网络工程师——网络隔离与入侵检测

网络隔离与入侵检测

1.网络隔离

  网络隔离技术的目标是确保把有害的攻击隔离，在保证可信网络内部信息不外泄的前提下，完成网络间数据的安全交换。

  Mark Joseph Edwards 对协议隔离进行了归类，他将现有的隔离技术从理论上分为了五类。

  （1）第一代隔离技术——完全的隔离。

  此方法使得网络处于信息孤岛状态，做到了完全的物理隔离。这种方式需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，给维护和使用带来了极大的不便。

  （2）第二代隔离技术——硬件卡隔离。

  在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口以连接到不同的网络。但是，这种隔离产品在大多数情况下仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。

  （3）第三代隔离技术——数据转播隔离。

  利用转播系统分时复制文件的途径来实现隔离，切换时间非常久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。

  （4）第四代隔离技术——空气开关隔离。

  它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在许多问题。

  （5）第五代隔离技术——安全通道隔离。

  此技术通过专用通信硬件和专有安全协议等安全机制来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明地支持多种网络应用，成为当前隔离技术的发展方向。

  常考的网络隔离技术有以下4种：

  （1）防火墙。通过ACL进行网络数据包的隔离是最常用的隔离方法。控制局限于传输层以下的攻击，对于病毒、木马、蠕虫等应用层的攻击毫无办法。适合小网络隔离，不合适大型、双向访问业务网络隔离。

  （2）多重安全网关。多重安全网关（UTM)被称为新一代防火墙，能做到从网络层到应用层的全面检测。UTM的功能有ACL、防入侵、防病毒、内容过滤、流量整形、防DOS。

  （3）VLAN划分。VLAN划分技术避免了广播风暴，解决了有效数据传递问题，通过划分VLAN隔离各类安全性部门。

  （4）人工策略。断开网络物理连接，使用人工方式交换数据，这种方式安全性最好。

2.入侵检测

  入侵检测技术是近20年来出现的一种主动保护自己免受黑客攻击的新型网络安全技术。

  入侵检测（Intrusion Detection)就是从系统运行过程中产生的或系统所处理的各种数据中查找出威胁系统安全的因素，并对威胁做出相应的处理。入侵检测的软件或硬件称为入侵检测系统（Intrusion Detection System，IDS）。入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

  入侵检测包括两个步骤：信息收集和数据分析。入侵检测就是分析攻击者留下的痕迹，而这些痕迹会与正常数据混合。入侵检测就是收集这些数据并分析数据找到痕迹。

  入侵检测的常用检测方法有：

  （1）模式匹配法：把收集到的信息与模式数据库中的已知信息进行比较，从而发现违背安全策略的行为。

  （2）专家系统法：把安全专家的知识表示成规则知识库，再用推理算法检测入侵。

  （3）基于状态转移分析的检测法：该方法是将攻击看成一个连续的、分步骤的并且各个步骤之间有一定关联的过程。在网络中发生入侵时及时阻断入侵行为，防止可能还会进一步发生的类似攻击行为。在状态转移分析方法中，一个渗透过程可以看作是由攻击者做出的一系列行为，而导致系统从某个初始状态变为最终某个被危害的状态。

  入侵检测设备可以部署在DMZ中，这样可以查看受保护区域主机被攻击的状态，可以检测防火墙系统的策略配置是否合理和DMZ中被黑客攻击的重点。部署在路由器和边界防火墙之间可以审计来自Internet上对受保护网络的攻击类型。