?? 入侵檢測(cè)系統(tǒng),顧名思義�����,就是能夠及時(shí)發(fā)現(xiàn)入侵行為的系統(tǒng)。它通過對(duì)網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)收集網(wǎng)絡(luò)數(shù)據(jù)信息并對(duì)其進(jìn)行分析�����,從中鑒別網(wǎng)絡(luò)中違反安全策略的行為和被攻擊的跡象�����。與其他安全產(chǎn)品相比�����,入侵檢測(cè)系統(tǒng)需要更加智能�����,而不是像防火墻只是判斷這些數(shù)據(jù)符不符合安全策略�。一個(gè)好的入侵檢測(cè)系統(tǒng)能大大的提高網(wǎng)絡(luò)安全系數(shù)。
?? 防火墻并不安全
?? 防火墻是長期以來保障網(wǎng)絡(luò)安全最常用的工具�。它是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)互連設(shè)備,它對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)按照設(shè)定的安全策略對(duì)其進(jìn)行檢查�,來決定哪些數(shù)據(jù)非法。這樣有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳送,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的�����。
?? 一般防火墻系統(tǒng)分為兩層�,內(nèi)層是帶包過濾功能的路由器,外層是代理服務(wù)器�����。包過濾防火墻只接受代理服務(wù)器發(fā)出的服務(wù)請(qǐng)求和內(nèi)部網(wǎng)絡(luò)發(fā)起的服務(wù)連接�,代理服務(wù)器負(fù)責(zé)向公共網(wǎng)用戶提供內(nèi)部網(wǎng)絡(luò)允許的網(wǎng)絡(luò)服務(wù)。
?? 包過濾和代理技術(shù)的雙層防火墻系統(tǒng)�,從一定程度上提高了系統(tǒng)的安全性。但它主要是用來拒絕未經(jīng)授權(quán)的用戶訪問�,阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù),同時(shí)允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源�����,如果使用得當(dāng)�,可以在很大程度上提高網(wǎng)絡(luò)安全性能,但是防火墻雖然能對(duì)外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的防護(hù)�����,但對(duì)來自內(nèi)部網(wǎng)絡(luò)的攻擊卻無能為力,事實(shí)上據(jù)統(tǒng)計(jì) 60 %以上的網(wǎng)絡(luò)安全問題來自內(nèi)部網(wǎng)絡(luò)�,而且網(wǎng)絡(luò)程序和網(wǎng)絡(luò)管理系統(tǒng)中可能存在缺陷。因此網(wǎng)絡(luò)安全單靠防火墻技術(shù)是不夠的�。
?? 因?yàn)榉阑饓τ兴陨淼木窒蓿?/p>
?? 1.有欠靈活
?? 防火墻是通過嚴(yán)格限制進(jìn)出流來保障網(wǎng)絡(luò)安全的。但是這樣不可避免就會(huì)造成網(wǎng)絡(luò)本身過于封閉�,很多服務(wù)如Telnet,FTP...會(huì)被屏蔽掉�。
?? 2.家賊難防
?? 防火墻所執(zhí)行的任務(wù)是把住大門,防止外部用戶非法獲得敏感數(shù)據(jù)或者非法操作�����??墒撬鼘?duì)內(nèi)部用戶的行為毫無約束。這時(shí)內(nèi)部用戶無法無天也就不奇怪了�。
?? 3.后門失守
?? 防火墻把的是大門,可如果本網(wǎng)絡(luò)有后門呢�,且又被控制了呢?這時(shí)防火墻形同虛設(shè)�����。
?? 防火墻有這么多的局限�,這時(shí)人們就想到了"主動(dòng)出擊",派出"入侵檢測(cè)系統(tǒng)"進(jìn)駐公司內(nèi)部�,在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)巡邏�����,隨時(shí)揪出入侵之?dāng)场?/p>
?? 技術(shù)要求
?? 入侵檢測(cè)技術(shù)是繼"防火墻"�����、"數(shù)據(jù)加密"等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù)�。
?? 一個(gè)好的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)至少應(yīng)滿足這些功能要求:
?? 1�����、實(shí)時(shí)性:
