内容摘要:近年来,随着网络技术的迅猛发展,网络的安全性也普遍受到重视。如何限制网络上用户以及程序的访问权限,防止非法程序的侵入是一个关键的问题。而解决这个问题的主要方法就是应用防火墙技术和入侵检测系统。 本文主要针对防火墙技术与入侵检测系统进行研究,并对其在军事网络中的应用进行了探讨。
关键词:防火墙;入侵检测;联动
目录
内容摘要
ABSTRACT
引言
第一章 防火墙技术与入侵检测系统(IDS)概述
1 防火墙技术概述
1.1 防火墙技术的基本概念
1.2 防火墙技术的分类
1.3 防火墙技术的功能
1.4 防火墙技术的局限性
2 IDS概述
2.1 IDS的基本概念
2.2 IDS的分类
2.3 IDS的功能
2.4 IDS存在的问题
第二章 防火墙技术与IDS的进一步研究方向
1 防火墙技术的进一步研究方向
1.1 防火墙技术的包过滤技术研究方向
1.2 防火墙技术的体系结构研究方向
1.3 防火墙技术的系统管理研究方向
2 IDS的进一步研究方向
2.1智能化入侵检测
2.2采用协议分析融合模式匹配的检测方式
2.3分布式和负载均衡入侵检测
2.4内容恢复和网络审计功能的引入
2.5集成网络分析和管理功能
3 注重防火墙技术和IDS的联动
第三章 防火墙技术与IDS在军事网络上的具体应用
1 军事院校校园网面临的各种威胁
1.1 物理威胁
1.2 有害程序
1.3 系统漏洞造成的威胁
2 我军内部网络存安全存在的问题及威胁
2.1 缺乏自主的计算机网络软、硬件核心技术
2.2 长期存在被病毒感染的风险
2.3 军事涉密信息在网络中传输的安全可靠性低
2.4存在来自网络外部、内部攻击的潜在威胁
3 我军内部网络安全问题对策
3.1 防火墙技术的应用
3.2 IDS的应用
3.3 注重防火墙技术与IDS的联动
3.4 其他防护措施
结语
引言
在全球信息技术高度发达的今天,军事院校的建设、发展及其工作的开展也离不开网络。但是,互联网是一把双刃剑,对于军事院校来说,其既有便利学校发展的一方面,同时也带来了一个棘手的问题,那就是网络安全问题。为实现网络安全,防范网络攻击,最常用的对策就是构建防火墙和入侵检测系统。
防火墙是指在内部网和互联网之间或者其他外部网之间插入一个中介系统, 其目的是阻断来自外部通过网络对内部网的威胁和入侵。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。从技术上来说,防火墙属于最底层的网络安全技术,它负责网络间的安全认证与传输。但随着网络安全技术的整体发展以及网络应用的不断变化,现在的防火墙技术已经逐步走向网络层之外的其他安全层次。
入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统。它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部用户的非法授权行为,并采取相应的防护手段。“1980年James Anderson 在‘Computer Security Threat Monitoring and Surveillance’的论文中提出了入侵检测系统的概念。1987年Domthy Donning在‘An Intrusion Detection Model’的论文中提出入侵检测系统IDS的框架结构。” [1][1]目前,入侵检测系统是网络安全研究的一个热点问题。
本文共分为三章:第一章是对防火墙技术与入侵检测系统的概述;第二章
主要对防火墙技术与入侵检测系统的进一步研究方向进行了论述;第三章探讨了防火墙技术与入侵检测系统在军事网络中的具体应用。
第一章 防火墙技术与入侵检测系统(IDS)概述
1 防火墙技术概述
1.1防火墙技术的基本概念
防火墙的英文名为“ Fire Wall”,它是一种重要的网络防护设备。“防火墙是设置在内部网络与外部网络之间的一道屏障,既可以是由硬件构成,也可以是用软件代替,还可以是软件和硬件的结合。” [2][2]从本质上来说,防火墙遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤型网络通信,只允许被授权的通信。防火墙是在内部网与外部网之间实施安全防范的系统,可以被认为是一种访问控制机制,根据网络决策人员及网络专家共同决定本网络的安全策略。其用意如同一个安全门,为门内的部门提供安全,控制那些被允许出入该受保护环境的人或物。它用于控制、允许、拒绝、监测出入两个网络之间的信息流,且本身有较强的抗击能力。在逻辑上,防火墙是一个分离器,是一个控制器,也是一个分析器,有效地监控了两个网络之间的任何活动,保证了内部网络的安全。
无论是什么形式的防火墙一般都具有以下的特点:一是所有内部和外部的通信都必须经过防火墙;二是只有是相应的安全政策所定义的授权通信才允许通过;三是防火墙本身是抗侵入的;四是防火墙是网络管理最高权限者的一道钥匙,可以随意开启和关闭内部网络的大门,有效防止入侵和攻击。
