安德智

甘肅政法學(xué)院計(jì)算機(jī)科學(xué)學(xué)院 甘肅 730070

0 前言

隨著互聯(lián)網(wǎng)的迅速普及和國(guó)內(nèi)各高校網(wǎng)絡(luò)建設(shè)的不斷發(fā)展，各大中專(zhuān)院校及中小學(xué)相繼建成或正在建設(shè)校園網(wǎng)。校園網(wǎng)的建成，使學(xué)校實(shí)現(xiàn)了管理網(wǎng)絡(luò)化和教學(xué)手段現(xiàn)代化，這對(duì)于提高學(xué)校的管理水平和教學(xué)質(zhì)量具有重要的意義。但隨著黑客的入侵增多及網(wǎng)絡(luò)病毒的泛濫，校園網(wǎng)的安全已成為不容忽視的問(wèn)題，數(shù)據(jù)的安全性和學(xué)校自身的利益受到了嚴(yán)重的威脅。因此，能否保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全和正常運(yùn)行便成為校園網(wǎng)絡(luò)管理所面臨的一個(gè)重要的問(wèn)題。

校園網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實(shí)際上是入侵者與反入侵者之間的持久的對(duì)抗過(guò)程。網(wǎng)絡(luò)安全體系不是一個(gè)能夠一勞永逸地防范任何攻擊的完美系統(tǒng)，這樣的系統(tǒng)客觀上是不存在的。我們力圖建立的是一個(gè)網(wǎng)絡(luò)安全的動(dòng)態(tài)防護(hù)體系，是動(dòng)態(tài)加靜態(tài)的防御，是被動(dòng)加主動(dòng)的防御甚至抗擊，是管理加技術(shù)的完整安全觀念。

1 防火墻技術(shù)與入侵檢測(cè)系統(tǒng)的比較

防火墻是實(shí)施訪問(wèn)控制策略的系統(tǒng)，對(duì)流經(jīng)網(wǎng)絡(luò)的流量進(jìn)行檢查并攔截不符合安全策略的數(shù)據(jù)包。然而，防火墻作為目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，也存在著明顯的不足之處：無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊，不能防止來(lái)自?xún)?nèi)部用戶(hù)們帶來(lái)的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊等。

對(duì)于入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）而言，它通過(guò)監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并發(fā)出報(bào)警。雖然它能夠幫助人們確切了解問(wèn)題所在，但絕大多數(shù)入侵檢測(cè)系統(tǒng)只能在攻擊發(fā)生時(shí)被動(dòng)發(fā)出警報(bào)。

防火墻與入侵檢測(cè)系統(tǒng)作為網(wǎng)絡(luò)安全的主要技術(shù)，他們的功能比較如表1所示。從表中可以看出，它們具有很強(qiáng)的互補(bǔ)性，總結(jié)起來(lái)，主要表現(xiàn)在以下幾個(gè)方面：

（1）防火墻要根據(jù)策略轉(zhuǎn)發(fā)它所連接的鏈路上的所有數(shù)據(jù)流量，為了快速轉(zhuǎn)發(fā)數(shù)據(jù)，防火墻不可能對(duì)所有轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)進(jìn)行詳細(xì)分析。而IDS不必轉(zhuǎn)發(fā)數(shù)據(jù)流量，只是將網(wǎng)段上的收集查看數(shù)據(jù)報(bào)內(nèi)容，監(jiān)視其行為。這樣IDS就可以對(duì)數(shù)據(jù)報(bào)的協(xié)議、內(nèi)容作詳細(xì)的分析。

（2）防火墻可以根據(jù)策略對(duì)數(shù)據(jù)報(bào)進(jìn)行過(guò)濾，減少進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流量，從而減輕IDS的數(shù)據(jù)報(bào)分析任務(wù)。而IDS不能對(duì)數(shù)據(jù)報(bào)進(jìn)行過(guò)濾，只能對(duì)已經(jīng)進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)報(bào)進(jìn)行監(jiān)視。

表1 防火墻技術(shù)與入侵檢測(cè)系統(tǒng)的比較

（3）防火墻是根據(jù)策略對(duì)數(shù)據(jù)報(bào)在進(jìn)入內(nèi)部網(wǎng)絡(luò)之前進(jìn)行過(guò)濾，故把入侵行為排除在外；而入侵檢測(cè)系統(tǒng)是對(duì)繞過(guò)防火墻進(jìn)入內(nèi)部的數(shù)據(jù)報(bào)進(jìn)行分析和監(jiān)視，是對(duì)進(jìn)入網(wǎng)絡(luò)內(nèi)部或正在發(fā)生的入侵進(jìn)行檢測(cè)與阻止。

