傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)簡介

如今，商戶,銀行與其他商業(yè)與金融機(jī)構(gòu)在電子商務(wù)熱潮中紛紛進(jìn)入 Internet ，以政府上網(wǎng)為標(biāo)志的數(shù)字政府使國家機(jī)關(guān)與 Internet 互聯(lián)，通過 Internet 實(shí)現(xiàn)包括個(gè)人,企業(yè)與政府的全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。隨著網(wǎng)絡(luò)應(yīng)用范圍的不斷擴(kuò)大，對(duì)網(wǎng)絡(luò)的各類攻擊與破壞也與日俱增。無論政府,商務(wù)，還是金融,媒體的網(wǎng)站都在不同程度上受到入侵與破壞。網(wǎng)絡(luò)安全已成為國家與國防安全的重要組成部分，同時(shí)也是國家網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展的關(guān)鍵。據(jù)統(tǒng)計(jì)：信息竊賊在過去 5 年中以 250% 速度增長，99% 的大公司都發(fā)生過大的入侵事件。世界著名的商業(yè)網(wǎng)站，如 Yahoo , Buy , EBay , Amazon , CNN 都曾被黑客入侵，造成巨大的經(jīng)濟(jì)損失。甚至連專門從事網(wǎng)絡(luò)安全的 RSA 網(wǎng)站也受到黑客的攻擊。

防火墻

防火墻的目的是在內(nèi)部,外部兩個(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，通過允許,拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn),出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。

入侵檢測(cè)系統(tǒng)

幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì),監(jiān)視,進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。

傳統(tǒng)技術(shù)的不足

顯而易見的，傳統(tǒng)的技術(shù)已經(jīng)無法抵御現(xiàn)今多種多樣的攻擊,入侵。防火墻過于呆板，某些產(chǎn)品定制規(guī)則不靈活，管理甚為麻煩；而入侵檢測(cè)系統(tǒng)受其先天缺陷的影響，只能被動(dòng)的監(jiān)聽，而對(duì)入侵事件無能為力，某些產(chǎn)品性能不高，應(yīng)用在流量較大的網(wǎng)絡(luò)中速度緩慢，甚至自身成為攻擊的目標(biāo)，最終崩潰。

DOSNIPE NIPS（入侵防護(hù)）設(shè)備由上海遐邇網(wǎng)絡(luò)科技（發(fā)展）有限公司自行開發(fā)，該設(shè)備開創(chuàng)了網(wǎng)絡(luò)安全的先河，完全打破了現(xiàn)有防火墻無智能化,入侵檢測(cè)系統(tǒng)僅能對(duì)攻擊 /入侵事件進(jìn)行被動(dòng)監(jiān)聽的局面，集當(dāng)前所有抗攻擊,反入侵技術(shù)于一身。

該設(shè)備可以實(shí)時(shí)分析客戶網(wǎng)絡(luò)中發(fā)生的入侵事件或攻擊行為，并阻斷該攻擊 /入侵者。

防火墻部分集成DOSNIPE NIPS抗拒絕服務(wù)設(shè)備，可以線速抵抗100/1000M的攻擊通訊流量，在網(wǎng)絡(luò)中透明，客戶端/服務(wù)器端均感受不到網(wǎng)絡(luò)正在經(jīng)受高強(qiáng)度的攻擊。

入侵檢測(cè)模塊應(yīng)用了業(yè)界領(lǐng)先的碎片重組,狀態(tài)檢測(cè)等多種技術(shù)，確保黑客的任何非法行為都被準(zhǔn)確,快速的阻斷該黑客，并且將該黑客的詳細(xì)行為紀(jì)錄下來。

DOSNIPE NIPS系統(tǒng)被設(shè)計(jì)為部屬于服務(wù)器,機(jī)密部門等需要高強(qiáng)度保護(hù)的網(wǎng)絡(luò)安全核心位置。 DOSNIPE NIPS系統(tǒng)可以輕松管理擁有上千網(wǎng)絡(luò)節(jié)點(diǎn)的大型計(jì)算機(jī)信息網(wǎng)絡(luò)的安全情況，為這些大型網(wǎng)絡(luò)的正常運(yùn)作保駕護(hù)航。

線速工作

能以線速工作，在1G流量的大型網(wǎng)絡(luò)核心節(jié)點(diǎn)中，對(duì)網(wǎng)絡(luò)傳輸性能的影響保持在10納秒之內(nèi)。

