楊玉新

(德宏師范高等專(zhuān)科學(xué)校現(xiàn)代教育技術(shù)中心，云南 德宏 678400)

1.引言

現(xiàn)在市場(chǎng)上已有不少的安全產(chǎn)品，但這些產(chǎn)品主要都集中在解決某方面的安全問(wèn)題，無(wú)法全方位解決企事業(yè)單位網(wǎng)絡(luò)安全和管理的問(wèn)題。而事實(shí)上單純的網(wǎng)絡(luò)防御產(chǎn)品不足以構(gòu)建一個(gè)完善的網(wǎng)絡(luò)整體防御體系，因?yàn)榫W(wǎng)絡(luò)安全需要在網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)的指導(dǎo)下，從既防止外部網(wǎng)絡(luò)攻擊同時(shí)又防止網(wǎng)絡(luò)內(nèi)部攻擊的共同防御整體角度看待計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，將多種安全保護(hù)措施集合在一起，使它們之間互通信息、協(xié)同防御，才是全面解決計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的最佳途徑。

2.防御系統(tǒng)的部署

整個(gè)防御體系結(jié)構(gòu)主要由兩級(jí)防御系統(tǒng)組成，第一級(jí)防御系統(tǒng)在Linux環(huán)境下由基于網(wǎng)絡(luò)的入侵防御系統(tǒng) (NIPS:Network－based Intrusion Prevention System)組成。第二級(jí)防御系統(tǒng)選用成熟的主機(jī)安全代理軟件。兩系統(tǒng)都與管理中心保持有密切的通信機(jī)制，其中主機(jī)安全代理以軟件的方式實(shí)現(xiàn)并運(yùn)行在內(nèi)部網(wǎng)的各個(gè)主機(jī)中，也可以安裝在遠(yuǎn)程用戶(hù)的便攜機(jī)和托管服務(wù)器上。如圖1所示。

NIPS主要基于IDS及防火墻技術(shù)基礎(chǔ)構(gòu)建。NIPS通常以?xún)?nèi)嵌的方式，部署在網(wǎng)絡(luò)的關(guān)鍵位置，所有經(jīng)過(guò)sensor的數(shù)據(jù)均可被截取到。該系統(tǒng)把這兩種技術(shù)融合在一起，構(gòu)成一種深層檢測(cè)與防護(hù)解決方案。為了便于管理這些NIPS設(shè)備及要保護(hù)的服務(wù)器、PC機(jī)、便攜機(jī)和托管服務(wù)器，我們提供一個(gè)集中式的安全管理中心，通過(guò)它可以管理這些系統(tǒng)。管理中心除了管理配置功能之外，還具有接收NIPS和服務(wù)器、PC機(jī)、便攜機(jī)和托管服務(wù)器各系統(tǒng)的告警信息。綜上所述，這個(gè)體系結(jié)構(gòu)構(gòu)成一種安全性更高的網(wǎng)絡(luò)安全體系，具有集中式安全管理、實(shí)時(shí)主動(dòng)阻斷入侵的優(yōu)點(diǎn)。下面，我們將對(duì)體系中用到的關(guān)鍵技術(shù)進(jìn)行闡述。

圖1 兩級(jí)入侵防御體系結(jié)構(gòu)

3.NIPS防御

3.1 NIPS的工作原理

絕大多數(shù)IDS系統(tǒng)都是被動(dòng)的，而不是主動(dòng)的。也就是說(shuō)，在攻擊實(shí)際發(fā)生之前，它們往往無(wú)法預(yù)先發(fā)出警報(bào)。而入侵防護(hù)系統(tǒng) (NIPS)則傾向于提供主動(dòng)防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。NIPS是通過(guò)直接嵌入到網(wǎng)絡(luò)中實(shí)現(xiàn)這一功能的，即通過(guò)一個(gè)網(wǎng)絡(luò)端口接收來(lái)自外部系統(tǒng)的流量，經(jīng)過(guò)檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過(guò)另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來(lái)，有問(wèn)題的數(shù)據(jù)包，以及所有來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被清除掉。

3.2 防御功能軟模塊及其實(shí)現(xiàn)

