?? 入侵檢測系統(tǒng)����,顧名思義,就是能夠及時發(fā)現(xiàn)入侵行為的系統(tǒng)���。它通過對網(wǎng)絡中的若干關(guān)鍵點收集網(wǎng)絡數(shù)據(jù)信息并對其進行分析�����,從中鑒別網(wǎng)絡中違反安全策略的行為和被攻擊的跡象����。與其他安全產(chǎn)品相比,入侵檢測系統(tǒng)需要更加智能�,而不是像防火墻只是判斷這些數(shù)據(jù)符不符合安全策略����。一個好的入侵檢測系統(tǒng)能大大的提高網(wǎng)絡安全系數(shù)。
?? 防火墻并不安全
?? 防火墻是長期以來保障網(wǎng)絡安全最常用的工具�。它是一種用來加強網(wǎng)絡之間訪問控制的特殊網(wǎng)絡互連設備,它對內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)按照設定的安全策略對其進行檢查���,來決定哪些數(shù)據(jù)非法���。這樣有效地控制內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的訪問及數(shù)據(jù)傳送,從而達到保護內(nèi)部網(wǎng)絡的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的�。
?? 一般防火墻系統(tǒng)分為兩層,內(nèi)層是帶包過濾功能的路由器�,外層是代理服務器。包過濾防火墻只接受代理服務器發(fā)出的服務請求和內(nèi)部網(wǎng)絡發(fā)起的服務連接�,代理服務器負責向公共網(wǎng)用戶提供內(nèi)部網(wǎng)絡允許的網(wǎng)絡服務。
?? 包過濾和代理技術(shù)的雙層防火墻系統(tǒng)�����,從一定程度上提高了系統(tǒng)的安全性。但它主要是用來拒絕未經(jīng)授權(quán)的用戶訪問�,阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù),同時允許合法用戶不受妨礙地訪問網(wǎng)絡資源�,如果使用得當,可以在很大程度上提高網(wǎng)絡安全性能���,但是防火墻雖然能對外部網(wǎng)絡的攻擊進行有效的防護���,但對來自內(nèi)部網(wǎng)絡的攻擊卻無能為力,事實上據(jù)統(tǒng)計 60 %以上的網(wǎng)絡安全問題來自內(nèi)部網(wǎng)絡���,而且網(wǎng)絡程序和網(wǎng)絡管理系統(tǒng)中可能存在缺陷�����。因此網(wǎng)絡安全單靠防火墻技術(shù)是不夠的�����。
?? 因為防火墻有它自身的局限:
?? 1.有欠靈活
?? 防火墻是通過嚴格限制進出流來保障網(wǎng)絡安全的��。但是這樣不可避免就會造成網(wǎng)絡本身過于封閉���,很多服務如Telnet,FTP...會被屏蔽掉�。
?? 2.家賊難防
?? 防火墻所執(zhí)行的任務是把住大門���,防止外部用戶非法獲得敏感數(shù)據(jù)或者非法操作�?��?墒撬鼘?nèi)部用戶的行為毫無約束。這時內(nèi)部用戶無法無天也就不奇怪了�。
?? 3.后門失守
?? 防火墻把的是大門,可如果本網(wǎng)絡有后門呢���,且又被控制了呢�?這時防火墻形同虛設�。
?? 防火墻有這么多的局限,這時人們就想到了"主動出擊"���,派出"入侵檢測系統(tǒng)"進駐公司內(nèi)部�����,在網(wǎng)絡關(guān)鍵節(jié)點巡邏����,隨時揪出入侵之敵。
?? 技術(shù)要求
?? 入侵檢測技術(shù)是繼"防火墻"���、"數(shù)據(jù)加密"等傳統(tǒng)安全保護措施后新一代的安全保障技術(shù)�。
