杜理明

(隴南師范高等專科學校 物理與信息技術(shù)系，甘肅 成縣 742500)

近年來，高校校園網(wǎng)的建設(shè)呈現(xiàn)出迅猛的發(fā)展勢頭，正在積極推動教育與科研事業(yè)的前進.但是，由于校園網(wǎng)具有開放性、共享性和互聯(lián)性等特點，被入侵和攻擊成為不可避免的現(xiàn)實，并且這些安全問題正在變得日益嚴重，使教學、科研工作受到巨大的危害.究其原因主要有：校園網(wǎng)中的設(shè)備種類和型號多、生產(chǎn)商復雜，網(wǎng)絡(luò)安全維護的人力和財力投入少，管理跟不上；校園里很多學生通過網(wǎng)絡(luò)在線看電影、聽音樂，很容易造成網(wǎng)絡(luò)擁塞和病毒傳播；也有些大學生對網(wǎng)絡(luò)新技術(shù)和攻擊技術(shù)非常好奇，經(jīng)常嘗試；還有來自網(wǎng)絡(luò)內(nèi)部的病毒、蠕蟲、木馬威脅等等.不過，最重要的問題是：在校園網(wǎng)上缺乏先進的網(wǎng)絡(luò)安全技術(shù)、工具手段和優(yōu)秀產(chǎn)品，目前使用的防火墻、防病毒軟件等構(gòu)成的靜態(tài)安全防御系統(tǒng)，以及入侵檢測系統(tǒng)在設(shè)計上都存在很大的漏洞，已不能勝任對當前計算機和網(wǎng)絡(luò)全方位的保護.因此，我們在未來校園網(wǎng)規(guī)模更大、受攻擊更多、更難檢測、危害也將更嚴重的形勢下，應(yīng)該結(jié)合當前網(wǎng)絡(luò)環(huán)境，不斷創(chuàng)新技術(shù)，構(gòu)建更加安全的防御系統(tǒng).本文在目前流行的防火墻和入侵檢測系統(tǒng)基礎(chǔ)上，嘗試引入新的技術(shù)——入侵防御系統(tǒng)(IPS，Intrusion Prevention system)，建立基于入侵防御系統(tǒng)的校園網(wǎng)安全動態(tài)防御系統(tǒng)，可以有效提高校園網(wǎng)的安全性能.

1 防火墻與入侵檢測技術(shù)

1.1 防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性的安全技術(shù)[1]，是保護校園網(wǎng)絡(luò)安全使用最廣泛的安全技術(shù)之一.它是一種用于過濾由公眾互聯(lián)網(wǎng)連接到用戶內(nèi)部網(wǎng)絡(luò)或計算機系統(tǒng)上的軟件或硬件設(shè)備的集合.防火墻需要事先制定相應(yīng)的安全規(guī)則，根據(jù)規(guī)則決定某些報文可以通過，而某些報文則不允許通過.它對內(nèi)部和外部網(wǎng)絡(luò)之間的信息交換和訪問行為進行掃描，將一些攻擊過濾掉，防止在目標計算機上被執(zhí)行，以達到控制和檢測的目的.防火墻可以通過關(guān)閉不使用的端口，控制特定端口不能流出通信，也可以禁止來自特殊站點的訪問，攔截來自入侵者甚至是不明入侵者的所有通信.防火墻使用訪問控制策略，在兩個或更多網(wǎng)絡(luò)之間安裝防火墻，以阻斷來自外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的威脅和入侵，并過濾不想要的信息，保留想要的信息，增強內(nèi)部網(wǎng)絡(luò)的安全性[2].