1.2 防火墙技术的分类
防火墙技术可根据基本原理和防范方式的不同分为以下几种基本类型:包过滤型、应用代理型和状态监测型。
1.2.1 包过滤型防火墙
包过滤(packet filtering)是防火墙技术的实现形式,它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。包过滤型产品是防火墙的初级产品,它的工作依据是网络中的分包传输技术。即网络上的数据都是以“包”为单位来进行传输的,数据会被分割成一定大小的数据包,每一个数据包中都会包含一些特定信息,如源地址、目标地址和目标端口等。防火墙通过读取这些数据包中的地址信息来判断这些“包”是否来自可信任的安全站点。一旦发现有来自于危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况来灵活制定判断规则。
包过滤技术的优点是简单实用,实现成本较低。在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全性。
但是,包过滤技术的缺陷也是明显的。首先,编制逻辑上严密、无漏洞的包过滤规则比较困难,对已编制好的规则进行测试也比较麻烦。另外,维护复杂的包过滤规则也是一件很麻烦的事情,网络管理员必须根据防火墙的包过滤规则理解和评估网络每天的变化。如果网络中增加了以台服务器又没有加入保护它的包过滤规则,它有可能就会成为黑客的攻破点。其次,包过滤规则的判别会降低路由器的转发速度,包过滤规则集越大,判别过程所花的时间就越长,何况随着时间的推移,包过滤规则集还会不断增长。第三,包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息来进行判断,无法识别基于应用层的恶意侵入,如恶意的JAVA小程序以及电子邮件中附带的病毒。对于一些有经验的黑客来说,能够很容易地伪装自己的IP地址,从而骗过包过滤型防火墙。
1.2.2 应用代理型防火墙
由于包过滤防火墙可以按照I P地址禁止未授权者的访问,但是它不适合军队网来控制内部人员访问外界的网络。应用代理型防火墙也可以称为代理服务器,它的安全性要高于包过滤型防火墙。代理服务器位于客户机与服务器之间,完全阻断了二者间的直接数据交流。“从客户机一方来看,代理服务器相当于一台真正的服务器;而从服务器一方来看,代理服务器又是一台真正的客户机。其工作流程如下:当客户机需要使用服务器上的数据时,先将数据请求发给代理服务器,代理服务器根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部系统的客户机之间没有直接的数据通道,外部的恶意侵害也就很难伤害到客户机的系统。” [3][3]
代理型防火墙的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的I P地址,他也通不过严格的身份认证。因此代理型防火墙比包过滤防火墙具有更高的安全性。然而,这种技术也有其自身的缺陷,具体为占用大量的CPU和内存资源,因此代理服务器能够支持的连接容量有限;系统的吞吐量较低,时延较长;代理类型多,管理困难,缺乏必要的灵活性;依靠现有操作系统,系统漏洞成为其无法克服的缺陷。
1.2.3 状态监测型防火墙
在防火墙技术的发展过程中,包过滤技术出现了两种不同的版本,成为“第一代静态包过滤”和“第二代动态包过滤”。 [4][4]上述包过滤型防火墙属于第一代静态包过滤类型的防火墙。而第二代动态包过滤类型的防火墙被称为状态监测型防火墙。这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤方法所具有的问题。这种技术后来发展成为状态监测(stateful inspection)技术。采用这种技术的防火墙对其所建立的每一个连接都进行跟踪,并且根据需要动态地在过滤规则中增加或更新条目。
状态监测技术通过一种称为“状态监测器”的组件,在不影响网络安全的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则做出安全决策。状态检测型防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关熟虑的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态的保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易的实现应用和服务的扩充。与其他安全方案不同,当用户访问到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定。安全报警器就会拒绝该访问,并坐下记录向系统管理器报告。其缺点是状态监测器的配置非常繁琐,而且运行中会降低网络速度。
1.3 防火墙技术的功能
