亿动网
在当今网络安全威胁日益严峻的情况下,保护机房免受网络攻击至关重要。防火墙和入侵检测系统是实现这一目标的关键技术,它们可以有效地抵御各种网络威胁,确保机房的安全运营。
防火墙的职责
- 控制网络流量,允许或阻止访问特定网络或主机
- 根据预先定义的规则过滤网络数据包
- 防止未经授权的访问和网络攻击
入侵检测系统的职责
-
监测网络流量并识别可疑
实施防火墙和入侵检测系统的优势
- 增强网络安全,防止未经授权的访问和攻击
- 识别和检测恶意活动,及时采取响应措施
- 遵守法规和行业标准,保护敏感数据
- 减少网络宕机和业务中断,确保机房的正常运营
结论
防火墙和入侵检测系统是机房网络安全不可或缺的组成部分。它们共同作用,提供多层保护,抵御各种网络威胁。通过实施这些技术,企业可以显著增强其网络安全态势,确保机房的安全运营和敏感数据的保护。
应知的网络知识与安全问题:[17]入侵检测
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力 (包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络 系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭 击的迹象。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络 进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
这些都通过它执行以下任务来实 现: · 监视、分析用户及系统活动; · 系统构造和弱点的审计; · 识别反映已知进攻的活动模式并向相关人士报警; · 异常行为模式的统计分析; · 评估重要系统和数据文件的完整性; · 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件 和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。
更为重要的一点是,它应该管 理、配置简单,从而使非专业人员非常容易地获得网络安全。
而且,入侵检测的规模还应根据网络 威胁、系统构造和安全需求的改变而改变。
入侵检测系统在发现入侵后,会及时作出响应,包括切 断网络连接、记录事件和报警等。
信息收集 入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。
而且 ,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩 大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源 来的信息的不一致性却是可疑行为或入侵的最好标识。
当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道 的真正的和精确的软件来报告这些信息。
因为黑客经常替换软件以搞混和移走这些信息,例如替换 被程序调用的子程序、库和其它工具。
黑客对系统的修改可能使系统功能失常并看起来跟正常的一 样,而实际上不是。
例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编 辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。
这需要 保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防 止被篡改而收集到错误的信息。
入侵检测利用的信息一般来自以下四个方面: 1.系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测 入侵的必要条件。
日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指 出有人正在入侵或已成功入侵了系统。
通过查看日志文件,能够发现成功的入侵或入侵企图,并很 快地启动相应的应急响应程序。
日志文件中记录了各种行为类型,每种类型又包含不同的信息,例 如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息 等内容。
很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望 的位置以及非授权的企图访问重要文件等等。
2.目录和文件中的不期望的改变 网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是 黑客修改或破坏的目标。
目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正 常情况下限制访问的,很可能就是一种入侵产生的指示和信号。
黑客经常替换、修改和破坏他们获 得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序 或修改系统日志文件。
3.程序执行中的不期望行为 网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例 如数据库服务器。
每个在系统上执行的程序由一到多个进程来实现。
每个进程执行在具有不同权限 的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。
一个进程的执行行为由它 运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。
操作包括计算、文 件传输、设备和其它进程,以及与网络间其它进程的通讯。
一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。
黑客可能会将程序或服务的运 行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。
4. 物理形式的入侵信息 这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。
黑客 会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备 和软件。
依此,黑客就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备 访问网络。
例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具 来识别在公共电话线上的Modem,如果一拨号访问流量经过了这些自动工具,那么这一拨号访问就 成为了威胁网络安全的后门。
黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防 护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。
信号分析 对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技 术手段进行分析:模式匹配,统计分析和完整性分析。
其中前两种方法用于实时的入侵检测,而完 整性分析则用于事后分析。
1. 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违 背安全策略的行为。
该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可 以很复杂(如利用正规的数学表达式来表示安全状态的变化)。