1.2 入侵檢測技術(shù)

入侵檢測系統(tǒng)(IDS)是一種主動信息安全防范技術(shù)，它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點的信息收集和分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊可能的一種安全技術(shù).入侵檢測具有檢測、記錄、報警和響應(yīng)功能，它通過旁路監(jiān)聽的方式不間斷的收取網(wǎng)絡(luò)數(shù)據(jù)，但對網(wǎng)絡(luò)的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警.與防火墻不同的是，入侵檢測技術(shù)不但能對外部網(wǎng)絡(luò)的入侵行為進行監(jiān)測和檢測，也能對內(nèi)部網(wǎng)絡(luò)的非法操作及內(nèi)部發(fā)生的攻擊進行檢測和報警，這恰恰是防火墻做不到的.所以說，入侵檢測技術(shù)是防火墻的有力補充，它們是構(gòu)成目前校園網(wǎng)安全系統(tǒng)的主要技術(shù).入侵檢測系統(tǒng)根據(jù)系統(tǒng)所監(jiān)測的對象可分為主機型入侵檢測系統(tǒng)(HIDS)和網(wǎng)絡(luò)型入侵檢測系統(tǒng)(NIDS).由于校園網(wǎng)結(jié)構(gòu)清晰，層次分明，應(yīng)用系統(tǒng)復雜，采用主機型入侵檢測需要部署多臺主機，投入較大，而采用網(wǎng)絡(luò)型入侵檢測的性價比相對較高.

1.3 防火墻與入侵檢測系統(tǒng)的局限性

防火墻技術(shù)使校園網(wǎng)的安全性有了極大的提高，不過隨著新的網(wǎng)絡(luò)技術(shù)的不斷出現(xiàn)和應(yīng)用，網(wǎng)絡(luò)攻擊的手段和方法也在不斷更新，如利用基本網(wǎng)絡(luò)協(xié)議，甚至嵌入在上層應(yīng)用協(xié)議中進行攻擊，這些都可以輕而易舉地逃避防火墻的攔截，顯然，防火墻有很大的局限性，主要表現(xiàn)在：防火墻防外不防內(nèi)，無法阻止內(nèi)部主動發(fā)起的攻擊；也無法檢測加密的網(wǎng)絡(luò)流量；防火墻的并發(fā)連接數(shù)限制容易導致?lián)砣蛘咭绯?；它不能抵抗最新的未設(shè)置策略的攻擊漏洞；防火墻是一種靜態(tài)安全防御技術(shù)，不能對入侵者主動出擊，并且它本身也很容易受到攻擊.這樣，防火墻很難使網(wǎng)絡(luò)避免受蠕蟲、垃圾郵件、病毒傳播以及拒絕服務(wù)等的侵擾，而這些問題正是校園網(wǎng)安全的重災(zāi)區(qū).因此，為了更好地保護內(nèi)部網(wǎng)絡(luò)不被攻擊，我們一般在防火墻靜態(tài)防護的基礎(chǔ)上，利用IDS作為補充，來保障校園網(wǎng)的安全，而且收到了很好地效果，這也是目前校園網(wǎng)普遍使用的主要安全策略.但是，在實際應(yīng)用中，IDS也存在漏報率和誤報率較高；IDS系統(tǒng)的管理和維護復雜；IDS系統(tǒng)只能檢測攻擊，被動防御，不能預警和阻止攻擊等問題.

其中遇到的有些問題是致命的.所以，入侵檢測系統(tǒng)和防火墻一樣，并不是完全的網(wǎng)絡(luò)安全解決方案，要保護網(wǎng)絡(luò)免受外部的攻擊威脅，也必須和其它的安全措施結(jié)合起來，這樣它們才能真正有效地發(fā)揮各自的作用.[1]

2 基于校園網(wǎng)的入侵防御系統(tǒng)

