校園網安全策略——IDS 與防火墻聯動

楊靜

摘要：該文提出了校園網存在的安全隱患及安全管理的重要性，引出IDS與防火墻聯動的安全策略。接著針對聯動策略進行了系統(tǒng)的闡述，包括聯動技術的相關概念、具體實施步驟等。為構建校園網的安全防御體系提供了一定的參考。

關鍵詞：校園網；IDS；防火墻； 聯動技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）11-2520-03

Abstract： On the basis of the analysis of the risks of campus network and the significance of security management， this paper introduces the security strategy of IDS and firewall interaction. And then it has made a systematic exposition of the interactive strategy， including related concepts of interaction technology， concrete implementation steps and so on. It aims to serve as references of building a security defense system for campus network.

Key words： campus network； IDS； firewall； interaction technology

隨著網絡技術和信息技術的快速發(fā)展，校園網在高校中發(fā)揮著越來越重要的作用。校園網作為學校教學、科研、日常管理和對外交流的重要信息平臺，為維護正常教學秩序和規(guī)范日常管理工作起到了功不可沒的作用。在校園網建成初期，安全問題還不是很突出，但隨著網絡應用的深入，校園網上的數據急劇增加，網絡攻擊也隨之明顯增多，校園網暴露出來的安全問題日益突出。目前，各高校都非常重視加強校園網的安全管理。

1 校園網安全隱患

1）開放式網絡環(huán)境。校園網與Internet是互通的，而且校園網建立的目的就是實現資源共享、信息服務和網上辦公等，這些因素決定了校園網開放式的網絡環(huán)境。此外，校園網上許多資源都允許一般用戶訪問，安全級別極低。這就為黑客們提供了便利的攻擊渠道；

2）特殊的用戶群體。高校學生是校園網中最主要的用戶群體，他們對網絡新技術充滿著好奇，而且躍躍欲試。很多學生安全意識淡薄，不知道黑客犯罪的嚴重性，經常會使用網上學到的、或者自己炮制的各種病毒小程序來攻擊校園網，對校園網安全造成嚴重的威脅；

3）盜版資源濫用。在校園網中，大多數老師和學生習慣于使用盜版軟件和視頻資源，這些盜版資源的使用和傳播不僅占用了大量的網絡帶寬，而且還給網絡埋下了的安全隱患。例如盜版軟件中存在著很多的安全漏洞，還可能攜帶有特洛伊木馬、蠕蟲病毒等各種惡意程序，給校園網的安全造成了極大的威脅[1]；

4）人力財力投入不夠。由于資金欠缺等問題的存在，校園網在建設時往往會忽視網絡安全的重要性，一方面體現為網絡安全硬、軟件設施的配置落伍；另一個方面體現為機房維護和管理人員配備不足。

2 校園網安全策略

通過對校園網存在的安全隱患分析可知，校園網很容易成為黑客攻擊的目標。再加之校園網是高校的重要基礎設施，任何攻擊、入侵都可能帶來災難性的后果。輕者破壞、篡改主頁，重者則有可能刪除數據庫的關鍵數據或系統(tǒng)的重要文件，甚至可能導致整個校園網崩潰，使學校的各項工作不能正常運行。

既然校園網的安全如此重要，那么如何制定行之有效的安全策略來確保校園網的信息安全就成為擺在我們面前的首要任務。IDS（Intrusion Detection System）和防火墻等安全技術的單一使用已無法應對當前復雜多變的威脅和攻擊。防火墻只能根據已有的靜態(tài)規(guī)則過濾數據包，對內網的攻擊束手無策，這種被動的靜態(tài)防御系統(tǒng)顯然不能很好地滿足安全性的需求；IDS雖然是積極主動的動態(tài)防御技術，但其易遭受Dos攻擊并且容易受到欺騙[2]。在這樣一種形式下，IDS與防火墻聯動的防御體系逐漸浮出水面。

3 IDS與防火墻聯動相關概念

3.1 聯動原理

IDS在檢測到某一入侵行為時，將依照規(guī)則庫中的策略進行檢查。如果策略中設置了該事件的firewall阻斷， IDS 就會給防火墻發(fā)一個對應阻斷策略，防火墻則隨之進行相應的阻斷。阻斷的時間、源IP、目標IP、源端口和目標端口等信息將完全依照IDS發(fā)出的動態(tài)策略來執(zhí)行。

