙、IDS、防病毒系统、VPN 等不同安全产品之间进行“无缝”的数据交换是困扰联动技术发展的一大问题。4.继续深入研究网络安全纵深防御体系,并在防火墙与入侵检测系统的联动之外和其他的安全技术实现更加完善的整合。5.研究分布式防火墙与分布式入侵检测系统的联动模型,针对分布式的联动模块的策略决策与响应进行深入的研究。
由于本人的水平与时间所限,许多工作还处于探索阶段,论文中的疏漏与错误在所难免,敬请各位专家,老师,同学指正。谢谢!
山西财贸职业技术学院毕业论文
第二篇:入侵检测技术论文
目录
第一章 绪论
1.1 入侵检测技术的背景 1.2 程序设计的目的 第二章 入侵检测系统 2.1 网络入侵概述
2.2 网络存在的安全隐患
2.3 网络入侵与攻击的常用手段 2.4 入侵检测技术
2.4.1 误用入侵检测技术 2.4.2 异常入侵检测技术
第三章 协议分析 3.1 协议分析简介 3.2 协议分析的优势
第四章 PANIDS系统的设计及实现 4.1 PANIDS系统总体结构设计
4.2 系统基本信息读取模块的设计及实现 4.3 网络数据包捕获模块的设计及实现 4.4 基于协议分析的入侵检测模块的设计及实现 4.4.1 数据包的分解 4.4.2 入侵检测的实现 4.5 实验结果及结论
第五章 总结与参考文献
摘要
网络技术高速发展的今天,人们越来越依赖于网络进行信息的处理。因此,网络安全就显得相当重要,随之产生的各种网络安全技术也得到了不断地发展。防火墙、加密等技术,总的来说均属于静态的防御技术。如果单纯依靠这些技术,仍然难以保证网络的安全性。入侵检测技术是一种主动的防御技术,它不仅能检测未经授权的对象入侵,而且也能监视授权对象对系统资源的非法使用。传统的入侵检测系统一般都采用模式匹配技术,但由于技术本身的特点,使其具有计算量大、检测效率低等缺点,而基于协议分析的检测技术较好的解决了这些问题,其运用协议的规则性及整个会话过程的上下文相关性,不仅提高了入侵检测系统的速度,而且减少了漏报和误报率。本文提出了一种基于协议分析的网络入侵检测系统PANIDS的模型,在该模型中通过Winpcap捕获数据包,并对数据包进行协议分析,判断其是否符合某种入侵模式,从而达到入侵检测的目的。
关键词: 入侵检测,协议分析,PANIDS
第一章 绪论
1.1 入侵检测技术的背景
随着计算机网络的飞速发展,网络通信已经渗透到社会经济、文化和科学的各个领域;对人类社会的进步和发展起着举足轻重的作用,它正影响和改变着人们工作、学习和生活的方式。另外,Internet的发展和应用水平也已经成为衡量一个国家政治、经济、军事、技术实力的标志;发展网络技术是国民经济现代化建设不可缺少的必要条件。网络使得信息的获取、传递、存储、处理和利用变得更加有效、迅速,网络带给人们的便利比比皆是。然而,网络在给人们的学习、生活和工作带来巨大便利的同时也带来了各种安全问题。网络黑客可以轻松的取走你的机密文件,窃取你的银行存款,破坏你的企业帐目,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏你的磁盘或计算机,使你的网络瘫痪或者崩溃。因此,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为刻不容缓的课题。伴随着网络的发展,各种网络安全技术也随之发展起来。常用的网络安全技术有:数据加密、虚拟专用网络(VPN,Virtual Private Network)、防火墙、杀毒软件、数字签名和身份认证等技术。这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷。例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击。传统的身份认证技术,很难抵抗脆弱性口令、字典攻击、特洛伊木马、网络窥探器以及电磁辐射等攻击手段。虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击、缓冲区溢出等常见的攻击。另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵。而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应。1.2 程序设计的目的
在目前的计算机安全状态下,基于防火墙、加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术。它已经成为计算机安全策略中的核心技术之一。Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要。传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配。从网络数据包的包头开始与攻击特征字符串比较。若比较结果不同,则下移一个字节再进行;若比较结果相同,那么就检测到一个可 能 的攻击。这种逐字节匹配方法具有计算负载大及探测不够灵活两个最根本的缺陷。面对近几年不断出现的ATM、千兆以太网、G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题。适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径。协议分析能够智能地”理解”协议,利用网络协议的高度规则性快速探测攻击的存在,从而大大减少了模式匹配所需的运算。所以说研究基于协议分析的入侵检测技术具有很强的现实意义。
第二章 入侵检测系统
2.1 网络入侵概述
网络在给人们带来便利的同时也引入了很多安全问题。从防卫者的角度来看,网络安全的目标可以归结为以下几个方面 :(1)网络服务的可用性。在需要时,网络信息服务能为授权用户提供实时有效的服务。
(2)网络信息的保密性。网络服务要求能防止敏感信息泄漏,只有授权用户才能获取服务信息。
(3)网络信息的完整性。网络服务必须保证服务者提供的信息内容不能被非授权篡改。完整性是对信息的准确性和可靠性的评价指标。
(4)网络信息的不可抵赖性。用户不能否认消息或文件的来源地,也不能否认接受了信息或文件。
(5)网络运行的可控性。也就是网络管理的可控性,包括网络运行的物理的可控性和逻辑或配置的可控性,能够有效地控制网络用户的行为及信息的传播范围。
2.2 网络存在的安全隐患
网络入侵从根本上来说,主要是因为网络存在很多安全隐患,这样才使得攻击者有机可乘。导致网络不安全的主要因素可以归结为下面几点:
(1)软件的Bug。众所周知,各种操作系统、协议栈、服务器守护进程、各种应用程序等都存在不少漏洞。可以不夸张的说,几乎每个互联网上的软件都或多或少的存在一些安全漏洞。这些漏洞中,最常见的有缓冲区溢出、竞争条件(多个程序同时访问一段数据)等。
(2)系统配置不当。操作系统的默认配置往往照顾用户的友好性,但是容易使用的同时也就意味着容易遭受攻击。这类常见的漏洞有:系统管理员配置不恰当、系统本身存在后门等。
(3)脆弱性口令。大部分人为了输入口令的时候方便简单,多数都使用自己或家人的名字、生日、门牌号、电话号码等作为口令。攻击者可以通过猜测口令或拿到口令文件后,利用字典攻击等手段来轻易破解口令。
(4)信息泄漏。入侵者常用的方法之一就是窃听。在广播式的局域网上,将网卡配置成”混杂”模式,就可以窃听到该局域网的所有数据包。如果在服务器上安装窃听软件就可以拿到远程用户的帐号和口令。
(5)设计的缺陷。最典型的就是TCP/IP协议,在协议设计时并没有考虑到安全因素。虽然现在已经充分意识到了这一点,但是由于TCP/IP协议已经广泛使用,因此暂时还无法被完全代替。另外,虽然操作系统设计的时候考虑了很多安全因素,但是仍然无法避免地存在一些缺陷。例如,广泛使用的Windows操作系统,几乎每隔几个月都要出一定数量的安全补丁,就是因为系统存在很多安全隐患。2.3 网络入侵与攻击的常用手段
长期以来,黑客攻击技术没有成为系统安全研究的一个重点,一方面是攻击技术很大程度上依赖于个人的经验以及攻击者之间的交流,这种交流通常都是地下的,黑客有他们自己的交流方式和行为准则,这与传统的学术研究领域不相同;另一方面,研究者还没有充分认识到:只有更多地了解攻击技术,才能更好地保护系统的安全。下面简单介绍几种主要的攻击类型。1.探测攻击
通过扫描允许连接的服务和开放端口,能迅速发现目标主机端口的分配情况以及所提供的各项服务和服务程序的版本号。另外通过扫描还可以探测到系统的漏洞等信息。黑客找到有机可乘的服务或端口后就可以进行攻击了。常见的探测扫描程序有:SATAN、NTScan、X_Scan、Nessus等。2.网络监听
将网卡设置为混杂模式,对已流经某个以太网段的所有数据包进行监听,以获取敏感信息,如包含了”usename”或”password”等信息的数据包。常见的网络监听工具有:NetRay、Sniffer、Etherfind、Snoop、Tcpdump等。3.解码类攻击
通过各种方法获取password文件,然后用口令猜测程序来破译用户帐号和密码。常见的解码工具有:Crack、LophtCrack等。
2.4 入侵检测技术
入侵检测技术可以分为两大类:异常入侵检测技术和误用入侵检测技术。下面分别介绍这两种入侵检测技术。2.4.1 误用入侵检测技术
误用入侵检测首先对表示特定入侵的行为模式进行编码,建立误用模式库;然后对实际检测过程中得到的审计事件数据进行过滤,检查是否包含入侵特征串。误用检测的缺陷在于只能检测已知的攻击模式。常见的误用入侵检测技术有以下几种:
1.模式匹配
模式匹配是最常用的误用检测技术,特点是原理简单、扩展性好、检测效率高、可以实时检测;但是只能适用于比较简单的攻击方式。它将收集到的信息与已知的网络入侵和系统误用模式串进行比较,从而发现违背安全策略的行为。著名的轻量级开放源代码入侵检测系统Snort就是采用这种技术。2.专家系统
该技术根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在此基础上建立相应的专家系统来自动对所涉及的入侵行为进行分析。该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。专家系统方法存在一些实际问题:处理海量数据时存在效率问题,这是由于专家系统的推理和决策模块通常使用解释型语言来实现,所以执行速度比编译型语言慢;专家系统的性能完全取决于设计者的知识和技能;规则库维护非常艰巨,更改规则时必须考虑到对知识库中其他规则的影响等等。3.状态迁移法
状态迁移图可用来描述系统所处的状态和状态之间可能的迁移。状态迁移图用于入侵检测时,表示了入侵者从合法状态迁移到最终的危害状态所采取的一系列行动。
在检测未知的脆弱性时,因为状态迁移法强调的是系统处于易受损的状态而不是未知入侵的审计特征,因此这种方法更具有健壮性。而它潜在的一个弱点是太拘泥于预先定义的状态迁移序列。这种模型运行在原始审计数据的抽象层次上,它利用系统状态的观念和事件的转变流;这就有可能提供了一种既能减少误警率又能检测到新的攻击的途径。另外,因为涉及了比较高层次的抽象,有希望把它的知识库移植到不同的机器、网络和应用的入侵检测上。2.4.2 异常入侵检测技术
异常检测是通过对系统异常行为的检测来发现入侵。异常检测的关键问题在于正常使用模式的建立,以及如何利用该模式对当前系统或用户行为进行比较,从而判断出与正常模式的偏离程度。”模式”(profiles)通常使用一组系统的度量(metrics)来定义。度量,就是指系统或用户行为在特定方面的衡量标准。每个度量都对应于一个门限值。常用的异常检测技术有: 1.统计分析
最早的异常检测系统采用的是统计分析技术。首先,检测器根据用户对象的动作为每个用户建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否异常行为。统计分析的优点:有成熟的概率统计理论支持、维护方便,不需要象误用检测系统那样不断地对规则库进行更新和维护等。统计分析的缺点:大多数统计分析系统是以批处理的方式对审计记录进行分析的,不能提供对入侵行为的实时检测、统计分析不能反映事件在时间顺序上的前后相关性,而不少入侵行为都有明显的前后相关性、门限值的确定非常棘手等。2.神经网络
这种方法对用户行为具有学习和自适应功能,能够根据实际检测到的信息有效地加以处理并做出入侵可能性的判断。利用神经网络所具有的识别、分类和归纳能力,可以使入侵检测系统适应用户行为特征的可变性。从模式识别的角度来看,入侵检测系统可以使用神经网络来提取用户行为的模式特征,并以此创建用户的行为特征轮廓。总之,把神经网络引入入侵检测系统,能很好地解决用户行为的动态特征以及搜索数据的不完整性、不确定性所造成的难以精确检测的问题。利用神经网络检测入侵的基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测输出。将神经网络应用于攻击模式的学习,理论上也是可行的。但目前主要应用于系统行为的学习,包括用户以及系统守护程序的行为。与统计理论相比,神经网络更好地表达了变量间的非线性关系,并且能自动学习并更新。