“防火墙的目的是在网络连接之间建立一个安全点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进出内部网络的服务和访问进行审计和控制。” [5][5]在没有防火墙的环境中,内部网的安全性药由其中每个结点的坚固程度来决定,并且安全性等同于其中最弱的结点,从而使得内部网规模越大,把所有主机保持在相同安全水平上的可管理能力就越小。引入防火墙后,内部网的安全性在防火墙上得到了统一的加固,主要体现在以下几个方面:第一,强化了安全访问策略。防火墙可以提供实施和执行网络访问策略的工具,实现对用户和服务的访问控制。第二,记录与Internet之间的通信活动。作为内外网之间唯一的访问通道,防火墙能够记录内部网络和外部网络之间发生的所有事件。第三,实现了网段之间的隔离或控制。防火墙的隔离作用,可控制一个有问题网段中的问题在整个网络中传播。第四,提供一个安全策略的检查站。所有进出网络的信息都必须通过防火墙,这样防火墙便成为一个安全检查点,把所有可疑的访问拒之门外。
通常来说,防火墙技术具有下面三种功能:
1.3.1 数据包过滤
数据包过滤是一种在内部网络与外部主机之间进行有选择的数据包转发机制,它按照一种被称为访问控制列表(access control list ,ACL)的安全策略来决定是允许还是阻止某些类型的数据包通过。ACL可疑被配置为根据数据包报头的任何部分进行接收或拒绝数据包,目前,这种过滤主要是针对数据包的协议地址(包括源地址和目的地址)、协议类型和TCP/IP端口(包括源端口和目的端口)来进行的。因此,数据包过滤服务被认为是工作在网络层与传输层的边界安全机制。
1.3.2 网络地址翻译
网络地址翻译(network address translation ,NAT)是一种用来让使用私有地址的主机访问Internet的技术。提供NAT功能的设备,一般运行在末节区域的边界上,于是位于网络边界的防火墙设备就成了一种理想的NAT设备。提供了NAT功能的防火墙设备不仅可以将私有地址转换为可在公网上被路由的共有IP地址,也通过隐藏内部网络的地址结构而增强了网络的安全性。因为涉及地址及端口之间的转换,网络地址翻译也是一种工作在网络层与传输层的边界安全机制。
1.3.3 代理服务
代理服务是运行在防火墙主机上的专门应用程序。防火墙主机可以是一个同时拥有内部网络接口和外部网络接口的双重宿主主机,也可以是一些内部网络中唯一可以与Internet通信的堡垒主机。代理服务程序接受内部网用户Internet服务的请求,按照相应的安全策略转发他们的请求,并返回Internet网上主机的响应。实际上,代理就是一个在应用层提供替代连接并充当服务的网关。由于这个原因,代理也被称为应用级网关。代理具有应用相关性,即要按照应用服务类型的不同,选择相应的代理服务。
1.4 防火墙技术的局限性
网络的安全性通常是以牺牲网络服务的便利、开放和灵活性为代价的。防火墙一方面加强了内部网络的安全性,另一方面却使内部网络和外部网络的信息数据交流受到相当的阻碍,必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部网络的信息数据交流,这样不但增加了网络管理的费用开销,而且也减慢了信息的传递速度。从性能的角度来说,防火墙技术的致命弱点在于数据在防火墙之间的更新是难题,如果延迟太大将无法支持实时服务请求。
1.4.1防火墙不能防止受到病毒感染的软件或文件的传输
普通防火墙虽然扫描通过它的信息,但一般只涉及地址、端口号等网络层和传输层的包头信息,而不扫描数据载荷重的确切内容。现有的各类病毒、加密和压缩的文件种类繁多,不能希望防火墙逐个扫描来查找病毒。
1.4.2 对来自内部的攻击防火墙技术缺少足够的保护
防火墙可以禁止系统用户通过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上带出去。如果入侵者已经在防火墙内部,防火墙将会失去对网络的保护功能。
1.4.3 防火墙不能防范不通过其自身的连接
防火墙能够有效地防止通过它传输未授权的或恶意的信息,但却不能防止不通过它而传输的信息。例如,如果允许对防火墙后面的内部系统进行拨号访问,那么防火墙就不再具有防护功能。
1.4.4 防火墙不能防备新的、未知的威胁
防火墙是一种基于预定的安全策略的防范机制,因此可以被用来防备已知的威胁,但是,它不能防备新的、未知的威胁。
2 IDS概述
2.1 IDS的基本概念
“入侵检测,顾名思义,就是对入侵行为的发觉,它通过从计算机网络或系统中的若干关键点收集信息,并对其进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,并提供实时报警。进行入侵检测的软件与硬件的组合称为入侵检测系统。” [6][6]入侵检测系统(intrusion detection system ,IDS)是对计算机和网络资源的恶意使用行为进行识别的系统。他的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部用户的非法授权行为,并采取相应的防护手段。
