校园网安全策略――IDS 与防火墙联动
开篇:润墨网以专业的文秘视角,为您筛选了一篇校园网安全策略――IDS 与防火墙联动范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:该文提出了校园网存在的安全隐患及安全管理的重要性,引出IDS与防火墙联动的安全策略。接着针对联动策略进行了系统的阐述,包括联动技术的相关概念、具体实施步骤等。为构建校园网的安全防御体系提供了一定的参考。
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)11-2520-03
Abstract: On the basis of the analysis of the risks of campus network and the significance of security management, this paper introduces the security strategy of IDS and firewall interaction. And then it has made a systematic exposition of the interactive strategy, including related concepts of interaction technology, concrete implementation steps and so on. It aims to serve as references of building a security defense system for campus network.
Key words: campus network; IDS; firewall; interaction technology
随着网络技术和信息技术的快速发展,校园网在高校中发挥着越来越重要的作用。校园网作为学校教学、科研、日常管理和对外交流的重要信息平台,为维护正常教学秩序和规范日常管理工作起到了功不可没的作用。在校园网建成初期,安全问题还不是很突出,但随着网络应用的深入,校园网上的数据急剧增加,网络攻击也随之明显增多,校园网暴露出来的安全问题日益突出。目前,各高校都非常重视加强校园网的安全管理。
1 校园网安全隐患
1)开放式网络环境。校园网与Internet是互通的,而且校园网建立的目的就是实现资源共享、信息服务和网上办公等,这些因素决定了校园网开放式的网络环境。此外,校园网上许多资源都允许一般用户访问,安全级别极低。这就为黑客们提供了便利的攻击渠道;
2)特殊的用户群体。高校学生是校园网中最主要的用户群体,他们对网络新技术充满着好奇,而且跃跃欲试。很多学生安全意识淡薄,不知道黑客犯罪的严重性,经常会使用网上学到的、或者自己炮制的各种病毒小程序来攻击校园网,对校园网安全造成严重的威胁;
3)盗版资源滥用。在校园网中,大多数老师和学生习惯于使用盗版软件和视频资源,这些盗版资源的使用和传播不仅占用了大量的网络带宽,而且还给网络埋下了的安全隐患。例如盗版软件中存在着很多的安全漏洞,还可能携带有特洛伊木马、蠕虫病毒等各种恶意程序,给校园网的安全造成了极大的威胁[1];
4)人力财力投入不够。由于资金欠缺等问题的存在,校园网在建设时往往会忽视网络安全的重要性,一方面体现为网络安全硬、软件设施的配置落伍;另一个方面体现为机房维护和管理人员配备不足。
2 校园网安全策略
通过对校园网存在的安全隐患分析可知,校园网很容易成为黑客攻击的目标。再加之校园网是高校的重要基础设施,任何攻击、入侵都可能带来灾难性的后果。轻者破坏、篡改主页,重者则有可能删除数据库的关键数据或系统的重要文件,甚至可能导致整个校园网崩溃,使学校的各项工作不能正常运行。
既然校园网的安全如此重要,那么如何制定行之有效的安全策略来确保校园网的信息安全就成为摆在我们面前的首要任务。IDS(Intrusion Detection System)和防火墙等安全技术的单一使用已无法应对当前复杂多变的威胁和攻击。防火墙只能根据已有的静态规则过滤数据包,对内网的攻击束手无策,这种被动的静态防御系统显然不能很好地满足安全性的需求;IDS虽然是积极主动的动态防御技术,但其易遭受Dos攻击并且容易受到欺骗[2]。在这样一种形式下,IDS与防火墙联动的防御体系逐渐浮出水面。
