杨玉新

(德宏师范高等专科学校现代教育技术中心，云南 德宏 678400)

1.引言

现在市场上已有不少的安全产品，但这些产品主要都集中在解决某方面的安全问题，无法全方位解决企事业单位网络安全和管理的问题。而事实上单纯的网络防御产品不足以构建一个完善的网络整体防御体系，因为网络安全需要在网络安全管理标准的指导下，从既防止外部网络攻击同时又防止网络内部攻击的共同防御整体角度看待计算机网络安全问题，将多种安全保护措施集合在一起，使它们之间互通信息、协同防御，才是全面解决计算机网络安全问题的最佳途径。

2.防御系统的部署

整个防御体系结构主要由两级防御系统组成，第一级防御系统在Linux环境下由基于网络的入侵防御系统 (NIPS:Network－based Intrusion Prevention System)组成。第二级防御系统选用成熟的主机安全代理软件。两系统都与管理中心保持有密切的通信机制，其中主机安全代理以软件的方式实现并运行在内部网的各个主机中，也可以安装在远程用户的便携机和托管服务器上。如图1所示。

NIPS主要基于IDS及防火墙技术基础构建。NIPS通常以内嵌的方式，部署在网络的关键位置，所有经过sensor的数据均可被截取到。该系统把这两种技术融合在一起，构成一种深层检测与防护解决方案。为了便于管理这些NIPS设备及要保护的服务器、PC机、便携机和托管服务器，我们提供一个集中式的安全管理中心，通过它可以管理这些系统。管理中心除了管理配置功能之外，还具有接收NIPS和服务器、PC机、便携机和托管服务器各系统的告警信息。综上所述，这个体系结构构成一种安全性更高的网络安全体系，具有集中式安全管理、实时主动阻断入侵的优点。下面，我们将对体系中用到的关键技术进行阐述。

图1 两级入侵防御体系结构

3.NIPS防御

3.1 NIPS的工作原理

绝大多数IDS系统都是被动的，而不是主动的。也就是说，在攻击实际发生之前，它们往往无法预先发出警报。而入侵防护系统 (NIPS)则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。NIPS是通过直接嵌入到网络中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。

3.2 防御功能软模块及其实现

我们所设计的内网防御系统兼有IDS、防火墙和各主机安全代理等安全组件的特性。这一防御系统不但可以检测可疑的网络流量，而且可以丢弃恶意的数据包，或修改数据包中的攻击串，或者阻断该数据流。本系统设计是在防火墙的基础之上，进行数据流的控制，支持2层和4层 (TCP/IP模型)的入侵检测和防御，实现了深度防御的网络安全解决方案。与深度检测防火墙不同，这个体系可以检测多种攻击，后者只能是简单的字符串过滤和匹配。逻辑结构图2所示。

入侵防御系统主要由安全管理中心、防火墙、NIPS sensor(传感器)、以软件方式安装在各PC机及服务器上的主机安全代理4个组件构成。

NIPS sensor通常以内嵌的方式，部署在需要保护的网络的关键位置，这样，经过入侵防御系统的数据均可被截取到。sensor通过分析、检测所有的网络数据流，判断数据中是否存在恶意的入侵行为，如果检测到这种行为，根据预定的响应策略，把相关的信息传送数据中心，并向管理中心发出报警，同时通知入侵防御模块采取相应的主动防御措施。

图2 入侵防御系统的逻辑结构图

4.主机安全代理下的防御

4.1 主机安全代理的作用

主机安全代理以软件的方式实现，运行在内部网的各个主机中，也可以安装在远程用户的便携机和托管服务器上，具有访问控制、网络入侵检测和主机入侵检测的功能。主机安全代理具有如下的特点:

