楊玉新

? ? ? ? ? ? ? ? ? ? ?

摘要：多層次網(wǎng)絡(luò)防護(hù)技術(shù)使系統(tǒng)復(fù)雜化，只要防護(hù)體系中的一個(gè)產(chǎn)品或程序出錯(cuò)就會(huì)使所有安全防范體系崩潰，多層防護(hù)產(chǎn)品選用沒(méi)有標(biāo)準(zhǔn)，網(wǎng)絡(luò)遭到攻擊做出的反應(yīng)的速度落后于攻擊事件出現(xiàn)的速度，為此需要有效防護(hù)的技術(shù)，入侵防護(hù)IPS是一種具有深層防御功能的系統(tǒng)，雖然IPS有不盡完善的魯棒性問(wèn)題存在，但是如今的技術(shù)正在不斷向前發(fā)展，更重要的是IPS能有效阻止惡意入侵者的攻擊和確保內(nèi)網(wǎng)安全，而NIPS是一項(xiàng)理想的內(nèi)網(wǎng)防護(hù)技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò);多層防護(hù);IDS;IPS;NIPS

中圖分類(lèi)號(hào)：TP393 ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）13-0066-02

1 網(wǎng)絡(luò)多層次防護(hù)概念

累積式的多層防護(hù)技術(shù)從根本上說(shuō)就是要實(shí)現(xiàn)一個(gè)建立在多層次防護(hù)系統(tǒng)基礎(chǔ)上來(lái)進(jìn)行網(wǎng)絡(luò)防御的方法，其做法就是在網(wǎng)絡(luò)的多個(gè)節(jié)點(diǎn)上部署網(wǎng)絡(luò)防護(hù)產(chǎn)品以此增加黑客入侵時(shí)所要耗費(fèi)的成本、資源和時(shí)間，增加攻擊所要付出的成本，以此來(lái)降低被攻擊的風(fēng)險(xiǎn)，達(dá)到實(shí)現(xiàn)安全防護(hù)內(nèi)部網(wǎng)絡(luò)的目的。

2 5層安全網(wǎng)絡(luò)體系。

5層安全網(wǎng)絡(luò)體系：操作系統(tǒng)安全;用戶安全;應(yīng)用程序安全和數(shù)據(jù)安全。

3 六層網(wǎng)絡(luò)安全體系

在Hurwitz Group的五層網(wǎng)絡(luò)安全體系之后又更進(jìn)一步的設(shè)計(jì)出了六層網(wǎng)絡(luò)安全體系，此方案是一種較為完整的安全解決方案，此方案較為全面的考慮到了網(wǎng)絡(luò)的物理層、鏈路層、網(wǎng)絡(luò)層、信息安全、應(yīng)用層和用戶安全等都要同時(shí)考慮到的問(wèn)題。

上圖1的層次為6的防護(hù)就是要把網(wǎng)絡(luò)中的物理安全，鏈路安全，網(wǎng)絡(luò)安全等安全因素都要包括在內(nèi)，這需要從訪問(wèn)控制、漏洞掃描和入侵檢測(cè)等多種防護(hù)措施同時(shí)都要加于考慮到的安全，而信息安全是非常重要的因素，是信息在傳輸過(guò)程和存儲(chǔ)環(huán)節(jié)的安全，應(yīng)用層安全即操作系統(tǒng)、數(shù)據(jù)庫(kù)和web服務(wù)器的安全，用戶安全就是身份認(rèn)證，訪問(wèn)控制和保證密碼的安全，并要求對(duì)不同安全等級(jí)的用戶能做到分級(jí)別管理。

多層防護(hù)系統(tǒng)中的任何一道防線即使被攻破后也到達(dá)不了目標(biāo)，多層次顯然就增加了攻擊的關(guān)口數(shù)量，但是防護(hù)的弱點(diǎn)也很明顯，多層次就需要使用多個(gè)產(chǎn)品，這就使防護(hù)系統(tǒng)復(fù)雜化，只要其中的一個(gè)產(chǎn)品出現(xiàn)故障就會(huì)導(dǎo)致安全防范體系崩潰，維護(hù)成本會(huì)也可能相應(yīng)增高，再有就是多層次防護(hù)產(chǎn)品之間沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)。