3.2 聯動方式

一般IDS和防火墻的互動有三種形式：

1）緊密結合：把IDS嵌入到防火墻中，這樣以來，IDS關注的流量就源自流經防火墻的數據流。所有通過的數據報既要經防火墻的驗證，又要受到IDS的盤查，以達到真正的實時阻斷。

2）開放接口： 即IDS或防火墻某一方開放一個接口供另一方使用，雙方依照約定的協(xié)議進行相互通信，完成網絡安全事件的交流傳遞。這種方式靈活性好，不占用額外帶寬。

3）端口鏡像：利用交換機的端口鏡像功能，防火墻將網絡中的部分流量鏡像到IDS的入侵檢測傳感器端口上，這樣該端口便獲得了這部分被監(jiān)控流量的副本。IDS對其進行匹配檢測后，再將檢測后的結果反饋給防火墻，防火墻隨之對其安全策略做相應地調整[3]。

3.3 聯動位置部署

IDS可以置于防火墻內，也可以置于防火墻外，一般選擇將IDS部署在防火墻內部，主要是基于防火墻對于內部入侵束手無策的特點。IDS既可以預防內部人員的監(jiān)守自盜行為，還可以檢測出黑客越過防火墻后的非法入侵，但它自身不能抵御攻擊，因此將IDS置于防火墻之內。endprint

如上圖所示，在外來入侵者試圖攻擊進入內網時，大部分入侵者由于沒有通過防火墻的驗證，首先就被擋在墻外；而另一部分則僥幸取得防火墻的信任，直接進入內網，這些入侵攻擊會受到IDS的二次檢查。當發(fā)現某些入侵特征與模式庫中的相關規(guī)則匹配時，就立即報警或者拒絕使用這個IP地址的源主機的通信請求。

4 IDS與防火墻聯動實現

IDS的設計參考了Snort系統(tǒng)。Snort是一個基于GPL的入侵檢測系統(tǒng)，具有很好的擴展性和可移植性，它通過嗅探（sniffer/logger）來獲得IP數據包，然后進行協(xié)議分析、內容查找/匹配，能探測出多種類型的入侵攻擊，如：緩沖區(qū)溢出、指紋采集嘗試秘密端口掃描、CGI攻擊等。

下面針對聯動模型中最主要的兩個問題進行闡述：①建立入侵模式庫；②設計IDS與防火墻之間的接口。

4.1建立入侵模式庫

依據入侵檢測方法的不同可將IDS劃分為基于異常的和基于誤用的兩大類。在比較了這兩種檢測系統(tǒng)的優(yōu)缺點之后，我們選用了基于誤用的IDS，不僅因為這種檢測系統(tǒng)誤報率低，而且其對己知的常用攻擊行為特別有效誤用檢測技術的關鍵是建立和維護一個入侵模式規(guī)則庫，即用已知的入侵攻擊特征來構建入侵模式庫，將捕獲到的入侵攻擊與模式庫中的規(guī)則進行匹配。若檢測到的入侵攻擊方式與模式庫中的某種特征相匹配，則立即報警；否則將新的攻擊特征寫入入侵模式規(guī)則庫，以便后續(xù)再有類似的攻擊侵入時，可以進行及時的阻斷[4]。

4.2 設計IDS與防火墻之間的聯動接口

經比較幾種聯動方式的優(yōu)缺點后，我們選擇了開放互動接口來實現防火墻與IDS的聯動。在聯動時，采用C/S模式運行， IDS作為客戶端運行，防火墻作為服務器端運行。

具體實施步驟：

1）初始化連接，通常由IDS向防火墻發(fā)起會話連接；

2）會話連接建立后，當IDS檢測出需告知防火墻的安全事件時，會發(fā)送特定格式的數據包，傳遞必要的交互信息；

3） 防火墻在收到交互信息后，可以實施互動行為，并將反饋結果以約定格式的包傳遞給IDS。

6 結束語

隨著網絡攻擊手段地不斷演化，采用某種單一的防御措施已無力構筑網絡安全的堅固高墻。IDS與防火墻的聯動安全策略一方面體現了分布式發(fā)展策略的走向，另一面也體現了深度網絡安全防護的思想。以防火墻為典型代表的靜態(tài)防御技術和以IDS為典型代表的動態(tài)防御技術相結合，使安全防御系統(tǒng)的發(fā)展經歷了從靜態(tài)到動態(tài)、從一元到多元、從平面到立體的飛躍性突破，是網絡安全技術發(fā)展史上的一個重要里程碑。

參考文獻：

[1] 郭平.淺析高校校園網安全隱患及防范技術[J].湖北三峽職業(yè)技術學院學報，2012（1）.

