IDS与防火墙联动就看NAP

转载 2004年11月01日 13:35:00
IDS与防火墙联动就看NAP
作者:文曹斌    文章来源:中国计算机报 网络与通信  2003年05月27日


今年4月,东软在发布网络安全新产品的同时,向业界发布了以安全产品联动为目的的NAP协议,首次以协议的形式来规范联动,引起了业内的关注。对此,他们的解释是,针对目前的联动雷声大、雨点小的现实,他们认为,以协议这种公共语言来推动安全产品间的联合行动是一种有效的尝试,他们希望通过这种方式,让联动能真正地动起来,最终给用户带来真正的好处。

“联动”需要公共语言

“联动”目前是网络安全界中的一个很时髦的概念,虽然已经有三四年的历史,但是到目前为止,还远远没有得到充分的发展。联动本质上是安全产品之间一种信息互通的机制,它的理论基础是:安全事件的意义不是局部的,将安全事件及时通告给相关的安全系统,有助于从全局范围评估安全事件的威胁,并在适当的位置采取动作。它应该不仅局限于防火墙与入侵检测之间,还应该涉及很多其他的安全部件,如报警与审计系统、需要安全保护的主机系统、业务系统,甚至网络设备等等,只要在某个节点发生了安全事件,无论是一个简单系统捕捉到的原始事件,还是一些具有分析能力的系统“判断”出来的,它都可能需要将这个事件通过某种机制传递给相关的系统。因此“联动”是安全产品间实现互操作的的一种表现,它需要的也是一种“公共语言”作为基础,即一种使产品间互相传递信息的协议。

187535.jpg

联动系统示意图


这种协议不应该也不需要以某个商业联盟为依托,否则很难保证它是完全开放的。而现在产业中现有的商业联盟往往以某个厂家为核心,其他厂家的产品在一些半公开的SDK的支持下实现与核心厂家的某个产品实现互联。用户很容易发现,在这样的联盟中往往不会存在与发起者有竞争关系的产品。这种状况使得联动技术在实际使用中并没有得到很好的发展,以“联动”的名义建立起的商业联盟反使业内形成了若干个孤岛,“联动”无法发展成为泛支持的产品特性。而现有产品之间的联动缺少实际效果的验证,大多数有联动功能的产品停留在仅仅是“有联动功能”这样的程度,而很多用户也没有在其实际的系统中使用联动的功能。出现这样问题的原因,一方面是由于用户可选择的空间比较少,另一方面,由于对于商业联盟缺少长远的信心,很多厂家在联动技术方面并没有投入多少研发力量。

任何一项技术,从概念的提出到充分发展,需要很多的厂家进行投入和创新,而这个前提就是有一个完全开放的基础。联动技术恰恰缺少这样一个开放的基础,缺少一个完全对等的开放的联动协议。这样的协议的实现要足够简单、有效;它对于安全信息要有充分的描述能力;同时它能够允许扩展,并且当协议发展时,它可以很容易地实现对老系统的兼容。

协议是沟通的公共语言

当存在一个需要多个系统互动的应用的时候,必然会存在一个或一组协议来确保多个系统间存在互操作的基础。协议是多个系统间互相沟通的“公共语言”,没有这种公共语言的存在,广泛的互操作性就不可能。

让我们看一看历史上的例子。例如著名的TCP/IP就是一组协议,它们构成了现在网络互联的基础,可以说,没有TCP/IP就没有Internet的今天。TCP/IP是开放的,所以,如果你需要把你的局域网与其他的网络连接起来,你需要一个实现了IP协议的路由器,它可以来自Cisco、3Com,也可以来自华为、港湾,这些设备只要配置正确,都可以互相通信,因为他们都实现了标准的IP协议。也正是由于这个协议的存在,各个厂家都清楚如何与其他厂家的设备“交流”,厂家之间不需要为了能够实现互通而达成商业上的同盟,或进行共同开发测试,或者非得由某个厂家提供SDK之类的开发工具,他们需要的只是一个开放的协议,于是路由器市场欣欣向荣,各种优秀的产品层出不穷。

类似的例子有很多。我们每天都在使用的网络信息系统没有一个不是依赖于这些公开的协议而存在,没有一个不是因为这些公开的协议而得到了充分的发展。对于需要互联的系统来说,有一个公开的协议至关重要,而且足够了。

NAP协议让联动动起来

正是因为有了以上的想法,因此,东软才做了这样一个第一个“吃螃蟹的人”,提出了NAP(Network Alert Protocol)协议,它是一种完全开放的协议,描述协议的文本完全公开。因此任何需要实现联动的产品,无论是IDS还是防火墙,或是其他的安全产品,都可以按照该协议文本实现对该协议的支持。按照该协议开发的产品,无论是不是东软的产品,都可以实现相互间的联动。

NAP采用TCP作为传输手段,采用简单可靠的认证和加密方法,可以保证系统间通信的可靠性和安全性。NAP中传输的安全事件是使用XML进行描述的,由于XML是一种非常强的描述性文法,因此可以传递非常丰富的信息。同时基于XML的系统可以很容易扩展,并保持向后兼容。NAP协议的正式文档可以在东软网络安全网站上下载(http://neteye.neusoft.com)。