神经网络也存在一些问题:在不少情况下,系统趋向于形成某种不稳定的网络结构,不能从训练数据中学习特定的知识,这种情况目前尚不能完全确定产生的原因;另外,神经网络对判断为异常的事件不会提供任何解释或说明信息,这导致了用户无法确认入侵的责任人,也无法判断究竟是系统哪方面存在的问题导致了攻击者得以成功入侵。
前面介绍了误用检测和异常检测所使用的一些常用检测手段,在近期入侵检测系统的发展过程中,研究人员提出了一些新的入侵检测技术。这些技术不能简单地归类为误用检测或异常检测,它们提供了一种有别于传统入侵检测视角的技术层次。这些新技术有:免疫系统、基因算法、数据挖掘、基于代理的检测等等,他们提供了更具有普遍意义的分析检测技术,或者提出了新的检测系统构架,因此无论是对误用检测还是对异常检测来说都可以得到很好的应用。
第三章 协议分析
3.1 协议分析简介 1.以太帧协议分析
这是对以太网数据帧头进行协议分析,并把分析的结果记入Packet结构中。分析完以太帧头后把数据包传送到下一级协议分析程序中。数据帧的第13和14两个字节组成的字段是协议类型字段。如果用十六进制表示,那么IP协议对应0X0800、ARP对应0X0806、RARP对应0X0835。2.ARP和RARP数据包协议分析
这是对ARP或RARP数据进行协议分析,并把协议分析后的数据送入基于ICMP协议规则集的匹配检测模块进行检测,查看是否存在ARP和RARP相关的攻击。由于基于ARP/RARP协议的攻击较少,所以把他们归入ICMP协议规则集中。3.IP数据包协议分析
这是对IP 数据包进行协议分析,并把协议分析后的数据送入基于IP协议规则集的匹配检测程序中进行检测。IP数据包首部的第一个字节的后面4个比特组成的字段标识了IP首部的长度。该字段的值乘以4就等于IP首部的长度。没有包含IP选项的普通IP首部长度为20,如果大于20就说明此IP数据包包含IP首部。第5和第6个字节是IP数据包的16位标识,每一IP数据包都有唯一的标识。该标识在IP数据包分片重组时中起到至关重要的作用,每个分片就是通过检查此ID号来判别是否属于同一个IP包。第7个字节开始的前3个比特是重要的标志位:第一个标志位(最高位)为保留位(该位必须为0,否则就是一个错误的IP数据包),第二个标志位DF指示该IP数据包能否分片(该位为0则表示该IP数据包可以分片,为1则不能分片),第三个标志位MF指示该数据包是否为最后一个分片(该位为0表示此数据包是最后一个分片,为1表示不是最后一个分片)。从MF标志位开始的后面13个比特位记录了分片的偏移量。分片的IP数据包,各个分片到目的端才会重组;传输过程中每个分片可以独立选路。如何才能重组一个分片了的IP数据包呢?首先,16位分片ID(Fragment ID)标识了每个IP数据包的唯一性。数据包分片后,它的每个分片具有相同的标识。其次,通过每个分片的片偏移量可以确定每个分片的位置,再结合MF可以判断该分片是否为最后一个分片。综合上述信息,就可以顺利的重组一个数据包。分片重组对网络入侵检测系统具有重要意义。首先,有一些攻击方法利用了操作系统协议栈中分片合并实现上的漏洞,例如著名的TearDrop攻击就是在短时间内发送若干偏移量有重叠的分片,目标机接收到这样的分片的时候就会合并分片,由于其偏移量的重叠而发生内存错误,甚至会导致协议栈的崩溃。这种攻击手段单从一个数据包上是无法辨认的,需要在协议分析中模拟操作系统的分片合并,以发现不合法的分片。另外,Tiny Fragment(极小分片)等攻击方法,将攻击信息隐藏在多个微小分片内来绕过入侵检测系统或防火墙的检测从而达到攻击的目的。对付这种攻击也需要在检测的过程中合并碎片,恢复数据包的真实面目。
IP包头的第10个字节开始的后面八个比特位表示了协议的类型:其中1表示ICMP协议,2表示IGMP协议,6表示TCP协议,17表示UDP协议。(这些数字是十进制的)。对IP数据包检测完毕后,如果检测到攻击就记录该数据包,然后重新开始检测一个新的原始数据包。如果没有检测到攻击,则在判断上层协议类型之后就把数据包分流到TCP、UDP等协议分析程序中进行进一步协议分析。4.TCP数据包协议分析
这是对TCP数据包进行协议分析,并把协议分析后的数据送入基于TCP协议规则集的匹配检测程序中进行检测。首先读入TCP数据包,对TCP包头进行协议分析;并检查是否有TCP选项,如果有的话就对TCP选项进行协议分析。然后,判断该TCP数据包是否发生分段,如果发生了分段就进行TCP重组。再把重组后的数据包送入基于TCP协议规则集的匹配检测程序进行检测。如果检测到攻击就记录下该攻击数据包,以备攻击取证等使用。记录数据包后又返回,重新读取一个新的数据包。如果没有检测到攻击,就把该数据包送入下一级协议分析模块中,作进一步的协议分析。
5.ICMP数据包协议分析
这是对ICMP数据包进行协议分析,并把协议分析后的数据送入基于ICMP协议规则集的匹配检测程序中进行检测。ICMP报文有很多类型,根据报文中的类型字段和代码字段就可以区分每一种ICMP报文类型。6.UDP协议分析
这是对UDP数据包进行协议分析,并把协议分析后的数据送入基于UDP协议规则集的匹配检测程序中进行检测。如果检测到攻击就记录该数据包,然后返回并读取下一个数据包。如果没有检测到攻击,那么就把数据包送入基于应用层协议规则集的检测模块进行进一步的检测分析。应用层协议很复杂,这里不进行详细讨论。
3.2 协议分析的优势(1)提高性能:当系统提升协议栈来解析每一层时,它用已获得的知识来消除在数据包结构中不可能出现的攻击。比如4层协议是TCP,那就不用再搜索其他第四层协议如UDP上形成的攻击。如果数据包最高层是简单网络管理协议SNMP(Simple Network Management Protocol),那就不用再寻找Telnet或HTTP攻击。这样检测的范围明显缩小,而且更具有针对性;从而使得IDS系统性能得到明显改善。
(2)能够探测碎片攻击等基于协议漏洞的攻击:在基于协议分析的IDS中,各种协议都被解析。如果出现IP分片,数据包将首先被重装;然后再对整个数据包进行详细分析来检测隐藏在碎片中的潜在攻击行为。这是采用传统模式匹配技术的NIDS所无法做到的。(3)降低误报和漏报率:协议分析能减少传统模式匹配NIDS系统中常见的误报和漏报现象。在基于协议分析的NIDS系统中误报率会明显减少,因为它们知道和每个协议有关的潜在攻击的确切位置以及该位置每个字节的真正含义。例如,针对基于协议分析的IDS不但能识别简单的路径欺骗:例如把CGI攻击”/cgi-bin/phf”变为”/cgi-bin/./phf”或”/cgi-binphf”;而且也能识别复杂的HEX编码欺骗:例如”/winnt/system32/cmd.exe”,编码后变为”/winnt/system32/%2563md.exe”,通过协议分析%25 解码后为‘%’,%63解码后为‘c’,这样就解析出了攻击串。又如针对Unicode(UTF-8)的编码欺骗(与ASCII字符相关的HEX编码一直到%7f,Unicode编码值要高于它),攻击串编码后得到”/winnt/system32%c0%afcmd.exe”,通过解码可知%c0%af在Unicode中对应/,所以解码后就能顺利还原出攻击串。第四章 PANIDS系统的设计及实现
4.1 PANIDS系统总体结构设计
PANIDS系统 主要由系统基本信息读取模块、网络数据包捕获模块、基于协议分析的入侵检测模块、响应模块和控制管理中心等几部分组成。4.2 系统基本信息读取模块的设计及实现
为了更好的显示出本机的特性,在此PANIDS系统中特别增加系统基本信息读取模块。通过此模块能显示出主机名和本机的IP地址和所使用的Winsock的版本
在此模块中主要用到函数gethostname()和gethostbyname()。gethostname()函数作用是获取本地主机的主机名,其定义如下:
int PASCAL FAR gethostname(char FAR * name, int namelen);name:用于指向所获取的主机名的缓冲区的指针。Namelen:缓冲区的大小,以字节为单位。
gethostbyname()在此模块中是一个主要函数,该函数可以从主机名数据库中得到对应的”主机”。其定义如下:
#include
gethostbyname()返回对应于给定主机名的包含主机名字和地址信息的hostent结构指针。结构的声明与gethostaddr()中一致。如果没有错误发生,gethostbyname()返回如上所述的一个指向hostent结构的指针,否则,返回一个空指针。hostent结构的数据结构如下: struct hostent { char *h_name;//地址的正式名称
char **h_aliases;//空字节-地址的预备名称的指针 int h_addrtype;//地址类型,通常是AF_INET int h_length;//地址的比特长度
char **h_addr_list;//零字节-主机网络地址指针,网络字节顺序 };返回的指针指向一个由Windows Sockets实现分配的结构。应用程序不应该试图修改这个结构或者释放它的任何部分。此外,每一线程仅有一份这个结构的拷贝,所以应用程序应该在发出其他Windows Scokets API调用前,把自己所需的信息拷贝下来。
gethostbyname()实现没有必要识别传送给它的IP地址串。对于这样的请求,应该把IP地址串当作一个未知主机名同样处理。如果应用程序有IP地址串需要处理,它应该使用inet_addr()函数把地址串转换为IP地址,然后调用gethostbyaddr()来得到hostent结构。4.3 网络数据包捕获模块的设计及实现 网络数据包捕获的方法有很多,比如既可以利用原始套接字来实现,也可以通过Libpcap、Jpcap和WinPcap 提供的接口函数来实现。Libpcap、Jpcap和WinPcap是世界各地的网络专家共同努力的结果,为开发者提供了很多高效且与系统无关的网络数据包截获接口函数;所以在性能上一般比采用普通的套接字方法要好。LibPcap是一个优秀跨平台的网络抓包开发工具,JPcap是它的一个Java版本。WinPcap在某种程度上可以说它是LibPcap的一个Windows版本,因为它们的大部分接口函数以及所采用的数据结构都是一样的。另外,WinPcap在某些方面进行了优化,还提供了发送原始数据包和统计网络通信过程中各种信息的功能(LibPcap没有统计功能),方便进行测试;所以采用WinPcap所提供的库函数来截获网络数据包。
Winpcap捕获数据包的实现
1.网络数据包捕获的主要数据结构(1)PACKET结构
typedef struct _PACKET { HANDLE hEvent;OVERLAPPED OverLapped;PVOID Buffer;//这个buffer就是指向存放数据包的用户缓冲区 UINT Length;//buffer的长度
DWORD ulBytesReceived;//调用PacketReceivePacket()函数所读 //取的字节数,可能包含多个数据包 BOOLEAN bIoComplete;} PACKET, *LPPACKET;其他未注释的几个成员,都是过时的成员,他们的存在只是为了与原来的兼容。此结构主要用来存放从内核中读取的数据包。(2)pcap_file_header 结构 struct pcap_file_header{ bpf_u_int32 magic;//一个标识号,标识特定驱动器产生的dump文件 u_short version_major;//WinPcap的主版本号 u_short version_minor;//WinPcap的次版本号
bpf_int32 thiszone;//GMT时间与本地时间的校正值 bpf_u_int32 sigfigs;//精确的时间戳
bpf_u_int32 snaplen;//每个数据包需要存放到硬盘上的最大长度 bpf_u_int32 linktype;//链路层的数据类型 };//这个头部共24个字节
