基于校園網(wǎng)的網(wǎng)絡(luò)安全系統(tǒng)研究與設(shè)計

2010-05-09 06:00安德智

網(wǎng)絡(luò)安全技術(shù)與應用 2010年10期

安德智

甘肅政法學院計算機科學學院甘肅 730070

0 前言

隨著互聯(lián)網(wǎng)的迅速普及和國內(nèi)各高校網(wǎng)絡(luò)建設(shè)的不斷發(fā)展，各大中專院校及中小學相繼建成或正在建設(shè)校園網(wǎng)。校園網(wǎng)的建成，使學校實現(xiàn)了管理網(wǎng)絡(luò)化和教學手段現(xiàn)代化，這對于提高學校的管理水平和教學質(zhì)量具有重要的意義。但隨著黑客的入侵增多及網(wǎng)絡(luò)病毒的泛濫，校園網(wǎng)的安全已成為不容忽視的問題，數(shù)據(jù)的安全性和學校自身的利益受到了嚴重的威脅。因此，能否保證計算機和網(wǎng)絡(luò)系統(tǒng)的安全和正常運行便成為校園網(wǎng)絡(luò)管理所面臨的一個重要的問題。

校園網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實際上是入侵者與反入侵者之間的持久的對抗過程。網(wǎng)絡(luò)安全體系不是一個能夠一勞永逸地防范任何攻擊的完美系統(tǒng)，這樣的系統(tǒng)客觀上是不存在的。我們力圖建立的是一個網(wǎng)絡(luò)安全的動態(tài)防護體系，是動態(tài)加靜態(tài)的防御，是被動加主動的防御甚至抗擊，是管理加技術(shù)的完整安全觀念。

1 防火墻技術(shù)與入侵檢測系統(tǒng)的比較

防火墻是實施訪問控制策略的系統(tǒng)，對流經(jīng)網(wǎng)絡(luò)的流量進行檢查并攔截不符合安全策略的數(shù)據(jù)包。然而，防火墻作為目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段，也存在著明顯的不足之處：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊等。

對于入侵檢測系統(tǒng)（Intrusion Detection System，IDS）而言，它通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并發(fā)出報警。雖然它能夠幫助人們確切了解問題所在，但絕大多數(shù)入侵檢測系統(tǒng)只能在攻擊發(fā)生時被動發(fā)出警報。

防火墻與入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全的主要技術(shù)，他們的功能比較如表1所示。從表中可以看出，它們具有很強的互補性，總結(jié)起來，主要表現(xiàn)在以下幾個方面：

（1）防火墻要根據(jù)策略轉(zhuǎn)發(fā)它所連接的鏈路上的所有數(shù)據(jù)流量，為了快速轉(zhuǎn)發(fā)數(shù)據(jù)，防火墻不可能對所有轉(zhuǎn)發(fā)數(shù)據(jù)報進行詳細分析。而IDS不必轉(zhuǎn)發(fā)數(shù)據(jù)流量，只是將網(wǎng)段上的收集查看數(shù)據(jù)報內(nèi)容，監(jiān)視其行為。這樣IDS就可以對數(shù)據(jù)報的協(xié)議、內(nèi)容作詳細的分析。

（2）防火墻可以根據(jù)策略對數(shù)據(jù)報進行過濾，減少進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流量，從而減輕IDS的數(shù)據(jù)報分析任務。而IDS不能對數(shù)據(jù)報進行過濾，只能對已經(jīng)進入網(wǎng)絡(luò)的數(shù)據(jù)報進行監(jiān)視。

表1 防火墻技術(shù)與入侵檢測系統(tǒng)的比較

（3）防火墻是根據(jù)策略對數(shù)據(jù)報在進入內(nèi)部網(wǎng)絡(luò)之前進行過濾，故把入侵行為排除在外；而入侵檢測系統(tǒng)是對繞過防火墻進入內(nèi)部的數(shù)據(jù)報進行分析和監(jiān)視，是對進入網(wǎng)絡(luò)內(nèi)部或正在發(fā)生的入侵進行檢測與阻止。

（4）防火墻只對數(shù)據(jù)報的地址、協(xié)議、端口號進行檢查，而入侵檢測需要對數(shù)據(jù)報的內(nèi)容進行檢查。

綜合防火墻與入侵檢測系統(tǒng)的優(yōu)勢與不足可以看出，從功能分工上來看，有效抵御入侵的理想方式就是把防火墻和IDS的功能有機地組合在一起。這樣，入侵檢測系統(tǒng)能夠彌補防火墻的不足，對過往流量進行入侵檢測，一旦發(fā)現(xiàn)入侵后不僅發(fā)出報警，同時還進行實時阻斷，為受保護網(wǎng)絡(luò)提供有效的入侵檢測及相應的防護手段。因此，防火墻和入侵檢測系統(tǒng)之間十分適合建立緊密的聯(lián)動關(guān)系，將兩者的能力充分發(fā)揮出來，相互彌補不足，互相提供保護。進一步地，從信息安全整體防御的角度出發(fā)，這種聯(lián)動是十分必要的，極大地提高了網(wǎng)絡(luò)安全體系的防護能力。其聯(lián)動模型如圖1所示。