強(qiáng)大完善的全面檢測(cè)

能及時(shí)切斷攻擊種類有：后門攻擊,拒絕服務(wù)攻擊,分布式拒絕服務(wù)攻擊,掃描, Web 攻擊,緩沖區(qū)溢出攻擊, SMTP 攻擊, RPC 攻擊, ICMP 攻擊,口令攻擊等。

1 ． 后門攻擊

BO,SATANZ Portal of DOOM , Silencer , NetBus , Netspy , GirlFriend ,冰河等。

2 ． 拒絕服務(wù)攻擊

SYN Flood , UDP Flood , winnuke , Kiss of Death , Wingate DoS , Land , con\con , ARP Spool 等。

3 ． 分布式拒絕服務(wù)攻擊

Tfn2k , trinoo , stachel , mstream 等。

4 ． 掃描攻擊

ISS 掃描, Nessus 掃描, nmap 掃描, Superscan 掃描, whisker 掃描, Webtrends 掃描, L3retriever 掃描, ipe-syn-scan 掃描等。

5 ． Web-cgi 攻擊

Test-cgi , handler , count.cgi , phf , PHP , Websendmail , Webdist 等。

6 ． Web-IIS 攻擊： NewDSN 等。

7 ． Web-FrontPage 攻擊： Fpcount 等。

8 ． Web-ColdFusion 攻擊： Openfile 等。

9. 緩沖區(qū)溢出攻擊

包括 IMAP , Named , Qpop , FTP , mountd , Telnet 等服務(wù)程序的緩沖區(qū)溢出攻擊。

10 ． RPC 攻擊

包括對(duì) sadmind , ttdbserver , nisd , amd 等 RPC 攻擊。

11 ． ICMP 攻擊

主要包括利用大量 ICMP Redirect 包修改系統(tǒng)路由表的攻擊和使用 ICMP 協(xié)議實(shí)施的拒絕服務(wù)攻擊。

12 ． SMTP 攻擊（郵件攻擊）

E-mail Debug 等，以及利用 SMTP 協(xié)議實(shí)現(xiàn) HELO , RCPT TO , VRFY 等緩沖區(qū)漏洞實(shí)施攻擊。

13 ． 前奏攻擊： SourceRoute 等。

14 ． 病毒攻擊： Happy 99 ,愛蟲病毒, WinimDa 等。

15 ． 口令攻擊： telnet 口令攻擊, FTP 口令攻擊。

16 ． 其他： IE5&ACCESS97 等。

系統(tǒng) 體 系 結(jié) 構(gòu) 如 下 圖 所 示 ：

網(wǎng)絡(luò)傳感器

網(wǎng)絡(luò)傳感器的主要功能是采集網(wǎng)絡(luò)上的數(shù)據(jù)包信息， 按照預(yù)先設(shè)定的規(guī)則過濾出 相關(guān)的數(shù)據(jù)， 對(duì)于入侵 ,越權(quán)操作 , 網(wǎng)絡(luò)資源濫用等惡意行為實(shí)時(shí)報(bào)警并且切斷， 同時(shí)將非法行為紀(jì)錄下來 。

DOSNIPE NIPS系統(tǒng)的網(wǎng)絡(luò)傳感器根據(jù)用戶選擇或定義的規(guī)則進(jìn)行探測(cè)， 識(shí)別 網(wǎng)絡(luò)中存在的攻擊信息或攻擊企圖 。網(wǎng)絡(luò)傳感器實(shí)時(shí)監(jiān)聽所有經(jīng)過的數(shù)據(jù)包 ， 并交由數(shù)據(jù)分析及預(yù)處理模塊并進(jìn)行判斷 。數(shù)據(jù)預(yù)處理模塊對(duì)網(wǎng)絡(luò)傳感器采集的網(wǎng)絡(luò)包分別對(duì)包頭和內(nèi)容檢查， 發(fā)現(xiàn)攻擊或入侵跡象后 ，即刻通知控制中心 。

