基于防火墻與入侵檢測系統聯動的校園網GSN全局部署

劉靜

健雄職業技術學院軟件與服務外包學院 江蘇 215411

0 引言

隨著教育信息化進程的推進，校園網作為高校推進信息化、數字化建設的重要基礎設施得到了飛速發展。它為全校師生員工提供了教學、科研和綜合信息服務的寬帶多媒體信息。隨著校園網規模的急劇擴大，校園網的安全問題顯得愈發突出。大量事實顯示，來自內外結合的攻擊是當前網絡安全的最大威脅。單一的防火墻難以消除網絡安全，需要采取綜合防范措施。本文采取一種基于防火墻與入侵檢測系統聯動的模式進行校園網網絡部署。

1 校園網安全

1.1 校園網安全威脅

校園網安全威脅主要來自三方面：①網絡的惡意破壞者，造成正常的網絡服務不可用，系統或者數據破壞；②內部人員造成的網絡數據的破壞，網絡病毒的蔓延擴散、木馬的傳播；③別有用心的間諜人員，通過竊取他人身份進行越權數據訪問，以及偷取機密或者他人的私密信息。而來自校園網內部的安全事件占了絕大多數。這與校園網的用戶息息相關。一方面，高校學生有著強烈的好奇心，有探索的高智商和沖勁，但缺乏全面思考的責任感。另一方面，校園網內很多用戶使用網絡獲取大量資料，安全意識卻明顯薄弱，他們不愿意安裝防火墻、殺毒軟件等必要的網絡安全工具。

1.2 傳統安全措施存在的問題

防火墻將內部可信區域與外部危險區域有效隔離，為網絡邊界提供保護，是抵御入侵的重要手段。然而防火墻的設計基于兩大假設：①防火墻內部各主機是可信的；②防火墻外部每一個訪問都是攻擊性的，至少是有潛在攻擊性的可能性。防火墻提供的是靜態防御，它的規則是事先設置的，對于實時攻擊或者異常行為不能實時反應，無法自動調整策略設置以阻斷正在進行的攻擊。

入侵檢測系統IDS(Intrusion Detection System, IDS)被認為是防火墻之后的第二道安全閘門，它在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。IDS雖然具有發現入侵、阻斷連接的功能，但其工作重點是對入侵行為的識別上，網絡整體的安全策略還需要防火墻來完成。所以入侵監測系統應該通過與防火墻建立聯動關系，動態改變防火墻的策略，通過防火墻實現從源頭切斷非法入侵行為。

2 銳捷網絡GSN全局安全部署

2.1 GSN全局安全組成和原理

全局安全網絡解決方案(Global Security Network, GSN)，GSN方案由銳捷安全交換機、銳捷安全管理平臺，銳捷安全計費管理系統、網絡入侵檢測系統、網絡安全修復系統等多重元素組成，實現同一網絡環境下的全局聯動，使得網絡中的每個設備都在發揮著安全防護的作用，構建“多兵種協同作戰”的全新安全體系。GSN采用三層架構：客戶端、Switch/Gateway以及后臺服務器。

GSN通過將用戶入網強制安全、統一安全策略管理、動態網絡寬帶分配、嵌入式安全機制集成到一個網絡安全解決方案中，達到對網絡安全威脅的自動防御，網絡受損系統的自動修復，新的網絡行為的自動學習，從而達到對未來網絡安全事件的防范。

2.2 GSN全局安全應用階段化部署

（1）構建統一身份認證管理平臺

全局安全技術實現的關鍵是：建立統一身份的平臺。有了這個平臺后，用戶熟悉客戶端使用，管理員也有豐富的管理經驗。建立統一身份的平臺，便于管理員進行統一管理，管理員的很多操作對用戶而言都是透明的。

健雄職業技術學院校園網，采用 GSN認證模式，每個上網的用戶都需要下載該客戶端，并通過MAC地址綁定的方式與管理員后臺操作建立一對一的聯系，如圖1所示。

圖1 GSN身份認證平臺

（2）安全管理平臺的部署

統一身份管理平臺實現了網絡安全認證與授權，這樣校園網的網絡安全基礎體系已經建立。在此基礎上，管理員可以在后臺部署 SMP安全管理平臺，用戶客戶端將自動下載并升級到最新版本，用戶無需任何操作即可透明升級。用戶登錄身份認證系統后銳捷安全認證計費平臺自動運行，如圖2所示。

圖2 GSN計費平臺自動運行

通過針對終端系統的安全建設，能夠將整個網絡的安全體系進行完成，并通過RG-SU和RG-SAM、RG-SMP的聯動，將整個網絡的安全體系進行了統一的整合，使得管理員可以輕松的進行基于用戶的網絡安全控制，管理整個網絡。

（3）整網安全體系

這一階段需要進行兩方面的操作：進行網絡設備的統一安全管理和網絡安全事件的發現。對于前者的管理，校園網仍然采用手動方式進行實現。在本階段，通過建立開放接口的方式，實現防火墻與IDS之間的聯動，以增強GSN全局安全中網絡設備的統一管理和安全時間的發現。