[2] 王相林，江宜為.IDS與防火墻聯動的網絡安全模型設計[J].科技通報，2011（3）.

[3] 張興東，胡華平，況曉輝，陳輝忠.防火墻與入侵檢測系統(tǒng)聯動的研究與實現[J].計算機工程與科學，2004.

[4] 陳卓.網絡安全技術[M].2版.北京：機械工業(yè)出版社，2012.endprint

如上圖所示，在外來入侵者試圖攻擊進入內網時，大部分入侵者由于沒有通過防火墻的驗證，首先就被擋在墻外；而另一部分則僥幸取得防火墻的信任，直接進入內網，這些入侵攻擊會受到IDS的二次檢查。當發(fā)現某些入侵特征與模式庫中的相關規(guī)則匹配時，就立即報警或者拒絕使用這個IP地址的源主機的通信請求。

4 IDS與防火墻聯動實現

IDS的設計參考了Snort系統(tǒng)。Snort是一個基于GPL的入侵檢測系統(tǒng)，具有很好的擴展性和可移植性，它通過嗅探（sniffer/logger）來獲得IP數據包，然后進行協(xié)議分析、內容查找/匹配，能探測出多種類型的入侵攻擊，如：緩沖區(qū)溢出、指紋采集嘗試秘密端口掃描、CGI攻擊等。

下面針對聯動模型中最主要的兩個問題進行闡述：①建立入侵模式庫；②設計IDS與防火墻之間的接口。

4.1建立入侵模式庫

依據入侵檢測方法的不同可將IDS劃分為基于異常的和基于誤用的兩大類。在比較了這兩種檢測系統(tǒng)的優(yōu)缺點之后，我們選用了基于誤用的IDS，不僅因為這種檢測系統(tǒng)誤報率低，而且其對己知的常用攻擊行為特別有效誤用檢測技術的關鍵是建立和維護一個入侵模式規(guī)則庫，即用已知的入侵攻擊特征來構建入侵模式庫，將捕獲到的入侵攻擊與模式庫中的規(guī)則進行匹配。若檢測到的入侵攻擊方式與模式庫中的某種特征相匹配，則立即報警；否則將新的攻擊特征寫入入侵模式規(guī)則庫，以便后續(xù)再有類似的攻擊侵入時，可以進行及時的阻斷[4]。

4.2 設計IDS與防火墻之間的聯動接口

經比較幾種聯動方式的優(yōu)缺點后，我們選擇了開放互動接口來實現防火墻與IDS的聯動。在聯動時，采用C/S模式運行， IDS作為客戶端運行，防火墻作為服務器端運行。

具體實施步驟：

1）初始化連接，通常由IDS向防火墻發(fā)起會話連接；

2）會話連接建立后，當IDS檢測出需告知防火墻的安全事件時，會發(fā)送特定格式的數據包，傳遞必要的交互信息；

3） 防火墻在收到交互信息后，可以實施互動行為，并將反饋結果以約定格式的包傳遞給IDS。

6 結束語

隨著網絡攻擊手段地不斷演化，采用某種單一的防御措施已無力構筑網絡安全的堅固高墻。IDS與防火墻的聯動安全策略一方面體現了分布式發(fā)展策略的走向，另一面也體現了深度網絡安全防護的思想。以防火墻為典型代表的靜態(tài)防御技術和以IDS為典型代表的動態(tài)防御技術相結合，使安全防御系統(tǒng)的發(fā)展經歷了從靜態(tài)到動態(tài)、從一元到多元、從平面到立體的飛躍性突破，是網絡安全技術發(fā)展史上的一個重要里程碑。

參考文獻：

[1] 郭平.淺析高校校園網安全隱患及防范技術[J].湖北三峽職業(yè)技術學院學報，2012（1）.