把截获的数据包以标准的Windump格式存放到硬盘上时,就是以这个结构 作为文件的开头。(3)bpf_hdr结构 struct bpf_hdr { struct timeval bh_tstamp;//数据包捕获的时间戳信息 UINT bh_caplen;//数据包被捕获部分的长度 UINT bh_datalen;//数据的原始长度 USHORT bh_hdrlen;//此结构的长度 };从内核中读取数据包并存放在用户缓冲区中时,采用此结构来封装所截获的 数据包。其中timeval的结构如下 struct timeval { long tv_sec;//以秒为单位的时间 long tv_usec;//以毫秒为单位的时间 };(4)dump_bpf_hdr结构 struct dump_bpf_hdr{ struct timeval ts;//数据包捕获的时间戳 UINT caplen;//数据包被捕获部分的长度 UINT len;//数据包的原始长度 };把数据包存放到硬盘上或者向网络上发送数据包时,都使用此结构来封装每一个数据包。
2.数据包捕获的具体实现
在了解其数据结构的基础上,下面来分析其是如何具体实现网络数据包捕获的。其前期的主要过程应为:首先应找到设备列表,然后显示适配器列表和选择适配器,最后通过pcap_open_live()函数根据网卡名字将所选的网卡打开,并设置为混杂模式。
用Winpacp捕获数据包时,数据包捕获的程序流程图如图4.3所示,其中pcap_loop()是截包的关键环节,它是一个循环截包函数,分析此函数的源码可知,其内部主要处理过程如图4.4所示。在pcap_loop()的每次循环中,首先通过调用PacketReceivePacket()函数,从内核缓冲区中把一组数据包读取到用户缓冲区。然后,根据bpf_hdr结构提供的该数据包的定位信息,把用户缓冲区的多个数据包逐个的提取出来,并依次送入回调函数进行进一步处理。通过这个过程就实现了网络数据包的捕获。
4.4 基于协议分析的入侵检测模块的设计及实现
此模块是基于协议分析入侵检测系统PANIDS的核心部分,下面我们重点讨论此模块的设计及实现。4.4.1 数据包的分解 当需要发送数据时,就需要进行封装。封装的过程就是把用户数据用协议来进行封装,首先由应用层协议进行封装,如HTTP协议。而HTTP协议是基于TCP协议的。它就被TCP协议进行封装,http包作为TCP数据段的数据部分。而TCP协议是基于IP协议的,所以TCP段就作为IP协议的数据部分,加上IP协议头,就构成了IP数据报,而IP数据报是基于以太网的,所以这个时候就被封装成了以太网帧,这个时候就可以发送数据了。通过物理介质进行传送。在这里我们所用到的是数据包的分解。分解的过程与封装的过程恰恰相反,这个时候就需要从一个以太网帧中读出用户数据,就需要一层一层地进行分解,首先是去掉以太网头和以太网尾,在把剩下的部分传递给IP层软件进行分解,去掉IP头,然后把剩下的传递给传输层,例如TCP协议,此时就去掉TCP头,剩下应用层协议部分数据包了,例如HTTP协议,此时HTTP协议软件模块就会进一步分解,把用户数据给分解出来,例如是HTML代码。这样应用软件就可以操作用户数据了,如用浏览器来浏览HTML页面。其具体的数据包分解如下:
ethernet =(struct sniff_ethernet*)(pkt_data);ip =(struct sniff_ip*)(pkt_data + size_ethernet);tcp =(struct sniff_tcp*)(pkt_data + size_ethernet + size_ip);udp =(struct sniff_udp*)(pkt_data + size_ethernet + size_ip);icmp =(struct sniff_icmp*)(pkt_data + size_ethernet + size_ip);4.4.2 入侵检测的实现
通过Winpcap捕获数据包,数据包分解完以后就对其进行协议分析,判断分组是否符合某种入侵模式,如果符合,则进行入侵告警。在本系统中实现了对多种常见入侵模式的检测,采用的入侵模式包括ICMP分片、常用端口、IGMP分片、WinNuke攻击、应用层攻击。1.ICMP分片
ICMP报文是TCP/IP协议中一种控制报文,它的长度一般都比较小,如果出现ICMP报文分片,那么说明一定出现了Ping of Death攻击。
在本系统中ip->ip_p == 0×1,这是表示ip首部的协议类型字段,0×1代表ICMP。
string str1 = inet_ntoa(in_addrIP);string str2 = inet_ntoa(ip->ip_src);当(ip->ip_off > 1)&& str1!= str2时,就表认为是Ping of Death攻击。如果都符合,就报警(调用函数将受到攻击的时间、攻击名称以及攻击的IP地址显示出来)。
2.常用端口
一些攻击特洛伊木马、蠕虫病毒等都会采用一些固定端口进行通信,那么如果在分组分析过程中发现出现了某个端口的出现,则可以认为可能出现了某种攻击,这里为了减少误判,应当设置一个阈值,仅当某个端口的分组出现超过阈值后才进行报警。这就意味着检测到发往某个端口的的分组超过阈值后才认为出现了某种攻击,并进行告警。本系统定义了两种端口扫描,Trojan Horse端口扫描和代理服务器端口扫描。Trojan Horse端口扫描实现如下:首先根据if((tcp->th_flags & TH_SYN)==TH_SYN)判断其是否为TCP SYN报文,若是,并且端口为Trojan Horse的常用扫描端口时,最后判断报文数是否超过阈值TrojanThreshold,如果超过的后,就被认定为Trojan Horse端口扫描,然后报警。对代理服务器端口扫描检测的实现方法和Trojan Horse端口扫描实现方法一样,这里不再论述。
3.IGMP分片
IGMP(Internet Group Message Protocol)是Internet中多播组管理协议,其长度也一般较小。同上ip->ip_p==0×2也是表示首部的协议类型字段,0×2代表IGMP,本系统实现了对其两种攻击模式的检测。
(1)通过if(ntohs(ip->ip_len)>1499)首先判断其是否为分片的IGMP报文,若是,并且收到的报文数超过设定的阈值IGMPThreshold,则就最终判定其为IGMP DoS攻击,然后报警。
(2)通过if(strcmp(mbf,mbuffer)==0||strcmp(mbf,”0.0.0.0″)==0)判断其是否为某种特定的源地址等于目的地址或者目的地址等于0的报文,若是,并且收到的报文数超过设定的阈值LandThreshold则被判定为land DoS攻击,然后报警。
4.WinNuke攻击 通过if((tcp->th_flags & TH_URG)==TH_URG)判断其是否为TCP URG报文,若是,则根据WinNuke的典型特征是使用TCP中的Ugrent指针,并使用135、137、138、139端口,因此可以利用这两个特征加以判断,同样为了减少误判,应当设置一个阈值。当阈值超过设定的WinNukeThreshold时,就被最终判定为WinNuke攻击,然后报警。5.应用层攻击
其是分析应用层的数据特征,判断是否存在入侵。在本系统中实现了对一种较为简单的应用层攻击的检测。它也是属于TCP SYN报文中的一种。主要思想是监测报文中是否存在system32关键字,如果存在,则报警。
4.5 实验结果及结论
程序编译成功后,执行可执行文件,此时系统已被启动,然后在”设置”菜单中将网卡设为混杂模式,点击”开始”按钮,本系统开始检测。由实验结果可知,本系统能较好的检测出一些典型攻击,并能在界面上显示出攻击日期/时间、攻击的类型、攻击源的IP地址,达到了预期的效果。
第五章 总结与参考文献
入侵检测是一种积极主动的安全防护技术;它既能检测未经授权的对象入侵系统,又能监视授权对象对系统资源的非法操作。入侵检测与防火墙、身份认证、数据加密、数字签名等安全技术共同构筑了一个多层次的动态安全体系。本文主要对基于网络的入侵检测系统的关键技术进行了研究和探讨。首先较全面、系统地分析了入侵检测技术的历史、现状和发展趋势、了解了黑客常用的攻击手段及其原理。然后,系统地阐述了入侵检测的原理。接着讲述了协议分析和模式匹配技术,最后,针对当前典型的网络入侵,设计并实现了一个基于协议分析的网络入侵检测系统PANIDS,实现了多层次的协议分析,包括基本协议的解析、协议上下文的关联分析以及应用层协议的分析,并取得了较为满意的检测效果。
[1] 戴英侠,连一峰,王航.系统安全与入侵检测[M].北京:清华大学出版社 [2] 聂元铭,丘平.网络信息安全技术[M].北京:科学出版社
[3] 董玉格,金海,赵振.攻击与防护-网络安全与实用防护技术[M].北京:人民 邮电出版社 [4] 戴云,范平志.入侵检测系统研究综述[J].计算机工程与应用 [5] 刘文淘.网络入侵检测系统[M].北京:电子工业出版社,
第三篇:网络安全与入侵检测技术的应用研究
网络安全与入侵检测技术的应用研究
摘要:介绍了入侵检测系统和预警技术的含义,并对入侵检测系统模型进行深入分析和分类,讨论了入侵检测系统的评价标准,最后对入侵检测系统的发展趋势作了有意义的预测。
关键词:入侵检测 网络安全 防火墙
随着Internet的应用日益广泛和电子商务的兴起,网络安全作为一个无法回避的问题呈现在人们面前。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下,入侵检测系统(IDS)应运而生。入侵检测系统成为了安全市场上新的热点,不仅愈来愈多的受到人们的关注,而且已经开始在各种不同的环境中发挥其关键作用。入侵检测技术概述
入侵检测就是对指向计算和网络资源的恶意行为的识别和响应过程,为通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
如果一个系统的计算机或者网络安装了入侵检测系统,它会监视系统的某些范围,当系统受到攻击的时候,它可以检测出来并做出响应。入侵被检测出来的过程包括监控在计算机系统或者网络中发生的事件,再分析处理这些事件,检测出入侵事件。入侵检测系统是使这监控和分析过程自动化的产品,可以是软件,也可以是硬件。
入侵检测是对防火墙的合理补充,可以帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。如果与“传统”的静态防火墙技术共同使用,将可以大大提高系统的安全防护水平。入侵检测系统实现
入侵检测系统不但需要使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,而且还应能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等,入侵检测系统的实现一般包括以下几个步骤。2.1 信息收集
入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。入侵检测利用的信息一般来自以下四个方面: ⑴系统和网络日志文件
黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。
⑵目录和文件中的不期望的改变
网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变,特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。
⑶程序执行中的不期望行为
网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现,每个进程执行在具有不同权限的环境中。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。
⑷物理形式的入侵信息 这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。2.2 信号分析
对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
⑴模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单,也可以很复杂。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
⑵统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
⑶完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方面特别有效。入侵检测系统的局限性
由于网络的危害行为是一系列十分复杂的活动,特别是有预谋、有组织的网络入侵,入侵检测系统的研究遇到了以下三方面亟待解决的问题。3.1 入侵技术在不断发展
入侵检测技术以网络攻击技术研究为依托,通过跟踪入侵技术的发展增强入侵检测能力。在因特网上有大量的黑客站点,发布大量系统漏洞资料和探讨攻击方法。更为令人担忧的是有组织的活动,国外已将信息战手段同核生化武器等列在一起,作为战略威慑加以讨论,破坏者所具备的能力,对我们是很大的未知数。