目前,NAP是业界第一个完全公开的实现安全产品间互联的协议,它将成为联动技术充分发展的一个重要基础。东软新发布的NetEye防火墙3.2和网络入侵检测系统NetEye IDS 2.1已经能够很好地支持NAP协议实现互动。以后,东软还会继续发展支持NAP协议的产品,如网络审计中心等。任何网络安全的厂家都可以在自己的产品上增加对NAP的支持,他们不需要得到东软的授权,公开的协议文档中包含了实现NAP所必需的一切技术细节,因此,这些厂家甚至不需要得到东软的技术支持。东软也会提供针对NAP的SDK,以使其他厂家的产品可以更快速地实现对NAP的支持,这些开发工具也都是NAP的标准实现,并可以免费使用。需要明确的是,协议并不是技术的全部,它只是创造了一个更有利于技术发展的环境,所以它不会很快改变联动技术“好听不好用”的现实。但是,一个有机互动的智能的安全体系无论对于用户还是厂家来说,都是一个有足够吸引力的梦想。相信不久的将来,当支持NAP这样的公开协议成为大多数产品的缺省配置时,这样的梦想会成为现实。

点 评

联动技术的诞生,的确给了用户一种“眼前一亮”的感觉。但是,“好听不好用”的确是目前联动的应用现状。显然,这种现状是发起它的人们所不愿看到的。缺乏一种大家都认可的沟通语言应该说是联动应用路上的一个最大的拦路虎。作为一种公共语言,协议自然是铲除这种拦路虎的有效手段。因为,任何一种技术能够发扬光大,都离不开这样一种手段。有关这个事实的实例可以说俯拾皆是。协议的诞生是需要有领头者的,主流厂商自然当仁不让,东软现在已经挺身而出,是否还会有其他的厂商来加入这个“协议”队伍,我们还需要拭目以待。第一个吃螃蟹的人当然是勇士,不过,勇士不一定就是成功者,即使是联动协议,NAP也不一定就得到最终的广泛认可。不过,东软的这种协议思路还是值得借鉴的。

微软网络访问保护 (NAP) 技术介绍

本专栏中有关 Windows Server“Longhorn”的预发布信息可能会有所变动。  目前,各种规模的组织都面临的最大安全威胁之一就是网络外围背后的恶意设备。任何组织,不论其对来自 Inter...
  • iiprogram
  • iiprogram
  • 2007年05月11日 16:57
  • 1534

[转]防火墙、防病毒网关、IDS以及该类安全产品开发(文章汇总)

      /* 文章比较经典,怕以后遗失了,特别记录下来。文章应该是2004年的,来源已经无法查清,感谢作者。*/ 防火墙的会话性能标称是什么意思- -                       ...
  • heiyeshuwu
  • heiyeshuwu
  • 2006年01月24日 16:55
  • 4604

IDS与IPS的区别

1. 入侵检测系统(IDS) IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行...
  • wanwei_net
  • wanwei_net
  • 2016年05月19日 09:50
  • 1271

关于防火墙,IPS和IDS的疑问?

一直有一个疑问,在不接入VPN的前提下:如果已经使用了防火墙(自带攻击防范,内网安全,流量监控,邮件过滤,应用层过滤等功能),是否还有必要使用IPS?防火墙和IPS的主要区别在什么地方?-------...
  • happypolo
  • happypolo
  • 2010年12月17日 16:01
  • 2902

防火墙/IDS测试工具Ftester

防火墙/IDS测试工具Ftester
  • u014621518
  • u014621518
  • 2017年05月10日 10:42
  • 307

IDS与防火墙

学习记录:          1. 入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络...
  • prodigywunder
  • prodigywunder
  • 2016年01月29日 09:27
  • 191

IDS、IPS和UTM的区别

IDS、IPS和UTM的区别        在许多人看来,入侵检测和入侵防御没什么区别,很多做入侵检测的厂商同时也做入侵防御,甚至连它们的缩写“IDS”和“IPS”都这么的相像.那么这两款产品有...
  • u010694764
  • u010694764
  • 2017年01月04日 16:14
  • 841

netstat -nap|grep port

netstat -nap|grep port  查看端口号port被哪一进程占用
  • tiantiantianshilan
  • tiantiantianshilan
  • 2011年01月07日 12:58
  • 1623

一个入侵测系统+主动防火墙(Snort+Guardian)

一个入侵测系统+主动防火墙(Snort+Guardian) Snort 是一个开源的轻量级入侵监测系统,可以监测网络上的异常情况,给出报告;Guardian是基于Snort+IPTables的一个主动...
  • Kendiv
  • Kendiv
  • 2005年02月24日 01:41
  • 2995

Windows Server 2008 R2 802.1X和NAP在企业中的整合应用

公司内部有多个部门,创建了域的架构,并搭建了DHCP服务器和Radius服务器,要求每个部门都独享一个网段,实现每位用户插上网线后,跳出窗体进行身份验证,如果用户通过验证,根据用户所在的部门分配IP地...
  • hanzheng260561728
  • hanzheng260561728
  • 2016年04月06日 21:54
  • 1520
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:IDS与防火墙联动就看NAP
举报原因:
原因补充:

(最多只允许输入30个字)