4 IPS網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)

4.1 IPS的出現(xiàn)

IDS對(duì)惡意攻擊的處理能力較弱，而多個(gè)產(chǎn)品防護(hù)又增大了系統(tǒng)的復(fù)雜性，這種防護(hù)的方法其實(shí)質(zhì)是一種累積防護(hù)模塊的方法，但是這種方法是有嚴(yán)重缺陷的，因?yàn)檫@種簡(jiǎn)單累積的方法會(huì)出現(xiàn)只要一個(gè)產(chǎn)品或程序發(fā)生故障就會(huì)使整個(gè)防范體系失效，防火墻和檢測(cè)設(shè)備沒(méi)有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)，網(wǎng)絡(luò)受到攻擊做出響應(yīng)的時(shí)間會(huì)落后于攻擊事件的出現(xiàn)。這樣就需要引用IPS防護(hù)措施，IPS能夠提供真正的深層次有效防護(hù)，不但能夠查找出惡意代碼，并且還能夠主動(dòng)地阻止或清除惡意代碼。今天網(wǎng)絡(luò)受到的入侵攻擊是嚴(yán)重而又頻發(fā)的，在嚴(yán)重的網(wǎng)絡(luò)現(xiàn)實(shí)中，必須有深層防護(hù)才可以確保內(nèi)部網(wǎng)絡(luò)的安全。

4.2 IPS的布置

IPS能夠?qū)W(wǎng)絡(luò)進(jìn)行深層次防護(hù)，此防護(hù)布置的位置在防火墻和外部網(wǎng)絡(luò)的設(shè)備之間，目的是檢查進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包，通過(guò)檢測(cè)系統(tǒng)檢測(cè)，并通過(guò)設(shè)置的防護(hù)機(jī)制來(lái)決定是否允許其進(jìn)入內(nèi)網(wǎng)，這樣的布置如圖2。

4.3 IPS分類(lèi)入侵防御系統(tǒng)

這種入侵防護(hù)系統(tǒng)的類(lèi)型有網(wǎng)絡(luò)的防護(hù)系統(tǒng)NIPS、主機(jī)的防護(hù)系統(tǒng)HIPS和應(yīng)用級(jí)入侵防護(hù)系統(tǒng)-AIPS，而IPS入侵防護(hù)系統(tǒng)有三種實(shí)現(xiàn)方法：（1）一種是HIPS[主機(jī)型防護(hù)系統(tǒng)-這種系統(tǒng)部署在主機(jī)系統(tǒng)上]。（2）NIPS-基于網(wǎng)絡(luò)的入侵防護(hù)，軟件或?qū)ｉT(mén)的硬件系統(tǒng)，直接接入網(wǎng)段中，保護(hù)同一級(jí)網(wǎng)段或者是下一級(jí)網(wǎng)段的所有系統(tǒng)。（3）應(yīng)用級(jí)[AIPS]防護(hù)是由主機(jī)系統(tǒng)防護(hù)發(fā)展而來(lái)，其位置放置于應(yīng)用服務(wù)器的前端， HIPS的作用是把防護(hù)的功能延展到了服務(wù)器的前端，以此來(lái)保證服務(wù)器的安全，本文鑒于篇幅的限制這里只對(duì)NIPS作簡(jiǎn)單介紹。

1） NIPS技術(shù)

NIPS放置在網(wǎng)絡(luò)的主干線上，全部數(shù)據(jù)包都要經(jīng)過(guò)它。此技術(shù)具有檢測(cè)、防御和清除病毒的功能，但是這樣的防護(hù)需要有兩個(gè)網(wǎng)卡，一個(gè)網(wǎng)卡連接內(nèi)網(wǎng)，另一網(wǎng)卡連接外網(wǎng)，數(shù)據(jù)包經(jīng)過(guò)一個(gè)網(wǎng)卡接口時(shí)，NIPS就會(huì)將它們發(fā)送到檢測(cè)引擎，當(dāng)檢測(cè)到一個(gè)惡意的數(shù)據(jù)包時(shí)，IPS就會(huì)引發(fā)警報(bào)，若有則處理此包，若該特殊TCP會(huì)話流的其他數(shù)據(jù)包到達(dá)檢測(cè)系統(tǒng)NIPS時(shí)，數(shù)據(jù)包將被丟棄。正常數(shù)據(jù)包通過(guò)另一個(gè)接口傳遞到目的主機(jī)。

NIPS功能是檢測(cè)進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包，主要提供對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)。它采用的方式是在線連接方式，所以若判別出具有入侵行為的數(shù)據(jù)信息，NIPS就能斷開(kāi)網(wǎng)絡(luò)會(huì)話，而不只是復(fù)位會(huì)話。