入侵技术的发展给入侵检测造成了很大的困难,预先了解所有可能的入侵方法是困难的,因此一个有效的入侵检测系统不仅需要识别已知的入侵模式,还要有能力对付未知的入侵模式。
3.2 入侵活动可以具有很大的时间跨度和空间跨度
有预谋的入侵活动往往有较周密的策划、试探性和技术性准备,一个入侵活动的各个步骤有可能在一段相对长的时间跨度和相当大的空间跨度之上分别地完成,给预警带来困难。一个检测模型总会有一个有限的时间窗口,从而忽略滑出时间窗口的某些事实。同时,检测模型对于在较大空间范围中发生的的异常现象的综合、联想能力也是有限的。3.3 非线性的特征还没有有效的识别模型
入侵检测技术的难度不仅仅在于入侵模式的提取,更在于入侵模式的检测策略和算法。因为入侵模式是一个静态的事物,而现实的入侵活动则是灵活多变的。有效的入侵检测模型应能够受大的时间跨度和空间跨度。从技术上说,入侵技术已经发展到一定阶段,而入侵检测技术在理论上、模型上和实践上还都没有真正发展起来。在市场上能看得到的入侵检测系统也都处在同一水平。
面对复杂的网络入侵活动,网络入侵检测技术的研究不仅仅包括入侵技术的研究,更要重视建立入侵检测策略和模型的理论研究。入侵检测技术研究的主要内容
网络入侵检测技术研究主要包括:网络入侵技术研究、检测模型研究、审计分析策略研究等。通过将这些技术组合起来,形成一个互动发展的有机体。4.1 入侵技术研究
入侵技术研究包括三个部分:第一,密切跟踪分析国际上入侵技术的发展,不断获得最新的攻击方法。通过分析这些已知的攻击方法来丰富预警系统的检测能力。第二,加强并利用预警系统的审计、跟踪和现场记录功能,记录并反馈异常事件实例。通过实例分析提取可疑的网络活动特征,扩充系统的检测范围,使系统能够应对未知的入侵活动。第三,利用攻网技术的研究成果,创造新的入侵方法,并应用于检测技术。4.2 检测模型研究
对于预警系统来说,检测模型的确定是很重要的。由于入侵活动的复杂性,仅仅依靠了解入侵方法还不能完全实现预警,还应有适当检测模型与之配合。在预警技术研究中,入侵检测模型是关键技术之一。4.3 审计分析策略研究
预警技术研究的另一个重点在于对审计数据的分析处理。其中包括:威胁来源的识别、企图的判定、危害程度和能力的判断等等。预警所产生的审计数据是检测与预警的宝贵资源。这些审计数据可能是很大量的,如果缺乏有效的分析手段将会浪费这一资源。结束语
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视。但在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品阶段,或者是防火墙中集成较为初级的入侵检测模块。可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术外,应重点加强统计分析的相关技术应用研究。
参考文献
[1] 黄亚飞.防火墙技术与应用.武汉:湖北教育出版社,2003 [2] 张小斌.网络安全与黑客防范.北京:清华大学出版社,1999
第四篇:防火墙和入侵检测系统在电力企业信息网络中的应用
防火墙和入侵检测系统在电力企业信息网络中的应用
摘要:文中通过分析电力企业信息网络的结构和对网络安全的要求,在归纳了防火墙和入侵检测系统在网络中的防御功能的基础上,提出了将防火墙和入侵检测系统运用到电力企业信息网络的具体方案,并对相关技术和网络安全体系的建设进行了讨论。
0 引言
当前,电力系统已基本形成了自己的生产过程自动化和管理现代化信息网络,并在实际生产和管理中发挥着巨大的作用。随着全球信息化的迅猛发展,电力系统必将加强与外部世界的信息交流,以提高生产和管理效率,开拓更广阔的发展空间。然而,网络开放也增加了网络受攻击的可能性。与外部网络的连接必然面临外来攻击的威胁。对于关系到国计民生的电力系统而言,网络安全必须作为一个重大战略问题来解决。目前,防火墙技术作为防范网络攻击最基本的手段已经相当成熟,是抵御攻击的第一道防线,入侵检测系统(intrusion detective system,缩写为IDS)作为新型的网络安全技术,有效地补充了防火墙的某些性能上的缺陷,两者从不同的角度以不同的方式确保网络系统的安全。
本文首先分析电力企业信息网络的结构,并结合其特点和对网络安全的特殊要求,就如何有效地将防火墙和入侵检测技术运用到电力企业信息网络中进行探讨。1 电力系统的信息网络
电力系统的信息网络[1]分为两大模块:监控信息系统(supervisory information system,缩写为 SIS)和管理信息系统(management information system,缩写为MIS)。
SIS对生产现场进行实时监控,从分布在生产现场的许多点采集数据,再由系统中的计算单元进行性能计算、故障诊断等,将结果存放到实时数据服务器,为生产现场实时提供科学、准确的数据,以控制整个生产过程。SIS包括CRT监控系统、DCS(数据通信系统)、FCS(现场总线控制系统)等子系统。
MIS的功能是实现企业自动化管理,包括若干子系统,分别实现生产经营管理、财务和人事管理、设备和维修管理、物资管理、行政管理等功能。较完善的MIS还包括辅助决策子系统,为管理人员提供智能支持,是企业管理规范化、科学化的基础。
目前电力系统的信息网络一般将SIS和MIS分做同一网络中的两个子网,并分别配置服务器,两子网之间用网关连接,如图1所示。
DPU(分散过程控制单元)从生产现场采集数并发送到高速数据网供DCS各工作站分析处理,同时为了保证SIS的网络安全,SIS以太网通过网关与MIS服务器连接,作为MIS到SIS的入口并管理MIS对SIS的访问。
SIS和MIS功能各异,对安全的要求也有所不同。SIS由于与现场生产息息相关,一旦遭到入侵,势必影响生产甚至造成恶性事故,所以其安全性要求更高。现行的网络结构也充分体现了这一特点,对 SIS实施更高级别的保护。
当局域网与外部网络连接后,MIS要向外界提供服务,网络面临的威胁将空前广泛、尖锐,这时原有的安全系统显然过于单薄,必须在原有基础上制定更严密、可靠的防御体系。
在安全的操作系统基础上,防火墙结合IDS是一种较为理想的解决方案。2 防火墙
防火墙[2]是防范网络攻击最常用的手段,是构造安全网络环境的基础工程。它通常被安置在内部网络与外部网络的连接点上,将内部网络与外部网络隔离,强制所有内部与外部之间的相互通信都通过这一节点,并按照设定的安全策略分析,限制这些通信,以达到保护内部网络的目的。
2.1 防火墙的体系结构[3] 构造防火墙时通常根据所要提供的服务、技术人员的技术、工程的性价比等因素采用多种技术的组合,以达到最佳效果。
目前常见的防火墙体系结构有以下几种:
a.双重宿主主机体系结构。在内部网络与外部网络之间配置至少有两个网络接口的双重宿主主机,接口分别与内部、外部网络相连,而主机则充当网络之间的路由器。这样,内部、外部网络的计算机之间的IP通信完全被阻隔,只能通过双重宿主主机彼此联系。
b.屏蔽主机体系结构。这种结构的防火墙由路由器和堡垒主机构成,路由器设置在内部、外部网络之间,实现数据包过滤。堡垒主机设置在内部网络中,外部网络的计算机必须连接到堡垒主机才能访问内部网络。
c.屏蔽子网体系结构。利用两个路由器(内部路由器和外部路由器)将内部网络保护到更深一层,而在两个路由器之间形成一个虚拟网络,称之为周边网络,堡垒主机连接在周边网络上,通过外部路由器与外部网络相连。这样,如果入侵者突破了外层的防火墙,甚至侵入堡垒主机,内部网络依然安全。
2.2 电力企业信息网防火墙的结构设计
电力系统对安全性的高度要求,企业信息网络的安全问题应该予以格外关注。必须组建科学、严密的防火墙体系,为企业内部网络尤其是内部网络中的SIS子网提供高度的网络安全。
电力企业内部网络由两个安全级别不同的子网 MIS和SIS构成,其中SIS对安全要求更高,因此它仅向MIS提供服务而不直接与外部网络相连,由 MIS向外界提供服务。基于这个特点,防火墙宜采用屏蔽子网的体系结构,如图2所示。
MIS作为体系中的周边网,SIS作为内部网。设置两台屏蔽路由器,其中外部路由器设在MIS与外部网络之间,内部路由器设在SIS与MIS之间,对进出的数据包进行过滤。另外,堡垒主机连接在
MIS中,对外作为访问的入口,对内则作为代理服务器,使内部用户间接地访问外部服务器。
应该强调的是,MIS的堡垒主机极有可能受到袭击,因为所有对内部网络的访问都要经过它,因此,在条件允许的情况下,可以在MIS中配置两台堡垒主机,当一台堡垒主机被攻击而导致系统崩溃时,可以由另一台主机提供服务,以保证服务的连续性。同时,在MIS中配置一台处理机,与内部路由器组成安全网关,可以作为整个防火墙体系的一部分,控制MIS向SIS的访问以及对数据传输进行限制,提供协议、链路和应用级保护。网关还应考虑安全操作系统问题,Win2000[4]是一个可行的选择。尽管可能还存在一些潜在的漏洞,Win2000依然是目前业界最安全的操作系统之一。由于SIS仅对MIS的固定用户提供服务,同时考虑到SIS的安全要求,对网关的管理可以采取Client/Server方式,这样虽然在实现上较Browser/Server方式复杂一些,但却具有更强的数据操纵和事务处理能力,以及对数据的安全性和完整性的约束能力。2.3 防火墙的缺陷
尽管防火墙在很大程度上实现了内部网络的安全,但它的以下几个致命的缺陷使得单一采用防火墙技术仍然是不可靠的。
a.无法防范病毒。虽然防火墙对流动的数据包进行严格的过滤,但针对的是数据包的源地址、目的地址和端口号,对数据的内容并不扫描,因此对病毒的侵入无能为力。
b.无法防范内部攻击。从防火墙的设计思想来看,防范内部攻击从来就不是它的任务,它在这方面是一片空白。
c.性能上的限制。防火墙只是按照固定的工作模式来防范已知的威胁,从这一点来说,防火墙虽然“勤恳”,但是过于“死板”。
所以,安装了防火墙的系统还需要其他防御手段来加以充实。3 IDS IDS(入侵检测系统)是一种主动防御攻击的新型网络安全系统,在功能上弥补了防火墙的缺陷,使整个安全防御体系更趋完善、可靠。
3.1 入侵检测原理与实践
IDS以检测及控制[5]为基本思想,为网络提供实时的入侵检测,并采取相应的保护措施。它的设计原理一般是根据用户历史行为建立历史库,或者根据已知的入侵方法建立入侵模式,运行时从网络系统的诸多关键点收集信息,并根据用户行为历史库和入侵模式加以模式匹配、统计分析和完整性扫描,以检测入侵迹象,寻找系统漏洞。
IDS一般分为基于主机的IDS和基于网络的IDS两种。基于主机的IDS其输入数据来源于系统的审计日志,用于保护关键应用的服务器;基于网络的IDS输入数据来源于网络的信息流,用于实时监控网络关键路径的信息。目前的入侵检测产品通常都包括这两个部件。
在实践中,IDS一般分为监测器和控制台两大部分。为了便于集中管理,一般采用分布式结构,用户在控制台管理整个检测系统、设置监测器的属性、添加新的检测方案、处理警报等。监测器部署在网络中的关键点,如内部网络与外部网络的连接点、需重点保护的工作站等,根据入侵模式检测异常行为,当发现入侵时保存现场,并生成警报上传控制台。3.2 在电力企业信息网中运用IDS 电力企业的安全涉及国家安全和社会稳定,建议尽可能使用国产检测系统,如北京中科网威“天眼”入侵检测系统[6]清华紫光Unis入侵检测系统等,这些产品在技术上已相当成熟,且在不断升级。
安装IDS的关键步骤是部署检测器与控制台。针对电力企业网络的特点,首先,可以在外部路由器与外部网络的连接处部署监测器(如图3所示),以监测异常的入侵企图。在防火墙与MIS之间部署监测器,以监视和分析MIS与外部网络的通信流。然后,分别在MIS和SIS中部署一台监测器,监视各子网的内部情况;控制台设置在MIS中。最后,根据实际情况为个别需重点保护的服务器、工作站安装基于主机的入侵检测软件,保护重要设备。
安装IDS后,更具挑战性的工作就是有效地运行IDS。防火墙在测试和设置后便开始工作了,而 IDS则不同。IDS提供实时检测需要管理员“实时”地配合,管理员要做好处理各种警报的准备工作;在系统发出警报时要判断是否误报,正确处理警报,决定是否关闭系统或是继续监视入侵者以收集证据等,都需要管理员就地解决。只有管理员及时采取恰当的处理方法,才能真正发挥IDS的功效。4 安全体系的运作与后期扩充
虽然防火墙的防护是被动的,而IDS是实时的,但安全体系(包括各单一主机自身的安全体系)是作为一个整体协同运作的。目前的主机和网络设备都具有完备的安全审计功能,IDS可以充分利用系统的网络日志文件作为必要的数据来源,而当 IDS发现可疑行为时又需要其他主机或防火墙采取相应的保护措施,例如通知防火墙对可疑IP地址发来的数据包进行过滤等。