3 IDS与防火墙联动相关概念
3.1 联动原理
IDS在检测到某一入侵行为时,将依照规则库中的策略进行检查。如果策略中设置了该事件的firewall阻断, IDS 就会给防火墙发一个对应阻断策略,防火墙则随之进行相应的阻断。阻断的时间、源IP、目标IP、源端口和目标端口等信息将完全依照IDS发出的动态策略来执行。
3.2 联动方式
一般IDS和防火墙的互动有三种形式:
1)紧密结合:把IDS嵌入到防火墙中,这样以来,IDS关注的流量就源自流经防火墙的数据流。所有通过的数据报既要经防火墙的验证,又要受到IDS的盘查,以达到真正的实时阻断。
2)开放接口: 即IDS或防火墙某一方开放一个接口供另一方使用,双方依照约定的协议进行相互通信,完成网络安全事件的交流传递。这种方式灵活性好,不占用额外带宽。
3)端口镜像:利用交换机的端口镜像功能,防火墙将网络中的部分流量镜像到IDS的入侵检测传感器端口上,这样该端口便获得了这部分被监控流量的副本。IDS对其进行匹配检测后,再将检测后的结果反馈给防火墙,防火墙随之对其安全策略做相应地调整[3]。
3.3 联动位置部署
IDS可以置于防火墙内,也可以置于防火墙外,一般选择将IDS部署在防火墙内部,主要是基于防火墙对于内部入侵束手无策的特点。IDS既可以预防内部人员的监守自盗行为,还可以检测出黑客越过防火墙后的非法入侵,但它自身不能抵御攻击,因此将IDS置于防火墙之内。
如上图所示,在外来入侵者试图攻击进入内网时,大部分入侵者由于没有通过防火墙的验证,首先就被挡在墙外;而另一部分则侥幸取得防火墙的信任,直接进入内网,这些入侵攻击会受到IDS的二次检查。当发现某些入侵特征与模式库中的相关规则匹配时,就立即报警或者拒绝使用这个IP地址的源主机的通信请求。
4 IDS与防火墙联动实现
IDS的设计参考了Snort系统。Snort是一个基于GPL的入侵检测系统,具有很好的扩展性和可移植性,它通过嗅探(sniffer/logger)来获得IP数据包,然后进行协议分析、内容查找/匹配,能探测出多种类型的入侵攻击,如:缓冲区溢出、指纹采集尝试秘密端口扫描、CGI攻击等。
下面针对联动模型中最主要的两个问题进行阐述:①建立入侵模式库;②设计IDS与防火墙之间的接口。
4.1建立入侵模式库
依据入侵检测方法的不同可将IDS划分为基于异常的和基于误用的两大类。在比较了这两种检测系统的优缺点之后,我们选用了基于误用的IDS,不仅因为这种检测系统误报率低,而且其对己知的常用攻击行为特别有效误用检测技术的关键是建立和维护一个入侵模式规则库,即用已知的入侵攻击特征来构建入侵模式库,将捕获到的入侵攻击与模式库中的规则进行匹配。若检测到的入侵攻击方式与模式库中的某种特征相匹配,则立即报警;否则将新的攻击特征写入入侵模式规则库,以便后续再有类似的攻击侵入时,可以进行及时的阻断[4]。
4.2 设计IDS与防火墙之间的联动接口
经比较几种联动方式的优缺点后,我们选择了开放互动接口来实现防火墙与IDS的联动。在联动时,采用C/S模式运行, IDS作为客户端运行,防火墙作为服务器端运行。
具体实施步骤:
1)初始化连接,通常由IDS向防火墙发起会话连接;
2)会话连接建立后,当IDS检测出需告知防火墙的安全事件时,会发送特定格式的数据包,传递必要的交互信息;
3) 防火墙在收到交互信息后,可以实施互动行为,并将反馈结果以约定格式的包传递给IDS。
6 结束语
随着网络攻击手段地不断演化,采用某种单一的防御措施已无力构筑网络安全的坚固高墙。IDS与防火墙的联动安全策略一方面体现了分布式发展策略的走向,另一面也体现了深度网络安全防护的思想。以防火墙为典型代表的静态防御技术和以IDS为典型代表的动态防御技术相结合,使安全防御系统的发展经历了从静态到动态、从一元到多元、从平面到立体的飞跃性突破,是网络安全技术发展史上的一个重要里程碑。
参考文献:
[1] 郭平.浅析高校校园网安全隐患及防范技术[J].湖北三峡职业技术学院学报,2012(1).
[2] 王相林,江宜为.IDS与防火墙联动的网络安全模型设计[J].科技通报,2011(3).
[3] 张兴东,胡华平,况晓辉,陈辉忠.防火墙与入侵检测系统联动的研究与实现[J].计算机工程与科学,2004.
[4] 陈卓.网络安全技术[M].2版.北京:机械工业出版社,2012.