内容:
虽然目前防火墙是保护网络免遭黑客攻击的有效手段,但明显存在着不足:①对内部网络发起的攻击无法阻止;②可以阻断外部攻击而无法消灭攻击来源;③做nat转换后,由于防火墙本身性能和并发连接数的限制,容易导致出口成为网络瓶颈,形成网络拥塞;④对于网络中新生的攻击行为,如果未做出相应策略的设置,则无法防范;⑤对于利用系统后门、蠕虫病毒以及获得用户授权等一切拥有合法开放端口掩护的攻击行为将无法防范。
为了弥补防火墙存在的不足,许多网络管理者应用入侵检测来提高网络的安全性和抵御攻击的能力。
2.2入侵检测系统(intrusiondetectionsystem)
(1)入侵检测就是对入侵的网络行为进行检测,通过收集和分析计算机网络中的信息,检查网络中是否存在违反安全策略规定的行为或者是被攻击的痕迹。如果发现有入侵行为的迹象,检测系统可以自动进行记录或生成报告,甚至能够根据所制定策略自动采取应对措施,断开入侵来源并向网络管理者报警。
入侵检测系统(ids)按照收集数据来源的不同一般可以分为三大类:
①由多个部件组成,分布于内部网络的各个部分的分布式入侵检测系统。
②依靠网络上的数据包作为分析、监控数据源的基于网络型入侵检测系统。
③安装在网段内的某台计算机上,以系统的应用程序日志和审计日志为数据源主机型入侵检测系统。
(2)虽然入侵检测系统以不同的形式安装于内部网络的各个不同的位置,但由于采集数据源的限制,对arp病毒形式的攻击行为却反应迟钝。入侵检测系统一般部署在主干网络或者明确要监控的网段之中,而一个内部网络往往有很多个独立的网段;由于财力的限制,网络管理者一般都不能在每个网络中部署用于数据采集的监控计算机。一旦未部署的网段中arp欺骗阻塞了本网段与外界的正常通讯,入侵检测系统无法采集到完整的数据信息而不能迅速准确的作出反应。
除此以外,现有的各种入侵检测系统还存在着一些共同的缺陷,如;较高的误报率,无关紧要的报警过于频繁;系统产品对不同的网络或网络中的变化反应迟钝,适应能力较低;系统产品报告的专业性太强,需要管理者、使用者有比较高深的网络专业知识;对用于处理信息的设备在硬件上有较高的要求,在大型局域网络中检测系统受自身处理速度的限制,容易发生故障无法对网络进行实时监测。
2.3入侵防御系统(intrusionpreventsystem)
(1)入侵防御系统(ips)是针对入侵检测系统(ids)所存在的不足,借用网络防火墙的部分原理而建立的。入侵防御系统有效的结合了入侵检测技术和防火墙原理;不但能检测入侵的发生,而且通过一些有效的响应方式来终止入侵行为;从而形成了一种新型的、混合的、具有一定深度的入侵防范技术。
入侵防御系统(ips)按照应用方式的不同一般可以分为三大类:
①基于主机的入侵防御系统hips:是一种驻留在服务器、工作站等独立系统中的安全管理程序。这些程序可以对流入和流出特定系统的数据包进行检查,监控应用程序和操作系统的行为,保护系统不会被恶意修改和攻击。
②基于网络的入侵防御系统nips:是一种以嵌入模式部署与受保护网段中的系统。受保护网段中的所有网络数据都必须通过nips设备,如果被检测出存在攻击行为,nips将会进行实时拦截。
③应用服务入侵防御系统(aips):是将hips扩展成位于应用服务器之间的网络设备。利用与hips相似的原理保护应用服务器。
相对与ids而言,ips是以在线方式安装在被保护网络的入口处,从而监控所有流经的网络数据。ips结合了ids和防火墙的技术,通过对流经的数据报文进行深层检查,发现攻击行为,阻断攻击行为,从而达到防御的目的。
(2)但同时,我们也认识到:由于ips是基于ids同样的策略特征库,导致它无法完全克服ids所存在的缺陷,依然会出现很多的误报和漏报的情况,而主动防御应建立在精确、可靠的检测结果之上,大量的误报所激发的主动防御反而会造成巨大的负面影响;另一方面,数据包的深入检测和保障可用网络的高性能之间是存在矛盾的,随着网络带宽的扩大、单位时间传输数据包的增加、ips攻击特征库的不断膨胀,串连在出口位置的ips对网络性能的影响会越来越严重,最终必将成为网络传输的瓶颈。