当然,从技术方面来说,网络安全所涉及的范围是相当广泛的,包括安全的操作系统、防火墙、安全审计、入侵检测、身份认证、信息加密、安全扫描、灾难恢复等。防火墙结合IDS只是形成了安全体系基本内容,还需要在系统运行中运用多种技术不断充实安全体系的功能,例如在系统中配置扫描器,定期进行风险评估和查找漏洞,升级防火墙或者向IDS中添加新的攻击方式等。同时,任何防御体系都不可能保证系统的绝对安全,必须不断提高系统管理人员的技术水平,密切关注网络安全的发展动态,及时升级网络防御系统,提高系统的防御能力。5 结语
当前,电力企业正以原有设施为基础,构建企业与电力公司、企业与企业间的信息网络,网络安全是一个不可忽视的问题。防火墙与入侵检测技术相结合,为网络安全体系提供了一个良好的基础,对保障系统安全发挥不可忽视的作用。当然,完备的安全体系还需要其他多种安全技术从功能上进一步完善,同时,安全问题不仅是一个技术问题,也是一个系统工程,需从组织管理、法律规范等多方面予以支持。H-2002-5
〖关闭本页〗
第五篇:入侵检测系统开发总结报告
校园网设计方案
目录
第一章 某校园网方案.............................................................................3 1.1设计原则.......................................................................................3 第二章 某校园网方案设计......................................................................3 2.1校园网现网拓扑图........................................................................3 2.2校园网设备更新方案....................................................................4 2.3骨干网络设计...............................................................................7
第一章 某校园网方案 1.1设计原则
1.充分满足现在以及未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。
2.强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键 3.在满足学校的需求的前提下,建出自己的特色
1.2网络建设需求
网络的稳定性要求
整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求 网络高性能需求
整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻
认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈 网络安全需求
防止IP地址冲突 非法站点访问过滤 非法言论的准确追踪 恶意攻击的实时处理
记录访问日志提供完整审计 网络管理需求
需要方便的进行用户管理,包括开户、销户、资料修改和查询 需要能够对网络设备进行集中的统一管理 需要对网络故障进行快速高效的处理
第二章 某校园网方案设计 2.1校园网现网拓扑图
整个网络采用二级的网络架构:核心、接入。
核心采用一台RG-S4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。
2.2校园网设备更新方案
方案一:不更换核心设备
核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
方案二:更换核心设备
核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G实现安全控制,其它二层交换机分别接入相应的S2126G。西校区汇聚采用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G。中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
2.3骨干网络设计
骨干网络由RG-S8606构成,核心交换机RG-S8606主要具有5特性:
1、骨干网带宽设计:千兆骨干,可平滑升级到万兆
整个骨干网采用千兆双规线路的设计,二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。
2、骨干设备的安全设计:CSS安全体系架构
3、CSS之硬件CPP CPP即CPU Protect Policy,RG-S8606采用硬件来实现,CPP提供管理模块和线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、QOS队列带宽、类型报文带宽),这样,对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。
由于锐捷10万兆产品RG-S8606采用硬件的方式实现,不影响整机的运行效率
4、CSS之SPOH技术
现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的ACL和QOS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL和QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在非常复杂的网络 8 环境中核心交换机的高性能。
2.4网络安全设计
2.4.1某校园网网络安全需求分析
1、网络病毒的防范
病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学
生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。
2、防止IP、MAC地址的盗用
IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。
IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户 安全事故发生时候,需要准确定位到用户原因:
国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率。
2.4.2某校园网网络安全方案设计思想 2.4.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.4.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。
2.4.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。2.4.3某校园网网络安全方案
锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。2.4.3.1事前的身份认证
对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用. 当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准确定位到该用户,便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.4.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止IP地址盗用和ARP攻击
通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击
通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对DOS攻击,扫描攻击的屏蔽
通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。2.4.3.3事后的完整审计
当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个IP地址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。
2.5网络管理设计
网络管理包括设备管理、用户管理、网络故障管理 2.5.1网络用户管理
网络用户管理见网络运营设计开户部分 2.5.2网络设备管理
网络设备的管理通过STARVIEW实现,主要提供以下功能,这些功能也是我们常见的解决问题的 12 思路:
1、网络现状及故障的自动发现和了解
STARVIEW能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的HUB、交换机等设备能及时地发现,提前消除各种安全隐患。
对于网络中的异常故障,比如某台交换机的CPU利用率过高,某条链路上的流量负载过大,STARVIEW都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。
2、网络流量的查看
STARVIEW在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。
3、网络故障的信息自动报告
STARVIEW支持故障信息的自动告警,当网络设备出现故障时,会通过TRAP的方式进行告警,13 网络管理员的界面上能看到各种故障信息,这些信息同样为管理员的故障排除提供了丰富的信息。
4、设备面板管理
STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板,包括端口数量、状态等等,同 14 时可以很方便的登陆到设备上,进行配置的修改,完善以及各种信息的察看。
5、RGNOS操作系统的批量升级
校园网很大的一个特点就是规模大,需要使用大量的接入层交换机,如果需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,STARVIEW提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。
2.5.3网络故障管理
随着校园网用户数的增多,尤其是宿舍网运营的开始,用户网络故障的排除会成为校园网管理工作的重点和难点,传统的网络故障解决方式主要是这样一个流程:
2.6流量管理系统设计
网络中的流量情况是网络是否正常的关键,网络中大量的P2P软件的使用,已经对各种网络业务的正常开展产生了非常严重的影响,有的学校甚至因为P2P软件的泛滥,直接导致了网络出口的瘫痪。
2.6.1方案一:传统的流量管理方案
传统的流量管理方案的做法很多就是简单的封堵这些P2P软件,从而达到控制流量的目的,这有三大弊端, 第一:这些软件之所以有如此强大的生命力,是因为用户通过使用这些软件的确能快速的获取各种有用的资源,如果简单的通过禁止的方式,用户的意见会非常的大,同时,各种有用的资源我们很难获取。
第二:各种新型的,对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。
第三:我们无法获取网络中的流量信息,无法为校园网的优化,网络管理,网络故障预防和排除提供数据支撑。
2.6.2方案二:锐捷的流量管理与控制方案
锐捷网络的流量管理主要通过RG-NTD+日志处理软件+RG-SAM系统来实现。
NTD是锐捷流量管理解决方案的重要组成部分,我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费,锐捷的流量管理方案有三大功能:
第一:为SAM系统对用户进行流量计费提供原始数据,这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求,经济条件好一点,可以多用点流量,提高了用户的满意度。而且,对于以后新出现的功能更加强大的下载软件,都不必担心用户任意使用造成带宽拥塞。 第二:提供日志审计和带宽管理功能,通过NTD、SAM、日志系统的结合,能够做到基于用户身份对用户进行管理,做到将用户名、源IP、目的IP直接关联,通过目的IP,可以直接定位到用户名,安全事件处理起来非常的方便,同时还能提供P2P的限速,带宽管理等功能,这一部分的功能我们会在明年4月份提供。
第三:能够对网络中的各种流量了如指掌,可以对用户经常访问的资源进行分析对比,为应用系统的建设、服务器的升级改造提供数据支持;能够及时的发现网络中的病毒、恶意流量,从而进行有效的防范,结合认证计费系统SAM,能够捕捉到事件源头,并于做出处理。
总体来说,流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。
网络防火墙设计中的问题 方案:硬件?还是软件?