2.2 IDS的分类
对入侵检测系统主要从数据源、检测方法、分布形式、响应方式等方面分类,其中前两种为主要的分类方式。
2.2.1 按照数据来源分为网络型入侵监测系统、主机型入侵检测系统和混合型入侵检测系统
网络型入侵检测系统部署在网络设备节点上,优点是能够检测基于协议的攻击,攻击者不易转移证据;检测实时性强,无需改动网络拓扑,对外透明,能降低本身受攻击的可能性;可在几个关键点上配置并观察多个系统。主要缺点是对网络型入侵检测系统部署在网络设备节点上,优点是能够检测基于协议的攻击,攻击者不易转移证据;检测实时性强,无需改动网络拓扑,对外透明,能降低本身受攻击的可能性;可在几个关键点上配置并观察多个系统。主要缺点是对于加密信道和某些基于加密信道的应用层协议无法实现数据解密,不能起到监视的作用;无法得到主机系统的实时状态信息,检测复杂攻击的准确率低;在实时检测中,需对每个数据包都进行协议解析和模式匹配,系统开销大。
主机型入侵检测系统部署在主机上,监视分析主机审计记录以检测入侵,效率高,能准确定位入侵并进步分析。优点是不需要额外的硬件,可用于加密以及交换环境,对网络流量不敏感,检测粒度细,目标明确集中,可监测敏感文件、程序或端口。缺点是占用主机资源,依赖于系统可靠性,可移植性差,只能检测针对本机的攻击,不适合检测基于网络协议的攻击。数据源主要包括系统审计信息、系统日志信息、内核信息、应用审计信息、系统目标信息。
混合型入侵检测结合了网络入侵检测和主机入侵检测二者的优点,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测。
2.2.2 按照检测方法分为异常检测、滥用检测和特征检测
异常检测也被称为基于行为的检测,是指:已知网络的正常活动状态,如果当前网络状态不符合正常的状态,则认为有攻击发生。“异常检测认为入侵是异常的子集,有统计分析、非参量统计分析、专家系统、量化分析和基于规则的检测,但关键在正常模式的建立及利用该模式与当前状况比较。” [7][7]在异常检测中,观察到的不是已知的入侵行为,而是所研究的通信过程中的异常现象,它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前,首先必须建立统计概率模型,明确所观察对象的正常情况,然后决定在何种程度上将一个行为标为“异常”,并如何做出具体决策。异常检测的主要优点:与系统相对无关,通用性较强;不需要过多系统缺陷的知识,适应性强,能检测未知入侵;不同的描述模式可使用不同的概率统计模型。异常检测的主要缺点:由于不可能对系统所有用户行为全面描述,且用户的行为常改变,所以误报率高;入侵者通过恶意训练,使检测系统习惯攻击而无法识别。
滥用检测定义入侵模式,通过模式是否出现来判断,也称基于知识的检测。“滥用监测是对利用已知的系统缺陷和已知的入侵方法进行入侵活动的检测。” [8][8]滥用监测依据具体攻击特征库进行判断,准确度高;但攻击特征细微变化就会使之无能为力,漏报率较高,对系统依赖性高,一致性较差,检测范围受已知知识局限,难以检测内部入侵,而且将具体入侵手段抽象成知识也很困难。该方法主要有简单模式匹配、专家系统、状态转移法、条件概率、击键监控、信息反馈批处理分析等。
特征检测定义系统轮廓,将系统行为与轮廓比较,不属正常行为的事件定义为人侵。该方法常采用某种特征语言定义系统的安全策略,当系统特征不能准确囊括所有的状态时就会漏报或误报。
上述检测方法各有优缺点,因此实际入侵检测系统可采用多种检测方法的结合。
2.3 IDS的功能
与其他安全产品不同的是,入侵检测系统需要更多的智能。它不仅要实时扫描和检测有关的网络活动,监视和记录相应的网络流量,还要提供关于网络流量的详尽分析,并得出有用的结果。一个合格的入侵检测系统可以大幅度简化管理员的工作,保证网络安全地运行。“通常,入侵检测系统处于防火墙之后,被认为是防火墙之后的第二道安全门,它与防火墙配合工作,可以有效地提供对内部攻击、外部攻击和误操作的实时保护,并在网络系统受到危害之前拦截和响应入侵。” [9][9]具体来说,入侵检测系统主要有以下几个方面的功能:
(1)监测并分析用户和系统的活动,使系统管理员时刻了解网络系统的任何变更。
(2)识别已知的攻击行为并及时做出响应,包括切断网络连接、记录事件和报警灯。
(3)对系统构造和弱点进行审计,为系统安全策略的制订提供指南。
(4)对异常行为模式进行统计分析,为发现潜在的网络威胁提供参考。
(5)评估系统关键资源和数据文件的完整性,为数据安全与保障提供指南。
(6)对操作系统的审计进行跟踪管理,并识别违反安全策略的用户活动。
除此之外,一个成功的入侵检测系统还应该管理、配置简单,使得非专业人员能够非常容易地利用它保证网络安全。同时,它还应具有一定的可扩展性与灵活性,如入侵检测系统的规模可根据网络威胁、系统构造和安全需求的改变而改变。
