摘要:该文介绍了网络安全防御技术中的防火墙技术、入侵检测技术和漏洞扫描技术,并根据的网络安全现状,提出了综合利用上述技术建立主动式综合安全平台,讨论了该平台的架构和特点。
关键词:入侵检测;防火墙;漏洞扫描;综合安全平台
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2011)11-2525-02
许多安全技术和产品期望从不同角度、不同层次对计算机网络信息系统实施安全保护,如:防火墙、安全路由器、身份认证系统、VPN设备、入侵检测系统等。但是仅使用某种防护产品却不能给系统提供完善的安全防护,如:防火墙不能防范病毒、访问限制、后门威胁和来自内部黑客的攻击;入侵检测系统总结攻击特征主要靠安全专家手工完成,需要耗费大量的人力物力。因此,利用防火墙、入侵检测系统、漏洞扫描系统、上网行为管理系统、安全日志审计系统和网络版杀毒软件来搭建局域网主动式综合安全平台进行防护,顺应网络安全需求,弥补了各系统的不足,使得安全平台更加坚固、完善。
1 相关安全防御技术
防火墙通过对外界屏蔽来保护内部网络的信息和结构。
防火墙可以看作是两个网络之间访问控制的网络设备,一般由安装了防火墙软件的主机、路由器或多机系统所构成。另外,整个网络的安全策略也是由防火墙来进行执行,可视为一整套网络安全手段。
作为对计算机和网络资源上的恶意行的识别和处理的入侵检测是为保证计算机系统安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。它的基本思想是通过模式匹配方法,实现对网络流量的实时监控,并在发现异常流量或攻击数据时报警,从而让管理员及时采取安全措施。入侵检测系统能检测到的攻击类型有:系统扫描(System Scanning),拒绝服务(Deny of Service)和系统渗透(System Penetration)。
利用自动检测远端或本地主机安全脆弱点的相关技术成为漏洞扫描,主要针对在发生网络攻击前,通过对于整个网络扫描而获得网络而获得漏洞,同时给出修补方案进行网络漏洞,从而防止黑客的入侵行动。
防火墙和入侵检测分别是企业网络信息安全的第一、第二道安全闸门。那么,漏洞扫描则是加固第二道安全闸门的防盗锁。防火墙是一个静态防御系统,
对于实时攻击或异常行为不能实时反应的情况,应该必须事先设置规则。而入侵检测系统是一种动态发现系统,同时通过实时分析网络的通信信息,从而检测出入侵行为。由于网络安全问题是一个动态的过程,仅仅依靠防火墙的访问控制来防护不能完全保证系统的安全。因此,从这个角度上来说,入侵检测防火墙的联动显得比较重要,所以应该合理改变防火墙策略,从而切断防火前源头的入侵行为。
入侵检测系统常用的检测方法有专家系统、特征检测与统计检测。利用特定模式来提取攻击模式主要特征,从而判定所提取的数据特征是否在模式库中出现来检测入侵行为,这样的方法不可避免的存在计算量很大,系统的维护量大的缺点。另外,随着网络规模的日益扩大,这样的问题显得越来越明显。网络传送的网络包数量不断增大的同时,模式库的不断膨胀就决定了这种模式匹配的检测方法的性能直线下降。所以说,更为合理的方式,就是将漏洞扫描技术与入侵检测技术相结合,实现漏洞扫描与网络入侵检测系统的联动,通过顶级进行的漏斗扫面来对网络中安全漏洞及时修补,并且实时与网络模式库互动,进行模式库规模缩减,从而缩短匹配时间。另外,实时对于模式库的匹配更新也显得很重要,这样达到提高入侵检测系统检测效率的目的。由上述分析可知,整合防火墙、入侵检测和漏洞扫描系统,构建一个主动式立体安全防御体系才能有效保护整个信息基础设施的安全
2 主动式综合安全平台
物理上,此局域网采用虚拟专用网(VPN),在局域网和家庭办公用户间建立起了一个受保护的专用通道。同时,该平台使用VLAN(虚拟局域网)技术,通过划分网段、建立信任关系来缩小共享式网络的范围,防止网络监听。安全网络拓扑的设计减少了数据帧在网络中的冲突和碰撞,使网络的延迟缩短、吞吐量增加,亦可有效控制处在同一网络中的用户之间的通讯,起到隔离、保密的作用。这为局域网的整体安全策略奠定了基础。
策略上,该综合安全平台将防火墙、入侵检测、漏洞扫描、病毒检查、上网行为管理和安全日志审计等技术结合起来,构成一个安全闭环。网络版杀毒软件定期扫描网络杀毒,根据扫描结果报警并告知通信中间层使中毒客户端断开网络,避免数据包洪泛攻击和病毒风暴发生。上网行为管理系统设置规则,控制访问WEB、FTP、MAIL的内容,限制和控制P2P软件,如QQ、MSN、BT、SKYPE等。安全日志审计根据日志数据库记录的日志数据,分析网络或系统的安全性,并根据预先定义的条件(如每隔一段时间)自动地输出安全性分析报告。漏洞扫描基于全局安全视图,帮助管理员发现网络、系统及应用中存在的安全漏洞和隐患,并进行不断改进。入侵检测考虑到基于主机的入侵检测、基于特征检测的内容分析和基于分布式数据的相关性分析三方面,针对特定平台的代理充分利用了基于主机的各种入侵检测技术来收集特定主机上的安全事件信息,从而在应用级协议上达到对入侵行为进行检测;使用工业界已经十分成熟的特征检测技术对各种设备及系统产生的日志内容进行分析,发现其中隐含的安全事件;使用多种内置的相关性规则,对分布在网络中的设备产生的日志及报警信息进行相关性分析,从而检测出单个系统难以发现的安全事件。防火墙、入侵检测和漏洞扫描的联动是该综合安全平台的核心,如图1所示。
为了满足网络安全的整体化和立体化要求,应该采用联动方式将不同安全技术进行整合。在这个整合的体系中,需要结合防火墙、入侵检测系统、漏洞扫描的相关功能特点,从而更好利用他们的互补性。所以,这三者的联动问题显得尤为重要。其中,在此综合安全平台中,当系统入到相关阻断的入侵行为时,联动机制被信中间层迅速启动,从而防火墙得到响应而做出相关策略的动态修改,进行有效封堵攻击源。同时,需要要漏洞扫面定期执行,同时通过通信中间层将扫描结果及时回传给入侵检测系统,同时对于网络中的安全漏洞及时进行修补,并且完成已得到修补的安全漏洞相关的攻击特征删除工作,以精简模式库规模,从而提高模式匹配的效率。通信中间层作为系统的总控机构,负责各功能模块间的数据传送和协调控制。
3 结束语
由上文分析可以,多种孤立的手段来面对网络攻击手段的多样化往往显得力不从心,所以应该采用联动思想来保证网络安全的整体性和动态性,从而更好体现出网络安全深度防御的理念。通过合理的漏洞扫描与入侵检测系统联动,不仅可以增强监控主机的抗入侵的能力,同时还是可以提高入侵检测系统的工作效率。
参考文献:
[1] 桂春梅,钟求喜,王怀民.基于UML的防火墙和入侵检测联动模型的研究[J].计算机工程与科学,2004,26(11).
[2] 高能,冯登国,向继.一种基于数据挖掘的拒绝服务攻击检测技术[J].计算机学报,2006(29,6).
推荐访问: 浅析 局域网 相关 设计 系统