?? 一個好的網(wǎng)絡入侵檢測系統(tǒng)至少應滿足這些功能要求:
?? 1�����、實時性:
?? 如果網(wǎng)絡攻擊或者攻擊的企圖盡快的被發(fā)現(xiàn)�����,這就有可能阻止進一步的攻擊活動����,有可能把損失控制在最小限度。實時入侵檢測可以避免常規(guī)情況下���,管理員通過對系統(tǒng)日志進行審計以辨別入侵行為時的低效和延遲���。
?? 2、可擴展性:
?? 一個已經(jīng)建立的入侵檢測系統(tǒng)必須能夠保證在新的攻擊類型出現(xiàn)時����,可以通過某種機制在無需對入侵檢測系統(tǒng)本身進行改動的情況下��,使系統(tǒng)能夠檢測到新的攻擊行為��。并且在入侵檢測系統(tǒng)的整體功能設計上��,也必須建立一種可以擴展的結(jié)構(gòu)����,以便系統(tǒng)結(jié)構(gòu)本身能夠適應未來可能出現(xiàn)的擴展要求�����。
?? 3��、事件記錄:
?? 作為一個完備的網(wǎng)絡入侵檢測系統(tǒng)�,對于檢測到的入侵事件必須具備完善的日志記錄和日志審計功能�。
?? 4、安全性:
?? 入侵檢測系統(tǒng)必須盡可能的完善與健壯��,不能向其宿主計算機系統(tǒng)以及其所屬的計算機環(huán)境中引入新的安全問題及安全隱患���。
?? 5��、有效性與易用性:
?? 能夠保證設計的網(wǎng)絡入侵檢測系統(tǒng)是切實有效的����,即對于攻擊行為的錯報與漏報能夠控制在一定范圍內(nèi)。并且系統(tǒng)應該是友好的����,簡潔易用的。
?? 應用實例
?? 下面以中科大國禎網(wǎng)絡入侵檢測系統(tǒng)為例來說明網(wǎng)絡入侵檢測系統(tǒng)的主要特性和配置方法�。
?? * 分布式系統(tǒng)設計??梢罁?jù)不同的網(wǎng)絡拓撲結(jié)構(gòu)靈活配置整個系統(tǒng)。
?? * 檢測速度快����。感應器通常能在微秒或毫秒級發(fā)現(xiàn)問題。
?? * 安全性好���。系統(tǒng)各個模塊間采用先進的加密傳輸�����。
?? * 易于控制�����。系統(tǒng)由感應器����、控制中心和反應單元組成。其中感應器和反應單元都是基于無人值守設計的��。用戶只須在控制中心掌控整個系統(tǒng)��。
?? * 智能反擊�。系統(tǒng)在感應器報警后會由控制中心下達反擊命令,根據(jù)不同協(xié)議或切斷連接或數(shù)據(jù)包過濾���。
?? * 數(shù)據(jù)過濾��。能對特定數(shù)據(jù)包實現(xiàn)過濾���,并可按用戶需求過濾一定時間�。
?? * 系統(tǒng)可擴展性好。系統(tǒng)的分布式結(jié)構(gòu)設計和核心感應器的結(jié)構(gòu)設計決定了系統(tǒng)的可擴展性較好����。
?? * 隱蔽性和獨立性好。感應器不像一般主機在明處,因而也不那么容易遭受攻擊�。而且它不運行其他的應用程序,不提供網(wǎng)絡服務��,故有利于保障網(wǎng)絡安全�。
?? * 資源配置要求不高。由于使用一個檢測器就可以保護一個共享的網(wǎng)段��,所以不需要很多的檢測器�。但是,如果在一個交換環(huán)境下���,采用分接器(Tap)�,將其接在所有要檢測的線路上����。還有,感應器不占用被保護資源��。
?? * 容易捕獲證據(jù)���。網(wǎng)絡入侵檢測系統(tǒng)基于正在發(fā)生的網(wǎng)絡通訊進行實時檢測���,所以攻擊者無法轉(zhuǎn)移證據(jù)�。且系統(tǒng)具備完善的日志記錄功能和審計功能���。這樣黑客就不能靠擦除系統(tǒng)記錄來掩蓋作案痕跡了�。