（4）防火墻只對(duì)數(shù)據(jù)報(bào)的地址、協(xié)議、端口號(hào)進(jìn)行檢查，而入侵檢測(cè)需要對(duì)數(shù)據(jù)報(bào)的內(nèi)容進(jìn)行檢查。

綜合防火墻與入侵檢測(cè)系統(tǒng)的優(yōu)勢(shì)與不足可以看出，從功能分工上來(lái)看，有效抵御入侵的理想方式就是把防火墻和IDS的功能有機(jī)地組合在一起。這樣，入侵檢測(cè)系統(tǒng)能夠彌補(bǔ)防火墻的不足，對(duì)過(guò)往流量進(jìn)行入侵檢測(cè)，一旦發(fā)現(xiàn)入侵后不僅發(fā)出報(bào)警，同時(shí)還進(jìn)行實(shí)時(shí)阻斷，為受保護(hù)網(wǎng)絡(luò)提供有效的入侵檢測(cè)及相應(yīng)的防護(hù)手段。因此，防火墻和入侵檢測(cè)系統(tǒng)之間十分適合建立緊密的聯(lián)動(dòng)關(guān)系，將兩者的能力充分發(fā)揮出來(lái)，相互彌補(bǔ)不足，互相提供保護(hù)。進(jìn)一步地，從信息安全整體防御的角度出發(fā)，這種聯(lián)動(dòng)是十分必要的，極大地提高了網(wǎng)絡(luò)安全體系的防護(hù)能力。其聯(lián)動(dòng)模型如圖1所示。

圖1 聯(lián)動(dòng)模型

2 聯(lián)動(dòng)模型的安全策略

安全策略是指一個(gè)特定環(huán)境中，為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。安全策略包括嚴(yán)格的管理、先進(jìn)的技術(shù)和相關(guān)的法律。安全策略決定采用何種方式和手段來(lái)保證網(wǎng)絡(luò)系統(tǒng)的安全。即首先要清楚自己需要什么，制定恰當(dāng)?shù)臐M(mǎn)足需求的策略方案，然后才考慮技術(shù)上如何實(shí)施。

防火墻是保證安全的最基本方式。防火墻可以按照需要來(lái)阻斷或允許網(wǎng)絡(luò)通信。入侵檢測(cè)系統(tǒng)不能充當(dāng)防火墻的替代品。入侵檢測(cè)技術(shù)的基本功能是監(jiān)視內(nèi)部網(wǎng)絡(luò)的流量，并對(duì)識(shí)別到的重要攻擊特征進(jìn)行警報(bào)。

一種較為容易實(shí)現(xiàn)的策略是在防火墻遭受攻擊時(shí)讓入侵檢測(cè)系統(tǒng)重新配置防火墻。例如入侵檢測(cè)系統(tǒng)和防火墻通信并讓它自動(dòng)地關(guān)掉端口或禁止主機(jī)。防火墻是減少掃描威脅的最有效的方式。入侵檢測(cè)系統(tǒng)可以幫助探測(cè)和阻礙主機(jī)掃描。但是入侵檢測(cè)系統(tǒng)主要是監(jiān)控內(nèi)部網(wǎng)絡(luò)傳輸，而不能作為防火墻來(lái)保護(hù)網(wǎng)絡(luò)。這是因?yàn)榉阑饓ψ鳛榧悬c(diǎn)，能夠攔截或允許進(jìn)出通信。有防火墻的地方，可以有效地使用一個(gè)系統(tǒng)去保護(hù)系統(tǒng)免受掃描、嗅探和拒絕服務(wù)攻擊（DoS）。

這種策略不僅可以保護(hù)校園免受外界攻擊也可以對(duì)校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)通信進(jìn)行檢測(cè)，并發(fā)出警報(bào)或采取相應(yīng)的主動(dòng)行為。

3 校園網(wǎng)絡(luò)安全防御系統(tǒng)的實(shí)現(xiàn)