我們所設(shè)計(jì)的內(nèi)網(wǎng)防御系統(tǒng)兼有IDS、防火墻和各主機(jī)安全代理等安全組件的特性。這一防御系統(tǒng)不但可以檢測(cè)可疑的網(wǎng)絡(luò)流量，而且可以丟棄惡意的數(shù)據(jù)包，或修改數(shù)據(jù)包中的攻擊串，或者阻斷該數(shù)據(jù)流。本系統(tǒng)設(shè)計(jì)是在防火墻的基礎(chǔ)之上，進(jìn)行數(shù)據(jù)流的控制，支持2層和4層 (TCP/IP模型)的入侵檢測(cè)和防御，實(shí)現(xiàn)了深度防御的網(wǎng)絡(luò)安全解決方案。與深度檢測(cè)防火墻不同，這個(gè)體系可以檢測(cè)多種攻擊，后者只能是簡(jiǎn)單的字符串過(guò)濾和匹配。邏輯結(jié)構(gòu)圖2所示。

入侵防御系統(tǒng)主要由安全管理中心、防火墻、NIPS sensor(傳感器)、以軟件方式安裝在各PC機(jī)及服務(wù)器上的主機(jī)安全代理4個(gè)組件構(gòu)成。

NIPS sensor通常以?xún)?nèi)嵌的方式，部署在需要保護(hù)的網(wǎng)絡(luò)的關(guān)鍵位置，這樣，經(jīng)過(guò)入侵防御系統(tǒng)的數(shù)據(jù)均可被截取到。sensor通過(guò)分析、檢測(cè)所有的網(wǎng)絡(luò)數(shù)據(jù)流，判斷數(shù)據(jù)中是否存在惡意的入侵行為，如果檢測(cè)到這種行為，根據(jù)預(yù)定的響應(yīng)策略，把相關(guān)的信息傳送數(shù)據(jù)中心，并向管理中心發(fā)出報(bào)警，同時(shí)通知入侵防御模塊采取相應(yīng)的主動(dòng)防御措施。

圖2 入侵防御系統(tǒng)的邏輯結(jié)構(gòu)圖

4.主機(jī)安全代理下的防御

4.1 主機(jī)安全代理的作用

主機(jī)安全代理以軟件的方式實(shí)現(xiàn)，運(yùn)行在內(nèi)部網(wǎng)的各個(gè)主機(jī)中，也可以安裝在遠(yuǎn)程用戶(hù)的便攜機(jī)和托管服務(wù)器上，具有訪問(wèn)控制、網(wǎng)絡(luò)入侵檢測(cè)和主機(jī)入侵檢測(cè)的功能。主機(jī)安全代理具有如下的特點(diǎn):

4.1.1 提供全面保護(hù)

主機(jī)安全代理綜合使用了訪問(wèn)控制、網(wǎng)絡(luò)入侵檢測(cè)和主機(jī)入侵檢測(cè)等安全技術(shù)，并且對(duì)于某些入侵行為，在檢測(cè)出來(lái)的同時(shí)，可以及時(shí)進(jìn)行攔截，為主機(jī)提供全面、完整的安全保護(hù)。

4.1.2 主機(jī)駐留

主機(jī)安全代理駐留在受保護(hù)的主機(jī)上，該主機(jī)以外的網(wǎng)絡(luò)不管是處在內(nèi)部網(wǎng)還是外部網(wǎng)都認(rèn)為是不可信任的，因此能夠防止來(lái)自外部和內(nèi)部的攻擊。并且還可以針對(duì)該主機(jī)上的具體應(yīng)用和對(duì)外提供的服務(wù)，設(shè)定針對(duì)性很強(qiáng)的安全策略。主機(jī)安全代理對(duì)“安全網(wǎng)管”系統(tǒng)的突出貢獻(xiàn)是，使安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是把安全策略延伸到每個(gè)網(wǎng)絡(luò)的末端。

4.1.3 嵌入操作系統(tǒng)內(nèi)核

眾所周知，操作系統(tǒng)自身存在許多安全漏洞。主機(jī)安全代理運(yùn)行在這些操作系統(tǒng)上，其運(yùn)行機(jī)制嵌入到操作系統(tǒng)內(nèi)核中，徹底堵住操作系統(tǒng)的漏洞。

4.1.4 類(lèi)似個(gè)人防火墻

個(gè)人防火墻的安全策略由系統(tǒng)使用者自己設(shè)置，目標(biāo)是防外部攻擊，而主機(jī)安全代理的安全策略由整個(gè)系統(tǒng)的管理員統(tǒng)一安排和設(shè)置，主機(jī)安全代理共同構(gòu)成一個(gè)企業(yè)級(jí)的方案，形成一個(gè)安全策略統(tǒng)一管理、安全檢查機(jī)制分散布置的分布式安全防護(hù)體系結(jié)構(gòu)。