2.4 IDS存在的问题
入侵检测技术作为一种主动保护自己免受攻击的网络安全技术,它是防火墙技术的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。但是,我们也要看到目前入侵检测系统存在不少问题:
2.4.1 误报和漏报率高
要对网络上所有的数据包进行检测,如果攻击者对系统进行攻击尝试,而系统相应服务开放,但系统漏洞已经修补,那么,这一次攻击是否需要报警,就是一个需要管理员判断的问题。因为这也说明了一种攻击的企图。IDS常用的检测方法有状态检测、特征检测、协议分析、异常检 测等,而这些检测方式都存在一些缺陷。比如异常检测通常采用统计方法来进行检测,而统计方法中的阈值难以有效确定太小的值会产生大量的误报,太大的值又会产生大量的漏报,攻击者只要将网络探测、攻击速度和频率控制在阀值之下, IDS就不会报警。而在协议分析的检测方式中,一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等,其余大量的协议报文完全可能造成IDS漏报,如果考虑支持尽量多的协议类型分析,网络的成本将无法承受。和误报相对应的是漏报, 随着系统漏洞的出现,攻击的方法不断更新,IDS是否能报出网络中所有的攻击也是一个问题 。
2.4.2 缺少精确定位和处理机制
IDS仅能识别IP地址,无法定位I P地址,不能识别数据来源。IDS系统在发现攻击事件的时候,只能关闭网络出口和服务 器等少数端口,但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。
2.4.3 无法进行主动防御
IDS使用一种预设置、特征分析进行工作,采取被动监听的方式发现网络问题,因此检测规则的更新总是落后于攻击手段的更新,无法主动发现网络中的安全隐患和故障。如何解决这个问题也是入侵检测产品面临的难题。
2.4.4 高带宽下抗强力攻击能力差
IDS自身的抗强力攻击能力差。IDS的智 能分析能力越强,处理越复杂,抗强力攻击的能力就越差。目前IDS的设计趋势 是越来越多地追踪和分析网络数据流状态,使系统的智能分析能力得到提高,但 由此引起的弊端是系统的健壮性被削弱,并且,对高带宽网络的适应能力有所下降。目前IDS产品大多采用的是特征检测技术,这种IDS产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片情况下都可能造成 IDS的瘫痪或丢包,形成DoS攻击。
第二章 防火墙技术与IDS的进一步研究方向
从本文第一部分的论述,我们知道防火墙技术和入侵检测技术都有许多不足之处,因此,我认为有必要对二者的进一步研究方向进行讨论。
1 防火墙技术的进一步研究方向
随着新的网络攻击的出现,防火墙技术也有一些新的研究方向。这主要体现在包过滤技术、防火墙体系结构和防火墙系统管理三方面。
1.1 防火墙技术的包过滤技术研究方向
1.1.1采用多级过滤技术
多级过滤技术是指防火墙技术采用多级过滤措施,并辅以鉴别手段。“在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或人的协议和有害数据包如 nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务。” [10][10]这种技术是针对上述各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为防火墙技术的发展开辟了一个广阔的天地。
1.1.2使防火墙具有病毒防护功能
现在通常被称之为“病毒防火墙”,当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大提高网络的安全防御功能。
1.2 防火墙技术的体系结构研究方向
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于专用集成电路(Application Specific Intergrated Circuits,ASIC)的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。
1.3 防火墙技术的系统管理研究方向
1.3.1功能集成
传统的防火墙以及结合传统技术的综合型防火墙,概念很明确,功能也相对来说比较单一。由于现在对安全的重视,其他各项安全技术的应用越来越广泛,例如数据加密、身份认证、反病毒、地址转换、VPN等。“由于一个好的安全系统是一个综合应用安全技术的系统,传统意义上的防火墙的布置,往往伴随着各项安全技术的相应应用。所以,目前防火墙往往结合了其他安全技术”, [11][11]例如,在进行访问控制的时候,增加对访问身份合法性的确认;对经过防火墙的数据进行反病毒侦测,想被保护的网络提供安全的数据,可以克服数据驱动类型的攻击增强了防火墙的防护能力;数据加密技术与防火墙的结合,使防火墙能够提供VPN服务等等。总之,由于网络安全的综合性,决定了防火墙在未来的发展中,将结合越来越多的安全技术,使其成为一个新型的综合安全系统。