眾所周知，專(zhuān)用的入侵檢測(cè)設(shè)備一般是監(jiān)聽(tīng)網(wǎng)絡(luò)進(jìn)出口處的信息，不是串接在其中，不能保證能夠切斷檢測(cè)出來(lái)的攻擊。只有將入侵檢測(cè)和防火墻結(jié)合才能夠保證網(wǎng)絡(luò)不受攻擊。入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng)實(shí)現(xiàn)的過(guò)程如圖2所示。互聯(lián)網(wǎng)上的黑客開(kāi)始對(duì)受保護(hù)網(wǎng)絡(luò)內(nèi)的主機(jī)發(fā)動(dòng)攻擊，這時(shí)位于網(wǎng)絡(luò)出口處監(jiān)聽(tīng)的入侵檢測(cè)系統(tǒng)檢測(cè)到黑客對(duì)內(nèi)網(wǎng)主機(jī)的攻擊行為后，入侵檢測(cè)系統(tǒng)通過(guò)它與防火墻之間的“公共語(yǔ)言”發(fā)送通知報(bào)文通知防火墻，防火墻收到并驗(yàn)證報(bào)文后生成動(dòng)態(tài)規(guī)則實(shí)現(xiàn)對(duì)攻擊行為的控制和阻斷。

圖2 防火墻和入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)

該系統(tǒng)主要包括的模塊有：

（1）入侵檢測(cè)系統(tǒng)控制信息生成模塊

控制信息生成模塊的主要任務(wù)是將接受到的探測(cè)器發(fā)來(lái)的危險(xiǎn)警報(bào)進(jìn)行整理，提取出相關(guān)信息，生成特定的控制信息，然后對(duì)控制信息進(jìn)行加密處理，并向防火墻端通訊模塊發(fā)送事件消息。

（2）入侵檢測(cè)系統(tǒng)和防火墻通訊模塊

我們采用了通過(guò)開(kāi)放聯(lián)動(dòng)接口來(lái)實(shí)現(xiàn)防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)。通信雙方可以事先約定并設(shè)定通信端口，并且相互正確配置對(duì)方IP地址，防火墻以服務(wù)端的模式來(lái)運(yùn)行，入侵檢測(cè)系統(tǒng)以客戶(hù)端的模式來(lái)運(yùn)行。

具體實(shí)現(xiàn)方式是，配置網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的安全策略，選擇響應(yīng)對(duì)象為防火墻，同時(shí)指定防火墻的地址及認(rèn)證密鑰，由入侵檢測(cè)系統(tǒng)向防火墻發(fā)起連接。建立正常連接后，當(dāng)入侵檢側(cè)系統(tǒng)產(chǎn)生需要通知防火墻的安全事件時(shí)，通過(guò)發(fā)送控制信息生成模塊所產(chǎn)生的加密的約定格式的數(shù)據(jù)包，傳遞必要的互動(dòng)信息。

（3）防火墻動(dòng)態(tài)規(guī)則處理模塊

當(dāng)防火墻接到從入侵檢測(cè)系統(tǒng)發(fā)來(lái)的控制信息后，首先需要對(duì)控制信息報(bào)的身份進(jìn)行驗(yàn)證，當(dāng)確認(rèn)此信息報(bào)是來(lái)自于信任的入侵檢測(cè)系統(tǒng)則接受處理，否則將該信息報(bào)丟棄。對(duì)于接受處理的信息報(bào)，按照和入侵檢測(cè)系統(tǒng)事先約定好的密鑰對(duì)控制信息進(jìn)行解密，按照此信息報(bào)生成動(dòng)態(tài)規(guī)則。防火墻需要制定一定的安全策略，聯(lián)動(dòng)處理的動(dòng)態(tài)規(guī)則有一定的生命周期，當(dāng)時(shí)間到達(dá)后自動(dòng)刪除動(dòng)態(tài)規(guī)則，重點(diǎn)要考慮到添加規(guī)則的數(shù)量和生命周期的設(shè)置。規(guī)則數(shù)量過(guò)多將導(dǎo)致防火墻和入侵檢測(cè)系統(tǒng)的性能下降，產(chǎn)生某種程度的拒絕服務(wù)攻擊。

動(dòng)態(tài)規(guī)則鏈的設(shè)置規(guī)則由以下幾點(diǎn)組成：

（1）將動(dòng)態(tài)規(guī)則鏈插入到防火墻檢測(cè)規(guī)則鏈中，保證防火墻檢測(cè)規(guī)則模塊優(yōu)先檢查動(dòng)態(tài)規(guī)則鏈。