[2] 王相林，江宜為.IDS與防火墻聯動的網絡安全模型設計[J].科技通報，2011（3）.

[3] 張興東，胡華平，況曉輝，陳輝忠.防火墻與入侵檢測系統(tǒng)聯動的研究與實現[J].計算機工程與科學，2004.

[4] 陳卓.網絡安全技術[M].2版.北京：機械工業(yè)出版社，2012.endprint

如上圖所示，在外來入侵者試圖攻擊進入內網時，大部分入侵者由于沒有通過防火墻的驗證，首先就被擋在墻外；而另一部分則僥幸取得防火墻的信任，直接進入內網，這些入侵攻擊會受到IDS的二次檢查。當發(fā)現某些入侵特征與模式庫中的相關規(guī)則匹配時，就立即報警或者拒絕使用這個IP地址的源主機的通信請求。

4 IDS與防火墻聯動實現

IDS的設計參考了Snort系統(tǒng)。Snort是一個基于GPL的入侵檢測系統(tǒng)，具有很好的擴展性和可移植性，它通過嗅探（sniffer/logger）來獲得IP數據包，然后進行協(xié)議分析、內容查找/匹配，能探測出多種類型的入侵攻擊，如：緩沖區(qū)溢出、指紋采集嘗試秘密端口掃描、CGI攻擊等。

下面針對聯動模型中最主要的兩個問題進行闡述：①建立入侵模式庫；②設計IDS與防火墻之間的接口。

4.1建立入侵模式庫

依據入侵檢測方法的不同可將IDS劃分為基于異常的和基于誤用的兩大類。在比較了這兩種檢測系統(tǒng)的優(yōu)缺點之后，我們選用了基于誤用的IDS，不僅因為這種檢測系統(tǒng)誤報率低，而且其對己知的常用攻擊行為特別有效誤用檢測技術的關鍵是建立和維護一個入侵模式規(guī)則庫，即用已知的入侵攻擊特征來構建入侵模式庫，將捕獲到的入侵攻擊與模式庫中的規(guī)則進行匹配。若檢測到的入侵攻擊方式與模式庫中的某種特征相匹配，則立即報警；否則將新的攻擊特征寫入入侵模式規(guī)則庫，以便后續(xù)再有類似的攻擊侵入時，可以進行及時的阻斷[4]。

4.2 設計IDS與防火墻之間的聯動接口

經比較幾種聯動方式的優(yōu)缺點后，我們選擇了開放互動接口來實現防火墻與IDS的聯動。在聯動時，采用C/S模式運行， IDS作為客戶端運行，防火墻作為服務器端運行。

具體實施步驟：

1）初始化連接，通常由IDS向防火墻發(fā)起會話連接；

2）會話連接建立后，當IDS檢測出需告知防火墻的安全事件時，會發(fā)送特定格式的數據包，傳遞必要的交互信息；

3） 防火墻在收到交互信息后，可以實施互動行為，并將反饋結果以約定格式的包傳遞給IDS。

6 結束語

隨著網絡攻擊手段地不斷演化，采用某種單一的防御措施已無力構筑網絡安全的堅固高墻。IDS與防火墻的聯動安全策略一方面體現了分布式發(fā)展策略的走向，另一面也體現了深度網絡安全防護的思想。以防火墻為典型代表的靜態(tài)防御技術和以IDS為典型代表的動態(tài)防御技術相結合，使安全防御系統(tǒng)的發(fā)展經歷了從靜態(tài)到動態(tài)、從一元到多元、從平面到立體的飛躍性突破，是網絡安全技術發(fā)展史上的一個重要里程碑。

參考文獻：

[1] 郭平.淺析高校校園網安全隱患及防范技術[J].湖北三峽職業(yè)技術學院學報，2012（1）.

[2] 王相林，江宜為.IDS與防火墻聯動的網絡安全模型設計[J].科技通報，2011（3）.

[3] 張興東，胡華平，況曉輝，陳輝忠.防火墻與入侵檢測系統(tǒng)聯動的研究與實現[J].計算機工程與科學，2004.

[4] 陳卓.網絡安全技術[M].2版.北京：機械工業(yè)出版社，2012.endprint