《部署IPS净化校园网络.docx》由会员分享,可在线阅读,更多相关《部署IPS净化校园网络.docx(12页珍藏版)》请在三一办公上搜索。
1、部署IPS,净化校园网络摘要网络的基础建设完成以后,网络安全和网络滥用的相关问题被越来越多的组织提上日程。尤其是在网络安全事件(这里我们使用“网络安全灾难”这个短语或许更加贴切一些)频繁暴发的今天,每一个网络的构建者、管理者和使用者都在问:我的网络安全吗?我的网络资源是否都被非主营业务流量消耗了?我还需要为我的网络做些什么?本文根据一般校园网的架构和其所提供的服务,分析校园网所面临的网络安全威胁,并且结合未来网络安全的发展趋势,提出在校园网中部署IPS的方案,以解决校园网的网络安全和网络滥用问题;最后介绍了IPS深度检测与入侵抵御的关键技术。术语和缩略语IPSIntrusionPreventi
2、onSystem,入侵抵御系统,一种部署在数据转发路径上的网络安全设备,它能深度检测所有流进的数据流量,并实时阻断或限制恶意流量。IDSIntrusionDetectionSystem,入侵检测系统,一种以旁路方式部署的网络安全设备,它以旁路方式监听网络数据流量,通过对监听到的流量进行深度检测,以发现网络攻击。防火墙Firewall,一种对网络报文的IP头、TCP头进行分析,再根据事先设置的策略和检测状态来决定是否允许数据包通过的传统网络安全设备。对于隐藏在TCP协议之内的网络攻击,防火墙设备无法检测。拒绝服务/分布式拒绝服务DenialofServiceZDistributedDenialo
3、fService,DoS/DDoS一种常见的网络攻击方式,利用海量的合法或非法的请求耗尽服务器资源,从而使服务器无法满足正常的服务请求。蠕虫Worm,蠕虫是设计用来将自己从一台计算机复制到另一台计算机的程序,蠕虫传播无需用户操作,并可通过网络分发它自己的完整副本(可能有改动),蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。P2PPeertoPeer,点对点网络技术,经常用于点对点的文件共享交换。间谍软件Spyware,指在用户不知情的情况下,收集记录用户信息(如帐号、密码)、修改用户计算机配置的软件。校园网面临的威胁因为在设计的初期缺少对安全的考虑,使得目前正在被广泛使用的TCP/IP网络
4、在安全方面有着一些天然的缺陷;这些缺陷被一些怀着特殊目的的个人有意无意地利用,从而导致了对网络的攻击和滥用的频频发生。校园网,作为TCP/IP网络的一个重要组成部分,也不可避免地面临着这些威胁;尤其是校园网所面对的使用群体的特殊性(拥有一定的网络知识、具备强烈好奇心和求知欲、纪律意识却相对淡薄),加上校园网相对企业网而言较粗放的安全管理体制和较开放的网络使用环境,使得网络安全成为校园网需要关注问题的重中之重。这些威胁包括(但是不限于): 针对校园网中的重要服务器(WWW/FTP/DNS等)的DoS/DDoS攻击 试图窃取、篡改重要服务器(例如学生成绩数据库)上的敏感信息 计算机蠕虫、病毒泛滥,
5、导致网络瘫痪和大批主机瘫痪 非法访问校园网中受控的重要信息导致不必要的泄密事件 对非法或不良网站的任意访问以及这些信息在校园网内部任意传播 校园网内部用户对网络资源的滥用(如P2P流量滥用) 垃圾信息和不良信息的传播 间谍软件、广告软件盛行,造成用户信息泄漏、扰乱网络秩序尤其是,当以上网络安全威胁发源于校园网内部,而不是来自于外部网络的时候,依赖当前的安全体系是无法检测到的,并且会带来更大的危害。于是,随着校园信息化建设的进一步深入和提高,“建设网络化校园”这样一个议题已经被“建设安全有序的网络化校园”逐步替代。可是,随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统的网络安全防护手段,
