| |
应用实例
下面以中科大国祯网络入侵检测系统为例来说明网络入侵检测系统的主要特性和配置方法。
* 分布式系统设计。可依据不同的网络拓扑结构灵活配置整个系统。
* 检测速度快。感应器通常能在微秒或毫秒级发现问题。
* 安全性好。系统各个模块间采用先进的加密传输。
* 易于控制。系统由感应器、控制中心和反应单元组成。其中感应器和反应单元都是基于无人值守设计的。用户只须在控制中心掌控整个系统。
* 智能反击。系统在感应器报警后会由控制中心下达反击命令,根据不同协议或切断连接或数据包过滤。
* 数据过滤。能对特定数据包实现过滤,并可按用户需求过滤一定时间。
* 系统可扩展性好。系统的分布式结构设计和核心感应器的结构设计决定了系统的可扩展性较好。
* 隐蔽性和独立性好。感应器不像一般主机在明处,因而也不那么容易遭受攻击。而且它不运行其他的应用程序,不提供网络服务,故有利于保障网络安全。
* 资源配置要求不高。由于使用一个检测器就可以保护一个共享的网段,所以不需要很多的检测器。但是,如果在一个交换环境下,采用分接器(Tap),将其接在所有要检测的线路上。还有,感应器不占用被保护资源。
* 容易捕获证据。网络入侵检测系统基于正在发生的网络通讯进行实时检测,所以攻击者无法转移证据。且系统具备完善的日志记录功能和审计功能。这样黑客就不能靠擦除系统记录来掩盖作案痕迹了。
既然网络入侵检测系统这样的好,那么该怎样在具体的网络环境中配置它呢?下面(图2)以安徽国祯环保节能科技股份有限公司厂区网络为例来说明。
该网络采用1000M高速以太交换网。网络结构为星型分级拓扑结构。主干交换机,即图中一级节点,采用Cisco4006(配一个WS-X4232-L3,两个WS-5484模块),二级节点采用两台Cisco3524XL(各配一个WS-5484)交换机;接入系统采用CISCO2621路由器(配 一个NM-8AM模块)。采用1000BASE-SX、100 BASE-FX、100 BASE-TX标准,构造100/1000M的网络带宽,提供到达桌面的100M连接。
可以看得出来,该网络有一级节点一个,二级节点三个,三级节点一个。那么怎么把网络入侵检测系统配置在这个网络中呢?
一般来说反应单元是置于网关上的,如图所示。控制中心随意放置于内部网络方便的地方,这里把它置于中心机房。而感应器乃系统的灵魂所在,必须置于网络流量集中的地方。否则系统性能将得不到保证。这里把它置于3个二级节点和1个三级节点上。
应用效果
配置好系统后,整个网络对付攻击的效果怎样呢?
中科大国祯网络入侵检测系统能够检测到1200多种包括缓冲区溢出及拒绝服务攻击和各种网络扫描的网络攻击行为。
为了测试系统性能,我们进行了一系列攻击测试。包括Ping of Death,SYN Flood,UDP Flood,Smurf,Unicode Attack以及使用著名的网络扫描工具Nmap和Nessus以及Shadow Security Scanner产生网络攻击。
在上述攻击中,我们的系统表现出了一个好的网络入侵检测系统所具备的实时高效,安全有效,日臻完善的优点。
还有,在网络大负载时系统表现又怎样呢?实验证明我们的系统在40M/sec的网络环境中和60M/sec的网络环境中表现依旧相当令人满意。在90M/sec的网络环境中系统性能有所下降,但是仍能够检测到60%的网络攻击。这是个尚待解决的普遍存在的问题。
我们提出的网络安全解决方案在上面的例子中已经展示出来了。那就是结合防火墙和网络入侵检测系统的优点,在企业局域网络的出入口处配置防火墙,以应对基本的外部网络攻击,在内部网络中配置网络入侵检测系统,以弥补防火墙的不足,并负责在内部网络中巡逻,检测来自内部网络的攻击。
|
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