?? 如果網(wǎng)絡(luò)攻擊或者攻擊的企圖盡快的被發(fā)現(xiàn)�����,這就有可能阻止進(jìn)一步的攻擊活動(dòng)�����,有可能把損失控制在最小限度�����。實(shí)時(shí)入侵檢測(cè)可以避免常規(guī)情況下�����,管理員通過對(duì)系統(tǒng)日志進(jìn)行審計(jì)以辨別入侵行為時(shí)的低效和延遲。
?? 2�����、可擴(kuò)展性:
?? 一個(gè)已經(jīng)建立的入侵檢測(cè)系統(tǒng)必須能夠保證在新的攻擊類型出現(xiàn)時(shí)�����,可以通過某種機(jī)制在無需對(duì)入侵檢測(cè)系統(tǒng)本身進(jìn)行改動(dòng)的情況下�����,使系統(tǒng)能夠檢測(cè)到新的攻擊行為�����。并且在入侵檢測(cè)系統(tǒng)的整體功能設(shè)計(jì)上�����,也必須建立一種可以擴(kuò)展的結(jié)構(gòu)�����,以便系統(tǒng)結(jié)構(gòu)本身能夠適應(yīng)未來可能出現(xiàn)的擴(kuò)展要求�。
?? 3、事件記錄:
?? 作為一個(gè)完備的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)�,對(duì)于檢測(cè)到的入侵事件必須具備完善的日志記錄和日志審計(jì)功能。
?? 4�、安全性:
?? 入侵檢測(cè)系統(tǒng)必須盡可能的完善與健壯,不能向其宿主計(jì)算機(jī)系統(tǒng)以及其所屬的計(jì)算機(jī)環(huán)境中引入新的安全問題及安全隱患�����。
?? 5�����、有效性與易用性:
?? 能夠保證設(shè)計(jì)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是切實(shí)有效的�����,即對(duì)于攻擊行為的錯(cuò)報(bào)與漏報(bào)能夠控制在一定范圍內(nèi)�。并且系統(tǒng)應(yīng)該是友好的,簡潔易用的�。
?? 應(yīng)用實(shí)例
?? 下面以中科大國禎網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)為例來說明網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的主要特性和配置方法。
?? * 分布式系統(tǒng)設(shè)計(jì)�����。可依據(jù)不同的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)靈活配置整個(gè)系統(tǒng)�。
?? * 檢測(cè)速度快。感應(yīng)器通常能在微秒或毫秒級(jí)發(fā)現(xiàn)問題�。
?? * 安全性好。系統(tǒng)各個(gè)模塊間采用先進(jìn)的加密傳輸�����。
?? * 易于控制�����。系統(tǒng)由感應(yīng)器�、控制中心和反應(yīng)單元組成�����。其中感應(yīng)器和反應(yīng)單元都是基于無人值守設(shè)計(jì)的�����。用戶只須在控制中心掌控整個(gè)系統(tǒng)�����。
?? * 智能反擊。系統(tǒng)在感應(yīng)器報(bào)警后會(huì)由控制中心下達(dá)反擊命令�,根據(jù)不同協(xié)議或切斷連接或數(shù)據(jù)包過濾。
?? * 數(shù)據(jù)過濾�。能對(duì)特定數(shù)據(jù)包實(shí)現(xiàn)過濾,并可按用戶需求過濾一定時(shí)間�����。
?? * 系統(tǒng)可擴(kuò)展性好�。系統(tǒng)的分布式結(jié)構(gòu)設(shè)計(jì)和核心感應(yīng)器的結(jié)構(gòu)設(shè)計(jì)決定了系統(tǒng)的可擴(kuò)展性較好。
?? * 隱蔽性和獨(dú)立性好�。感應(yīng)器不像一般主機(jī)在明處,因而也不那么容易遭受攻擊�。而且它不運(yùn)行其他的應(yīng)用程序,不提供網(wǎng)絡(luò)服務(wù)�,故有利于保障網(wǎng)絡(luò)安全。
?? * 資源配置要求不高�。由于使用一個(gè)檢測(cè)器就可以保護(hù)一個(gè)共享的網(wǎng)段,所以不需要很多的檢測(cè)器�。但是,如果在一個(gè)交換環(huán)境下�����,采用分接器(Tap),將其接在所有要檢測(cè)的線路上�。還有,感應(yīng)器不占用被保護(hù)資源�。
?? * 容易捕獲證據(jù)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)基于正在發(fā)生的網(wǎng)絡(luò)通訊進(jìn)行實(shí)時(shí)檢測(cè)�����,所以攻擊者無法轉(zhuǎn)移證據(jù)�����。且系統(tǒng)具備完善的日志記錄功能和審計(jì)功能�。這樣黑客就不能靠擦除系統(tǒng)記錄來掩蓋作案痕跡了。