1.3.2强大的审计功能和自动日志分析功能
这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以使管理员有效地发现系统中存的安全漏洞,及时地调整安全策略。不过具有这种功能的防火墙通常是比较高级的,早期的静态包过滤防火墙是不具有的。
2 IDS的进一步研究方向
关于入侵检测技术的进一步研究方向主要体现在以下几个方面:
2.1智能化入侵检测
即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。利用专家系统的地思想来构建I DS也是常用的方法之一。特别是具有自学习能力的专家系统,实现了知识库的不断升级语扩展,使设计的 I DS防范能力不断增强,应该具有更广泛的应用前景。
2.2采用协议分析融合模式匹配的检测方式
特征模式匹配虽然是主要技术,但存在速度慢,效率低等缺点,协议分析是新一代IDS探测攻击手法的主要技术,它利用网络协议的高度规则性快速探测攻击的存在。协议分析技术优势在于能够详细解析各种协议。探测碎片攻击和协议确认技术可以为系统在每一层上都沿着协议栈向上解码,从而使用所有当前已知协议信息,来排除所有异常协议结构的攻击,同时大大降低传统模式匹配带来的误报问题和提高了效率,同时减少了系统资源消耗。
2.3分布式和负载均衡入侵检测
分布式的第一层含义,即针对分布式网络的攻击的检测方法;第二层含义使用分布式的方法来实现分布式的攻击的检测,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。负载均衡是一项具备智能化的技术,通常是通过并行的几台设备,将处理流量尽量平均的分配到各个设备,使得总体的处理负荷能够“分摊”到各个设备中,从而使总体性能得到很大的提高。
2.4内容恢复和网络审计功能的引入
入侵检测的最高境界是行为分析。但行为分析前还不是很成熟,因此,个别优秀的入侵检测产品引入了内容恢复和网络审计功能。内容恢复即在协议分析的基础上,对网络中发生的应为加以完整的重组和记录,网络中发生的任何行为都逃不过它的监视。网络审计即对网络中所有的连接事件进行记录。入侵检测的接入方式决定IDS中的网络审计不仅类似防火墙可以记录网络进出信息,还可以记录网络内部连接状况,此功能对内容恢复无法恢复的加密连接尤其有用。管理员通过此功能的使用,很好的达成了行为分析的目的。但使用此功能的同时需注意对用户隐私的保护。
2.5集成网络分析和管理功能
入侵检测不但对网络攻击是一个检测。同时,入侵检测可以收到网络中的所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题时,也希望能马上对其进行管理。入侵检测也不应只采用被动分析方法,最好能和主动分析结合。所以,入侵检测产品集成网管功能,扫描器,嗅探器等功能是以后研究的方向。
3 注重防火墙技术和IDS的联动
防火墙技术是一种被动式防御的访问控制技术,而入侵检测系统能够主动发现入侵行为并根据入侵的特性采取相应防护措施。但是,防火墙技术和入侵检测系统都有其不足之处,面对信息安全日益严峻的形势,单一的安全技术和产品已经不能很好地满足用户对网络安全性的需要。实现防火墙技术和入侵检测系统之间的联动可以增强网络的安全性。
通常,入侵检测系统总是位于防火墙的后面,首先由防火墙做最基本的过滤,再由入侵检测系统对数据包做深度检测。由于所有的通信都必须通过防火墙,考虑到网络性能以及流量因素,防火墙不能对数据包做太细致的检测。但现在应用的防火墙和入侵检测系统往往都是彼此独立工作的,根据入侵检测的结果对防火墙过滤规则的修改和添加通常也是由管理员手工完成的,而不能根据入侵检测的结果做动态的调整。即使发现了入侵企图也不能够及时形成防火墙过滤规则加以阻止,在事后根据日志可以跟踪到入侵行为,但无法弥补已经造成的损失。
从应用过程中看,防火墙和入侵检测系统是密不可分和相辅相成的。“防火墙与入侵检测是一套完整的网络安全解决方案的两个重要部分,二者各有所长,形成互补。” [12][12]自动协同的防火墙和入侵检测系统并不改变防火墙和入侵检测系统在网络中的位置,防火墙仍然位于内网和外网之间实现对数据包最初的处理,过滤掉违反规则和存在入侵企图的数据包。入侵检测系统在防火墙之后,通过防火墙的记录来读取可用信息,对通过防火墙的数据包做深度检测,若发现新的攻击嫌疑,首先在入侵检测系统中形成临时的规则,在以后的检测中对相关联的数据包多加注意。当确定属于攻击行为时,通报防火墙形成防火墙规则对此类攻击进行相应处理。防火墙和入侵检测系统之间的结合,使防护体系实现由静态到动态、由平面到立体的转变,可提升防火墙的机动性和实时反应能力,增强入侵检测系统的阻断功能。
