具有安全域的企業(yè)級網(wǎng)絡架構(gòu)研究

舒軍曉

摘 要：蠕蟲的傳播對網(wǎng)絡的穩(wěn)定性的影響已經(jīng)持續(xù)了很多年，現(xiàn)在的網(wǎng)絡在面對蠕蟲洪水般的攻擊的時候是非常脆弱的。本文在分析了一種企業(yè)網(wǎng)絡安全架構(gòu)的基礎(chǔ)上，對基于網(wǎng)絡的蠕蟲防御和檢測的檢測技術(shù)進行了研究。

關(guān)鍵詞：企業(yè)級網(wǎng)絡 架構(gòu) 網(wǎng)絡蠕蟲

一個典型的具有安全域的企業(yè)級網(wǎng)絡架構(gòu)，其中包括了路由器、防火墻、入侵檢測系統(tǒng)、蜜罐等。網(wǎng)絡流從路由器首先到達企業(yè)級防火墻，同時激活入侵檢測系統(tǒng)（NIDS)，通過NIDS檢測后進入企業(yè)網(wǎng)絡。企業(yè)的內(nèi)部訪問網(wǎng)絡與外部公共訪問的網(wǎng)絡是分離的，同時在各自的網(wǎng)絡中都部署了蜜罐系統(tǒng)。個人防火墻、黑洞和基于主機的入侵檢測和防御系統(tǒng)，但它們在防御針對個人主機的網(wǎng)絡攻擊方面都是非常必要的。

一、網(wǎng)絡路由器

網(wǎng)絡路由器能夠把數(shù)據(jù)包從一個網(wǎng)絡傳輸?shù)搅硪粋€網(wǎng)絡、查看網(wǎng)絡數(shù)據(jù)包、控制數(shù)據(jù)包的流動。路由器通過新建或更新路由表，能夠支持50多個網(wǎng)絡協(xié)議，比如RIp (Router Information Protocol)和OSPF(Open Shortest path First)等協(xié)議。雖然這里沒有直接提到路由器的安全功能，但路由器卻是企業(yè)網(wǎng)絡的第一道防線。路由器的訪問控制列表用于控制在網(wǎng)絡接口處的數(shù)據(jù)包流動。Cisco公司擁有標準的和拓展的訪問控制列表。比如使用以下控制列表的斷言:access-list 1 permit host 150.50.1.2，就可以允許IP為150.50.1.2的主機的數(shù)據(jù)包通過路由器進入網(wǎng)絡。拓展的訪問控制列表能夠設(shè)定一些端口的開放與關(guān)閉和允許通過路由器的數(shù)據(jù)流的類型，比如TCP、UDP和ICMP協(xié)議的數(shù)據(jù)流等。如果想讓WEB服務器通過80端口向外界開放，可以使用以下斷言:aeeess-list 101 permit tcp any host 155.30.40.1eq50。為了防止一些類似SYN洪水的Dos攻擊，可以使用IS0的TCP中斷功能。

蠕蟲在過去的幾年中對因特網(wǎng)的穩(wěn)定性產(chǎn)生了巨大的影響。在路由器級做好防御蠕蟲的措施是很有必要的，但是路由器的防御是有限的，蠕蟲通常采用專門針對路由器的數(shù)據(jù)包分段技術(shù)來繞過路由器的一些限制。當路由器檢查到來的數(shù)據(jù)包時，整個數(shù)據(jù)包的頭信息被分段到各個小的數(shù)據(jù)包當中，這會導致設(shè)定的訪問控制列表對于它們無效。禁止數(shù)據(jù)包的分段傳輸對于網(wǎng)絡安全可以起到很重要的作用，但分段傳輸在正常的網(wǎng)絡活動中也是很常見的，所以禁止數(shù)據(jù)包的分段傳輸會過濾掉一些重要的數(shù)據(jù)包。

另外一個針對路由器的技術(shù)時源地址欺騙技術(shù)。這種技術(shù)把數(shù)據(jù)包的源地址設(shè)為可信任的區(qū)域，比如來自公司的內(nèi)部網(wǎng)絡等。針對這種技術(shù)必須仔細考慮網(wǎng)絡邊界的保護。

二、防火墻的保護

防火墻與路由器在防御功能方面有類似的地方。路由器的主要作用是根據(jù)規(guī)則路由網(wǎng)絡數(shù)據(jù)包。防火墻的主要作用則是根據(jù)預先定義的規(guī)則保證訪問網(wǎng)絡的安全。

