基于防火墻與入侵檢測系統(tǒng)聯(lián)動的校園網(wǎng)GSN全局部署

劉靜

健雄職業(yè)技術(shù)學院軟件與服務外包學院 江蘇 215411

0 引言

隨著教育信息化進程的推進，校園網(wǎng)作為高校推進信息化、數(shù)字化建設的重要基礎設施得到了飛速發(fā)展。它為全校師生員工提供了教學、科研和綜合信息服務的寬帶多媒體信息。隨著校園網(wǎng)規(guī)模的急劇擴大，校園網(wǎng)的安全問題顯得愈發(fā)突出。大量事實顯示，來自內(nèi)外結(jié)合的攻擊是當前網(wǎng)絡安全的最大威脅。單一的防火墻難以消除網(wǎng)絡安全，需要采取綜合防范措施。本文采取一種基于防火墻與入侵檢測系統(tǒng)聯(lián)動的模式進行校園網(wǎng)網(wǎng)絡部署。

1 校園網(wǎng)安全

1.1 校園網(wǎng)安全威脅

校園網(wǎng)安全威脅主要來自三方面：①網(wǎng)絡的惡意破壞者，造成正常的網(wǎng)絡服務不可用，系統(tǒng)或者數(shù)據(jù)破壞；②內(nèi)部人員造成的網(wǎng)絡數(shù)據(jù)的破壞，網(wǎng)絡病毒的蔓延擴散、木馬的傳播；③別有用心的間諜人員，通過竊取他人身份進行越權(quán)數(shù)據(jù)訪問，以及偷取機密或者他人的私密信息。而來自校園網(wǎng)內(nèi)部的安全事件占了絕大多數(shù)。這與校園網(wǎng)的用戶息息相關(guān)。一方面，高校學生有著強烈的好奇心，有探索的高智商和沖勁，但缺乏全面思考的責任感。另一方面，校園網(wǎng)內(nèi)很多用戶使用網(wǎng)絡獲取大量資料，安全意識卻明顯薄弱，他們不愿意安裝防火墻、殺毒軟件等必要的網(wǎng)絡安全工具。

1.2 傳統(tǒng)安全措施存在的問題

防火墻將內(nèi)部可信區(qū)域與外部危險區(qū)域有效隔離，為網(wǎng)絡邊界提供保護，是抵御入侵的重要手段。然而防火墻的設計基于兩大假設：①防火墻內(nèi)部各主機是可信的；②防火墻外部每一個訪問都是攻擊性的，至少是有潛在攻擊性的可能性。防火墻提供的是靜態(tài)防御，它的規(guī)則是事先設置的，對于實時攻擊或者異常行為不能實時反應，無法自動調(diào)整策略設置以阻斷正在進行的攻擊。

入侵檢測系統(tǒng)IDS(Intrusion Detection System, IDS)被認為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。IDS雖然具有發(fā)現(xiàn)入侵、阻斷連接的功能，但其工作重點是對入侵行為的識別上，網(wǎng)絡整體的安全策略還需要防火墻來完成。所以入侵監(jiān)測系統(tǒng)應該通過與防火墻建立聯(lián)動關(guān)系，動態(tài)改變防火墻的策略，通過防火墻實現(xiàn)從源頭切斷非法入侵行為。

2 銳捷網(wǎng)絡GSN全局安全部署

2.1 GSN全局安全組成和原理

全局安全網(wǎng)絡解決方案(Global Security Network, GSN)，GSN方案由銳捷安全交換機、銳捷安全管理平臺，銳捷安全計費管理系統(tǒng)、網(wǎng)絡入侵檢測系統(tǒng)、網(wǎng)絡安全修復系統(tǒng)等多重元素組成，實現(xiàn)同一網(wǎng)絡環(huán)境下的全局聯(lián)動，使得網(wǎng)絡中的每個設備都在發(fā)揮著安全防護的作用，構(gòu)建“多兵種協(xié)同作戰(zhàn)”的全新安全體系。GSN采用三層架構(gòu)：客戶端、Switch/Gateway以及后臺服務器。

GSN通過將用戶入網(wǎng)強制安全、統(tǒng)一安全策略管理、動態(tài)網(wǎng)絡寬帶分配、嵌入式安全機制集成到一個網(wǎng)絡安全解決方案中，達到對網(wǎng)絡安全威脅的自動防御，網(wǎng)絡受損系統(tǒng)的自動修復，新的網(wǎng)絡行為的自動學習，從而達到對未來網(wǎng)絡安全事件的防范。

