淺析主流網(wǎng)絡安全技術及其發(fā)展趨勢

李志剛

摘要在主流的網(wǎng)絡安全技術中,防火墻、IDS、IPS是三項比較重要的技術。針對網(wǎng)絡上存在的安全問題,分析這三項技術的優(yōu)缺點,展望其技術發(fā)展趨勢對加強網(wǎng)絡安全工作至關重要。

關鍵詞網(wǎng)絡安全;防火墻;IDS;IPS

中圖分類號TP393.08文獻標識碼A文章編號1673-9671-(2009)112-0028-01

近年來我國信息化建設如火如荼,方便快捷的網(wǎng)絡系統(tǒng)給我們帶來了很多便利,各種各樣的信息由相關平臺進行迅速的傳遞。帶來便利的同時也帶來了新的問題?，F(xiàn)在傳送的信息已經(jīng)不是簡單的文字、圖像,更多的是音頻、視頻,流量大,用戶多,大范圍的病毒感染,防不勝防的黑客攻擊,這對安全是一個極大的考驗。怎樣來進行相應的網(wǎng)絡架構,能夠使它們在不斷變化、日趨變多的網(wǎng)絡風險中從容應對?一般情況下,當用戶連接到互聯(lián)網(wǎng)時,選擇使用主流的安全技術,預防有人通過網(wǎng)絡進行各種非法活動,并保證提供可靠完整的數(shù)據(jù),成為大家的共識。

1主流網(wǎng)絡安全技術簡介

1)防火墻技術,就是使用包過濾策略實現(xiàn)保護的目的,從原理上來講,這是一種隔離技術。防火墻是在網(wǎng)絡進行通訊時的訪問控制標準,它能讓經(jīng)過允許的人和數(shù)據(jù)進入相關網(wǎng)絡,還可以讓沒有經(jīng)過允許的人和數(shù)據(jù)拒之門外,極大程度上阻止網(wǎng)絡非法入侵者進入相關網(wǎng)絡。

防火墻,英文firewall,是使用包過濾策略的設備。這種設備放置在不同的網(wǎng)絡安全域之間,信息流通過這個設備進行通信,它可以根據(jù)用戶需求進行策略配置,達到訪問控制的目的。防火墻一般處于網(wǎng)絡的邊緣,用于連接不同的網(wǎng)絡,因為防火墻的位置,它實際是網(wǎng)絡防御的前沿陣地,用戶接受的信息實際上都要經(jīng)過防火墻判斷處理,根據(jù)相應策略判定數(shù)據(jù)是否交予用戶計算機,如果察覺數(shù)據(jù)異?；蛴泻?數(shù)據(jù)包將被攔截,最終實現(xiàn)對計算機和網(wǎng)絡的保護。防火墻從技術角度看,雖然種類繁多,但總體上可分為“包過濾型”和“應用代理型”兩大類。

2)IDS技術,IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統(tǒng)”。按照專業(yè)上講就是依照一定的安全策略,對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果,以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。

假如防火墻是別墅的大門,那么IDS就是這幢別墅里的監(jiān)控。如果有歹徒從陽臺進入別墅,或別墅內(nèi)服務人員有不軌行為,只有實時監(jiān)控系統(tǒng)才能發(fā)現(xiàn)問題并發(fā)出警告。

最早的IDS只不過是一個監(jiān)聽系統(tǒng),它是一個旁路設備,相當于并聯(lián)在網(wǎng)絡中,我們也可以把監(jiān)聽理解成竊聽的意思。對目前局域網(wǎng)的工作模式,IDS能夠對和自己在一個交換機或者集線器的server的相關操作記錄進行存儲,類似于事件查看器的功能;隨著技術的發(fā)展,網(wǎng)絡應用的增加,流量的激增,IDS的記錄越來越多,現(xiàn)在最新的IDS分析功能,能夠對記錄的數(shù)據(jù)進行分析保留一部分有危險的記錄,功能與效率得到加強;現(xiàn)在一般的企業(yè)主流的安全架構是使用IDS與防火墻聯(lián)動,利用IDS進行分析,使用防火墻進行有效的阻斷的方式。