?? 既然網(wǎng)絡入侵檢測系統(tǒng)這樣的好�����,那么該怎樣在具體的網(wǎng)絡環(huán)境中配置它呢���?下面(圖2)以安徽國禎環(huán)保節(jié)能科技股份有限公司廠區(qū)網(wǎng)絡為例來說明����。
該網(wǎng)絡采用1000M高速以太交換網(wǎng)��。網(wǎng)絡結(jié)構(gòu)為星型分級拓撲結(jié)構(gòu)����。主干交換機,即圖中一級節(jié)點�����,采用Cisco4006(配一個WS-X4232-L3���,兩個WS-5484模塊)��,二級節(jié)點采用兩臺Cisco3524XL(各配一個WS-5484)交換機��;接入系統(tǒng)采用CISCO2621路由器(配 一個NM-8AM模塊)����。采用1000BASE-SX���、100 BASE-FX��、100 BASE-TX標準��,構(gòu)造100/1000M的網(wǎng)絡帶寬���,提供到達桌面的100M連接。
?? 可以看得出來���,該網(wǎng)絡有一級節(jié)點一個����,二級節(jié)點三個��,三級節(jié)點一個。那么怎么把網(wǎng)絡入侵檢測系統(tǒng)配置在這個網(wǎng)絡中呢�����?
?? 一般來說反應單元是置于網(wǎng)關(guān)上的�,如圖所示??刂浦行碾S意放置于內(nèi)部網(wǎng)絡方便的地方,這里把它置于中心機房��。而感應器乃系統(tǒng)的靈魂所在��,必須置于網(wǎng)絡流量集中的地方���。否則系統(tǒng)性能將得不到保證���。這里把它置于3個二級節(jié)點和1個三級節(jié)點上。
?? 應用效果
?? 配置好系統(tǒng)后��,整個網(wǎng)絡對付攻擊的效果怎樣呢���?
?? 中科大國禎網(wǎng)絡入侵檢測系統(tǒng)能夠檢測到1200多種包括緩沖區(qū)溢出及拒絕服務攻擊和各種網(wǎng)絡掃描的網(wǎng)絡攻擊行為����。
?? 為了測試系統(tǒng)性能,我們進行了一系列攻擊測試��。包括Ping of Death�����,SYN Flood�,UDP Flood��,Smurf����,Unicode Attack以及使用著名的網(wǎng)絡掃描工具Nmap和Nessus以及Shadow Security Scanner產(chǎn)生網(wǎng)絡攻擊。
?? 在上述攻擊中����,我們的系統(tǒng)表現(xiàn)出了一個好的網(wǎng)絡入侵檢測系統(tǒng)所具備的實時高效,安全有效�����,日臻完善的優(yōu)點�。
?? 還有,在網(wǎng)絡大負載時系統(tǒng)表現(xiàn)又怎樣呢�����?實驗證明我們的系統(tǒng)在40M/sec的網(wǎng)絡環(huán)境中和60M/sec的網(wǎng)絡環(huán)境中表現(xiàn)依舊相當令人滿意。在90M/sec的網(wǎng)絡環(huán)境中系統(tǒng)性能有所下降�,但是仍能夠檢測到60%的網(wǎng)絡攻擊。這是個尚待解決的普遍存在的問題���。
?? 我們提出的網(wǎng)絡安全解決方案在上面的例子中已經(jīng)展示出來了�。那就是結(jié)合防火墻和網(wǎng)絡入侵檢測系統(tǒng)的優(yōu)點���,在企業(yè)局域網(wǎng)絡的出入口處配置防火墻�,以應對基本的外部網(wǎng)絡攻擊��,在內(nèi)部網(wǎng)絡中配置網(wǎng)絡入侵檢測系統(tǒng)�����,以彌補防火墻的不足�,并負責在內(nèi)部網(wǎng)絡中巡邏,檢測來自內(nèi)部網(wǎng)絡的攻擊����。
關(guān)鍵詞標簽:入侵檢測
火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法
網(wǎng)絡安全管理軟件-PCHunter使用教程