2.2 GSN全局安全應用階段化部署

（1）構(gòu)建統(tǒng)一身份認證管理平臺

全局安全技術(shù)實現(xiàn)的關(guān)鍵是：建立統(tǒng)一身份的平臺。有了這個平臺后，用戶熟悉客戶端使用，管理員也有豐富的管理經(jīng)驗。建立統(tǒng)一身份的平臺，便于管理員進行統(tǒng)一管理，管理員的很多操作對用戶而言都是透明的。

健雄職業(yè)技術(shù)學院校園網(wǎng)，采用 GSN認證模式，每個上網(wǎng)的用戶都需要下載該客戶端，并通過MAC地址綁定的方式與管理員后臺操作建立一對一的聯(lián)系，如圖1所示。

圖1 GSN身份認證平臺

（2）安全管理平臺的部署

統(tǒng)一身份管理平臺實現(xiàn)了網(wǎng)絡安全認證與授權(quán)，這樣校園網(wǎng)的網(wǎng)絡安全基礎體系已經(jīng)建立。在此基礎上，管理員可以在后臺部署 SMP安全管理平臺，用戶客戶端將自動下載并升級到最新版本，用戶無需任何操作即可透明升級。用戶登錄身份認證系統(tǒng)后銳捷安全認證計費平臺自動運行，如圖2所示。

圖2 GSN計費平臺自動運行

通過針對終端系統(tǒng)的安全建設，能夠?qū)⒄麄€網(wǎng)絡的安全體系進行完成，并通過RG-SU和RG-SAM、RG-SMP的聯(lián)動，將整個網(wǎng)絡的安全體系進行了統(tǒng)一的整合，使得管理員可以輕松的進行基于用戶的網(wǎng)絡安全控制，管理整個網(wǎng)絡。

（3）整網(wǎng)安全體系

這一階段需要進行兩方面的操作：進行網(wǎng)絡設備的統(tǒng)一安全管理和網(wǎng)絡安全事件的發(fā)現(xiàn)。對于前者的管理，校園網(wǎng)仍然采用手動方式進行實現(xiàn)。在本階段，通過建立開放接口的方式，實現(xiàn)防火墻與IDS之間的聯(lián)動，以增強GSN全局安全中網(wǎng)絡設備的統(tǒng)一管理和安全時間的發(fā)現(xiàn)。

3 基于開放端口的防火墻與IDS的聯(lián)動設計

3.1 IDS和防火墻之間的聯(lián)動方式

（1）系統(tǒng)嵌入方式：IDS嵌入防火墻，IDS的數(shù)據(jù)是流經(jīng)防火墻的數(shù)據(jù)流。所有通過的數(shù)據(jù)包都要接受防火墻的驗證，并判斷是否有攻擊性，達到真正的實時阻斷。

（2）端口映像方式：防火墻將網(wǎng)絡中制定的一部分流量鏡像到IDS中，IDS再將處理后的結(jié)果通知防火墻，要求其相應地修改安全策略。

（3）專用響應方式：當IDS發(fā)現(xiàn)網(wǎng)絡中的數(shù)據(jù)存在攻擊企圖時，通過一個開放端口實現(xiàn)與防火墻的通信，雙方按照固定的協(xié)議進行網(wǎng)絡安全事件的傳輸，更改防火墻安全策略，對攻擊的源頭進行封堵。

校園網(wǎng)的網(wǎng)絡可以采用專用響應方式，通信雙方可以事先約定并設定通信端口，并且相互正確配置對方IP地址，防火墻以服務器的模式來運行，IDS以客戶端方式運行。

3.2 IDS和防火墻之間的聯(lián)動安全通信

（1）基于SSL驗證和加密的連接。利用通道加密技術(shù)，采用加密算法和密鑰驗證機制，可在IDS和防火墻之間實現(xiàn)驗證和加密的功能，實現(xiàn)安全通信。