3 基于開放端口的防火墻與IDS的聯動設計

3.1 IDS和防火墻之間的聯動方式

（1）系統嵌入方式：IDS嵌入防火墻，IDS的數據是流經防火墻的數據流。所有通過的數據包都要接受防火墻的驗證，并判斷是否有攻擊性，達到真正的實時阻斷。

（2）端口映像方式：防火墻將網絡中制定的一部分流量鏡像到IDS中，IDS再將處理后的結果通知防火墻，要求其相應地修改安全策略。

（3）專用響應方式：當IDS發現網絡中的數據存在攻擊企圖時，通過一個開放端口實現與防火墻的通信，雙方按照固定的協議進行網絡安全事件的傳輸，更改防火墻安全策略，對攻擊的源頭進行封堵。

校園網的網絡可以采用專用響應方式，通信雙方可以事先約定并設定通信端口，并且相互正確配置對方IP地址，防火墻以服務器的模式來運行，IDS以客戶端方式運行。

3.2 IDS和防火墻之間的聯動安全通信

（1）基于SSL驗證和加密的連接。利用通道加密技術，采用加密算法和密鑰驗證機制，可在IDS和防火墻之間實現驗證和加密的功能，實現安全通信。

（2）基于SSL驗證的連接。在不需要加密而只需要IDS和防火墻之間驗證的時候可以采用此方式。

（3）明文連接。在不需要驗證和加密的情況下，可在IDS和防火墻之間采用明文形式傳輸數據、對通信不作任何額外的限制。

3.3 IDS和防火墻之間的聯動阻斷方式

防火墻可以采用以下阻斷方式對IDS請求指令作出動態響應：

（1）單向阻斷或者雙向阻斷：阻斷源IP的源端口到目的IP的目的端口的連接；

（2）按照MAC地址阻斷：源MAC地址和目的MAC地址的阻斷；

（3）阻斷所有源端口：阻斷源IP所有端口到目的IP的目的端口連接；

（4）阻斷所有目的端口：阻斷源IP端口到目的IP的所有目的端口連接；

（5）阻斷所有IP協議：阻斷所有IP層的協議連接；

（6）阻斷時間：設置阻斷時間。

我院校園網采取GSN身份認證模式，認證時采用MAC地址綁定方式與服務端建立連接，因此采用按照MAC地址阻斷方式阻斷更有效。

3.4 IDS和防火墻之間的聯動策略制訂

一方面通過對攻擊類型進行辨別，對一些級別較低的報警不設置為聯動；另一方面針對某條聯動規則設置阻斷的時間及阻斷方式。

可以從兩個層次來進行聯動策略的定義：一是“危險”級別定義；二是“可轉移”級別定義。

3.4.1 “危險”級別

如果一個特定階段的攻擊允許執行時，會對系統造成多大的危險和損失。可以通過比較攻擊種類和狀態來測量：

（1）最小：與一個知名的攻擊不相關；

（2）警告：暗示是一個知名攻擊的第二或者更靠后的攻擊狀態，這樣的攻擊潛在的危險是最小的；

（3）注意：中等潛在破壞或者異常情況已經積累到了預示有針對性的敵意攻擊發生；

（4）嚴重：知名攻擊，對系統有破壞性，有可能使系統癱瘓或者某種服務功能喪失，后來很嚴重；

（5）災難性：如果攻擊繼續的話，將帶來不可挽回的損失，如硬盤被格式化無法恢復、數據完全丟失等。

3.4.2 可轉移性的定義

（1）沒有：發生攻擊獨一無二，沒有其他的操作系統可以匹敵。

（2）局部：為普通的操作系統有威脅，或只發生在一個軟件中；

（3）完全：攻擊是普遍的，對網路上的很多操作系統都有威脅。

那么聯動等級＝危險級別*可轉移性級別，聯動狀態可以通過設置兩個閾值來定義：

聯動狀態(0)：沒必要進行防火墻聯動

聯動狀態(1)：有必要進行防火墻聯動

阻斷時間=聯動等級*單位時間*聯動狀態

3.5 IDS和防火墻之間的聯動優勢

聯動技術不僅體現了分布式技術發展的潮流，同時體現了網絡安全深度防御的思想。防火墻與IDS的聯動，使得防火墻的防護由靜態變為動態，由平面到立體，提升了防火墻的機動性和實時反應能力，另一方面也增強了IDS的阻斷功能。

4 結束語

健雄職業技術學院校園網采用銳捷網絡 GSN全局安全一體化模式，實踐證明這種安全防護具有以下優點：①提供了高性能的綜合安全防護，各個安全應用獨享資源，相互之間不競爭資源，可同時打開所有安全功能。②是一個可擴展的安全系統。系統具有高可擴展性、高可伸縮性。當需求增長時，可靈活的擴展原有的系統。其中基于開放端口的防火墻與IDS的聯動方式增強了GSN全局安全一體化模式第三階段的功能，便于對網絡設備進行統一安全管理，提升了防火墻的動態防控能力和實時反應能力。

[1]李鵬,劉莜冬,趙學軍.全局網絡安全方案在校園網中的研究與應用.網絡安全技術與應用.2008.

[2]張興東,胡華平,況曉輝,陳輝忠.防火墻與入侵檢測系統聯動的研究與實現.計算機工程與科學.2004.

[3]劉化君.基于區域分割的防火墻部署與配置.網絡安全技術與應用.2010.

[4]彭偉,任友群.校園網一體化安全防護研究.中國教育信息化.2009.