網(wǎng)絡(luò)傳感器是 DOSNIPE NIPS系統(tǒng)分布式入侵防護(hù)系統(tǒng)運(yùn)行的核心 ，它監(jiān)聽物理網(wǎng)絡(luò)上所有通信信息，分析這些網(wǎng)絡(luò)通信信息，將分析結(jié)果與網(wǎng)絡(luò)傳感器上運(yùn)行的策略規(guī)則集相匹配 ， 依照匹配結(jié)果對(duì)網(wǎng)絡(luò)信息執(zhí)行報(bào)警 , 阻斷, 日志等功能。 同時(shí)它還需要完成對(duì)控制臺(tái)指令的接收和響應(yīng)工作。網(wǎng)絡(luò)傳感器是由策略驅(qū)動(dòng)的網(wǎng)絡(luò)監(jiān)聽和分析系統(tǒng)。

數(shù)據(jù)接收

數(shù)據(jù)接收機(jī)接收到網(wǎng)絡(luò)傳感器發(fā)送來的入侵事件信息 ,狀態(tài)信息及其他信息， 根據(jù)系統(tǒng)配置 ， 將結(jié)果保存到指定的數(shù)據(jù)庫中， 供控制中心的安全專家進(jìn)行后續(xù)的分析處理 。

數(shù)據(jù)庫服務(wù)器

數(shù)據(jù)庫服務(wù)器保存所有的配置信息 , 安全事件信息及處理信息等，供控制臺(tái)安全專家實(shí)時(shí)分析或統(tǒng)計(jì)分析使用。

控制中心

控制中心是DOSNIPE NIPS系統(tǒng)與管理員的交互接口，DOSNIPE NIPS系統(tǒng)提供了基于WEB的管理方式，使用戶在出差,外出等情況下可以輕松察看系統(tǒng)運(yùn)行狀態(tài),調(diào)整系統(tǒng)策略。系統(tǒng)基于角色的管理方式，用戶可以靈活定制系統(tǒng)的角色和角色所具有的功能，系統(tǒng)缺省定義的角色包括系統(tǒng)管理員, 操作人員, 審計(jì)人員和安全專家，各角色具有不同的操作權(quán)限，操作用戶可以屬于一種或多種角色，并擁有相關(guān)的操作權(quán)限。用戶還可以按照需要自己定義角色，使用戶擁有更加靈活的操作權(quán)限。

控制中心操作人員和安全專家實(shí)時(shí)分析和處理入侵事件的工具，主要完成事件分析處理, 事件響應(yīng), 客戶信息管理, 網(wǎng)絡(luò)傳感器信息管理, 系統(tǒng)管理, 角色管理等功能，主要功能如下所示 ：

分析處理

安全專家對(duì)已確認(rèn)為攻擊的信息逐條或根據(jù)攻擊的目標(biāo)客戶, 源IP地址, 目標(biāo)IP地址等進(jìn)行聚類分析，如果是攻擊行為，則根據(jù)攻擊的風(fēng)險(xiǎn)程度和對(duì)客戶網(wǎng)絡(luò)的影響程度，確定將要采取的響應(yīng)方式， 交由通知 , 報(bào)警和響應(yīng)模塊處理 。

通知,報(bào)警和響應(yīng)

根據(jù)管理員對(duì)事件的處理結(jié)果 ， 進(jìn)行證據(jù)收集 , 通知客戶 , 預(yù)警和響應(yīng)等工作 。

傳感器管理

•  傳感器管理包括以下內(nèi)容 ：

•  傳感器基本信息

•  傳感器運(yùn)行狀態(tài)信息

•  傳感器的啟停等

知識(shí)庫管理

系統(tǒng)知識(shí)庫包括以下內(nèi)容 ：

•  漏洞解決方案庫

•  檢測(cè)規(guī)則庫

系統(tǒng)管理

系統(tǒng)管理是對(duì)系統(tǒng)配置的維 護(hù)和對(duì)系統(tǒng)用戶的管理 。

系統(tǒng)管理由以下幾方面的內(nèi)容組成 ：

•  系統(tǒng)用戶管理 ： 系統(tǒng)用戶的增加, 刪除 ,修改等 。

•  安全審計(jì) ： 系統(tǒng)用戶的登入 , 登出等訪問紀(jì)錄以及進(jìn) 入系統(tǒng)后所做的一切操作均作記錄 ， 已備審計(jì)和查詢