圖1 聯(lián)動模型

2 聯(lián)動模型的安全策略

安全策略是指一個特定環(huán)境中，為保證提供一定級別的安全保護所必須遵守的規(guī)則。安全策略包括嚴格的管理、先進的技術(shù)和相關(guān)的法律。安全策略決定采用何種方式和手段來保證網(wǎng)絡(luò)系統(tǒng)的安全。即首先要清楚自己需要什么，制定恰當?shù)臐M足需求的策略方案，然后才考慮技術(shù)上如何實施。

防火墻是保證安全的最基本方式。防火墻可以按照需要來阻斷或允許網(wǎng)絡(luò)通信。入侵檢測系統(tǒng)不能充當防火墻的替代品。入侵檢測技術(shù)的基本功能是監(jiān)視內(nèi)部網(wǎng)絡(luò)的流量，并對識別到的重要攻擊特征進行警報。

一種較為容易實現(xiàn)的策略是在防火墻遭受攻擊時讓入侵檢測系統(tǒng)重新配置防火墻。例如入侵檢測系統(tǒng)和防火墻通信并讓它自動地關(guān)掉端口或禁止主機。防火墻是減少掃描威脅的最有效的方式。入侵檢測系統(tǒng)可以幫助探測和阻礙主機掃描。但是入侵檢測系統(tǒng)主要是監(jiān)控內(nèi)部網(wǎng)絡(luò)傳輸，而不能作為防火墻來保護網(wǎng)絡(luò)。這是因為防火墻作為集中點，能夠攔截或允許進出通信。有防火墻的地方，可以有效地使用一個系統(tǒng)去保護系統(tǒng)免受掃描、嗅探和拒絕服務攻擊（DoS）。

這種策略不僅可以保護校園免受外界攻擊也可以對校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)通信進行檢測，并發(fā)出警報或采取相應的主動行為。

3 校園網(wǎng)絡(luò)安全防御系統(tǒng)的實現(xiàn)

眾所周知，專用的入侵檢測設(shè)備一般是監(jiān)聽網(wǎng)絡(luò)進出口處的信息，不是串接在其中，不能保證能夠切斷檢測出來的攻擊。只有將入侵檢測和防火墻結(jié)合才能夠保證網(wǎng)絡(luò)不受攻擊。入侵檢測系統(tǒng)與防火墻聯(lián)動實現(xiàn)的過程如圖2所示?；ヂ?lián)網(wǎng)上的黑客開始對受保護網(wǎng)絡(luò)內(nèi)的主機發(fā)動攻擊，這時位于網(wǎng)絡(luò)出口處監(jiān)聽的入侵檢測系統(tǒng)檢測到黑客對內(nèi)網(wǎng)主機的攻擊行為后，入侵檢測系統(tǒng)通過它與防火墻之間的“公共語言”發(fā)送通知報文通知防火墻，防火墻收到并驗證報文后生成動態(tài)規(guī)則實現(xiàn)對攻擊行為的控制和阻斷。

圖2 防火墻和入侵檢測系統(tǒng)聯(lián)動

該系統(tǒng)主要包括的模塊有：

（1）入侵檢測系統(tǒng)控制信息生成模塊

控制信息生成模塊的主要任務是將接受到的探測器發(fā)來的危險警報進行整理，提取出相關(guān)信息，生成特定的控制信息，然后對控制信息進行加密處理，并向防火墻端通訊模塊發(fā)送事件消息。

（2）入侵檢測系統(tǒng)和防火墻通訊模塊

我們采用了通過開放聯(lián)動接口來實現(xiàn)防火墻與入侵檢測系統(tǒng)的聯(lián)動。通信雙方可以事先約定并設(shè)定通信端口，并且相互正確配置對方IP地址，防火墻以服務端的模式來運行，入侵檢測系統(tǒng)以客戶端的模式來運行。