一般来讲,一种进攻模式可以用一 个过程(如执行一条指令)或一个输出(如获得权限)来表示。
该方法的一大优点是只需收集相关 的数据集合,显著减少系统负担,且技术已相当成熟。
它与病毒防火墙采用的方法一样,检测准确 率和效率都相当高。
但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法 ,不能检测到从未出现过的黑客攻击手段。
2.统计分析 统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常 使用时的一些测量属性(如访问次数、操作失败次数和延时等)。
测量属性的平均值将被用来与网 络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
例如,统计分析 可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录 。
其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行 为的突然改变。
具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方 法,目前正处于研究热点和迅速发展之中。
3.完整性分析 完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在 发现被更改的、被特络伊化的应用程序方面特别有效。
完整性分析利用强有力的加密机制,称为消 息摘要函数(例如MD5),它能识别哪怕是微小的变化。
其优点是不管模式匹配方法和统计分析方 法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。
缺点是一 般以批处理方式实现,不用于实时响应。
尽管如此,完整性检测方法还应该是网络安全产品的必要 手段之一。
例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫 描检查。
入侵检测系统的典型代表是ISS公司(国际互联网安全系统公司)的RealSecure。
它是计算机网 络上自动实时的入侵检测和响应系统。
它无妨碍地监控网络传输并自动检测和响应可疑的行为,在 系统受到危害之前截取和响应安全漏洞和内部误用,从而最大程度地为企业网络提供安全。
入侵检测功能 ·监督并分析用户和系统的活动 ·检查系统配置和漏洞 ·检查关键系统和数据文件的完整性 ·识别代表已知攻击的活动模式 ·对反常行为模式的统计分析 ·对操作系统的校验管理,判断是否有破坏安全的用户活动。
·入侵检测系统和漏洞评估工具的优点在于: ·提高了信息安全体系其它部分的完整性 ·提高了系统的监察能力 ·跟踪用户从进入到退出的所有活动或影响 ·识别并报告数据文件的改动 ·发现系统配置的错误,必要时予以更正 ·识别特定类型的攻击,并向相应人员报警,以作出防御反应 ·可使系统管理人员最新的版本升级添加到程序中 ·允许非专家人员从事系统安全工作 ·为信息安全策略的创建提供指导 ·必须修正对入侵检测系统和漏洞评估工具不切实际的期望:这些产品并不是无所不能的,它 们无法弥补力量薄弱的识别和确认机制 ·在无人干预的情况下,无法执行对攻击的检查 ·无法感知公司安全策略的内容 ·不能弥补网络协议的漏洞 ·不能弥补由于系统提供信息的质量或完整性的问题 ·它们不能分析网络繁忙时所有事务 ·它们不能总是对数据包级的攻击进行处理 ·它们不能应付现代网络的硬件及特性 入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保 护,在网络系统受到危害之前拦截和响应入侵。
从网络安全立体纵深、多层次防御的角度出发,入 侵检测理应受到人们的高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。
在国内,随 着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品。
但现状是入侵检 测仅仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测 模块。
可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的 、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
系统运行安全管理包括系统
系统运行安全管理包括系统的安全策略制定、安全漏洞管理、数据保护与加密、用户权限管理、网络防御、物理安全、应急响应计划以及合规性与审计等方面。
首先,安全策略制定是系统运行安全管理的基础。
这包括定义哪些行为是可以接受的,哪些是不可接受的,以及如何应对潜在的安全威胁。
这些策略应该清晰地传达给员工,并定期进行评估和更新,以适应不断变化的威胁环境。
其次,安全漏洞管理涉及到识别、评估和修复系统中的安全漏洞。
这包括使用安全扫描工具定期扫描系统以发现潜在的漏洞,并对这些漏洞进行风险评估和优先排序。
然后,必须及时修复这些漏洞,以减少被攻击的风险。
数据保护与加密是另一个重要的方面。
这涉及到使用加密技术对敏感数据进行加密,以及在数据传输和存储过程中实施其他安全措施。
这有助于确保即使数据被盗或丢失,攻击者也无法轻易访问和利用这些数据。
用户权限管理也是一个关键的组成部分。
它涉及到根据用户的角色和职责分配适当的访问权限,并实施最小权限原则,即只授予用户完成工作所需的最小权限。
这有助于减少内部威胁和防止数据泄露。
网络防御对于保护系统免受外部攻击至关重要。
这包括使用防火墙、入侵检测系统(IDS)和入侵预防系统(IPS)等技术来监控和防御潜在的攻击。
此外,还应定期更新和打补丁来预防已知的漏洞被利用。
物理安全同样重要,因为它涉及到保护计算机系统和网络设备免受物理访问攻击。
这包括使用锁和警报系统来限制对数据中心的物理访问,以及实施适当的安全措施来保护网络设备。
应急响应计划对于在系统受到攻击或出现安全事件时快速响应至关重要。
这包括定义应急响应流程、建立应急响应团队,并进行定期的演练和培训,以确保在发生安全事件时能够迅速而有效地应对。
最后,合规性与审计是确保系统符合相关法律、法规和行业标准的重要方面。
这涉及到定期审查系统的安全性和合规性,并保留必要的审计日志和记录,以便在需要时进行调查和证明合规性。
ids和防火墙均具备对方不可替代的功能
ids和防火墙均具备对方不可替代的功能介绍如下:
入侵检测系统(IDS):专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
入侵防护系统(IPS):是指能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
防火墙:它是一种位于内部网络与外部网络之间的网络安全系统。一种信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
一般是IDS+防火墙的组合或者IPS+防火墙的组合来完成对网络安全防护。
杀毒软件:也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。病毒软件(程序)是一种在电脑(终端)上运行的,可以类似生物病毒发病机理的,通过一定条件下来触发运行的小程序,包括电脑病毒程序及一些恶意软件等。
以上描述可以看出他们的作用各不相同,所以不能相互代替,可以完全组合起来发现各自的作用,尽可能保障网络的信息安全。
