基于防火墙与入侵检测系统联动的校园网GSN全局部署

刘静

健雄职业技术学院软件与服务外包学院 江苏 215411

0 引言

随着教育信息化进程的推进，校园网作为高校推进信息化、数字化建设的重要基础设施得到了飞速发展。它为全校师生员工提供了教学、科研和综合信息服务的宽带多媒体信息。随着校园网规模的急剧扩大，校园网的安全问题显得愈发突出。大量事实显示，来自内外结合的攻击是当前网络安全的最大威胁。单一的防火墙难以消除网络安全，需要采取综合防范措施。本文采取一种基于防火墙与入侵检测系统联动的模式进行校园网网络部署。

1 校园网安全

1.1 校园网安全威胁

校园网安全威胁主要来自三方面：①网络的恶意破坏者，造成正常的网络服务不可用，系统或者数据破坏；②内部人员造成的网络数据的破坏，网络病毒的蔓延扩散、木马的传播；③别有用心的间谍人员，通过窃取他人身份进行越权数据访问，以及偷取机密或者他人的私密信息。而来自校园网内部的安全事件占了绝大多数。这与校园网的用户息息相关。一方面，高校学生有着强烈的好奇心，有探索的高智商和冲劲，但缺乏全面思考的责任感。另一方面，校园网内很多用户使用网络获取大量资料，安全意识却明显薄弱，他们不愿意安装防火墙、杀毒软件等必要的网络安全工具。

1.2 传统安全措施存在的问题

防火墙将内部可信区域与外部危险区域有效隔离，为网络边界提供保护，是抵御入侵的重要手段。然而防火墙的设计基于两大假设：①防火墙内部各主机是可信的；②防火墙外部每一个访问都是攻击性的，至少是有潜在攻击性的可能性。防火墙提供的是静态防御，它的规则是事先设置的，对于实时攻击或者异常行为不能实时反应，无法自动调整策略设置以阻断正在进行的攻击。

入侵检测系统IDS(Intrusion Detection System, IDS)被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。IDS虽然具有发现入侵、阻断连接的功能，但其工作重点是对入侵行为的识别上，网络整体的安全策略还需要防火墙来完成。所以入侵监测系统应该通过与防火墙建立联动关系，动态改变防火墙的策略，通过防火墙实现从源头切断非法入侵行为。

2 锐捷网络GSN全局安全部署

2.1 GSN全局安全组成和原理

全局安全网络解决方案(Global Security Network, GSN)，GSN方案由锐捷安全交换机、锐捷安全管理平台，锐捷安全计费管理系统、网络入侵检测系统、网络安全修复系统等多重元素组成，实现同一网络环境下的全局联动，使得网络中的每个设备都在发挥着安全防护的作用，构建“多兵种协同作战”的全新安全体系。GSN采用三层架构：客户端、Switch/Gateway以及后台服务器。

GSN通过将用户入网强制安全、统一安全策略管理、动态网络宽带分配、嵌入式安全机制集成到一个网络安全解决方案中，达到对网络安全威胁的自动防御，网络受损系统的自动修复，新的网络行为的自动学习，从而达到对未来网络安全事件的防范。

2.2 GSN全局安全应用阶段化部署

（1）构建统一身份认证管理平台

全局安全技术实现的关键是：建立统一身份的平台。有了这个平台后，用户熟悉客户端使用，管理员也有丰富的管理经验。建立统一身份的平台，便于管理员进行统一管理，管理员的很多操作对用户而言都是透明的。

健雄职业技术学院校园网，采用 GSN认证模式，每个上网的用户都需要下载该客户端，并通过MAC地址绑定的方式与管理员后台操作建立一对一的联系，如图1所示。

图1 GSN身份认证平台

（2）安全管理平台的部署

统一身份管理平台实现了网络安全认证与授权，这样校园网的网络安全基础体系已经建立。在此基础上，管理员可以在后台部署 SMP安全管理平台，用户客户端将自动下载并升级到最新版本，用户无需任何操作即可透明升级。用户登录身份认证系统后锐捷安全认证计费平台自动运行，如图2所示。

图2 GSN计费平台自动运行

通过针对终端系统的安全建设，能够将整个网络的安全体系进行完成，并通过RG-SU和RG-SAM、RG-SMP的联动，将整个网络的安全体系进行了统一的整合，使得管理员可以轻松的进行基于用户的网络安全控制，管理整个网络。

（3）整网安全体系

这一阶段需要进行两方面的操作：进行网络设备的统一安全管理和网络安全事件的发现。对于前者的管理，校园网仍然采用手动方式进行实现。在本阶段，通过建立开放接口的方式，实现防火墙与IDS之间的联动，以增强GSN全局安全中网络设备的统一管理和安全时间的发现。

