浅谈IDS联动及实例演示
来源:99网
32 信息科学 科201 1霞 0年第4j羽穰 浅谈IDS联动及实例演示 肖鸿斌 (中国电信股份有限公司汕头分公司,广东汕头515000) 擅要通过对入侵检测系统的功能做简要介绍,详细讲解如何使用lDs组网,同时进行组网配置演示。 关t调入侵检测系统;联动;实例 中圈分类号TP3 文献标识码A 文章编号1673—9671一(2010)072—0032~01 1 IDS功能概述 在信息安全短暂而却漫长的发展历程中,一种对入侵行为的发觉技 术和应用渐渐被人们所重视,网络管理专家们要求有一种设备,它能够 通过从计算机网络的若干关键点收集信息并进行分析,从中发现网络中 是否有违反安全策略的行为和被攻击的迹象,这种设备就是现在被人们 普遍使用的入侵检测系统(Intrusion Deteciton System. ̄写IDS)。 入侵检测系统(Intrusion Deteciton System)通过从计算机网络或计算 机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违 反安全策略的行为和被攻击的迹象。入侵检测系统在不影响网络性能的 前提下,实时、动态地保护来自内部和外部的各种攻击,同时有效地弥 补了防火墙所能达到的防护极限。 2 IDS分类 根据进行入侵分析的数据来源的不同,可以将入侵检测系统分为基 于网络的人侵检测系统(Network—Based Intrusion Detcetion System)和基于 主机的入侵检测系统(Host—Based Intrusion Deteciton Sys ̄m)。 基于网络的入侵检测系统(NIDS)的数据来源为网络中传输的数据 包及相关网络会话,通过这些数据和相关安全策略来进行人侵判断。基 于主机的入侵检测系统(HIDS)的数据来源主要为系统内部的审计数 据,通过这些数据来分析、判断各种异常的用户行为及入侵事件。 3 IDS组用 通常,防火墙有如下两个作用: 1)用户或信息进入特定的被严格控制的站点,监控可信任网 络和不可信任网络之间的访问通道,以防止外部网络的危险蔓延到自身 的网络上。 2)用户或信息从某个特定的被严格控制的站点离开,通过有 效控制外部用户对内部资源的访问,确保信息安全。 由于防火墙产品自身的特点,其应用有一个局限眭:防火墙检查的 颗粒度较粗,难以对众多协议的细节进行深人的分析和检查。 为解决上述问题,高端的防火墙开放了相关接口,通过与其它安全 软件进行联动,从而构建统一的安全网络。 防火墙与IDS(Intrusion Detective System)设备联动的组网方式如下 图: ⅢS联动典型组网图 上图中,防火墙位于内部LAN网络和外部网络之间,IDs服务器和管 理服务器位于内部网络。网络中的IDS系统就像在网络上装备了网络分 析器,对网络传输进行监视。该系统熟悉最新的攻击手段,而且尽力在检查通过的每个报文,从币i尽早处理可疑的网络传输。具体采取的措施 由用户使用的特定II)S系统和配置情况决定。 防火墙与IDs联动,可以充分利用专用IDS软件的功能,对流经网络 的报文进行详细的分析与检查,探测各种可能的异常情况和攻击行为, 通过下发指令的方式(如动态维护ACI凌项)通知防火墙,由防火墙对 攻击报文进行丢弃或其它处理。 4 IDS联动的特点 IDs联动有如下特点: 1)JDs设备可以对所在网络的传输进行监视。 2)IDS设备能够通过不断的软件升级,支持对网络最新的攻击行为 的探测。 3)IDS设备尽力检查通过的每个报文,从而尽早处理可疑的网络传 输。 4)采用IDS联动方式进行攻击防范,入侵检测和攻击处理两个过程 有效分离,充分发挥了各设备的优势,改善了系统性能。 5)防火墙与IDs设备联动,可以充分利用专用1Ds软件的功能,对流 经网络的报文进行详细的分析与检查,探测各种可能的异常情况和攻击 行为,并通过防火墙进行实时的响应。 5 IDS联动配置演示 5.1配置准备 5.1.1应用环境 当需要防范内部网络用户的破坏以及渗透到内部网络的攻击时,即 可配置防火墙IDS联动功能。 5.1.2前置任务 在配置Ⅲs联动功能前,需要完成以下任务: 配置接口IP地址 配置接口加入安全区域 配置ACL 配置防火墙域间包过滤规则或域间缺省包过滤规则 只有配置防火墙工作在路由模式下,才能使用ms联动功能。 5.2配置IDS联动 1)执 ̄'@system-view,进入系统视图。 2)执行命令6 au ids server ip-address,配置外接Ⅲs服务器地址。 3)执行命令6re、vaⅡids port port-number,配置防火墙和外接Ⅲs服务 器通讯的端口。 4)执行命令6mvallids authenticaitontype{md5[key key--string】Iilon ̄I vip[key key—string】】,配置与外接Ⅱls服务器的报文认证方式。 5)执行命令 rewall ids enable,启动外接JDs功能。 5.3检查配置结果 查看IDs联动的配置信息 ̄sphyfLrewallids 5.4维护 调试IDS联动 在出现IDS联动运行故障时,请在用户视图下执行debugging命令对 IDs进行调试,查看调试信息,定位故障并分析故障原因。 调试IDS联动功能debuggingfirewaU ids 参考文献 【1阐希仁.计算机网络[M】.北京:电子工业出版社,2008. f2】汪小帆.复杂网络理论及其应用fM】.北京:清华大学出版社,2006. 【3悔吉.网络安全技术与解决方案【M】.北京:人民邮电出版社,2009.