3)IPS技術,IPS是英文術語Intrusion Prevention System的縮寫,意譯為入侵防御系統(tǒng)。入侵防御系統(tǒng)在具備網(wǎng)絡數(shù)據(jù)檢測功能的基礎上,增加了網(wǎng)絡數(shù)據(jù)包阻斷功能,IPS位于防火墻和網(wǎng)絡的設備之間。這樣,如果檢測到攻擊,IPS會在這種攻擊擴散到網(wǎng)絡的其它地方之前阻止這個惡意的通信。IDS只是存在于你的網(wǎng)絡之外起到報警的作用,而不是在你的網(wǎng)絡前面起到防御的作用。

2主流網(wǎng)絡安全技術存在的缺陷

2.1防火墻技術的缺陷

隨著網(wǎng)絡技術的迅速普及,安全問題顯得越來越重要,防火墻技術的發(fā)展勢頭迅猛,在安全體系中扮演越來越重要的角色。網(wǎng)絡安全的嚴峻形勢也對防火墻技術的發(fā)展提出了更高、更新的要求。在越來越依賴防火墻技術的情況下,我們也應該清醒地認識到:防火墻并不是“包治百病”的,它對于一些特殊的攻擊或其他行為有時也無能為力。所以,我們也應該了解其技術方面的一些局限性,畢竟沒有任何一種技術能絕對保證安全。

1)無法防御繞過防火墻的攻擊?！疤芈逡聊抉R”的典故來進行描述解釋十分恰當,對于網(wǎng)絡內(nèi)部的攻擊行為無法防御。在實際應用中來自內(nèi)網(wǎng)的非法攻擊十分普遍。

2)對于病毒缺乏及時有效的應對。防火墻按照策略進行數(shù)據(jù)過濾,只能在應用層和網(wǎng)絡層進行訪問控制,過濾數(shù)據(jù)包中含有病毒,通過防火墻時無法檢測出含有病毒的數(shù)據(jù),數(shù)據(jù)進入內(nèi)網(wǎng)后,病毒在內(nèi)網(wǎng)中進行擴散,給內(nèi)部網(wǎng)絡帶來極大的危害。

3)技術本身的限制。任何一種技術的發(fā)展,都是一個逐步完善的過程,防火墻技術也不例外,雖然在近十年技術發(fā)展迅速, 漏洞仍然不可避免的存在。利用該技術的防火墻,在使用中肯定也有因為本身漏洞遭到攻擊。防火墻的技術策略使用會對出現(xiàn)新的未知攻擊行為無法防范。

4)容易造成擁塞以及溢出現(xiàn)象。由于防火墻需要處理每一個通過它的數(shù)據(jù)包,所以當數(shù)據(jù)流量較大時,容易導致數(shù)據(jù)擁塞,影響整個網(wǎng)絡性能。嚴重時,如果發(fā)生溢出,就像大壩決堤一般,無法阻擋,任何數(shù)據(jù)都可以來去自由了,防火墻也就不再起任何作用。

盡管羅列了這么多防火墻技術的局限性,但防火墻在網(wǎng)絡安全中所扮演的重要角色是不可撼動的,雖然設置了防火墻不一定能完全保證網(wǎng)絡安全,但在保護網(wǎng)絡方面,除了要重視物理上的隔離外,更主要的著眼點還是防火墻。

2.2入侵檢測面臨的問題

2.2.1誤報和漏報

誤警和漏警產(chǎn)生的原因很多,主要有以下幾點:

基于特征的入侵檢測技術落伍。由于缺少信息管理,難于抵擋一些欺騙工具的攻擊和滲透。對于檢測主機的依賴性,影響到被檢測主機的效率。被檢測主機的資源被消耗,IDS的處理數(shù)據(jù)的速度跟不上大流量的,從而造成數(shù)據(jù)包丟失;網(wǎng)絡上復雜的情況,也加重了IDS的誤報現(xiàn)象。