现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力。
防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以checkpoint 公司的Firewall-I为代表,其实现是通过 dev_add_pack的办法加载过滤函数(Linux,其他操作系统没有作分析,估计类似),通过在操作系统底层做工作来实现防火墙的各种功能和优 化。国内也有一些所谓的软件防火墙,但据了解大多是所谓“个人”防火墙,而且功能及其有限,故不在此讨论范围。
在国内目前已通过公安部检验的防火墙中,硬件防火墙占绝大多数。硬件防火墙一种是从硬件到软件都单独设计,典型如Netscreen防火墙不但软件部分单独设计,硬件部分也采用专门的ASIC集成电路。
另外一种就是基于PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。目前国内绝大 多数防火墙都属于这种类型。
虽然都号称硬件防火墙,国内厂家和国外厂家还是存在着巨大区别。硬件防火墙需要在硬 件和软件两方面同时下功夫,国外厂家的通常做法是软件运算硬件化,其所设计或选用的运行平台本身的性能可能并不高,但它将主要的运算程序(查表运算是防火 墙的主要工作)做成芯片,以减少主机CPU的运算压力。国内厂家的防火墙硬件平台基本上采用通用PC系统或工业PC架构(直接原因是可以节省硬件开发成 本),在提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理能力,增大内存容量而已。现在国内防火墙的一个典型结构就是:工业主板+x86+128(256)M内存+DOC/DOM+硬盘(或不要硬盘而另增加一个日志服务器)+百兆网卡 这 样一个工业PC结构。
在软件性能方面,国内外厂家的差别就更大了,国外(一些著名)厂家均是采用专用的操 作系统,自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的 Linux,无一例外。各厂家的区别仅仅在于对Linux系统本身和防火墙部分(2.2内核为ipchains,2.4以后内核为netfilter)所 作的改动量有多大。
事实上,Linux只是一个通用操作系统,它并没有针对防火墙功能做什么优化,而且 其处理大数据量通信方面的能力一直并不突出,甚至比较低下(这也是 Linux一直只是低端服务器的宠儿的重要原因,我自己认为,在这一点上它还不如BSD系列,据说国外有用BSD做防火墙的,国内尚未见到)。现在绝大部 分厂家,甚至包括号称国内最大的天融信,在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动(绝大部分还是没有什么改动)和少 量的系统补丁。而且我们在分析各厂家产品时可以注意这一点,如果哪个厂家对系统本身做了什么大的改动,它肯定会把这个视为一个重要的卖点,大吹特吹,遗憾 的是似乎还没有什么厂家有能力去做宣传(天融信似乎有一个类似于checkpoint的功能:开放式的安全应用接口 TOPSEC,但它究竟做了多少工作,还需要去仔细了解)。
目前国内厂家也已经认识到这个问题,有些在做一些底层的工作,但有明显成效的,似乎还没有。在此我们仅针对以Linux(或其他通用操作系统)为基础的、以PC架构为硬件载体的防火墙做讨论,以下如不特别提出,均同。2.内核和防火墙设计
现在有一种商业卖点,即所谓“建立在安全操作系统之上的第四代防火墙”(关于防火墙 分代的问题,目前有很多讨论,比较一致的是把包过滤防火墙称为第一代防火墙,把应用型防火墙(一般结合了包过滤功能,因此也成为混合型防火墙)称为第二代 防火墙,有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙,更有甚者在此基础上提出了采用安全操作系统的防火墙,并把这个称为 第四代防火墙)。所谓安全操作系统,其实大多用的还是Linux,所不同的是需要做一些内核加固和简单改造的工作,主要有以下: 取消危险的系统调用,或者截获系统调用,稍加改动(如加载一些llkm); 限制命令执行权限; 取消IP转发功能; 检查每个分组的接口; 采用随机连接序号; 驻留分组过滤模块; 取消动态路由功能;
采用多个安全内核(这个只见有人提出,但未见到实例,对此不是很清楚)。
以上诸多工作,其实基本上都没有对内核源码做太大改动,因此从个人角度来看算不上可以太夸大的地方。
对于防火墙部分,国内大部分已经升级到2.4内核所支持的netfilter。netfilter已经是一个功能比较完善的防火墙框架,它已经支持基于状态的监测(通过connection track模块实现)。而且netfilter是一个设计很合理的框架,可以在适当的位置上登记一些需要的处理函数,正式代码中已经登记了许多处理函数,如在NF_IP_FORWARD点上登记了装发的包过滤功能(包过滤等功能便是由这些正式登记的函数实现的)。我们也可以登记自己的处理函数,在功能上作 扩展(如加入简单的IDS功能等等)。这一点是国内厂家可以做文章的地方,至于netfilter源码的修改,对国内厂家来说似乎不太现实。
至于采用其它防火墙模型的,目前还没有看到(可能是netfilter已经设计的很成功,不需要我们再去做太多工作)。
3.自我保护能力(安全性)
由于防火墙的特殊功能和特殊位置,它自然是众多攻击者的目标,因此它的自我包括能力在设计过程中应该放在首要的位置。A.管理上的安全性
防火墙需要一个管理界面,而管理过程如何设计的更安全,是一个很重要的问题。目前有两种方案。
a.设置专门的服务端口
为了减少管理上的风险和降低设计上的难度,有一些防火墙(如东方龙马)在防火墙上专 门添加了一个服务端口,这个端口只是用来和管理主机连接。除了专用的服务口外,防火墙不接受来自任何其它端口的直接访问。这样做的显著特点就是降低了设计 上的难度,由于管理通信是单独的通道,无论是内网主机、外网主机还是DMZ内主机都无法窃听到该通信,安全性显然很高,而且设计时也无需考虑通信过程加密 的问题。
然而这样做,我们需要单独设置一台管理主机,显然太过浪费,而且这样管理起来的灵活性也不好。
b.通信过程加密
这样无需一个专门的端口,内网任意一台主机都可以在适当的情况下成为管理主机,管理主 机和防火墙之间采用加密的方式通信。
目前国内有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多,不做详 细讨论。
B.对来自外部(和内部)攻击的反应能力
目前常见的来自外部的攻击方式主要有: a.DOS(DDOS)攻击
(分布式)拒绝服务攻击是目前一种很普遍的攻击方式,在预防上也是非常困难的。目前 防火墙对于这种攻击似乎没有太多的解决办法,主要是提高防火墙本身的健壮性(如增加缓冲区大小)。在Linux内核中有一个防止Syn flooding攻击的选项:CONFIG_SYN_COOKIES,它是通过为每一个Syn建立一个缓冲(cookie)来分辨可信请求和不可信请求。另外对于ICMP攻击,可以通过关闭ICMP 回应来实现。b.IP假冒(IP spoofing)
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。
第一,防火墙设计上应该知道网络内外的IP地址分配,从而丢弃所有来自网络外部但却有内部地址的数据包。实际实现起来非常简单,只要在内核中打开rp_filter功能即可。
第二,防火墙将内网的实际地址隐蔽起来,外网很难知道内部的IP地址,攻击难度加大。IP假冒主要来自外部,对内网无需考虑此问题(其实同时内网的IP假冒情况也可以得到遏制)。c.特洛伊木马
防火墙本身预防木马比较简单,只要不让系统不能执行下载的程序即可。
一个需要说明的地方是必须指出的是,防火墙能抗特洛伊木马的攻击并不意味着内网主机 也能防止木马攻击。事实上,内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决(防火墙只能 在内网主机感染木马以后起一定的防范作用)。d.口令字攻击
口令字攻击既可能来自外部,也可能来自内部,主要是来自内部。(在管理主机与防火墙通过单独接口通信的情况下,口令字攻击是不存在的)
来自外部的攻击即用穷举的办法猜测防火墙管理的口令字,这个很容易解决,只要不把管理部分提供给外部接口即可。
内部的口令字攻击主要是穷举和嗅探,其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字,如果口令字已加密,则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。e.邮件诈骗
邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单,不接收任何邮件就可以了。然而象木马攻击一样,内网主机仍可收发邮件,邮件诈骗的危险仍然存在,其解决办法一个是内网主机本身采取措施防止邮件诈骗,另一个是在防火墙上做过滤。f.对抗防火墙(anti-firewall)
目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙 功能和探测防火墙内部网络结构,典型的如Firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性,这类工具用于攻击网络,也可能会很有效的 探测到防火墙和内部网络的安全缺陷,典型的如SATAN和ISS公司的 Internet Security Scanner。目前对于这种探测(攻击)手段,尚无有效的预防措施,因为防火墙本身是一个被动的东西,它只能靠隐藏内部网络结构和提高自身的安全性来对 抗这些攻击。C.透明代理的采用
应用代理防火墙一般是通过设置不同用户的访问权限来实现,这样就需要有用户认证体 系。以前的防火墙在访问方式上主要是要求用户登录进系统(如果采用 sock代理的方式则需要修改客户应用)。透明代理的采用,可以降低系统登录固有的安全风险和出错概率,从而提高了防火墙的安全性。
4.透明性
防火墙的透明性指防火墙对于用户是透明的,在防火墙接入网络时,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。