3新的网络安全发展方向
3.1当前网络的安全缺陷
综合分析以上网络安全技术的特点以后,我们不难发现:现有的网络安全设备大多部署在局域网的出口位置,现有的安全技术又无法保证100%发现和阻断外来的网络攻击行为;同时,内网中的计算机以及其它网络通讯设备中存在的系统安全漏洞基本上没有得到任何监控,仅仅依靠用户自己进行维护;由于受到用户安全防范水平和认识的限制,内网中必然存在着大量的网络安全漏洞,一旦这些存在漏洞的计算机或网络设备被外部侵入行为所控制,再利用这些设备发动arp或类似原理的攻击,将迅速导致整个网络系统的崩溃。对于这些内部网络中发起的攻击行为,普通的网络安全措施是无法及时发现和有效阻止的。
3.2网络安全新的发展方向
基于以上分析,我们认为应该将网络安全的防御重点转到内部网络上来,应该将网络监控的触角延伸到内部网络的每一个网段中;而最容易成为这些触角的工具就是构建起内部网络的网络交换机。
在一个大规模的局域网内,联入的网络通信设备分布广泛,覆盖地理位置较远;接入的计算机用户数量多,通信的数据量大;设置的通信网段和通信路由复杂。一旦发生网络故障,网络管理员无法迅速定位引起故障的来源,更不用说在故障发生之前就主动的发现攻击苗头,通过远程管理来消除故障隐患。这大大的影响网络用户的使用效率,降低了服务质量。而网络交换机是构建内部网络的基础,是用于转发网络数据包的工具。那么,无论是外网发起的网络连接,还是内网中类似于arp攻击所发出的广播包,网络交换机都可以收集到数据信息。如果网络中的交换机可以定时将收集到的数据样本发往一个处理平台,由处理平台根据既定策略进行分析,再将分析结果传给网络管理员,由网络管理员根据分析结果通过远程控制将网络故障或即将引起网络故障的设备进行隔离,将大大的提高网络管理的响应速度,保障大多数网络用户的使用效率。
3.3优化网络管理的几点要素
要建立起上述的网络故障自动监控平台,在建网时就要尽量做到以下几个方面的工作:
①设计大规模的局域网时,网内的交换机应该联入一个或多个独立的网段中,这样既可以让交换机之间形成一个独立的管理网络,又可以避免远程操作交换机时受到用户网段通信的影响。
②应尽量多的在网络中部署管理型网络交换机,这样既可以缩小故障源的范围便于定位,又便于网络管理员进行远程操作以迅速处理网络故障。
③应在核心交换机上部署一个基于全网拓扑图的网络监控软件,形成一个对网络信息进行收集、分析和反馈的平台,达到动态监控的目的。如下图1:
④应在核心交换机上配置一台网络监控计算机,这台计算机可以与交换机管理网段进行通信。同时在网络监控计算机上部署一个网络交换机的图形化管理软件。以便加强交换机的可操控性,摆脱交换机的“命令行式”管理,利于普通的网络值班人员(非核心技术人员)进行故障分析和排除。如下图2:
⑤努力开发收集交换机数据的软件,开发分析网络行为的策略库,不断提高网络监控平台的故障反应速度和故障源定位的准确性。
4结论
当然,仅仅做到以上几点还是不够的,保障大型网络的正常通信,维持网络信道的高效传输,其任重而道远。要构建综合的动态网络监控平台来优化安全防护效果,就应该整合各种网络安全资源、网络安全产品,组成内外兼备,高效智能的立体防护体系,从而满足各种领域对网络安全的需求。大力提高内网的网络安全管理能力,必将为达成上述目标起到重要而深远的影响。
参考文献:
[1]张仕斌,易勇。网络安全技术[m]清华大学出版社
[2]任侠,吕述望。arp协议欺骗原理分析与抵御方法[j]计算机工程2004
[3]张海燕。arp漏洞及其防范技术。网络与信息安全2006
楮建立,马雪松,局域网arp欺骗防范技术探讨。网络安全技术与应用2007.