特別之處在于NIPS吸取了原先的技術(shù)，比如異常檢測(cè)，分析協(xié)議和匹配特征。而采用匹配特征具備準(zhǔn)確率高的特點(diǎn)而且速度快，而基于狀態(tài)的匹配特征不但能檢測(cè)攻擊行為特征，還能檢出當(dāng)前鏈路的會(huì)話狀態(tài)，以此防范受到欺騙攻擊，NIPS若有硬件結(jié)構(gòu)，就能很好地實(shí)現(xiàn)了千兆級(jí)網(wǎng)絡(luò)流量的深層次數(shù)據(jù)包檢測(cè)和阻斷功能。如此硬件構(gòu)成共有三種：一種是網(wǎng)絡(luò)處理器，此外是FPGA-編程芯片和ASIC-芯片。

2） IPS的工作原理

IPS具備插入到網(wǎng)絡(luò)流量中從而實(shí)現(xiàn)實(shí)時(shí)的深層次防護(hù)功能，即通過(guò)一個(gè)網(wǎng)絡(luò)端口接收來(lái)自外部系統(tǒng)的流量，經(jīng)過(guò)檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過(guò)另外一個(gè)端口把它發(fā)送到內(nèi)部系統(tǒng)中，有問(wèn)題的數(shù)據(jù)包在IPS設(shè)備將被清除。

IPS能夠?qū)?shù)據(jù)包做進(jìn)一步的逐一字節(jié)查數(shù)，其本工作原理如圖3所示。

根據(jù)數(shù)據(jù)包的源目的地址、源端口以及應(yīng)用層的一些相關(guān)信息，發(fā)送到接收端的數(shù)據(jù)包都會(huì)被分類(lèi)，其協(xié)議類(lèi)型和流量統(tǒng)計(jì)的信息會(huì)被送到數(shù)據(jù)流處理模塊那里去分析、審計(jì)，依據(jù)數(shù)據(jù)包的分類(lèi)，相關(guān)的過(guò)濾器將被調(diào)用，以此檢測(cè)數(shù)據(jù)包的流狀態(tài)信息，有關(guān)的過(guò)濾器都進(jìn)行并行處理，如果任何數(shù)據(jù)包符合匹配要求，這樣的數(shù)據(jù)包將被標(biāo)識(shí)為選中，標(biāo)識(shí)為選中的數(shù)據(jù)包就將被丟棄，其流狀態(tài)信息 [stream]將會(huì)更新，與次相關(guān)聯(lián)的數(shù)據(jù)流信息將被刪除。

5 總結(jié)

多層次防護(hù)策略有可能出現(xiàn)只需一個(gè)層次或程序出問(wèn)題就導(dǎo)致防范體系形同虛設(shè)，層次多，維持成本高。如此防護(hù)的多層次產(chǎn)品比此之間的相互配合沒(méi)有一個(gè)統(tǒng)一標(biāo)準(zhǔn)，在購(gòu)買(mǎi)產(chǎn)品的時(shí)候，還須要想到產(chǎn)品之間的交互問(wèn)題，這樣就限制了用戶選擇產(chǎn)品的范圍，IPS單個(gè)通信控制點(diǎn)通常位于NIPS下面的系統(tǒng)，NIPS探測(cè)器[sensor]部署容易，此技術(shù)能夠保護(hù)成百甚至上千系統(tǒng)。當(dāng)然IPS也不盡完善，擁塞問(wèn)題，這就使網(wǎng)絡(luò)的運(yùn)行效率低，特征庫(kù)大時(shí)就影響硬件配置的網(wǎng)絡(luò)安全檢測(cè)速度，再有IPS存在報(bào)錯(cuò)率問(wèn)題，顯然IPS有不盡完善的問(wèn)題存在，但我們不能因噎廢食，而是在不斷地提高其運(yùn)行速度，降低誤報(bào)率以及提高其防御性能，很明顯選用IPS是明智之舉。

參考文獻(xiàn)：

[1] 楊義先.鈕心忻.網(wǎng)絡(luò)安全理論與技術(shù)[M].北京：人民郵電出版社，2003.

[2] 胡建偉.網(wǎng)絡(luò)對(duì)抗原理[M].西安：電子科技大學(xué)出版社，2010.

[3] 吳鵬.MATLAB高效編程技巧與應(yīng)用[M].北京航空航天大學(xué)出版社，2010.

[4] 劉化君.網(wǎng)絡(luò)安全技術(shù)[M].北京：機(jī)械工業(yè)出版社，2010.

【通聯(lián)編輯：代影】