4.1.5 適用于托管服務(wù)器

對(duì)于這種應(yīng)用，傳統(tǒng)防火墻就顯得無(wú)能為力。而在我們的“安全網(wǎng)管”系統(tǒng)中，用戶(hù)只需在托管服務(wù)器上安裝安全代理，使用管理中心制定和發(fā)放相應(yīng)的安全策略，就可以對(duì)它們進(jìn)行安全保護(hù)和管理。

4.1.6 也適合遠(yuǎn)程用戶(hù)

遠(yuǎn)程用戶(hù)或出差在外的員工也可以在它們的便攜機(jī)上安裝主機(jī)安全代理，這樣他們的機(jī)器就會(huì)受到與內(nèi)部網(wǎng)主機(jī)同樣的保護(hù)。

4.2 主機(jī)安全代理的選用

主機(jī)安全代理選用思科安全代理CSA(Cisco safe agent)軟件。新一代思科安全代理網(wǎng)絡(luò)安全軟件可以為服務(wù)器和臺(tái)式機(jī)計(jì)算系統(tǒng) (也被稱(chēng)為“終端”)提供威脅防范功能。思科安全代理與傳統(tǒng)的終端安全解決方案的不同之處在于，它可以在惡意行為發(fā)生之前發(fā)現(xiàn)和阻止它們，進(jìn)而消除潛在的已知和未知安全風(fēng)險(xiǎn)，防止其威脅到企業(yè)網(wǎng)絡(luò)和應(yīng)用的安全。因?yàn)樗伎瓢踩聿捎玫氖欠治鲂袨槎皇翘卣髌ヅ涞姆椒?，因而這一解決方案能夠以較低的運(yùn)營(yíng)成本提供強(qiáng)大的保護(hù)。

5.結(jié)論

在整個(gè)防御系統(tǒng)中NIPS是第一道入侵防御系統(tǒng)，主機(jī)安全代理是第二道防御系統(tǒng)。兩系統(tǒng)都與管理中心保持有密切的通信機(jī)制。其中主機(jī)安全代理以軟件的方式實(shí)現(xiàn)并運(yùn)行在內(nèi)部網(wǎng)的各個(gè)主機(jī)中，也可以安裝在遠(yuǎn)程用戶(hù)的便攜機(jī)和托管服務(wù)器上，具有訪問(wèn)控制和主機(jī)入侵檢測(cè)的功能。它類(lèi)似于個(gè)人防火墻，不同之處是自己不進(jìn)行安全策略的制定和日志、告警信息的處理。它從管理中心上得到安全策略，利用這些策略對(duì)主機(jī)提供全面保護(hù)，并將產(chǎn)生的日志、檢測(cè)出的入侵行為、告警信息上傳到管理中心進(jìn)行統(tǒng)一的處理和決策。

網(wǎng)絡(luò)安全需要在網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)的指導(dǎo)下，從既防止外部網(wǎng)絡(luò)攻擊同時(shí)又防止網(wǎng)絡(luò)內(nèi)部攻擊的共同防御整體角度看待計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，將多種安全保護(hù)措施集合在一起，使它們之間互通信息、協(xié)同防御，才是全面解決計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的最佳途徑。另外值得關(guān)注的是，目前網(wǎng)絡(luò)的物理拓樸結(jié)構(gòu)有了很多的變化。隨著越來(lái)越多的企業(yè)利用互聯(lián)網(wǎng)構(gòu)架自己的跨地區(qū)網(wǎng)絡(luò)，例如移動(dòng)辦公和服務(wù)器托管等，所謂內(nèi)部企業(yè)網(wǎng)已經(jīng)變成一個(gè)邏輯上的概念，物理的邊界日趨模糊。這些情況迫使大家不得不加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)，而“安全網(wǎng)管”就是一種很值得重視的新思路。為此我們十分有必要選用主機(jī)安全代理，從而把網(wǎng)絡(luò)安全防護(hù)延伸到網(wǎng)絡(luò)的末端。

［1］肖軍模，劉軍.網(wǎng)絡(luò)信息安全 (第一版)［M］.北京:機(jī)械工業(yè)出版社，2006.

［2］Mike Barkett.Intrusion Prevention Systems［EB/OL］.www.nfr.com.2009.

［3］劉文濤.網(wǎng)絡(luò)安全開(kāi)發(fā)包詳解 (第一版)［M］.北京:電子工業(yè)出版社，2008.

［4］林延福.密罐技術(shù) ［D］.西安電子科技大學(xué)，2005.