3 基于开放端口的防火墙与IDS的联动设计

3.1 IDS和防火墙之间的联动方式

（1）系统嵌入方式：IDS嵌入防火墙，IDS的数据是流经防火墙的数据流。所有通过的数据包都要接受防火墙的验证，并判断是否有攻击性，达到真正的实时阻断。

（2）端口映像方式：防火墙将网络中制定的一部分流量镜像到IDS中，IDS再将处理后的结果通知防火墙，要求其相应地修改安全策略。

（3）专用响应方式：当IDS发现网络中的数据存在攻击企图时，通过一个开放端口实现与防火墙的通信，双方按照固定的协议进行网络安全事件的传输，更改防火墙安全策略，对攻击的源头进行封堵。

校园网的网络可以采用专用响应方式，通信双方可以事先约定并设定通信端口，并且相互正确配置对方IP地址，防火墙以服务器的模式来运行，IDS以客户端方式运行。

3.2 IDS和防火墙之间的联动安全通信

（1）基于SSL验证和加密的连接。利用通道加密技术，采用加密算法和密钥验证机制，可在IDS和防火墙之间实现验证和加密的功能，实现安全通信。

（2）基于SSL验证的连接。在不需要加密而只需要IDS和防火墙之间验证的时候可以采用此方式。

（3）明文连接。在不需要验证和加密的情况下，可在IDS和防火墙之间采用明文形式传输数据、对通信不作任何额外的限制。

3.3 IDS和防火墙之间的联动阻断方式

防火墙可以采用以下阻断方式对IDS请求指令作出动态响应：

（1）单向阻断或者双向阻断：阻断源IP的源端口到目的IP的目的端口的连接；

（2）按照MAC地址阻断：源MAC地址和目的MAC地址的阻断；

（3）阻断所有源端口：阻断源IP所有端口到目的IP的目的端口连接；

（4）阻断所有目的端口：阻断源IP端口到目的IP的所有目的端口连接；

（5）阻断所有IP协议：阻断所有IP层的协议连接；

（6）阻断时间：设置阻断时间。

我院校园网采取GSN身份认证模式，认证时采用MAC地址绑定方式与服务端建立连接，因此采用按照MAC地址阻断方式阻断更有效。

3.4 IDS和防火墙之间的联动策略制订

一方面通过对攻击类型进行辨别，对一些级别较低的报警不设置为联动；另一方面针对某条联动规则设置阻断的时间及阻断方式。

可以从两个层次来进行联动策略的定义：一是“危险”级别定义；二是“可转移”级别定义。

3.4.1 “危险”级别

如果一个特定阶段的攻击允许执行时，会对系统造成多大的危险和损失。可以通过比较攻击种类和状态来测量：

（1）最小：与一个知名的攻击不相关；

（2）警告：暗示是一个知名攻击的第二或者更靠后的攻击状态，这样的攻击潜在的危险是最小的；

（3）注意：中等潜在破坏或者异常情况已经积累到了预示有针对性的敌意攻击发生；

（4）严重：知名攻击，对系统有破坏性，有可能使系统瘫痪或者某种服务功能丧失，后来很严重；

（5）灾难性：如果攻击继续的话，将带来不可挽回的损失，如硬盘被格式化无法恢复、数据完全丢失等。

3.4.2 可转移性的定义

（1）没有：发生攻击独一无二，没有其他的操作系统可以匹敌。

（2）局部：为普通的操作系统有威胁，或只发生在一个软件中；

（3）完全：攻击是普遍的，对网路上的很多操作系统都有威胁。

那么联动等级＝危险级别*可转移性级别，联动状态可以通过设置两个阈值来定义：

联动状态(0)：没必要进行防火墙联动

联动状态(1)：有必要进行防火墙联动

阻断时间=联动等级*单位时间*联动状态

3.5 IDS和防火墙之间的联动优势

联动技术不仅体现了分布式技术发展的潮流，同时体现了网络安全深度防御的思想。防火墙与IDS的联动，使得防火墙的防护由静态变为动态，由平面到立体，提升了防火墙的机动性和实时反应能力，另一方面也增强了IDS的阻断功能。

4 结束语

健雄职业技术学院校园网采用锐捷网络 GSN全局安全一体化模式，实践证明这种安全防护具有以下优点：①提供了高性能的综合安全防护，各个安全应用独享资源，相互之间不竞争资源，可同时打开所有安全功能。②是一个可扩展的安全系统。系统具有高可扩展性、高可伸缩性。当需求增长时，可灵活的扩展原有的系统。其中基于开放端口的防火墙与IDS的联动方式增强了GSN全局安全一体化模式第三阶段的功能，便于对网络设备进行统一安全管理，提升了防火墙的动态防控能力和实时反应能力。

[1]李鹏,刘莜冬,赵学军.全局网络安全方案在校园网中的研究与应用.网络安全技术与应用.2008.

[2]张兴东,胡华平,况晓辉,陈辉忠.防火墙与入侵检测系统联动的研究与实现.计算机工程与科学.2004.

[3]刘化君.基于区域分割的防火墙部署与配置.网络安全技术与应用.2010.

[4]彭伟,任友群.校园网一体化安全防护研究.中国教育信息化.2009.