防火墙和入侵检测系统联动思想的提出,是从单独防御到整体防御的一次进步。它很好地结合了防火墙和入侵检测系统的优点,弥补了它们的不足。但是,这种思想还仅仅是取得了一些进展,要将它成功地应用到军事网络安全维护方面还要经过不懈的努力。
第三章 防火墙技术与IDS在军事网络中的具体应用
根据由国家信息安全报告课题组编写的《国家信息安全报告》,如果将信息安全分为9个等级,我国的安全等级为5.5,安全形势十分严峻。我军网络信息安全形势也同样不容乐观,士兵的信息安全意识淡薄、信息安全技术落后、信息安全管理制度不完善、计算机网络安全防护能力较弱。这些存在于军队计算机网络中的安全隐患如果不能很好解决,不但会引起军队大量泄密事件和网络被攻击事件的发生,更会严重影响到作为高科技作战辅助手段的计算机网络技术在军队信息化建设中的推广和应用,甚至会成为我军未来信息化战争中的死穴,直接影响战争的结果。因此,分析现阶段我军的网络安全存在的问题,并找出相应的对策,对当前我军计算机网络安全的建设和发展以及把握未来战争形态具有十分重要的意义。
1 军事院校校园网面临的各种威胁
1.1 物理威胁
物理威胁主要包括:偷窃,包括偷窃设备、偷窃信息和偷窃服务等;废物利用,就是在废物中寻找所需情报信息;窃听,计算机工作时会产生辐射发射和传导发射,这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原,造成计算机信息泄露;身份识别错误,通过非法伪造文件或记录,把它们作为有效的、正式的文件或记录。
1.2 有害程序
有害程序主要包括:病毒,病毒可自我复制,并随着它所附着的程序在机器间快速传播,对计算机系统造成破坏;代码炸弹,其作用原理是一旦到达它所设定的时间,或在机器中发生了某种操作,代码炸弹就被触发并开始产生破坏性操作;特洛伊木马,特洛伊木马程序一旦被安装到机器上,便可按制造者的意图行事。
1.3 系统漏洞造成的威胁
系统漏洞造成的威胁主要包括:乘虚而入,比如,用户停止与某系统的通信,但该系统的一个端口仍处于激活状态,其它用户不必通过任何申请就可使用此端口与该系统通信;不安全服务程序,操作系统的一些服务程序可绕过机器的安全系统,蠕虫病毒就利用了系统中这样的可绕过机制,对计算机系统进行破坏;配置和初始化不正确,有时需关掉服务器来维修某子系统,当重启服务器时,可能会导致系统重新初始化时,安全系统没有被正确地初始化,留下安全漏洞让人利用。
从上面的论述可知,目前作为军事内部网络一部分的军事院校校园网安全面临多种威胁。与此同时,我们还应该看到,不仅仅是军事院校校园网存在安全隐患,我军整个内部网络安全都存在不少问题与威胁。
2 我军内部网络安全存在的问题及威胁
2.1 缺乏自主的计算机网络软、硬件核心技术
我军信息化建设缺乏自主的核心技术支撑,计算机网络的主要软、硬件,如CPU芯片、操作系统和数据库多依赖进口。信息设备的核心部分CPU由美国和我国台湾制造;我军计算机网络中普遍使用的操作系统来自国外,这些系统都存在大量的安全漏洞,极易留下嵌入式病毒和隐性通道等隐患;计算机网络中所使用的网管设备和软件绝大多数是舶来品,在网络上运行时,存在着很大的安全隐患。这就使军队计算机网络的安全性能大大降低,网络处于被窃听、干扰、监视和欺诈等多种安全威胁中,网络安全处于极脆弱的状态。
2.2 长期存在被病毒感染的风险
现代病毒可以借助文件、邮件等诸多方式在网络中进行传播和蔓延,它们具有自启动功能,常常潜入系统核心与内存,为所欲为。军用计算机一旦受感染,它们就会利用被控制的计算机为平台,破坏数据信息,毁损硬件设备,阻塞整个网络的正常信息传输,甚至造成整个军队计算机网络数据传输中断和系统瘫痪。
2.3军事涉密信息在网络中传输的安全可靠性低
隐私及军事涉密信息存储在网络系统内,很容易被搜集而造成泄密。这此涉密资料在传输过程中,由于要经过许多外节点,且难以查证,在任何中介节点均可能被读取或恶意修改,包括数据修改、重发和假冒。网络中可能存在某节点在非授权和不能监测方式下的数据修改,这些修改进入网中的帧并传送修改版本,即使采用某些级别的认证机制,此种攻击也能危及可信节点间的通信。重发就是重复一份或部分报文,以便产生被授权效果。当节点拷贝发到其他节点的报文并又重发他们时,若不能监测重发,则将会出现严重的后果。假冒是网络中某个实体假扮成另一个实体收发信息,很多网络适配器都允许网帧的源地址节点自己来选取或改变,这就使冒充变得较为容易。
2.4 存在来自网络外部、内部攻击的潜在威胁
网络中一台无防备的电脑很容易受到局域网外部的入侵,修改硬盘数据,种下木马等。入侵者会有选择地破坏网络信息的有效性和完整性,或伪装为合法用户进入网络并占用大量资源,修改网络数据、窃取、破译机密信息、破坏软件执行,在中间站点拦截和读取绝密信息等。在网络内部,则会有某些非法用户冒用合法用户的口令并以合法身份登录网站后,查看机密信息,修改信息内容及破坏应用系统的运行。有些非法用户还会修改自己的IP和MAC地址,使其和合法用户IP和MAC地址一样,绕过网络管理员的安全设置。
