发展背景
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。那么,为了防止和避免遭受攻击和入侵,以确保网上信息的安全,网络安全系统起到了很大的作用。当前应用较为广泛的三类常见网络安全系统——防火墙、IDS(网络入侵检测系统)、IPS(入侵防御系统)。
常见分类防火墙防火墙是目前最成熟的网络安全技术,也是市场上最常见的网络安全产品,在互联网上是一种非常有效的网络安全工具。它主要是通过对外界屏蔽,以保护内部网络的信息和结构。它是设置在内部可信网络和外部不可信网络之间的屏障,可以通过实施比较广泛的安全策略来控制信息流入可信网络,防止不可预料的潜在的入侵破坏,它也能限制可信网络中的用户对外部网络的非授权访问,也因此削弱了网络的功能。
一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视fnternet安全提供方便。由于防火墙假设了网络边界和服务,因此适合于相对独立的网络。目前防火墙已经在Internet上得到了广泛的应用,而且由于防火墙不限于TCP/IP协议的特点,也使其逐步在fnternet之外更具生命力。
防火墙不是万能的,它具有如下缺点:一是防火墙可以阻断攻击,但不能消灭攻击源;二是防火墙不能抵抗最新的未设置策略的攻击漏洞;三是防火墙对服务器合法开放的端口的攻击大多无法阻止;四是防火墙不能解决来自内部网络的攻击和安全问题;五是防火墙本身也会出现问题和受到攻击;六是防火墙不处理病毒,不能防止受病毒感染的文件的传输等等。因此,客观地讲,防火墙并不是解决网络安全问题的万能药方,而只是网络安全政策和策略中的一个组成部分。
IDS (网络入侵检测系统)IDS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。IDS一般位于内部网的入口处,安装在防火墙的后面,用于检测入侵和内部用户的非法活动,提供对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前进行拦截和入侵处理。它可在不影响网络性能的情况下对网络进行监听,从而实现对网络的保护。
IDS能检测到的攻击类型常见的是:系统扫描(SystemScanning)、拒绝服务(Deny of Service)和系统渗透(System Penetration ) 。IDS对攻击的检测方法主要有:被动、非在线地发现和实时、在线地发现计算机网络中的攻击者。IDS的主要优势是监听网络流量,但又不会影响网络的性能。作为对防火墙的有益补充,IDS能够帮助网络系统快速发现网络攻击的发生,可扩展系统管理员的安全管理能力,包括安全审计、监视、进攻识别和响应等,从而提高了信息安全基础结构的完整性,被认为是继防火墙之后的第二道安全闸门。
IDS技术的一大优点是只需收集相关的数据集合,可显著减少系统负担,且技术已相当成熟。它与防火墙采用的方法一样,检测准确率和效率都相当高。IDS的缺点是需要不断升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段,同时其本身的抗攻击能力差。
由于IDS和防火墙分别用于不同的目的,因此通常情况下可以同时选择使用IDS和防火墙,以便更好地保护系统。但是IDS和防火墙联动后,其稳定性并不是很理想,特别是攻击者有可能利用伪造的包信息,让IDS错误判断,进而错误指挥防火墙,从而将合法的地址屏蔽掉。
IPS (入侵防御系统)IPS是一种主动的、智能的入侵检测、防范、阻止系统,它不但能检测入侵的发生,而且能通过一定的响应方式,实时地终止入侵行为的发生和发展,实时地保护信息系统不受实质性攻击的一种智能化的安全产品。IPS不仅能实现检测攻击,还能有效阻断攻击,它提供深层防护,注重主动防御,可以说IPS是基于IDS的、建立在IDS发展基础上的新生网络安全产品。
IPS实现实时检查和阻止入侵的原理是:IPS拥有数目众多的过滤器,能够防止各种攻击。针对不同的攻击行为,IPS设计不同的过滤器。每一种过滤器设置其相应的过滤规则,从而确保其准确性。当有新的攻击手段被发现,IPS就会创建一个新的过滤器,同时设置其相应的过滤规则。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。依据数据包中报头信息,所有流经IPS的数据包将被分类,如源IP地址和目的IP地址、端口号和应用域等。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查,从而确保数据包能够不间断地快速通过系统,不会对速度造成影响。IPS的关键技术是:主动防御技术、防火墙与IPS互动技术、集成多种检测技术和硬件加速系统。其主要技术特征是:嵌入式运行模式、完善的安全策略、高质量的入侵特征库、高效处理数据包的能力和强大的响应功能。
IPS在很多方面融合了其他产品的一些特点,并作了很多方面的改进,但目前IPS的技术还不是很成熟,它所面临的挑战主要有:单点故障、性能瓶颈、误报和漏报等。其存在的最大隐患是有可能引起误操作,这种“主动性”误操作会阻塞合法的网络事件,最终影响到商务操作和客户信任度。它比较适合于组织大范围的、针对性不是很强的攻击。
对三者进行比较三者相比,防火墙是外围警戒,充当着防护的第一层,可根据指定的策略决定哪些流量可以通过,哪些不能;IPS的功能则比较单一,它是防护的第二层,它可以检测出在网络中自由流动的通信中存在的攻击信息,可对防火墙所不能过滤的攻击进行过滤,是防火墙的有效补充。IPS与IDS相比较,在入侵检测技术上它们都采用特征库、基于协议分析和异常检测等方式进行检测。不同的是,IDS只是在恶意流量传送时或传送后才发出报警,其系统的策略更新需要大量的人的参与;而IPS则可提供前瞻性的防护,其设计的宗旨在于预先拦截入侵活动和攻击性网络流量。IPS增加了在线连接和网络数据阻断两个新的特征,因此IPS的安全策略更新可以是在线的、自动的,类似于通常所说的网桥式防火墙。强大的响应功能即进行主动防御的保障是IPS区别与IDS的最显著的特点。
总的来说,目前,防火墙和IDS在网络安全市场中占主导地位。防火墙是网关形式,要求高性能和高可靠性。因此防火墙注重吞吐率、延时、HA等方面的要求,并且其传输要求也非常高。但是防火墙不能避免蠕虫的泛滥、垃圾邮件、病毒传播、拒绝服务等,在新出现的安全攻击事件中,显得无能为力。IDS是主流的入侵检测技术。它是一个以检测和发现为特征的技术行为,其追求的是漏报率和误报率的降低,具有较高的技术特征,但其最大的问题在于只能检测攻击,不能阻止攻击。而IPS可以说是将防火墙,IDS、防病毒和脆弱性评估等技术的优点与自动防止攻击的功能融为一体的安全产品,其最显著的特征是具有主动防御功能。但由于当前其技术发展的不成熟,因此将IPS与防火墙、IDS等网络安全技术相结合才能有效保证网络的安全。1