4.1.1 提供全面保护

主机安全代理综合使用了访问控制、网络入侵检测和主机入侵检测等安全技术，并且对于某些入侵行为，在检测出来的同时，可以及时进行拦截，为主机提供全面、完整的安全保护。

4.1.2 主机驻留

主机安全代理驻留在受保护的主机上，该主机以外的网络不管是处在内部网还是外部网都认为是不可信任的，因此能够防止来自外部和内部的攻击。并且还可以针对该主机上的具体应用和对外提供的服务，设定针对性很强的安全策略。主机安全代理对“安全网管”系统的突出贡献是，使安全策略不仅仅停留在网络与网络之间，而是把安全策略延伸到每个网络的末端。

4.1.3 嵌入操作系统内核

众所周知，操作系统自身存在许多安全漏洞。主机安全代理运行在这些操作系统上，其运行机制嵌入到操作系统内核中，彻底堵住操作系统的漏洞。

4.1.4 类似个人防火墙

个人防火墙的安全策略由系统使用者自己设置，目标是防外部攻击，而主机安全代理的安全策略由整个系统的管理员统一安排和设置，主机安全代理共同构成一个企业级的方案，形成一个安全策略统一管理、安全检查机制分散布置的分布式安全防护体系结构。

4.1.5 适用于托管服务器

对于这种应用，传统防火墙就显得无能为力。而在我们的“安全网管”系统中，用户只需在托管服务器上安装安全代理，使用管理中心制定和发放相应的安全策略，就可以对它们进行安全保护和管理。

4.1.6 也适合远程用户

远程用户或出差在外的员工也可以在它们的便携机上安装主机安全代理，这样他们的机器就会受到与内部网主机同样的保护。

4.2 主机安全代理的选用

主机安全代理选用思科安全代理CSA(Cisco safe agent)软件。新一代思科安全代理网络安全软件可以为服务器和台式机计算系统 (也被称为“终端”)提供威胁防范功能。思科安全代理与传统的终端安全解决方案的不同之处在于，它可以在恶意行为发生之前发现和阻止它们，进而消除潜在的已知和未知安全风险，防止其威胁到企业网络和应用的安全。因为思科安全代理采用的是分析行为而不是特征匹配的方法，因而这一解决方案能够以较低的运营成本提供强大的保护。

5.结论

在整个防御系统中NIPS是第一道入侵防御系统，主机安全代理是第二道防御系统。两系统都与管理中心保持有密切的通信机制。其中主机安全代理以软件的方式实现并运行在内部网的各个主机中，也可以安装在远程用户的便携机和托管服务器上，具有访问控制和主机入侵检测的功能。它类似于个人防火墙，不同之处是自己不进行安全策略的制定和日志、告警信息的处理。它从管理中心上得到安全策略，利用这些策略对主机提供全面保护，并将产生的日志、检测出的入侵行为、告警信息上传到管理中心进行统一的处理和决策。

网络安全需要在网络安全管理标准的指导下，从既防止外部网络攻击同时又防止网络内部攻击的共同防御整体角度看待计算机网络安全问题，将多种安全保护措施集合在一起，使它们之间互通信息、协同防御，才是全面解决计算机网络安全问题的最佳途径。另外值得关注的是，目前网络的物理拓朴结构有了很多的变化。随着越来越多的企业利用互联网构架自己的跨地区网络，例如移动办公和服务器托管等，所谓内部企业网已经变成一个逻辑上的概念，物理的边界日趋模糊。这些情况迫使大家不得不加强对网络系统的安全防护，而“安全网管”就是一种很值得重视的新思路。为此我们十分有必要选用主机安全代理，从而把网络安全防护延伸到网络的末端。

［1］肖军模，刘军.网络信息安全 (第一版)［M］.北京:机械工业出版社，2006.

［2］Mike Barkett.Intrusion Prevention Systems［EB/OL］.www.nfr.com.2009.

［3］刘文涛.网络安全开发包详解 (第一版)［M］.北京:电子工业出版社，2008.

［4］林延福.密罐技术 ［D］.西安电子科技大学，2005.