3 我军内部网络安全问题对策
3.1 防火墙技术的应用
在军队网络中,应用比较普遍的是利用防火墙在内部网和Internet之间设置“路卡”。防火墙是把组织的内部网络与整个因特网隔离开的软件和硬件的组合,它允许一些数据分组通过,而禁止另一些分组通过。“防火墙在内部网和外部网之间建立起一个安全网关,过滤数据包,决定是否转发到目的地。” [13][13]所有离开和进入内部网络的通信流量都要经过这个路由器,在这个路由器上即可实现数据包过滤。另外建立边界防火墙或者在主要服务器如WWW、SMTP等前面配置防火墙,都可以有效防止内部资源的安全威胁。
3.2 IDS的应用
入侵检测系统是执行人侵检测的软件与硬件组合而成的计算机系统。入侵检测系统通过收集网络中的有关信息和数据,对其进行分析并发现隐藏在其中的攻击者的足迹,并获取攻击证据和阻止攻击者的行为,最后进行数据恢复。“入侵检测系统作为一种动态的安全防御系统,它与传统的静态防御系统最大不同的是,IDS主动去发现入侵攻击行为,能够实时分析内部网络的通信信息,检测出入侵企图和入侵行为,在网络受到攻击时发出报警。” [14][14]入侵检测能力是衡量安全防御体系是否完整有效的重要因素。强大的、完整的入侵检测系统可以弥补军队内部网络防火墙相对静态防御的不足,可以对内部攻击、外部攻击和错误操作进行实时防护,在军队计算机网络和系统受到危害之前进行拦截和响应,为系统及时消除威胁。
3.3 注重防火墙技术与IDS的联动
如上所述,防火墙技术和入侵监测系统的功能特点和局限性决定了他们彼此非常需要对方,不可能单独维护军事内部网络的安全。所以让防火墙和入侵监测系统结合起来互动运行,入侵监测系统可以及时发现防火墙策略之外的入侵行为,防火墙可以根据入侵检测系统反馈的入侵信息进一步调整安全策略,从而进一步从源头上阻隔入侵行为。从而就可以大大提高整个防御系统的性能,从而更加有效地保障军队内部网络的安全。
3.3.1防火墙和入侵检测系统联动的主要方式
第一种系统嵌入方式是把入侵检测系统嵌入防火墙中,入侵检测系统的数据不再来源于抓包,而是流经防火墙的数据流。所有通过的数据包要接受防火墙的验证,还要判断是否有攻击,达到真正的实时阻断
第二种端口映像方式是防火墙将网络中指定的一部分流量镜像到人侵检测系统中,入侵检测系统再将处理后的结果通知防火墙,要求其相应地修改安全策略。这种方式适用于通信量不大,但在内网和DMZ区都有需求的情况。
第三种专用响应方式是当入侵检测系统发现网络中存在攻击企图时,通过一个开放接口与防火墙通信,双方按照固定的协议进行网络安全事件的传输,更改防火墙安全策略,对攻击的源头进行封堵。
3.3.2 实现防火墙和入侵检测系统联动的关键
首先,建立统一的接口标准,包括规则的描述、日志的记录、相互可识别的标准等。这样可以实现防火墙和入侵检测系统规则识别的兼容。入侵检测系统能从防火墙的记录中获取有用信息,防火墙也能够从入侵检测系统反馈的信息中获取信息,从而能够指定相应的规则。
其次,把握好入侵检测系统临时规则与防火墙规则制定的尺度。临时规则主要是针对入侵检测系统记录可疑数据包的特征,从而在以后的检测中加以关注。过严的策略容易导致大量的误检,而宽泛的处理策略又会导致人侵行为被漏检。这个尺度应该根据系统对安全的要求由管理员设定。在入侵检测系统锁定某个人侵以及异常行为时,通过入侵检测系统与防火墙之间的通道通知防火墙形成防火墙规则,通常为关闭端口、拒绝某个IP的数据包等。
第三,建立信息传递通道。防火墙和入侵检测系统之间的协同以及彼此读取数据,都需要通过相对安全的通道来传递信息。如果不能够保证该通道的安全就可能会被攻击者所利用而带来新的安全问题。因此,可以通过公私钥加密与签名相结合的形式保证通道的安全。
3.4其他防护措施
网络病毒也是威胁网络安全的重要因素,在军队网络上建立完善的病毒防护体系也是非常重要的。在主机上安装防病毒软件,能对病毒进行定时或实时的病毒扫描及漏洞检测,变被动清毒为主动截杀,既能查杀未知病毒,又可对文件、邮件、内存、网页进行实时监控,发现异常情况及时处理。另外,建立统一的身份认证、对垃圾邮件进行过滤、数据的备份和恢复技术等都是保障军事院校校园网和军队网络安全的重要措施。
结语
随着Internet发展和网络社会化,网络对社会的政治、经济、文化、军事、意识形态和社会生活等各方面的影响无所不在。在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在不断增加,应引起我军事部门的高度重视。但同时我军内部计算机网络所采取的网络安全技术手段还不先进,面临着信息安全问题的严峻考验.可通过综合利用网络安全技术夺取网络信息优势,扰乱敌方指挥系统,摧毁敌方网络基础设施,以赢得未来信息战争的主动权。
________________________________________