防火墙作为一个实际存在的物理设备,要想放入已存在地网络中又不对网络有任何影响,就必须以网桥的方式置入网络。传统方式下,防火墙安装时,更象是一台路由器或者网关,原有网络拓扑 19 结构往往需要改变,网络设备(包括主机和路由器)的设置(IP和网关、DNS、路由表等等)也需要改变。但如果防火墙采用了透明模式,即采用类似网桥的方式运行,用户将不必重新设定和修改路由,也不需要知道防 火墙的位置,防火墙就可以直接安装和放置到网络中使用。
透明模式最大的好处在于现有网络无需做任何改动,这就方便了很多客户,再者,从透明 模式转换到非透明模式又很容易,适用性显然较广。当然,此时的防火墙仅仅起到一个防火墙的作用,其他网关位置的功能如NAT、VPN功能不再适用,当然,其他功能如透明代理还可以 继续使用。目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个ARP代理的功能。内网(可以仍含有路由器或子网,依次类推)、防火墙、路由器的位置大致如下: 内网―――――防火墙―――――路由器
(需要说明的是,这种方式是绝大多数校园网级网络的实现方式)
内网主机要想实现透明访问,必须能够透明的传送内网和路由器之间的ARP包,而此时 由于事实上内网和路由器之间无法连通,防火墙就必须配置成一个ARP代理(ARP Proxy)在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时,防火墙用和路由器相连 接口的MAC地址回送ARP包;内网内某一主机发送ARP广播包询问路由器的硬件地址时,防火墙用和内网相连接口的MAC地址回送ARP包,因此路由器和 内网主机都认为将数据包发给了对方,而实际上是发给了防火墙转发。
显然,此时防火墙还必须实现路由转发,使内外网之间的数据包能够透明的转发。另外,防火墙要起到防火墙的作用,显然还需要把数据包上传给本身应用层处理(此时实现应用层代理、过滤等功能),此时需要端口转发来实现(?这个地方不是十分清 楚,也没找到相关资料)。透明模式和非透明模式在网络拓扑结构上的最大区别就是:透明模式的两块网卡(与路由器相连的和与内网相连的)在一个网段(也和子 网在同一个网段);而非透明模式的两块网卡分别属于两个网段(内网可能是内部不可路由地址,外网则是合法地址)。这个过程如下:
1.用ARP代理实现路由器和子网的透明连接(网络层)2.用路由转发在IP层实现数据包传递(IP层)3.用端口重定向实现IP包上传到应用层(IP层)
前边我们讨论过透明代理,和这里所说的防火墙的透明模式是两个概念。透明代理主要是 为实现内网主机可以透明的访问外网,而无需考虑自己是不可路由地址还是可路由地址。内网主机在使用内部网络地址的情况下仍然可以使用透明代理,此时防火墙 既起到网关的作用又起到代理服务器的作用(显然此时不是透明模式)。
需要澄清的一点是,内外网地址的转换(即NAT,透明代理也是一种特殊的地址转换)和透明模式之间并没有必然的联系。透明模式下的防火墙能实现透明代理,非透明模式下的防火墙(此时它必然又是一个网关)也能实现透明代理。它们的共同点在于可以简化内网客户的设置而已。
目前国内大多防火墙都实现了透明代理,但实现了透明模式的并不多。这些防火墙可以很明显的从其广告中看出来:如果哪个防火墙实现了透明模式,它的广告中肯定会和透明代理区分开而大书特书的。5.可靠性
防火墙系统处于网络的关键部位,其可靠性显然非常重要。一个故障频频、可靠性很差的 产品显然不可能让人放心,而且防火墙居于内外网交界的关键位置,一旦防火墙出现问题,整个内网的主机都将根本无法访问外网,这甚至比路由器故障(路由器的 拓扑结构一般都是冗余设计)更让人无法承受。
防火墙的可靠性也表现在两个方面:硬件和软件。
国外成熟厂商的防火墙产品硬件方面的可靠性一般较高,采用专门硬件架构且不必多说,采用PC架构的其硬件也多是专门设计,系统各个部分从网络接口到存储设备(一般为电子硬盘)集成在一起(一块板子),这样自然提高了产品的可靠性。
国内则明显参差不齐,大相径庭,大多直接使用PC架构,且多为工业PC,采用现成的网卡,DOC/DOM作为存储设备。工业PC虽然可靠性比普通PC要高不少,但是毕竟其仍然是拼凑式的,设备各部分分立,从可靠性的角度看显然不如集成的(著名的水桶原理)。
国内已经有部分厂家意识到了这个问题,开始自行设计硬件。但大多数厂家还是从成本的角度考虑 20 使用通用PC架构。
另外一方面,软件可靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的 可靠性体系还没有成熟,软件可靠性测试大多处于极其初级的水平(可靠性测试和bug测试完全是两个概念)。一方面是可靠性体系建立不起来,一方面是为了迎 合用户的需求和跟随网络应用的不断发展,多数防火墙厂商一直处于不断的扩充和修改中,其可靠性更不能让人恭维。
总的来说,如同国内大多数行业(除了少数如航天、航空)一样,网络安全产品特别是防火墙的可靠性似乎还没有引起人们的重视。6.市场定位
市场上防火墙的售价极为悬殊,从数万元到数十万元,甚至到百万元不等。由于用户数量不同,用户安全要求不同,功能要求不同,因此防火墙的价格也不尽相同。厂商因而也有所区分,多数厂家还推出模块化产品,以符合各种不同用户的要求。
总的说来,防火墙是以用户数量作为大的分界线。如checkpoint的一个报价: CheckPoint Firewall-1 4.1 25user 19000.00 CheckPoint Firewall-1 4.1 50user 31000.00 CheckPoint Firewall-1 4.1 100user 51000.00 CheckPoint Firewall-1 4.1 250user 64000.00 CheckPoint Firewall-1 4.1 无限用户 131000.00 从用户量上防火墙可以分为: a. 10-25用户:
这个区间主要用户为单一用户、家庭、小型办公室等小型网络环境。防火墙一般为10M(针对 硬件防火墙而言),两网络接口,涵盖防火墙基本功能:包过滤、透明模式、网络地址转换、状态检测、管理、实时报警、日志。一般另有可选功能:VPN、带宽管理等等。
这个区间的防火墙报价一般在万元以上2万元以下(没有VPN和带宽管理的价格更低)。据调查,这个区间的防火墙反而种类不多,也许是国内厂商不屑于这个市场的缘故? b. 25-100用户
这个区间用户主要为小型企业网。防火墙开始升级到100M,三或更多网络接口。VPN、带宽管 理往往成为标准模块。
这个区间的防火墙报价从3万到15万不等,根据功能价格有较大区别。相对来说,这个区间上 硬件防火墙价格明显高于软件防火墙。
目前国内防火墙绝大部分集中在这个区间中。c. 100-数百用户
这个区间主要为中型企业网,重要网站、ISP、ASP、数据中心等使用。这个区间的 防火墙较多考虑高容量、高速度、低延迟、高可靠性以及防火墙本身的健壮性。并且开始支持双机热备份。这个区间的防火墙报价一般在20万以上。这样的中高端 防火墙国内较少,有也是25-100用户的升级版,其可用性令人怀疑。d. 数百用户以上
这个区间是高端防火墙,主要用于校园网、大型IDC等等。我们接触较少,不多做讨论。当然其价格也很高端,从数十万到数百万不等。
总的来说,防火墙的价格和用户数量、功能模块密切相关,在用户数量相同的情况下,功 能越多,价格就越贵。如Netscreen的百兆防火墙: NetScreen-100f(AC Power)-带防火墙+流量控制等功能,交流电源,没有VPN功能报价在¥260,000而在此基础上增加了128位VPN功能的报价则高出5万元: ¥317,500 7. 研发费用
如同其他网络安全产品一样,防火墙的研发费用也是很高的。防火墙由于技术含量较高,人员技术储备要求较高,防火墙核心部分的研发必须要对操作系统有相当的熟悉,所需为UNIX系统下开发人员,而目前国内真正能拿的出手的UNIX程序员数 量还是太少(远远少于Windows平台下开发人员),人员成本很高。
总的来说,防火墙的研发是一个大项目,而且其前期定位一定要准确,该做什么、不该做什么,哪些功能得实现,哪些功能不必实现、哪些功能可以在后期实现,一定要清楚,否则费用会远远超出预计。
下边对一个中小型企业级防火墙的研发费用作个简单的估计。
研发时,防火墙可以细分为(当然在具体操作时往往需要再具体划分): 内核模块
防火墙模块(含状态检测模块)NAT模块 带宽管理模块 通信协议模块 管理模块
图形用户界面模块(或者Web界面模块)透明代理模块(实质属于NAT模块)
透明模式模块(包括ARP代理子模块、路由转发子模块等)各应用代理模块(包括URL过滤模块)VPN模块
流量统计与计费模块 审计模块
其他模块(如MAC、IP地址绑定模块、简单的IDS、自我保护等等)
上边把防火墙划分为12个模块,其中每一个模块都有相当的工作量要做,除了弹性较大 的内核模块和防火墙模块(它们的工作量可能异常的大,视设计目标不同),其他模块暂定10人周的话就需要120周(VPN的工作量也相当大),两个主模块 各按20人周计算,防火墙实现总共需要150人周。加上前期10- 15人周论证、定方案,后期20人周(保守数字)集成、测试,前后总共需要约210人周。按每人周1200元开发费用(折合工资5000月,但由于有运行 费用、保险等费用摊分,个人工资应远低于这个数字),开发费用约需25万。
显然,这个数字只是一个局外人估计的下限,实际的研发应该超出这个数字很多。8. 可升级能力(适用性)和灵活性
对用户来说,防火墙作为大成本投入的商品,势必要考虑到可升级性的问题,如果防火墙 不能升级,那它的可用性和可选择余地势必要大打折扣。目前国内防火墙一般都是软件可升级的,这是因为大多数防火墙采用电子硬盘(少数采用磁盘),实现升级 功能只要很小的工作量要做。但究竟升级些什么内容?升级周期多长一次?这就涉及到一个灵活性的问题。防火墙的灵活性主要体现在以下几点: a. 易于升级
b. 支持大量协议
c. 易于管理(如纳入通用设备管理体系(支持SNMP)而不是单列出来)d. 功能可扩展
这里对功能可扩展做一简单讨论。一般情况下,防火墙在设计完成以后,其过滤规则都是 定死的,用户可定制的余地很小。特别如URL过滤规则(对支持URL过滤的防火墙而言),当前网络中的漏洞是不断发现的,如最近很猖獗的codered攻 击的就是Windows机器IIS服务器的ida漏洞,而我们如果能够及时定义过滤规则,对于“GET /default.ida”的请求及时过滤,那么内网主机(此时一般为DMZ内主机)的安全性就会高很多,内网管理人员也不必时时密切关注网络漏洞(这是 个工作量很大,既耗费体力又容易出现遗漏的工作)。这样大部分工作留给防火墙厂家来做(相应需要有一个漏洞监测体系),用户肯定会满意很多。另外,灵活性 一开始也往往不是前期设计所能设计的很完美的,它需要和用户具体实践相配合。另外灵活性也是和具体环境密切结合的,往往需要在不同的用户环境里考虑。