2.2.2對攻擊防范單一

現(xiàn)在的IDS只能防范建立在TCP基礎上的攻擊,對于建立在UDP基礎之上的入侵則無法防御。

2.2.3端口的數(shù)據(jù)鏡像

端口鏡像的原理是交換機會將指定端口的通信數(shù)據(jù)鏡像到該監(jiān)聽端口,由網(wǎng)絡傳感器獲得指定端口的數(shù)據(jù)。但一些交換機不支持鏡像端口功能,也就不能將所有的數(shù)據(jù)傳輸給鏡像端口,所以IDS即使配置了針對某種攻擊的檢測規(guī)則,該攻擊也會被漏檢。另外在同一時刻交換機只能鏡像一個端口,無法監(jiān)控多臺機器。

2.3IPS面臨的挑戰(zhàn)

IPS 技術需要面對很多挑戰(zhàn),其中主要有三點:

1)節(jié)點問題。IPS技術部署方式不像IDS并聯(lián)在網(wǎng)絡中,而是以串聯(lián)的方式接入網(wǎng)絡中,一旦發(fā)現(xiàn)有攻擊行為,立即響應,主動切斷連接,這就意味著如果IPS設備出現(xiàn)問題,網(wǎng)絡無法正常運轉。

2)瓶頸問題。因為IPS以串聯(lián)的方式接入網(wǎng)絡中,所有的網(wǎng)絡信息通過該設備進行特征檢測匹配,當設備響應速度無法跟上時,就成為了網(wǎng)絡瓶頸。雖然很多實際產(chǎn)品使用硬件加速器來改善這個問題。

3)錯漏報問題。在實際較大規(guī)模的網(wǎng)絡中,IPS每天需要處理的警報成千上萬,它的處理依據(jù)就是特征檢測庫,如果對入侵特征描述不完善,就會出現(xiàn)錯漏報現(xiàn)象。

3主流網(wǎng)絡安全技術發(fā)展趨勢

僅依靠單一的網(wǎng)絡安全技術難以防范所有的攻擊行為,為了彌補這些缺陷,現(xiàn)在已經(jīng)開始安全產(chǎn)品協(xié)同工作的路子。即將防火墻技術、病毒檢測技術、入侵檢測等技術有效協(xié)同,共同完成保護網(wǎng)絡安全的任務。

1)傳統(tǒng)的防火墻技術通常都設置網(wǎng)絡邊緣,無法處理內(nèi)部網(wǎng)絡的攻擊,所以防火墻技術的模式開始向分布式結構的思路發(fā)展。分布式體系的防火墻將各個節(jié)點有效地保護起來,這將大大提高安全保護的力度。而且分布式體系的產(chǎn)生將從理論上改善防火墻技術的防御理念。防火墻產(chǎn)品由于在功能性上的擴展,更強的規(guī)則處理能力將使其對自身軟、硬件提出更高的性能要求。硬件因素往往受技術瓶頸地拖累,所以防火墻的軟件部分將需要更多先進的技術,以解決防火墻性能要求與實際水平的矛盾。

2)對于IDS技術和IPS技術,發(fā)展的趨勢為分析技術的改進,解決誤報和漏報的問題;結合數(shù)據(jù)挖掘技術,從海量告警數(shù)據(jù)中獲取真正有意義的信息,從而使得IDS/IPS能夠提供一種動態(tài)的策略;內(nèi)容恢復和審計功能,能讓管理員可以看到系統(tǒng)/網(wǎng)絡真正的運行狀況,這樣不僅可以使管理員看到孤立的攻擊事件告警,還可以看到整個攻擊過程,為進一步的分析提供了可能;產(chǎn)品標準化,為安全產(chǎn)品之間的聯(lián)合提供了方便。

最后,安全技術和安全管理不可分割,它們必須同步推進。因為即便有了好的安全設備和系統(tǒng),如果沒有好的安全管理方法并貫徹實施,那么安全也是空談。

參考文獻

[1]黎連業(yè),張維.防火墻及其應用技術[M].北京:清華大學出版社,2007.

[2]張世永.網(wǎng)絡安全原理與應用[M].北京:科學出版社,2003.

[3]姜文紅.網(wǎng)絡安全與管理[M].北京:清華大學出版社,2007.