2.1 IPS技術(shù)

入侵防御系統(tǒng)(IPS)是一種部署在網(wǎng)關(guān)位置的安全設(shè)備，它利用攻擊的技術(shù)對網(wǎng)絡(luò)數(shù)據(jù)和行為進行深層次檢測，從而更有效的抵御應(yīng)用層的攻擊.它是一種主動的、智能的入侵檢測、防范和阻止系統(tǒng)，能夠檢測和精確阻止入侵活動和攻擊通信，而不是簡單地在惡意流量傳遞時或傳送后才發(fā)出警報，在不影響網(wǎng)絡(luò)性能和可用性的前提下，把所有IDS可能出現(xiàn)的誤報阻隔在網(wǎng)絡(luò)之外.當它經(jīng)過檢測，如果發(fā)現(xiàn)有攻擊意圖的數(shù)據(jù)包時，會直接丟掉此攻擊包，或者采取措施阻斷攻擊源.入侵防御系統(tǒng)一般部署在網(wǎng)關(guān)處的防火墻之后，是一種消除漏報、誤報的新技術(shù).

IPS檢測時，首先從入侵源將系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息進行收集，是由專門功能的模塊——信息采集模塊來完成的，主要檢測的是系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式等四個方面的入侵信息；然后對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息進行分析，這由另一功能模塊——信號分析模塊來完成，主要使用模式匹配、協(xié)議分析、統(tǒng)計分析和完整性分析等技術(shù)手段；最后對采集、分析后的結(jié)果做出相應(yīng)的反應(yīng)，由反應(yīng)模塊完成.IPS與IDS在檢測方面的原理是相同的.如圖1所示：

圖1 IPS防御模型

圖2 基于IPS的校園網(wǎng)動態(tài)防御系統(tǒng)結(jié)構(gòu)圖

IPS根據(jù)部署方式可分為3類：網(wǎng)絡(luò)型入侵防護系統(tǒng)(NIPS)、主機型入侵防護系統(tǒng)(HIPS)和應(yīng)用型入侵防護系統(tǒng)(AIPS).[2]

2.2 IPS技術(shù)的特點

IPS能以更細粒度的方式檢測網(wǎng)絡(luò)流量，對安全事件進行主動響應(yīng)，從而能夠更全面地防止攻擊，和目前常用的防火墻和IDS等安全技術(shù)相比，具有更大的優(yōu)勢，其特點主要有：

(l)嵌入式在線運行模式.網(wǎng)絡(luò)IPS系統(tǒng)也稱為內(nèi)嵌式IDS(in-line IDS)，它能夠?qū)崟r阻攔所有可疑的數(shù)據(jù)包，實現(xiàn)實時安全防護.

(2)高質(zhì)量的入侵特征庫.IPS根據(jù)網(wǎng)絡(luò)的通信環(huán)境與被入侵狀況，對新的攻擊包進行特征分析與抽取，然后立即更新特征庫，自動總結(jié)并定制最新的安全防御策略，是智能化的.

(3)先進的檢測技術(shù).IPS對于所有流經(jīng)數(shù)據(jù)包進行并行處理檢測和協(xié)議重組分析，IPS根據(jù)不同應(yīng)用協(xié)議的特征與攻擊方式，對于重組后的數(shù)據(jù)包進行篩選，將有攻擊企圖的攻擊包送入特征庫，并進行比對，來提高檢測的質(zhì)量與效率.

(4)高效處理數(shù)據(jù)包能力.

2.3 校園網(wǎng)入侵防御系統(tǒng)的設(shè)計

目前，校園網(wǎng)安全系統(tǒng)主要采用防火墻與入侵檢測技術(shù)，但由于在應(yīng)用中技術(shù)局限性很多，面對當前復雜的網(wǎng)絡(luò)環(huán)境，這種安全防御模式已經(jīng)顯得力不從心，不能很好地適應(yīng)校園網(wǎng)發(fā)展的需要.不過，我們發(fā)現(xiàn)引入IPS技術(shù)，能夠很好地解決當前所面臨的問題.在原來防火墻和IDS的安全策略的基礎(chǔ)上，利用IPS技術(shù)的技術(shù)優(yōu)勢，構(gòu)造一個新安全系統(tǒng)體系，可以使校園網(wǎng)得到全方位的保護.

