随着互联网的发展,越来越多的人通过网络与外部世界进行着信息交流,但是随之而来的网络安全问题也日益严重。由于各种安全技术的相互独立性和自身的缺陷,所以就算网络管理人员采用了一两项安全措施,比如防火墙,损失同样发生。安全是动态的,理想的安全网络应该是将现有的安全技术进行整合,相关产品“协同作战”,防护、检测、响应相结合,以实现对网络的整体防护。网络安全概念中有一个“木桶”理论,讲的是一个浅显而又非常重要的原则:一个桶能装的水量不取决于桶有多高,而取决于组成该桶的最短的那块木条的高度。应用在网络安全领域就是:网络安全系统的强度取决于其中最为薄弱的一环。因此,只有将各种安全产品联合起来,互相弥补自身的不足,才能最大程度地保障网络运行的安全。
理想的防御措施是将防火墙、IDS、病毒防护和其他各种安全手段进行互动与联合,比如IDS在检测到网络受到攻击之后,会立即进入互动程序,及时通知防火墙做出响应,修改相关安全策略来封堵攻击源;防病毒系统对网络中传输的文件进行监控,一旦发现异常信息也会自动告知防火墙重新进行动态安全设置。这种联动包括多种方式,入侵检测和防火墙的联动,可以有效阻止外部入侵或攻击;入侵检测和内部监控系统的联动可以有效控制恶意用户,等等。从信息安全整体防御的角度出发,这种联动是很有必要的。
近一段时期,普遍引起关注的是入侵检测(IDS)和防火墙之间的互动和联合。二者的区别和联系,就象大厦的防护门和监视系统,共同守卫“网络”这座大厦的安全。但是在传统的设计中,防火墙和IDS自成一体,互不相通,难以提高整体防御体系的智能性和实时性。
人们一般对防火墙都比较熟悉,它是防御外部攻击的一个强有力的安全措施。简单的说,防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet 之间)的软件或硬件的组合,通过在内外网络之间构成一个屏障,制定统一的安全策略,来控制和防止信息被外部非法用户访问和存取。传统的防火墙虽然有一定的访问控制能力,能够部分阻挡来自局域网外部的攻击,但是缺点也是明显的,比如它只是一种周边安全措施,不能有效监控内部网络,安全策略手段单一,有的安全威胁防火墙是无能为力的,如攻击者可以通过协议隧道来绕过防火墙。另外,操作系统的安全性问题,也会直接影响到防火墙的功能是否能成功实现。这些都会给接入互联网的企业带来安全隐患,因此,单靠部署防火墙不足以对付蓄意入侵、内部越权操作以及病毒等的危害。
相对而言,入侵检测系统以其实时监察、动态检测和主动防御的特点,有效弥补了防火墙之类静态防御工具的不足。入侵检测系统能主动寻找入侵信号,分别从计算机和网络的各个关键点收集违反安全策略的行为和可能出现的攻击特征,通过模式匹配、异常特征检测等手段对数据进行分析,一旦发现可疑行为,控制台就会进行告警,给网络系统提供对内、外部攻击和误操作的安全保护。作为新一代的动态安全防御技术,入侵检测系统对于保证网络系统的安全是不言而喻的。我们无法预料什么时候网络系统会受到攻击,一旦受到攻击,入侵检测系统就能够立即检测报警并采取相应的安全措施。但是,入侵检测技术最大的弱点就是只能及时发现攻击行为,却无法有效地进行处理,最多也就是提供告警及切断与入侵源的连接。它需要与其他安全产品有机地结合起来以克服自身的不足。
那么,IDS和防火墙之间的互动是如何实现的呢?它们是通过请求与响应的方式实现的。如下图1所示,IDS时刻监测网络动态信息,一旦发现异常情况或攻击行为,立即给防火墙发出危险信号并提供策略建议,同时本身根据危险级别进行进一步报警或采取其他安全措施。防火墙将根据IDS的报警信息做出判断,即是否超出现有安全设定,如果超出,将相应调整安全策略,在攻击企图未能达到目的之前做出正确响应,阻止非法入侵行为。这样,IDS和防火墙通过动态、实时的兼容和互动 ,将入侵检测系统的监控、管理功能和防火墙的防御、信息过滤功能结合起来,既使二者的功能得到最大程度的发挥,又弥补了本身的不足。
 |
| 图1 |
由于牵涉到复杂的技术实现手段,所以并不是任意的IDS和防火墙都能够实现互动。同一家安全厂商生产的IDS和防火墙可通过自行设计的网络通信接口来实现。但是,在目前网络安全行业各种标准还不是十分完善的情况下,不同厂商的产品要实现联动就存在一定的难度,目前还没有统一的实施标准。正是有识于此,国内外许多厂商相继推出了实现二者互动的规划和市场策略。防火墙厂商天融信就于去年四月推出TOPSEC计划,力图建立统一的安全体系平台。该计划吸引了包括金诺网安在内的大批网络安全企业加盟。这种联合并不是单向的,比如金诺网安的入侵检测系统KIDS又可利用不同防火墙产品提供的开放接口和标准协议来建立联动机制,除了能与天融信的防火墙互动之外,还进一步实现了与东方龙马、CheckPoint等厂商防火墙产品的联合互动。产品实现互动之后有利于扩展产品的兼容性和增强客户的整体安全防御能力,实现产品价值1+1>2的提升。所以这个概念一经提出,就引起了安全厂商极大的兴趣。
当然,从整体安全防御的角度来说,IDS和防火墙的互动只是初步实现了防护、检测和响应的一种简单协同,并不意味着二者的联合互动就能达到绝对理想的网络安全防御效果。网络安全牵涉到诸多领域,这种互动只是各种网络安全技术走向整合的一个先兆,在目前网络攻击手段层出不穷的情况下,互动能够实现技术优势互补,比单一的防御手段具有了更高的安全性能。由于网络建设的复杂性和长期性,在网络安全“防黑”与“反黑”的道路上,仍然还有一段很长的路要走......
 |
| 图2 |
 |
| 图3 |
|