具體實現(xiàn)方式是，配置網(wǎng)絡(luò)入侵檢測系統(tǒng)的安全策略，選擇響應對象為防火墻，同時指定防火墻的地址及認證密鑰，由入侵檢測系統(tǒng)向防火墻發(fā)起連接。建立正常連接后，當入侵檢側(cè)系統(tǒng)產(chǎn)生需要通知防火墻的安全事件時，通過發(fā)送控制信息生成模塊所產(chǎn)生的加密的約定格式的數(shù)據(jù)包，傳遞必要的互動信息。

（3）防火墻動態(tài)規(guī)則處理模塊

當防火墻接到從入侵檢測系統(tǒng)發(fā)來的控制信息后，首先需要對控制信息報的身份進行驗證，當確認此信息報是來自于信任的入侵檢測系統(tǒng)則接受處理，否則將該信息報丟棄。對于接受處理的信息報，按照和入侵檢測系統(tǒng)事先約定好的密鑰對控制信息進行解密，按照此信息報生成動態(tài)規(guī)則。防火墻需要制定一定的安全策略，聯(lián)動處理的動態(tài)規(guī)則有一定的生命周期，當時間到達后自動刪除動態(tài)規(guī)則，重點要考慮到添加規(guī)則的數(shù)量和生命周期的設(shè)置。規(guī)則數(shù)量過多將導致防火墻和入侵檢測系統(tǒng)的性能下降，產(chǎn)生某種程度的拒絕服務攻擊。

動態(tài)規(guī)則鏈的設(shè)置規(guī)則由以下幾點組成：

（1）將動態(tài)規(guī)則鏈插入到防火墻檢測規(guī)則鏈中，保證防火墻檢測規(guī)則模塊優(yōu)先檢查動態(tài)規(guī)則鏈。

（2）當新加入動態(tài)規(guī)則時，檢查是否達到了規(guī)則鏈的上限，在這里我們設(shè)置動態(tài)規(guī)則鏈的數(shù)量是8條，當新規(guī)則到來時超出了規(guī)則上限，我們替換規(guī)則鏈上距離超時時間最近的規(guī)則。

（3）采用多線程技術(shù)，檢查動態(tài)規(guī)則鏈中的規(guī)則是否超時。當超時后，自動刪除規(guī)則。

（4）防火墻規(guī)則的審計分析模塊：對于防火墻中添加的動態(tài)規(guī)則應該詳細記錄，這樣就可以了解過濾規(guī)則阻止了哪些訪問，也可以了解究竟是哪些人試圖違反規(guī)則。當然，記錄所有的動態(tài)規(guī)則是一個保險的措施，雖然這樣需要更多的存儲空間，但是為了解決問題，這樣做是值得的。同時，便于管理員以后的日志分析，我們按照時間和數(shù)量進行統(tǒng)計，對于經(jīng)常性的阻斷動態(tài)規(guī)則，考慮設(shè)置為防火墻的靜態(tài)規(guī)則去處理。

4 小結(jié)

在本文所提出來的將靜態(tài)技術(shù)的代表防火墻與動態(tài)技術(shù)的代表入侵檢測系統(tǒng)結(jié)合互動的使用，并不僅指將兩個系統(tǒng)設(shè)定統(tǒng)一的標準接口后簡單的物理結(jié)合，而是將兩個系統(tǒng)各自的、特長的功能展現(xiàn)在新系統(tǒng)中，將動態(tài)安全技術(shù)的實時、快速、自適應的特點成為靜態(tài)技術(shù)的有效補充，將靜態(tài)技術(shù)的包過濾、信任檢查、訪問控制成為動態(tài)技術(shù)的有力保障。

當然，我們也應當看到，防火墻與入侵檢測系統(tǒng)互動技術(shù)的實施只是初步實現(xiàn)了防護、檢測與響應三者之間的一種簡單的協(xié)作和體系防護功能。這并不能說明這樣一個安全體系就能在現(xiàn)實網(wǎng)絡(luò)環(huán)境中發(fā)揮完善的防護效果。正如防火墻不可能百分之百可靠一樣，入侵檢測系統(tǒng)自身也不能具有較防火墻更高的可靠性。但可以確信的是，在這樣一個互助互補的安全體系之下網(wǎng)絡(luò)一定更安全。

[1]樂光學.Internet/Intranet網(wǎng)絡(luò)安全技術(shù)及安全機制的建設(shè)[J].佳木斯大學學報自然科學版.2002.

[2][美]Chris Hare Karanjit siyan.Internet防火墻與網(wǎng)絡(luò)安全[M].北京:機械工業(yè)出版社.1998.

[3]胡征兵，蘇軍.入侵防護技術(shù)綜述[J].微型電腦應用.2005.

[4]劉寶旭.許榕生等.黑客防范技術(shù)揭密[M].北京:機械工業(yè)出版社.2001.