浅析主流网络安全技术及其发展趋势

李志刚

摘要在主流的网络安全技术中,防火墙、IDS、IPS是三项比较重要的技术。针对网络上存在的安全问题,分析这三项技术的优缺点,展望其技术发展趋势对加强网络安全工作至关重要。

关键词网络安全;防火墙;IDS;IPS

中图分类号TP393.08文献标识码A文章编号1673-9671-(2009)112-0028-01

近年来我国信息化建设如火如荼,方便快捷的网络系统给我们带来了很多便利,各种各样的信息由相关平台进行迅速的传递。带来便利的同时也带来了新的问题。现在传送的信息已经不是简单的文字、图像,更多的是音频、视频,流量大,用户多,大范围的病毒感染,防不胜防的黑客攻击,这对安全是一个极大的考验。怎样来进行相应的网络架构,能够使它们在不断变化、日趋变多的网络风险中从容应对?一般情况下,当用户连接到互联网时,选择使用主流的安全技术,预防有人通过网络进行各种非法活动,并保证提供可靠完整的数据,成为大家的共识。

1主流网络安全技术简介

1)防火墙技术,就是使用包过滤策略实现保护的目的,从原理上来讲,这是一种隔离技术。防火墙是在网络进行通讯时的访问控制标准,它能让经过允许的人和数据进入相关网络,还可以让没有经过允许的人和数据拒之门外,极大程度上阻止网络非法入侵者进入相关网络。

防火墙,英文firewall,是使用包过滤策略的设备。这种设备放置在不同的网络安全域之间,信息流通过这个设备进行通信,它可以根据用户需求进行策略配置,达到访问控制的目的。防火墙一般处于网络的边缘,用于连接不同的网络,因为防火墙的位置,它实际是网络防御的前沿阵地,用户接受的信息实际上都要经过防火墙判断处理,根据相应策略判定数据是否交予用户计算机,如果察觉数据异常或有害,数据包将被拦截,最终实现对计算机和网络的保护。防火墙从技术角度看,虽然种类繁多,但总体上可分为“包过滤型”和“应用代理型”两大类。

2)IDS技术,IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。按照专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。

假如防火墙是别墅的大门,那么IDS就是这幢别墅里的监控。如果有歹徒从阳台进入别墅,或别墅内服务人员有不轨行为,只有实时监控系统才能发现问题并发出警告。

最早的IDS只不过是一个监听系统,它是一个旁路设备,相当于并联在网络中,我们也可以把监听理解成窃听的意思。对目前局域网的工作模式,IDS能够对和自己在一个交换机或者集线器的server的相关操作记录进行存储,类似于事件查看器的功能;随着技术的发展,网络应用的增加,流量的激增,IDS的记录越来越多,现在最新的IDS分析功能,能够对记录的数据进行分析保留一部分有危险的记录,功能与效率得到加强;现在一般的企业主流的安全架构是使用IDS与防火墙联动,利用IDS进行分析,使用防火墙进行有效的阻断的方式。

3)IPS技术,IPS是英文术语Intrusion Prevention System的缩写,意译为入侵防御系统。入侵防御系统在具备网络数据检测功能的基础上,增加了网络数据包阻断功能,IPS位于防火墙和网络的设备之间。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。

2主流网络安全技术存在的缺陷

2.1防火墙技术的缺陷

随着网络技术的迅速普及,安全问题显得越来越重要,防火墙技术的发展势头迅猛,在安全体系中扮演越来越重要的角色。网络安全的严峻形势也对防火墙技术的发展提出了更高、更新的要求。在越来越依赖防火墙技术的情况下,我们也应该清醒地认识到:防火墙并不是“包治百病”的,它对于一些特殊的攻击或其他行为有时也无能为力。所以,我们也应该了解其技术方面的一些局限性,毕竟没有任何一种技术能绝对保证安全。

1)无法防御绕过防火墙的攻击。“特洛伊木马”的典故来进行描述解释十分恰当,对于网络内部的攻击行为无法防御。在实际应用中来自内网的非法攻击十分普遍。

2)对于病毒缺乏及时有效的应对。防火墙按照策略进行数据过滤,只能在应用层和网络层进行访问控制,过滤数据包中含有病毒,通过防火墙时无法检测出含有病毒的数据,数据进入内网后,病毒在内网中进行扩散,给内部网络带来极大的危害。