•  配置管理 ： 對(duì)相關(guān)系統(tǒng) 配置的維護(hù)管理 。

3 ． 7 事件查看器

事件查看器是DOSNIPE NIPS系統(tǒng)分布式入侵防護(hù)系統(tǒng)中的一個(gè)獨(dú)立的軟件模塊 ， 它可以把 DOSNIPE NIPS系統(tǒng)探測(cè)器收集和發(fā)送的安全報(bào)警事件原始數(shù)據(jù)從數(shù)據(jù)庫中直接調(diào)出 ， 然后進(jìn)行分類查詢分析 。事件查看器可以方便 安全管理員查閱 DOSNIPE NIPS系統(tǒng)檢測(cè)到的所有安全報(bào)警事件信息， 它還可以讓安全管理員根據(jù)想要查看的時(shí)間段 , 具體協(xié)議 , 源 IP地址以及網(wǎng)絡(luò)攻擊的具體類型分類查看安全報(bào)警事件。事件查看器還可以把以前的安全事件歷史數(shù)據(jù)從指定的數(shù)據(jù)庫中調(diào)出， 進(jìn)行查詢分析工作 。事件查看器通過采用多個(gè)樹型結(jié)構(gòu)和靈活的時(shí)間范圍查詢?yōu)橛脩籼峁┓奖阒庇^的使用界面 。事件查看器中主要樹型結(jié)構(gòu)包括按客戶（含自定義的客戶部門 , 客戶子網(wǎng)等）, 按源 IP , 按目的IP , 按事件類型等進(jìn)行的分類樹型結(jié)構(gòu) 。事件查看器是DOSNIPE NIPS系統(tǒng)用戶對(duì)安全事件實(shí)時(shí)和事后分析的有力工具 。

3 ． 8 報(bào)表生成器

報(bào)表生成器是 DOSNIPE NIPS系統(tǒng)分布式入侵防護(hù)系統(tǒng)的重要組成部分， 它是DOSNIPE NIPS系統(tǒng)中功能強(qiáng)大的獨(dú)立軟件模塊 。報(bào)表生成器的功能優(yōu)勢(shì)在 于， 它可以把保存在數(shù)據(jù)庫中的大量網(wǎng)絡(luò)安全攻擊事件數(shù)據(jù)按照用戶要求的條件檢索出來， 并且以圖表的形式把客戶遭到安全攻擊的趨勢(shì)和安全風(fēng)險(xiǎn)程度表示出來 ， 讓用戶對(duì)企業(yè)的網(wǎng)絡(luò)安全狀況有非常清晰形象 的了解與把握 。報(bào)表生成器可以有效幫助用戶掌握自己企業(yè)面臨的網(wǎng)絡(luò)安全威脅 ， 使企業(yè)知道應(yīng)該在哪方面加強(qiáng)安全防護(hù)工作， 做到防患于未然 。報(bào)表生成器按照用戶的要求， 如 DOSNIPE NIPS系統(tǒng)具體保護(hù)的某一家 單位， 攻擊事件發(fā)生的時(shí)間段 ， 攻擊的源IP地址 ， 攻擊的目的IP地址以及攻擊所采用的具體網(wǎng)絡(luò)協(xié)議和攻擊方法等等， 針對(duì)種種條件要求顯示客戶遭到潛在攻擊的情況 ， 非常方便用戶對(duì)企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行分析和統(tǒng)計(jì)。

3 ． 9 附屬功能

DOSNIPE NIPS系統(tǒng)還包含有許多附加功能：

•  VPN（虛擬專用網(wǎng)）

•  網(wǎng)絡(luò)流量控制

•  企業(yè)員工上網(wǎng)控制

•  路由支持

特性

即插即用，網(wǎng)絡(luò)隱身，無 IP地址，精簡和優(yōu)化的TCP協(xié)議，Console和Web雙重管理模式

 

企業(yè)網(wǎng)應(yīng)用

某公司通過接入路由器連接 Internet，公司有WEB,Mail,Data服務(wù)器群，以及三個(gè)相對(duì)獨(dú)立的內(nèi)部局域網(wǎng)。現(xiàn)將DOSNIPE NIPS入侵防護(hù)設(shè)備分置于各個(gè)網(wǎng)段與交換機(jī)之間。實(shí)現(xiàn)了服務(wù)器群和各個(gè)部門之間最大限度的安全，甚至杜絕了近年來呈快速上升趨勢(shì)的新的攻擊來源——內(nèi)部攻擊。