一種網(wǎng)絡(luò)安全兩級防御系統(tǒng)的研究與設(shè)計*

楊玉新

(德宏師范高等專科學(xué)校現(xiàn)代教育技術(shù)中心，云南 德宏 678400)

1.引言

現(xiàn)在市場上已有不少的安全產(chǎn)品，但這些產(chǎn)品主要都集中在解決某方面的安全問題，無法全方位解決企事業(yè)單位網(wǎng)絡(luò)安全和管理的問題。而事實上單純的網(wǎng)絡(luò)防御產(chǎn)品不足以構(gòu)建一個完善的網(wǎng)絡(luò)整體防御體系，因為網(wǎng)絡(luò)安全需要在網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)的指導(dǎo)下，從既防止外部網(wǎng)絡(luò)攻擊同時又防止網(wǎng)絡(luò)內(nèi)部攻擊的共同防御整體角度看待計算機網(wǎng)絡(luò)安全問題，將多種安全保護措施集合在一起，使它們之間互通信息、協(xié)同防御，才是全面解決計算機網(wǎng)絡(luò)安全問題的最佳途徑。

2.防御系統(tǒng)的部署

整個防御體系結(jié)構(gòu)主要由兩級防御系統(tǒng)組成，第一級防御系統(tǒng)在Linux環(huán)境下由基于網(wǎng)絡(luò)的入侵防御系統(tǒng) (NIPS:Network－based Intrusion Prevention System)組成。第二級防御系統(tǒng)選用成熟的主機安全代理軟件。兩系統(tǒng)都與管理中心保持有密切的通信機制，其中主機安全代理以軟件的方式實現(xiàn)并運行在內(nèi)部網(wǎng)的各個主機中，也可以安裝在遠程用戶的便攜機和托管服務(wù)器上。如圖1所示。

NIPS主要基于IDS及防火墻技術(shù)基礎(chǔ)構(gòu)建。NIPS通常以內(nèi)嵌的方式，部署在網(wǎng)絡(luò)的關(guān)鍵位置，所有經(jīng)過sensor的數(shù)據(jù)均可被截取到。該系統(tǒng)把這兩種技術(shù)融合在一起，構(gòu)成一種深層檢測與防護解決方案。為了便于管理這些NIPS設(shè)備及要保護的服務(wù)器、PC機、便攜機和托管服務(wù)器，我們提供一個集中式的安全管理中心，通過它可以管理這些系統(tǒng)。管理中心除了管理配置功能之外，還具有接收NIPS和服務(wù)器、PC機、便攜機和托管服務(wù)器各系統(tǒng)的告警信息。綜上所述，這個體系結(jié)構(gòu)構(gòu)成一種安全性更高的網(wǎng)絡(luò)安全體系，具有集中式安全管理、實時主動阻斷入侵的優(yōu)點。下面，我們將對體系中用到的關(guān)鍵技術(shù)進行闡述。

圖1 兩級入侵防御體系結(jié)構(gòu)

3.NIPS防御

3.1 NIPS的工作原理

絕大多數(shù)IDS系統(tǒng)都是被動的，而不是主動的。也就是說，在攻擊實際發(fā)生之前，它們往往無法預(yù)先發(fā)出警報。而入侵防護系統(tǒng) (NIPS)則傾向于提供主動防護，其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。NIPS是通過直接嵌入到網(wǎng)絡(luò)中實現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認其中不包含異常活動或可疑內(nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被清除掉。

3.2 防御功能軟模塊及其實現(xiàn)

我們所設(shè)計的內(nèi)網(wǎng)防御系統(tǒng)兼有IDS、防火墻和各主機安全代理等安全組件的特性。這一防御系統(tǒng)不但可以檢測可疑的網(wǎng)絡(luò)流量，而且可以丟棄惡意的數(shù)據(jù)包，或修改數(shù)據(jù)包中的攻擊串，或者阻斷該數(shù)據(jù)流。本系統(tǒng)設(shè)計是在防火墻的基礎(chǔ)之上，進行數(shù)據(jù)流的控制，支持2層和4層 (TCP/IP模型)的入侵檢測和防御，實現(xiàn)了深度防御的網(wǎng)絡(luò)安全解決方案。與深度檢測防火墻不同，這個體系可以檢測多種攻擊，后者只能是簡單的字符串過濾和匹配。邏輯結(jié)構(gòu)圖2所示。

入侵防御系統(tǒng)主要由安全管理中心、防火墻、NIPS sensor(傳感器)、以軟件方式安裝在各PC機及服務(wù)器上的主機安全代理4個組件構(gòu)成。

NIPS sensor通常以內(nèi)嵌的方式，部署在需要保護的網(wǎng)絡(luò)的關(guān)鍵位置，這樣，經(jīng)過入侵防御系統(tǒng)的數(shù)據(jù)均可被截取到。sensor通過分析、檢測所有的網(wǎng)絡(luò)數(shù)據(jù)流，判斷數(shù)據(jù)中是否存在惡意的入侵行為，如果檢測到這種行為，根據(jù)預(yù)定的響應(yīng)策略，把相關(guān)的信息傳送數(shù)據(jù)中心，并向管理中心發(fā)出報警，同時通知入侵防御模塊采取相應(yīng)的主動防御措施。

圖2 入侵防御系統(tǒng)的邏輯結(jié)構(gòu)圖

4.主機安全代理下的防御

4.1 主機安全代理的作用

主機安全代理以軟件的方式實現(xiàn)，運行在內(nèi)部網(wǎng)的各個主機中，也可以安裝在遠程用戶的便攜機和托管服務(wù)器上，具有訪問控制、網(wǎng)絡(luò)入侵檢測和主機入侵檢測的功能。主機安全代理具有如下的特點:

4.1.1 提供全面保護

主機安全代理綜合使用了訪問控制、網(wǎng)絡(luò)入侵檢測和主機入侵檢測等安全技術(shù)，并且對于某些入侵行為，在檢測出來的同時，可以及時進行攔截，為主機提供全面、完整的安全保護。

4.1.2 主機駐留

主機安全代理駐留在受保護的主機上，該主機以外的網(wǎng)絡(luò)不管是處在內(nèi)部網(wǎng)還是外部網(wǎng)都認為是不可信任的，因此能夠防止來自外部和內(nèi)部的攻擊。并且還可以針對該主機上的具體應(yīng)用和對外提供的服務(wù)，設(shè)定針對性很強的安全策略。主機安全代理對“安全網(wǎng)管”系統(tǒng)的突出貢獻是，使安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是把安全策略延伸到每個網(wǎng)絡(luò)的末端。

4.1.3 嵌入操作系統(tǒng)內(nèi)核

眾所周知，操作系統(tǒng)自身存在許多安全漏洞。主機安全代理運行在這些操作系統(tǒng)上，其運行機制嵌入到操作系統(tǒng)內(nèi)核中，徹底堵住操作系統(tǒng)的漏洞。

4.1.4 類似個人防火墻

個人防火墻的安全策略由系統(tǒng)使用者自己設(shè)置，目標(biāo)是防外部攻擊，而主機安全代理的安全策略由整個系統(tǒng)的管理員統(tǒng)一安排和設(shè)置，主機安全代理共同構(gòu)成一個企業(yè)級的方案，形成一個安全策略統(tǒng)一管理、安全檢查機制分散布置的分布式安全防護體系結(jié)構(gòu)。

4.1.5 適用于托管服務(wù)器

對于這種應(yīng)用，傳統(tǒng)防火墻就顯得無能為力。而在我們的“安全網(wǎng)管”系統(tǒng)中，用戶只需在托管服務(wù)器上安裝安全代理，使用管理中心制定和發(fā)放相應(yīng)的安全策略，就可以對它們進行安全保護和管理。

4.1.6 也適合遠程用戶

遠程用戶或出差在外的員工也可以在它們的便攜機上安裝主機安全代理，這樣他們的機器就會受到與內(nèi)部網(wǎng)主機同樣的保護。

4.2 主機安全代理的選用

主機安全代理選用思科安全代理CSA(Cisco safe agent)軟件。新一代思科安全代理網(wǎng)絡(luò)安全軟件可以為服務(wù)器和臺式機計算系統(tǒng) (也被稱為“終端”)提供威脅防范功能。思科安全代理與傳統(tǒng)的終端安全解決方案的不同之處在于，它可以在惡意行為發(fā)生之前發(fā)現(xiàn)和阻止它們，進而消除潛在的已知和未知安全風(fēng)險，防止其威脅到企業(yè)網(wǎng)絡(luò)和應(yīng)用的安全。因為思科安全代理采用的是分析行為而不是特征匹配的方法，因而這一解決方案能夠以較低的運營成本提供強大的保護。

5.結(jié)論

在整個防御系統(tǒng)中NIPS是第一道入侵防御系統(tǒng)，主機安全代理是第二道防御系統(tǒng)。兩系統(tǒng)都與管理中心保持有密切的通信機制。其中主機安全代理以軟件的方式實現(xiàn)并運行在內(nèi)部網(wǎng)的各個主機中，也可以安裝在遠程用戶的便攜機和托管服務(wù)器上，具有訪問控制和主機入侵檢測的功能。它類似于個人防火墻，不同之處是自己不進行安全策略的制定和日志、告警信息的處理。它從管理中心上得到安全策略，利用這些策略對主機提供全面保護，并將產(chǎn)生的日志、檢測出的入侵行為、告警信息上傳到管理中心進行統(tǒng)一的處理和決策。

網(wǎng)絡(luò)安全需要在網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)的指導(dǎo)下，從既防止外部網(wǎng)絡(luò)攻擊同時又防止網(wǎng)絡(luò)內(nèi)部攻擊的共同防御整體角度看待計算機網(wǎng)絡(luò)安全問題，將多種安全保護措施集合在一起，使它們之間互通信息、協(xié)同防御，才是全面解決計算機網(wǎng)絡(luò)安全問題的最佳途徑。另外值得關(guān)注的是，目前網(wǎng)絡(luò)的物理拓樸結(jié)構(gòu)有了很多的變化。隨著越來越多的企業(yè)利用互聯(lián)網(wǎng)構(gòu)架自己的跨地區(qū)網(wǎng)絡(luò)，例如移動辦公和服務(wù)器托管等，所謂內(nèi)部企業(yè)網(wǎng)已經(jīng)變成一個邏輯上的概念，物理的邊界日趨模糊。這些情況迫使大家不得不加強對網(wǎng)絡(luò)系統(tǒng)的安全防護，而“安全網(wǎng)管”就是一種很值得重視的新思路。為此我們十分有必要選用主機安全代理，從而把網(wǎng)絡(luò)安全防護延伸到網(wǎng)絡(luò)的末端。

［1］肖軍模，劉軍.網(wǎng)絡(luò)信息安全 (第一版)［M］.北京:機械工業(yè)出版社，2006.

［2］Mike Barkett.Intrusion Prevention Systems［EB/OL］.www.nfr.com.2009.

［3］劉文濤.網(wǎng)絡(luò)安全開發(fā)包詳解 (第一版)［M］.北京:電子工業(yè)出版社，2008.

［4］林延福.密罐技術(shù) ［D］.西安電子科技大學(xué)，2005.