6、即传统的防火墙技术或传统的防火墙技术加传统的IDS技术,己经无法应对这些威胁、。在这样一种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。可以这么解释IPS在网络安全上的重要性,将一个需要保护的网络比作一间密封的大屋子,传统的防火墙相当于在屋子的墙上开了几个窗口,让空气和光线可以进来,而IPS相当于给这些窗口装上纱窗、玻璃和窗帘,以挡风遮雨,同时防范苍蝇、蚊子、灰尘等进入屋子。IPS如何实现深度检测和入侵抵御首先,我们来看看传统的安全网络的模型:w/tHIDSw/tAVgateway传统的防火墙设备,能
7、够根据一个流的基本特征,即五元组(包括:协议类型、源IP地址、源端口、目的IP地址、目的端口),对进出网络的流量进行过滤,对一些违反了事先设定的安全规则的报文进行丢弃处理;随后出现的基于状态的报文检测增加了维护TCP会话状态的功能,使得检测的灵活性、准确性和效率进一步提高。但是,试想某一台位于校园网内部的主机已经被植入了某种木马,对于该木马向其操控者发起的通信连接请求,传统的防火墙设备已经无能为力了,因为:源于校园网内部的连接请求是合法的,必须被安全规则放行,并且这是一次正常的TCP通信。也就是说,只对TCP/IP协议栈的3、4层进行分析和检测的传统防火墙无法发现隐藏于应用层部分的网络攻击。深
8、度检测,顾名思义,需要对TCP、UDP的负载部分,需要对应用层协议的状态和内容进行分析和跟踪,以发现隐藏在其中的攻击,IPS具有深度检测功能。至于入侵抵御,传统的安全网络模型中的IDS作为一个旁路的网络流量监听设备,无法主动地、及时地对攻击流做出响应,而只是被动地监听、检测数据流,并做出告警。而对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度): 向管理中心告警丢弃该报文 切断此次应用会话 切断此
9、次TCP连接于是,基于IPS的网络安全模型演变成为:P2P流量滥用InternalInternalInternet浏览器漏洞HTTP传播病毒FirewallFirewallRouter蠕虫攻击内部攻击端口扫描间谍软件Antivirus CenterCenterInternal -.-,一/DMZ 漏洞利用一议异常_DNS ServerMail ServiceWWW Service在哪里部署进行了以上分析以后,我们可以很轻松的得出结论,校园网中,至少需要在以下区域部署IPS: 校园网与外部网络的连接部位(入口/出口) 重要服务器集群前端 校园网内部接入层至于其它区域,可以根据实际情况与重要程度,
10、酌情部署。如何部署下面,我们通过几个具体的案例来说明如何在校园网中部署IPS。在以下案例中,我们可以看到以IPS为核心的多种网络深度检测/实时抵御的方案;不同的方案,在不同的应用场景当中,可以适当地扩充或简化。 基于策略的安全防御1 .位于校园网入口的IPS通过应用层协议分析跟踪和特征匹配,发现目的地为业务服务器A的HTTP数据流中隐藏有针对WindoWS操作系统的DCOM漏洞的恶意利用;2 .IPS将此安全事件上报至管理中心;3 .管理中心获取服务器A的基本信息;4 .管理中心根据获取的A的信息,判断该访问是否会造成危害,如果A不运行WindoWS操作系统或者A确实运行WindOWS但是已经
11、打了针对DCoM漏洞的补丁,则A是安全的;5 .根据情况,管理中心向IPS下发制定的安全策略;6 .IPS执行安全策略,放行或者阻断此次连接请求。事实上,在这里我们描述的是需要管理中心介入的情况,在一些相对简单的情况下,如果我们事先可以确认服务器集群所运行的操作系统(在90%的情况下这是可能的),那么抵御该网络攻击的规则可以直接施加在IPS上,不再需要与管理中心的交互,从而降低部署的复杂度、提高效率。应用感知的智能防御3在以上案例中:1 .校园网用户访问Internet上的WWW服务器;2 .IPS检测到该请求,判断该请求符合事先设定的安全策略,放行;3 .该用户与外部服务器的连接建立;4 .