?? 既然網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)這樣的好�����,那么該怎樣在具體的網(wǎng)絡(luò)環(huán)境中配置它呢�����?下面(圖2)以安徽國禎環(huán)保節(jié)能科技股份有限公司廠區(qū)網(wǎng)絡(luò)為例來說明�。
該網(wǎng)絡(luò)采用1000M高速以太交換網(wǎng)�����。網(wǎng)絡(luò)結(jié)構(gòu)為星型分級(jí)拓?fù)浣Y(jié)構(gòu)。主干交換機(jī)�,即圖中一級(jí)節(jié)點(diǎn),采用Cisco4006(配一個(gè)WS-X4232-L3�����,兩個(gè)WS-5484模塊)�����,二級(jí)節(jié)點(diǎn)采用兩臺(tái)Cisco3524XL(各配一個(gè)WS-5484)交換機(jī)�����;接入系統(tǒng)采用CISCO2621路由器(配 一個(gè)NM-8AM模塊)�����。采用1000BASE-SX�����、100 BASE-FX�����、100 BASE-TX標(biāo)準(zhǔn),構(gòu)造100/1000M的網(wǎng)絡(luò)帶寬�����,提供到達(dá)桌面的100M連接�����。
?? 可以看得出來�,該網(wǎng)絡(luò)有一級(jí)節(jié)點(diǎn)一個(gè),二級(jí)節(jié)點(diǎn)三個(gè)�����,三級(jí)節(jié)點(diǎn)一個(gè)�。那么怎么把網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)配置在這個(gè)網(wǎng)絡(luò)中呢?
?? 一般來說反應(yīng)單元是置于網(wǎng)關(guān)上的�����,如圖所示�?����?刂浦行碾S意放置于內(nèi)部網(wǎng)絡(luò)方便的地方,這里把它置于中心機(jī)房�����。而感應(yīng)器乃系統(tǒng)的靈魂所在�,必須置于網(wǎng)絡(luò)流量集中的地方。否則系統(tǒng)性能將得不到保證�����。這里把它置于3個(gè)二級(jí)節(jié)點(diǎn)和1個(gè)三級(jí)節(jié)點(diǎn)上�����。
?? 應(yīng)用效果
?? 配置好系統(tǒng)后�,整個(gè)網(wǎng)絡(luò)對(duì)付攻擊的效果怎樣呢?
?? 中科大國禎網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠檢測(cè)到1200多種包括緩沖區(qū)溢出及拒絕服務(wù)攻擊和各種網(wǎng)絡(luò)掃描的網(wǎng)絡(luò)攻擊行為�����。
?? 為了測(cè)試系統(tǒng)性能�����,我們進(jìn)行了一系列攻擊測(cè)試。包括Ping of Death�����,SYN Flood�����,UDP Flood�,Smurf,Unicode Attack以及使用著名的網(wǎng)絡(luò)掃描工具Nmap和Nessus以及Shadow Security Scanner產(chǎn)生網(wǎng)絡(luò)攻擊�����。
?? 在上述攻擊中�����,我們的系統(tǒng)表現(xiàn)出了一個(gè)好的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所具備的實(shí)時(shí)高效�,安全有效,日臻完善的優(yōu)點(diǎn)�。
?? 還有,在網(wǎng)絡(luò)大負(fù)載時(shí)系統(tǒng)表現(xiàn)又怎樣呢�?實(shí)驗(yàn)證明我們的系統(tǒng)在40M/sec的網(wǎng)絡(luò)環(huán)境中和60M/sec的網(wǎng)絡(luò)環(huán)境中表現(xiàn)依舊相當(dāng)令人滿意。在90M/sec的網(wǎng)絡(luò)環(huán)境中系統(tǒng)性能有所下降�����,但是仍能夠檢測(cè)到60%的網(wǎng)絡(luò)攻擊�����。這是個(gè)尚待解決的普遍存在的問題�����。
?? 我們提出的網(wǎng)絡(luò)安全解決方案在上面的例子中已經(jīng)展示出來了�。那就是結(jié)合防火墻和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn),在企業(yè)局域網(wǎng)絡(luò)的出入口處配置防火墻�����,以應(yīng)對(duì)基本的外部網(wǎng)絡(luò)攻擊�����,在內(nèi)部網(wǎng)絡(luò)中配置網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)�����,以彌補(bǔ)防火墻的不足�,并負(fù)責(zé)在內(nèi)部網(wǎng)絡(luò)中巡邏�,檢測(cè)來自內(nèi)部網(wǎng)絡(luò)的攻擊�����。
關(guān)鍵詞標(biāo)簽:入侵檢測(cè)
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程