對于蠕蟲，防火墻能以各種方式抵御蠕蟲的感染和網(wǎng)絡攻擊。最有效的抵御蠕蟲的措施是用防火墻關(guān)閉系統(tǒng)不需要開放的端口，以及監(jiān)控從本地主機流向外網(wǎng)的數(shù)據(jù)流。很多的蠕蟲攻擊都能通過關(guān)閉目標網(wǎng)絡端口來防御，但是防火墻和其它軟件一樣也存在漏洞，有漏洞的防火墻越來越多的成為蠕蟲攻擊的對象。Witty蠕蟲就是利用了Blackke防火墻的漏洞進行了傳播，事實上己經(jīng)在現(xiàn)有的一些防火墻上面發(fā)現(xiàn)了漏洞，所以對防火墻的升級和打補丁也是非常重要的。

三、網(wǎng)絡入侵檢測系統(tǒng)

入侵檢測系統(tǒng)(IDS)是一個比較新的研究領(lǐng)域。雖然UNix系統(tǒng)上的一些系統(tǒng)日志、審計記錄工具早在20世紀70年代己經(jīng)有了，但是真正的入侵檢測系統(tǒng)只是在20世紀80年代末才開始被研究。到了20世紀90年代中期才開始在市場上出現(xiàn)，作為網(wǎng)絡安全產(chǎn)品中的一個重要類型。根據(jù)數(shù)據(jù)來源的不同，入侵檢測系統(tǒng)常被分為基于主機的入侵檢測系統(tǒng)(Host-based IDs)和基于網(wǎng)絡的入侵檢測系統(tǒng)(Network-based IDs)?；谥鳈C的入侵檢測系統(tǒng)的數(shù)據(jù)源來自主機，如日志文件、審計記錄等?；诰W(wǎng)絡的入侵檢測系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡流量，這是攔截蠕蟲發(fā)送的精心構(gòu)造的數(shù)據(jù)包的重要屏障?；诰W(wǎng)絡入侵檢測系統(tǒng)在網(wǎng)絡安全方面起著越來越重要的作用，大致有兩種基本的入侵檢測系統(tǒng):基于網(wǎng)絡特征碼和基于網(wǎng)絡流、協(xié)議分析的入侵檢測系統(tǒng)。一些NIDS會集成這兩種技術(shù)。

基于網(wǎng)絡特征碼分析的技術(shù)著重在于對網(wǎng)絡數(shù)據(jù)的特征碼匹配，即對蠕蟲發(fā)送的攻擊ShenCode進行匹配?；诰W(wǎng)絡流和協(xié)議分析技術(shù)的NIDS實際上就是一個啟發(fā)式引擎。比如，一個大的協(xié)議分析模塊包含了大多數(shù)相關(guān)的協(xié)議(HTTP、FTP、SMTP等)的內(nèi)容。

此外，IDS還能夠布防在企業(yè)的內(nèi)部主機。一個真正有效的入侵檢測系統(tǒng)應該是基于主機和基于網(wǎng)絡的混合。所以現(xiàn)在的殺毒軟件都或多或少的加入了IDS的功能。入侵檢測系統(tǒng)有很大的市場前景。未來的入侵檢測系統(tǒng)將會向提高檢測速度和準確率、硬件化、專業(yè)化、人工智能的應用、互聯(lián)化、標準化等方向發(fā)展。

四、蜜罐技術(shù)

本世紀初，蜜罐技術(shù)漸漸地發(fā)展與成熟起來。它已經(jīng)在網(wǎng)絡安全領(lǐng)域的各個方面都引起了巨大的影響，被認為是帶領(lǐng)網(wǎng)絡安全防御從被動轉(zhuǎn)為主動的主要技術(shù)之一。蜜罐技術(shù)的核心思想是通過人為地設(shè)置網(wǎng)絡陷阱，來誘騙攻擊者，使他們將時間和資源都浪費在陷阱上面，并且暴露自己的攻擊方法和工具。除此之外，它還能對攻擊中的請求做出相應的應答，以進一步欺騙攻擊者繼續(xù)執(zhí)行，從而獲取盡可能多的有關(guān)攻擊的資料。事后通過對這些資料的分析，可以發(fā)現(xiàn)是否有攻擊發(fā)生，可以得知攻擊的整個過程以及攻擊中所用到的數(shù)據(jù)或者文件，可以獲取攻擊過程中所有用到的技術(shù)細節(jié)。所以蜜罐技術(shù)是一種很好的追蹤黑客攻擊的手段?！?/p>

參考文獻：

[1] 諸葛建偉,葉志遠,鄒維. 攻擊技術(shù)分類研究[J]計算機工程, 2005,(21) .

[2] 王方偉,張運凱,王長廣,馬建峰. 網(wǎng)絡蠕蟲的掃描策略分析[J]計算機科學, 2007,(08) .