（2）當(dāng)新加入動(dòng)態(tài)規(guī)則時(shí)，檢查是否達(dá)到了規(guī)則鏈的上限，在這里我們?cè)O(shè)置動(dòng)態(tài)規(guī)則鏈的數(shù)量是8條，當(dāng)新規(guī)則到來(lái)時(shí)超出了規(guī)則上限，我們替換規(guī)則鏈上距離超時(shí)時(shí)間最近的規(guī)則。

（3）采用多線程技術(shù)，檢查動(dòng)態(tài)規(guī)則鏈中的規(guī)則是否超時(shí)。當(dāng)超時(shí)后，自動(dòng)刪除規(guī)則。

（4）防火墻規(guī)則的審計(jì)分析模塊：對(duì)于防火墻中添加的動(dòng)態(tài)規(guī)則應(yīng)該詳細(xì)記錄，這樣就可以了解過(guò)濾規(guī)則阻止了哪些訪問(wèn)，也可以了解究竟是哪些人試圖違反規(guī)則。當(dāng)然，記錄所有的動(dòng)態(tài)規(guī)則是一個(gè)保險(xiǎn)的措施，雖然這樣需要更多的存儲(chǔ)空間，但是為了解決問(wèn)題，這樣做是值得的。同時(shí)，便于管理員以后的日志分析，我們按照時(shí)間和數(shù)量進(jìn)行統(tǒng)計(jì)，對(duì)于經(jīng)常性的阻斷動(dòng)態(tài)規(guī)則，考慮設(shè)置為防火墻的靜態(tài)規(guī)則去處理。

4 小結(jié)

在本文所提出來(lái)的將靜態(tài)技術(shù)的代表防火墻與動(dòng)態(tài)技術(shù)的代表入侵檢測(cè)系統(tǒng)結(jié)合互動(dòng)的使用，并不僅指將兩個(gè)系統(tǒng)設(shè)定統(tǒng)一的標(biāo)準(zhǔn)接口后簡(jiǎn)單的物理結(jié)合，而是將兩個(gè)系統(tǒng)各自的、特長(zhǎng)的功能展現(xiàn)在新系統(tǒng)中，將動(dòng)態(tài)安全技術(shù)的實(shí)時(shí)、快速、自適應(yīng)的特點(diǎn)成為靜態(tài)技術(shù)的有效補(bǔ)充，將靜態(tài)技術(shù)的包過(guò)濾、信任檢查、訪問(wèn)控制成為動(dòng)態(tài)技術(shù)的有力保障。

當(dāng)然，我們也應(yīng)當(dāng)看到，防火墻與入侵檢測(cè)系統(tǒng)互動(dòng)技術(shù)的實(shí)施只是初步實(shí)現(xiàn)了防護(hù)、檢測(cè)與響應(yīng)三者之間的一種簡(jiǎn)單的協(xié)作和體系防護(hù)功能。這并不能說(shuō)明這樣一個(gè)安全體系就能在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中發(fā)揮完善的防護(hù)效果。正如防火墻不可能百分之百可靠一樣，入侵檢測(cè)系統(tǒng)自身也不能具有較防火墻更高的可靠性。但可以確信的是，在這樣一個(gè)互助互補(bǔ)的安全體系之下網(wǎng)絡(luò)一定更安全。

[1]樂(lè)光學(xué).Internet/Intranet網(wǎng)絡(luò)安全技術(shù)及安全機(jī)制的建設(shè)[J].佳木斯大學(xué)學(xué)報(bào)自然科學(xué)版.2002.

[2][美]Chris Hare Karanjit siyan.Internet防火墻與網(wǎng)絡(luò)安全[M].北京:機(jī)械工業(yè)出版社.1998.

[3]胡征兵，蘇軍.入侵防護(hù)技術(shù)綜述[J].微型電腦應(yīng)用.2005.

[4]劉寶旭.許榕生等.黑客防范技術(shù)揭密[M].北京:機(jī)械工業(yè)出版社.2001.

[5]張興東，胡華平，況曉輝等.防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的研究與發(fā)現(xiàn)[J].計(jì)算機(jī)工程與科學(xué).2004.