網路安全監測
網際網路的發展,在大大拓展資訊資源共享空間和時間、提高利用率的同時,存在著很多安全隱患,如正在執行的網路系統中有無不安全的網路服務;作業系統上有無漏洞可能導致遭受緩衝區溢位攻擊或拒絕服務的攻擊;系統中是否安裝竊聽程式;對於安裝了防火牆系統的區域網,防火牆系統是否存在安全漏洞或配置錯誤等。
另外,各種計算機病毒和黑客攻擊層出不窮。它們可能利用計算機系統和通訊協議中的設計漏洞,盜取使用者口令,非法訪問計算機中的資訊資源、竊取機密資訊、破壞計算機系統。為了解決上述網路存在的安全問題,則必須加強網路安全檢測與監控
網路安全檢測技術:
網路安全檢測技術主要包括實時安全監控技術和安全掃描技術。實時安全監控技術通過硬體或軟體實時檢查網路資料流並將其與系統入侵特徵資料庫的資料相比較,一旦發現有被攻擊的跡象,立即根據使用者所定義的動作做出反應。這些動作可以是切斷網路連線,也可以是通知防火牆系統調整訪問控制策略,將入侵的資料包過濾掉。安全掃描技術包括網路遠端安全掃描、防火牆系統掃描、Web網站掃描和系統安全掃描等技術可以對區域網絡、Web站點、主機作業系統以及防火牆系統的安全漏洞進行掃描,及時發現漏洞並予以修復,從而降低系統的安全風險。
網路安全檢測技術基於自適應安全管理模式。該管理模式認為:任何一個網路都不可能安全防範其潛在的安全風險。它有兩個特點:一是動態性和自適應性,這可通過網路安全掃描軟體的升級及網路安全監控中的入侵特徵庫的更新來實現;二是應用層次的廣泛性,可用於作業系統、網路層和應用層等各個層次網路安全漏洞的檢測。
很多早期的網路安全掃描軟體是針對遠端網路安全掃描。這些掃描軟體能檢測並分析遠端主機的安全漏洞。事實上。由於這些軟體能夠遠端檢測安全漏洞。因而也恰是網路攻擊者進行攻擊的有效工具。網路攻擊者利用這些掃描軟體對目標主機進行掃描,檢測可以利用的安全性弱點,通過一次掃描得到的資訊將是進一步攻擊的基礎。這也說明安全檢測技術對於實現網路安全的重要性。網路管理員可以利用掃描軟體,及時發現網路漏洞並在網路攻擊者掃描和利用之前予以修補,從而提高網路的安全性。
利用網路安全檢測技術可以實現網路安全檢測和實時攻擊識別,但它只能作為網路安全的一個重要的安全元件,還應該結合防火牆組成一個完整的網路安全解決方案。
近年來隨著Internet的飛速發展,很多區域網採用了防火牆系統保護內部網路安全。防火牆就是一個位於計算機和其所連線的網路之間的軟硬體體系,從計算機流人流出的所有網路資訊均要經此防火牆的檢測和過濾。
防火牆系統分析
.1 防火牆的功能及型別
防火牆限制對被保護網路的非法訪問,它是設定在被保護內網和外部網路之間的一道屏障,用來檢查網路點通訊,根據設定的安全規則,對通過防火牆的資料流進行監測、限制和修改,這樣可過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可關閉未用的埠,禁止特定埠的流出通訊,封鎖特洛伊木馬,禁止來自特殊站點的訪問,從而防止不明入侵者的所有通訊。
防火牆具有不同型別,它可以是硬體自身的一部分,可以將因特網連線和計算機都插入其中;也可以在一個獨立的機器上執行,該機器作為其背後網路中所有計算機的代理和防火牆,而直接連在因特網的機器可使用個人防火牆。
2 防火牆的侷限性
個人防火牆並不是專為防範惡意攻擊而設計的,微軟的IE和AQL的NETSCAPE瀏覽器均存在黑客可以利用的安全漏洞,從而導致使用者的個人資料遭到竊取。
防火牆存在以下侷限性:防火牆深入檢測和分析網路資料流量的同時,網路的傳輸速度勢必會受到影響;如果防火牆過於嚴格,可能會影響為合法使用者提供連線的效能;
傳統的防火牆需要人工實施和維護,不能主動跟蹤入侵者;
不是所有的Internet訪問都需經過防火牆,如內網使用者為方便使用,Modem直接與Internet相連,這樣防火牆就無法提供安全保護,且此連線可能會成為攻擊者的後門,從而使其繞過防火牆;
不是所有的威脅都來自外部網路,防火牆僅能到內網與Internet邊界的流量,無法檢測到網路內的流量。
防火牆自身容易遭受攻擊,最令人煩惱的攻擊是隧道攻擊和基於應用的攻擊。隧道攻擊是指由於防火牆根據網路協議決定資料包是否通過。然而把一種協議的資訊封裝在另外一種允許通過協議的資訊中時,禁止通過的流量就穿越防火牆。此種攻擊採用的手段類似於中的隧道機制,故稱隧道攻擊。而基於應用的攻擊指通過傳送包直接與應用通訊,利用這些應用的漏洞。如通過傳送HTTP命令在Web應用中執行緩衝區溢位攻擊來利用Web軟體的漏洞。如果防火牆配置成允許HTTP流量,包含此攻擊的包將通過。
總之,防火牆不是一種動態的防衛系統,對來自內部的攻擊和撥號上網無能為力,也已存在許多技術優於防火牆如IPSpoofing,IP Fragmentation。積極的方法是主動測試系統的安全效能,及早發現安全漏洞並改進系統。
網路安全產品