（2）基于SSL驗證的連接。在不需要加密而只需要IDS和防火墻之間驗證的時候可以采用此方式。

（3）明文連接。在不需要驗證和加密的情況下，可在IDS和防火墻之間采用明文形式傳輸數(shù)據(jù)、對通信不作任何額外的限制。

3.3 IDS和防火墻之間的聯(lián)動阻斷方式

防火墻可以采用以下阻斷方式對IDS請求指令作出動態(tài)響應：

（1）單向阻斷或者雙向阻斷：阻斷源IP的源端口到目的IP的目的端口的連接；

（2）按照MAC地址阻斷：源MAC地址和目的MAC地址的阻斷；

（3）阻斷所有源端口：阻斷源IP所有端口到目的IP的目的端口連接；

（4）阻斷所有目的端口：阻斷源IP端口到目的IP的所有目的端口連接；

（5）阻斷所有IP協(xié)議：阻斷所有IP層的協(xié)議連接；

（6）阻斷時間：設置阻斷時間。

我院校園網(wǎng)采取GSN身份認證模式，認證時采用MAC地址綁定方式與服務端建立連接，因此采用按照MAC地址阻斷方式阻斷更有效。

3.4 IDS和防火墻之間的聯(lián)動策略制訂

一方面通過對攻擊類型進行辨別，對一些級別較低的報警不設置為聯(lián)動；另一方面針對某條聯(lián)動規(guī)則設置阻斷的時間及阻斷方式。

可以從兩個層次來進行聯(lián)動策略的定義：一是“危險”級別定義；二是“可轉(zhuǎn)移”級別定義。

3.4.1 “危險”級別

如果一個特定階段的攻擊允許執(zhí)行時，會對系統(tǒng)造成多大的危險和損失。可以通過比較攻擊種類和狀態(tài)來測量：

（1）最?。号c一個知名的攻擊不相關(guān)；

（2）警告：暗示是一個知名攻擊的第二或者更靠后的攻擊狀態(tài)，這樣的攻擊潛在的危險是最小的；

（3）注意：中等潛在破壞或者異常情況已經(jīng)積累到了預示有針對性的敵意攻擊發(fā)生；

（4）嚴重：知名攻擊，對系統(tǒng)有破壞性，有可能使系統(tǒng)癱瘓或者某種服務功能喪失，后來很嚴重；

（5）災難性：如果攻擊繼續(xù)的話，將帶來不可挽回的損失，如硬盤被格式化無法恢復、數(shù)據(jù)完全丟失等。

3.4.2 可轉(zhuǎn)移性的定義

（1）沒有：發(fā)生攻擊獨一無二，沒有其他的操作系統(tǒng)可以匹敵。

（2）局部：為普通的操作系統(tǒng)有威脅，或只發(fā)生在一個軟件中；

（3）完全：攻擊是普遍的，對網(wǎng)路上的很多操作系統(tǒng)都有威脅。

那么聯(lián)動等級＝危險級別*可轉(zhuǎn)移性級別，聯(lián)動狀態(tài)可以通過設置兩個閾值來定義：

聯(lián)動狀態(tài)(0)：沒必要進行防火墻聯(lián)動

聯(lián)動狀態(tài)(1)：有必要進行防火墻聯(lián)動

阻斷時間=聯(lián)動等級*單位時間*聯(lián)動狀態(tài)

3.5 IDS和防火墻之間的聯(lián)動優(yōu)勢

聯(lián)動技術(shù)不僅體現(xiàn)了分布式技術(shù)發(fā)展的潮流，同時體現(xiàn)了網(wǎng)絡安全深度防御的思想。防火墻與IDS的聯(lián)動，使得防火墻的防護由靜態(tài)變?yōu)閯討B(tài)，由平面到立體，提升了防火墻的機動性和實時反應能力，另一方面也增強了IDS的阻斷功能。

4 結(jié)束語

健雄職業(yè)技術(shù)學院校園網(wǎng)采用銳捷網(wǎng)絡 GSN全局安全一體化模式，實踐證明這種安全防護具有以下優(yōu)點：①提供了高性能的綜合安全防護，各個安全應用獨享資源，相互之間不競爭資源，可同時打開所有安全功能。②是一個可擴展的安全系統(tǒng)。系統(tǒng)具有高可擴展性、高可伸縮性。當需求增長時，可靈活的擴展原有的系統(tǒng)。其中基于開放端口的防火墻與IDS的聯(lián)動方式增強了GSN全局安全一體化模式第三階段的功能，便于對網(wǎng)絡設備進行統(tǒng)一安全管理，提升了防火墻的動態(tài)防控能力和實時反應能力。

[1]李鵬,劉莜冬,趙學軍.全局網(wǎng)絡安全方案在校園網(wǎng)中的研究與應用.網(wǎng)絡安全技術(shù)與應用.2008.

[2]張興東,胡華平,況曉輝,陳輝忠.防火墻與入侵檢測系統(tǒng)聯(lián)動的研究與實現(xiàn).計算機工程與科學.2004.

[3]劉化君.基于區(qū)域分割的防火墻部署與配置.網(wǎng)絡安全技術(shù)與應用.2010.

[4]彭偉,任友群.校園網(wǎng)一體化安全防護研究.中國教育信息化.2009.