12、该用户试图通过已经建立的连接,利用二次代理,发起对某非法或不良网站的访问请求;5 .根据对应用层协议的深度分析和内容识别,IPS检测到该企图,阻断该次HTTP连接;6 .上报该安全事件到管理中心备查;7 .IPS可以根据管理中下发的策略,对该用户进行一定时间的惩罚(拒绝该用户后续的上网请求)。行为分析的智能防御,阻止病毒、蠕虫泛滥在以上案例中:1 .某校园网用户通过公共区域网络访问业务服务器集群;2 .正常连接建立后,位于服务器集群前端的IPS检测到来自该用户的通信流量中隐藏有某种病毒的行为特征,立即阻断该用户的此次访问,并且上报该安全事件给管理中心;3 .管理中心分析该安全事件,根据报文信息
13、定位到该用户,并且制定新的安全策略;4 .接入管理更改该用户的安全等级,下发更新的安全策略给相关网络设备;5 .更新了安全策略的网络设备将该用户隔离至某特定区域,避免该病毒感染其他网络用户,并采取后续行动。感知P2P应用,进行限流或阻断在以上案例中:1 .校园网用户使用P2P到Imemet上的某个Peer主机上进行视频下载;2 .IPS检测到这个使用P2P进行视频下载的行为,按照事先在该IPS上部署的安全策略,对这个P2P流量进行限流或阻断;3 .上报该安全事件到管理中心备查;检测并阻止间谍软件、广告软件在以上案例中:1 .校园网用户访问Internet的WWW服务器;2 .校园网用户正在访问
14、的WWW服务器带有间谍软件,在用户访问它的网页的时候,诱使用户下载了它带的间谍软件,带有间谍软件的数据流穿过防火墙,到达IPS;3 .IPS的深度检测功能检测到该数据流里带有间谍软件,进行实时阻断,并断开该次HTTP连接;4 .上报该安全事件到管理中心备查;5 .管理中心向IPS下发安全策略,使IPS能阻止后续校园网用户对该带有间谍软件的恶意网站的访问。在校园网全域部署在以上案例中:校园网的入口处部署IPS,隔离外部网络、内部网络和DMZ区域;校园网的办公网络部分与承载重要业务的业务网络部分之间采用IPS进行隔离,利用不同的规则,即对外部网络的访问进行二次保护,又可以对内部流量进行监控,保证自
15、内部网络发起的攻击不会影响业务网络部分;与兄弟院校的远程连接,也部署IPS进行保护,以保证发生在兄弟院校的安全攻击不会波及到本网络; 重要的服务器集群前端部署冗余的IPS,采用精简和加强的安全策略,保证服务器业务的安全性和高可靠性; 与分校区之间可以采用VPN互连; 整体采用统一的安全管理中心进行管理,降低管理难度和成本。立体的、可管理的深度检测与入侵抵御安全加中心分级的安全管理.每一 层次完成本级和下级网本部网络安全密里中心本部集中制定整体 安全策略,下发到 下级分支结构,安全昔理中心安全台中心完整的网络安全解决方案,不但需要有高可靠、高性能、功能灵活丰富的设备作为支撑,而且需要层级的、可扩
16、展的、易于使用的管理系统来降低网络的总拥有成本。在层级的管理系统中,层与层之间的策略传递、事件上报、整体关联分析使得整个网络的安全防护与管理变成一个立体的结构,而不单纯是一点兼顾全面的被动模型。IPS深度检测与入侵抵御的关键技术高性能、高可靠性的硬件平台依赖于对网络设备体系架构的深刻理解和强大的设计开发能力,H3C为IPS产品设计了专用的高性能硬件平台。该平台彻底抛弃了目前市面上常见的工控机架构,而是采用: 专业设计的通信产品体系架构 高性能主控板、背板和总线连接 高性能、面向事务处理的CPU系统 专用的网络处理器完成报文转发和逻辑检测 专用的硬件加速卡完成报文负载的内容搜索 模块化的接口卡完
17、成流量的收发 冗余备份的主控板保证业务运行不会中断 冗余备份的电源保证系统连续运行协议分析与跟踪技术通过前面的分析,我们可以看到协议分析与跟踪对IPS设备的重要性。与传统防火墙不同的是,IPS不但要分析和跟踪IP、ICMP、UDP、TCP这几种网络层、传输层的协议,而且,还要对HTTP、HTTPSFTP、TFTP、SNMPTelnet、SMTP、POP、DNS、RPC、LDAP、ICQ、MSN、YahooMessenger等众多的应用层协议进行分析、跟踪。随着网络的发展、各种各样新的协议的层出不穷和各种各样的漏洞被不断发现,这样一张列表相信还会不断加长。没有对网络协议和操作系统的深刻理解,要完
18、成这件工作是不可能的。H3C凭借在网络领域近十年来的深厚积累,培养了一批精通网络协议和操作系统的专家,具备了在操作系统的内核级别对应用协议进行全面跟踪、深度分析的实力;而且,在引入了网络处理器以后,所有的逻辑检测和协议分析、跟踪都要下移到网络处理器中,采用微码实现,进一步提高系统性能。特征匹配的性能从海量的数据中去寻找一定的特征,在计算领域,这历来是一个高计算量、高复杂度的问题;而IPS的报文内容识别,恰恰要基于此工作。那么,如何解决这个CPU杀手和提高设备性能之间的矛盾呢?H3C采用专用的硬件加速卡来解决这个问题。基于专门的内容查找芯片设计的硬件加速卡在系统中与CPU、网络处理器协同工作,在需要对报文进行内容搜索的情况下,为CPU和网络处理器卸载负担,使得CPU和网络处理器可以专注于报文处理和逻辑检测,从而将内容搜索对系统效率的影响降至最低。目前H3C设计的硬件加速卡,可以在千兆的环境下线速地处理流量。