3)技术本身的限制。任何一种技术的发展,都是一个逐步完善的过程,防火墙技术也不例外,虽然在近十年技术发展迅速, 漏洞仍然不可避免的存在。利用该技术的防火墙,在使用中肯定也有因为本身漏洞遭到攻击。防火墙的技术策略使用会对出现新的未知攻击行为无法防范。

4)容易造成拥塞以及溢出现象。由于防火墙需要处理每一个通过它的数据包,所以当数据流量较大时,容易导致数据拥塞,影响整个网络性能。严重时,如果发生溢出,就像大坝决堤一般,无法阻挡,任何数据都可以来去自由了,防火墙也就不再起任何作用。

尽管罗列了这么多防火墙技术的局限性,但防火墙在网络安全中所扮演的重要角色是不可撼动的,虽然设置了防火墙不一定能完全保证网络安全,但在保护网络方面,除了要重视物理上的隔离外,更主要的着眼点还是防火墙。

2.2入侵检测面临的问题

2.2.1误报和漏报

误警和漏警产生的原因很多,主要有以下几点:

基于特征的入侵检测技术落伍。由于缺少信息管理,难于抵挡一些欺骗工具的攻击和渗透。对于检测主机的依赖性,影响到被检测主机的效率。被检测主机的资源被消耗,IDS的处理数据的速度跟不上大流量的,从而造成数据包丢失;网络上复杂的情况,也加重了IDS的误报现象。

2.2.2对攻击防范单一

现在的IDS只能防范建立在TCP基础上的攻击,对于建立在UDP基础之上的入侵则无法防御。

2.2.3端口的数据镜像

端口镜像的原理是交换机会将指定端口的通信数据镜像到该监听端口,由网络传感器获得指定端口的数据。但一些交换机不支持镜像端口功能,也就不能将所有的数据传输给镜像端口,所以IDS即使配置了针对某种攻击的检测规则,该攻击也会被漏检。另外在同一时刻交换机只能镜像一个端口,无法监控多台机器。

2.3IPS面临的挑战

IPS 技术需要面对很多挑战,其中主要有三点:

1)节点问题。IPS技术部署方式不像IDS并联在网络中,而是以串联的方式接入网络中,一旦发现有攻击行为,立即响应,主动切断连接,这就意味着如果IPS设备出现问题,网络无法正常运转。

2)瓶颈问题。因为IPS以串联的方式接入网络中,所有的网络信息通过该设备进行特征检测匹配,当设备响应速度无法跟上时,就成为了网络瓶颈。虽然很多实际产品使用硬件加速器来改善这个问题。

3)错漏报问题。在实际较大规模的网络中,IPS每天需要处理的警报成千上万,它的处理依据就是特征检测库,如果对入侵特征描述不完善,就会出现错漏报现象。

3主流网络安全技术发展趋势

仅依靠单一的网络安全技术难以防范所有的攻击行为,为了弥补这些缺陷,现在已经开始安全产品协同工作的路子。即将防火墙技术、病毒检测技术、入侵检测等技术有效协同,共同完成保护网络安全的任务。

1)传统的防火墙技术通常都设置网络边缘,无法处理内部网络的攻击,所以防火墙技术的模式开始向分布式结构的思路发展。分布式体系的防火墙将各个节点有效地保护起来,这将大大提高安全保护的力度。而且分布式体系的产生将从理论上改善防火墙技术的防御理念。防火墙产品由于在功能性上的扩展,更强的规则处理能力将使其对自身软、硬件提出更高的性能要求。硬件因素往往受技术瓶颈地拖累,所以防火墙的软件部分将需要更多先进的技术,以解决防火墙性能要求与实际水平的矛盾。

2)对于IDS技术和IPS技术,发展的趋势为分析技术的改进,解决误报和漏报的问题;结合数据挖掘技术,从海量告警数据中获取真正有意义的信息,从而使得IDS/IPS能够提供一种动态的策略;内容恢复和审计功能,能让管理员可以看到系统/网络真正的运行状况,这样不仅可以使管理员看到孤立的攻击事件告警,还可以看到整个攻击过程,为进一步的分析提供了可能;产品标准化,为安全产品之间的联合提供了方便。

最后,安全技术和安全管理不可分割,它们必须同步推进。因为即便有了好的安全设备和系统,如果没有好的安全管理方法并贯彻实施,那么安全也是空谈。

参考文献

[1]黎连业,张维.防火墙及其应用技术[M].北京:清华大学出版社,2007.

[2]张世永.网络安全原理与应用[M].北京:科学出版社,2003.

[3]姜文红.网络安全与管理[M].北京:清华大学出版社,2007.