如何构建网络整体安全方案
整体的安全方案分成技术方案、服务方案以及支持方案三部分。
一、技术解决方案
安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够使得网络的结构更加清晰,安全性得到显著增强;同时能够有效降低安全管理的难度,提高安全管理的有效性。
下面介绍在局域网中增加的安全设备的安装位置以及他们的作用。
1、防火墙
安装位置:局域网与路由器之间;%3Fid%3D1974 上下载Stick,其编译起来并不麻烦,只需查看帮助即可。需要指出的是,绝大多数的IDS都是从Snort得到众多借鉴的,建议用户试用一下 Stick。
2.IDS漏报
和IDS误报相比,漏报其实更危险。采用IDS技术就是为了在发现入侵时给出告警信息。如果入侵者入侵成功而IDS尚未告警,IDS便失去存在的意义。笔者从国外网站上看到一篇文章,它对利用TCP连接特点让 IDS做漏报进行了详细的描述,同时还给出一些实现漏报的办法,给笔者提供了一种新思路: IDS想要防止欺骗,就要尽可能地模仿TCP/IP栈的实现。但是从效率和实现的复杂性考虑,IDS并不能很容易地做到这一点。
这种方法比较适合智能化的IDS,好的IDS一般为了减少误报,会像现在一些高端的防火墙一样基于状态进行判断,而不是根据单个的报文进行判断。这样上面谈到的Stick对这种IDS一般不起作用。但是用户应该注意到,这种简单的IDS只是字符串匹配,一旦匹配成功,即可报警。
2001年4月,又出了一个让IDS漏报的程序ADMmutate,据说它可以动态改变Shellcode。本来IDS依靠提取公开的溢出程序的特征码来报警,特征码变了以后,IDS就报不出来了。但是程序还一样起作用,服务器一样被黑。这个程序的作者是ktwo(http: //www.ktwo.ca),我们可以从http://www.ktwo.ca/c/ADMmutate-0.7.3.tar.gz上下载该程序。用户不妨也试试它,以检测自己的IDS产品性能。不过,ADMmutate只能对依靠检查字符串匹配告警的IDS起作用,如果IDS还依靠长度和可打印字符等综合指标,则ADMmutate将很容易被IDS监控到。
IDS的实现总是在漏报和误报中徘徊,漏报率降低了,误报率就会提高;同样误报率降低了,漏报率就会提高。一般地,IDS产品会在两者中取一个折衷,并且能够进行调整,以适应不同的网络环境。
四、自身安全性
毫无疑问,IDS程序本身的健壮性是衡量IDS系统好坏的另一个指标。如上所述,Stick程序能让IDS停止响应,该IDS的健壮性就值得怀疑。
IDS的健壮性主要体现在两个方面: 一是程序本身在各种网络环境下都能正常工作;二是程序各个模块之间的通信能够不被破坏,不可仿冒。IDS用于各个模块间远程通信和控制,如果通信被假冒,比如假冒一个停止远程探测器的命令或者假冒告警信息,都是釜底抽薪的狠招。这就需要用户在模块间的通信过程中引入加密和认证的机制,并且这个加密和认证的机制的健壮性要经受过考验。如果模块间的通信被切断,则需要良好的恢复重传机制。告警信息暂时没有发送出去,并不是丢弃,而是要本地保存,在适当的时候再发送。
从上面的描述中我们可以看到,没有IDS的安全防护体系是不完善的。希望本文可以帮助大家了解IDS,在网络安全体系中使用IDS增强网络的坚固性,并为用户选购IDS产品提供参考。
关于IDS
IDS采用分布式结构,内含Probe(又称探测器或探针),用于收集信息,一旦发现非法入侵便告警。根据其所处的位置不同,Probe又可以分成基于主机的和基于网络的。基于主机的Probe位于希望监控的服务器上,通过收集服务器的信息来进行分析告警。基于网络的Probe位于希望监控服务器的同一个Hub或交换机上,通过监听网络上到达服务器的报文来分析告警。
基于主机的Probe收集的信息准确,但是占用服务器资源,尤其在繁忙的服务器上会降低服务器性能。由于它与操作系统相关,如果所用IDS产品不支持操作系统,就不能安装基于主机的 42 IDS。
基于网络的Probe收集的信息没有基于主机的Probe准确,并且因为使用了监听功能,对于Hub可以正常使用,对于交换机需要交换机厂商支持。基于网络的Probe一般不影响服务器的正常工作,还可以监控多个服务器的工作。
IDS还含有一个集中监控信息的“控制台”,其作用是接收所有Probe的告警,远程控制所有的Probe。控制台端的日志分析模块会把Probe 的告警信息综合后集中分析,生成入侵分析报告。控制台端的响应模块会根据不同的响应策略对不同的告警采取不同的行动。连接控制台和Probe的是通信模块。
东软安全助力武汉信用风险管理信息系统 背景介绍:
个人征信业务是通过建立联合征信的方式,收集、整合分散在社会各方面的信用信息(数据),以市场化的运作模式和公正、独立的第三方立场,为社会提供信息产品与服务,解决社会经济交往中信息不对称问题,降低经济运行成本,规范市场经济秩序,从而推动社会信用体系的建立。项目详细描述
武汉市个人征信系统可以采集分布在武汉市政府部门、金融机构、商业机构、教育机构以及其他机构中的与个人信用相关的信息,并加入到武汉市个人征信数据库中,然后根据客户查询请求,生成《个人信用报告》,对客户提供《个人信用报告》的查询服务。如下图所示:
武汉个人征信项目是武汉市07年重点建设项目,并且武汉市全国个人征信业务若干试点城市之一。未来征信业务还将覆盖到武汉市所有工商注册企业信用记录。初步建立完整的社会信用体系。其意义十分重大,因此对于征信业务数据的机密性、完整性、可用性等安全防护要求十分严格。武汉征信项目是全新项目,没有前期经验可以借鉴,本次建设内容是建立起高起点的数据中心平台:涵盖主机系统、存储系统、网络平台、安全系统均需整合,统一规划建设。
第一阶段:容纳1000万人10个数据提供单位,在线查询系统 300人同时在线交易,响应时间不高于3秒;一期工程考虑每年对外提供100万人次信用报告查询服务;未来扩展考虑每年对外提供1000万人次信用报告查询服务;同时考虑到企业征信服务需求;
第二阶段:1000万人50个数据提供单位,在线查询系统1000人同时在线交易,响应时间不高于5秒;
第三阶段:8000万人80个数据提供单位,在线查询系统要求能提供 1000人同时在线交易能力。本次建设需完全满足第一阶段需求,而且要求可以通过扩展平滑过度,以满足第二、三阶段的业务需求。
可以看到,本次建设对安全设备性能、扩展性、高可靠性都有着相当高的要求。本期部署的防火墙是保护数据中心,核心信息资产的最重要的安全屏障。关键挑战:
1、性能。征信系统核心价值是提供个人信用信息的查询,提供信用信息产品,用户对收费获取的信息服务要求会很高,包括延迟、并发在线数等等。
2、稳定性。产品应该软硬件稳定可靠。
3、高可靠性。业务因为平台故障引起中断,导致的损失是数据加工型企业不能容忍的。
4、高扩展性。武汉征信平台分了三期建设,对安全网关设备的性能冗余提出了很高需求,直接选择高端千兆运营商级产品才能应对用户业务急速扩张带来的性能压力。
5、较之竞争对手具备独特优势功能。解决方案描述
1、模拟环境测试:在选型阶段,用户组织了多个参测品牌将产品置于用户实际环境测试。参测东软产品为东软NOKIA IP391。部分防火墙部署在核心交换机与中间件服务器之间。部分用于隔离开发网段与内网网段。测试结果显示,产品较之同类参测其他品牌产品,在性能上有着明显的优势。
2、东软产品研发、生产均遵循国际最高标准,软件成熟度达到CMM5,防火墙产品安全认证级别达到国内最高的EAL3级。获得国家权威官方机构认证。是一款成熟稳定的高品质设备。用户对此十分认可。
3、在核心网中,防火墙设备采用双机冗余VFRP协议,全面兼容核心路由HSRP和小机的热备协议。设备部署互联实现了交叉的全连接拓扑。这样所有来自广域网或者局域网访问读写请求,必须经过东软防火墙3-7层安全筛选和过滤,方能取得相关资源。同时还实现了全网骨干从设备级到链路级的全备份—双核心路由—双核心防护墙—小机双机冗余。另外一台单机防火墙部署在开发网段与核心内网之间,抑制开发网段对核心业务网段潜在的不良网络访问和攻击。
4、东软NOKIA IP391支持扩展到8个千兆端口,为未来业务扩展预留空间。此外,东软防火墙支持以太网通道功能,提供了弹性支撑未来业务带宽增长的低成本解决方案。通过对多条物理链路的捆绑,可以将防火墙的多个物理以太网端口映射成一个逻辑端口,从而达到增加带宽和链路冗余的目的,实现防火墙上下行链路带宽从1G到2G的无缝扩展。而这样的性能扩展,无需采购配件和许可。延长了设备运营周期,有效提高了投资消费比,这也是用户所看重的。
5、东软NOKIA IP391为了提供多客户式的托管服务,满足用户对防火墙系统个性化配置的需求,可以将NetEye防火墙系统逻辑划分为多个虚拟系统(vsys),每一个虚拟系统的资源和配置都是独立的,都可以进行用户管理、服务配置、安全规则配置等一系列操作。目前,用户划分开发网段安全域的另一台东软NOKIA IP391只使用了2个端口,还有潜在6个端口可供使用。这六个端口任意组合后,作为独立防火墙,可以被用作网络环境中其他新增安全域边界划分设备。用户通过单台防火墙的投资,换回多台设备使用回报。实施效果
项目实施后,通过采用双机冗余全连接拓扑方式,在高速交换骨干和高容量存储设备之间,无缝嵌入高性能深度防御防火墙设备,使得武汉征信业务平台在具备极高故障容错性能基础上,获得了极高的核心数据平台应用安全防护能力,其内嵌自动入侵行为检测阻断模块对流行的蠕虫病毒、分布式DOS攻击等威胁,提供了良好的的识别及阻断能力。
设备采用HTTPS的WEBUI管理方式,管理员在工作中可以方便的通过任何联网终端机建立安全的HTTPS加密通道以IE窗口方式登陆管理。防火墙还支持类CISOC命令行方式管理,安全管理员经过培训可以迅速精通防火墙操作,具备良好的操作便利性和较低的培训成本。用户评价
用户通过选择了可靠的合作伙伴,选择高品质的高端产品,感受到了优质的产品服务。项目的良好完工,上线运行,东软的产品和服务经受了试运行阶段的考验。以上实践证明,用户前期项目设计和产品选型是可行和可靠的。用户对以太网通道、虚拟防火墙这样的高端防火墙才具备的实用功能非常认可。
点击咨询 