根據(jù)IPS和校園網(wǎng)的特點，分別使用網(wǎng)絡(luò)型入侵防護系統(tǒng)(NIPS)、主機型入侵防護系統(tǒng)(HIPS)和應(yīng)用型入侵防護系統(tǒng)(AIPS).基于IPS的校園網(wǎng)動態(tài)防御系統(tǒng)結(jié)構(gòu)圖，如圖2所示.在介于防火墻與路由器之間的校園網(wǎng)出口處布署一臺NIPS，實現(xiàn)網(wǎng)絡(luò)架構(gòu)防護，可以提前攔截DoS與DDoS、未知的蠕蟲、異常應(yīng)用程序等流量攻擊，避免造成的網(wǎng)絡(luò)中斷或擁塞，保護防火墻和核心交換機等設(shè)備免受入侵和攻擊；在三層交換機與核心交換機之間部署一臺NIPS，可以有效地監(jiān)測、阻止來自一般主機對于公共訪問和重要服務(wù)器群的攻擊；在應(yīng)用服務(wù)器前布署一臺AIPS，可以有效保護應(yīng)用服務(wù)器；在重要服務(wù)器群和重要主機之內(nèi)布署一臺HIPS，以保護這些設(shè)備的安全；在核心交換處部署一臺IDS，作為一項輔助安全設(shè)備，檢測入侵和提取入侵信息和特征；[3]而在核心交換機與IPS之間設(shè)置防火墻，可以提供訪問控制與安全策略.為了實現(xiàn)校園網(wǎng)IPS系統(tǒng)的安全防御功能，可以根據(jù)功能進行模塊化設(shè)計，一般由數(shù)據(jù)分析、分析檢測、管理控制、響應(yīng)、規(guī)則庫、審計和協(xié)作防御等模塊實現(xiàn)[4]，這里不再論述.

3 入侵防御系統(tǒng)在校園網(wǎng)安全應(yīng)用的意義

入侵防御系統(tǒng)不是一種安全技術(shù)的變革，而是對現(xiàn)有技術(shù)的改進.目前，全球網(wǎng)絡(luò)安全設(shè)備廠商都非常熱衷于入侵防御系統(tǒng).將入侵防御系統(tǒng)應(yīng)用于校園網(wǎng)中，不是對原有的防御系統(tǒng)進行推倒重建，而是在原來的基礎(chǔ)上加入新技術(shù)，形成了一個目前而言相對合理的校園網(wǎng)安全動態(tài)防御系統(tǒng)，具有很高的經(jīng)濟價值.新系統(tǒng)中，入侵防御系統(tǒng)、防火墻、入侵檢測系統(tǒng)之間可以產(chǎn)生安全事件及規(guī)則信息的交流和共享，通過聯(lián)動檢測達到深度防御的效果.更重要的是，它對校園網(wǎng)絡(luò)訪問的各個環(huán)節(jié)都做了有效的防護，實現(xiàn)了校園網(wǎng)動態(tài)的、全局的安全防御，可以有效地解決校園網(wǎng)內(nèi)存在的安全問題，為學校教師和學生的日常工作學習帶來了極大的便利.

參考文獻：

[1]劉影.分布式入侵檢測技術(shù)在校園網(wǎng)中的應(yīng)用研究[D].合肥：合肥工業(yè)大學，2009:8.

[2]思科系統(tǒng)(中國)網(wǎng)絡(luò)技術(shù)有限公司.下一代網(wǎng)絡(luò)安全[M].北京:北京郵電大學出版社，2006:116～117.

[3]孫宇.網(wǎng)絡(luò)入侵防御系統(tǒng)IPS架構(gòu)設(shè)計及關(guān)鍵問題研究[D].天津：天津大學電子與信息工程學院，2005:26.

[4]聶林.合作式入侵防御系統(tǒng)的設(shè)計與實現(xiàn)[D].西安：西安電子科技大學，2005:29.