IDS入侵檢測(cè)系統(tǒng)在宣鋼網(wǎng)絡(luò)中的部署

　　0前言

　　入侵檢測(cè)系統(tǒng)(Intrusion Detection Systems,IDS)工作在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵節(jié)點(diǎn)上，通過實(shí)時(shí)地收集．分析計(jì)算帆網(wǎng)絡(luò)和系統(tǒng)中的信息，來檢查是否出現(xiàn)違反安全策略的行為和遭到襲擊的跡象，進(jìn)而達(dá)到防止攻擊、預(yù)防攻擊的目的。

　　網(wǎng)絡(luò)人侵柱瀏系統(tǒng)(Network Intrusion DetectionSystem，NIDS)作為主動(dòng)保護(hù)自己免受攻擊的網(wǎng)絡(luò)安全技術(shù)．處于肪火墻之后，它就如同大樓內(nèi)無處不在的閉路電視錄像監(jiān)控系統(tǒng)，在不影響網(wǎng)絡(luò)性能的倍況下對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)。它采用旁路方式全面?zhèn)陕牼W(wǎng)上信息流，動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)上流過的有數(shù)據(jù)包。通過檢鍘和實(shí)時(shí)分析，及時(shí)甚至提前發(fā)現(xiàn)非法或異常行為，并進(jìn)行響應(yīng)。

　　網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)能夠全天侯進(jìn)行日志記錄和管理，進(jìn)行離線分析．對(duì)特殊事件進(jìn)行智能判斷和回故?？梢杂行У胤乐购蜏p輕網(wǎng)絡(luò)威脅。幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊．?dāng)U展了網(wǎng)絡(luò)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

　　宣鋼企業(yè)有自己的內(nèi)網(wǎng)資源．并且已經(jīng)在防火墻系統(tǒng)上投入了一定的資金．在Internet入口處部署了思科PIX525防火墻來保證網(wǎng)絡(luò)安全．但這樣的網(wǎng)絡(luò)組織往往是”外緊內(nèi)松”．它無法阻止內(nèi)部人員對(duì)同絡(luò)所做的攻擊。對(duì)信息流的控制也缺乏安全性。

　　入侵檢測(cè)系統(tǒng)是對(duì)防火墻有益的補(bǔ)充，如果說防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。因此，在宣鋼內(nèi)部網(wǎng)絡(luò)的主要鏈路上我們應(yīng)該部署一套IDS入侵檢測(cè)系統(tǒng)。

　　1 IDS在宣鋼網(wǎng)絡(luò)中的部署

　　根據(jù)宣鋼的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(見圖1)，我們將IDS掛接在宣鋼內(nèi)部網(wǎng)絡(luò)所有所關(guān)注流量都必須流經(jīng)的鏈路上，用來監(jiān)控東區(qū)、西區(qū)以及辦公樓之間的網(wǎng)絡(luò)情況．同時(shí)對(duì)東區(qū)和辦公樓到Internet的網(wǎng)絡(luò)情況進(jìn)行監(jiān)控，可以實(shí)現(xiàn)全網(wǎng)80％流量的監(jiān)控。(其中辦公摟與西區(qū)及外網(wǎng)進(jìn)行數(shù)據(jù)交換時(shí)數(shù)據(jù)流要經(jīng)過東區(qū)機(jī)房的主交換機(jī))。

圖1 宣鋼網(wǎng)絡(luò)簡(jiǎn)易拓?fù)鋱D

　　入侵檢測(cè)引擎部署在東區(qū)機(jī)房核心交換機(jī)機(jī)柜中，將Monitor(監(jiān)控)端口連接到東區(qū)機(jī)房Cisco交換機(jī)4006的G4/1端口上，將通信端口連接到東區(qū)機(jī)房Cisco交換機(jī)4006的4/27端口上。其中東區(qū)機(jī)房Cisco交換機(jī)4006的G4/1端口(千兆光口)是該交換機(jī)的G1/1(東區(qū)到西區(qū))和Gl/2(東區(qū)到辦公樓)的鏡像端口。控制臺(tái)選用一臺(tái)Dell poweredgel500sc服務(wù)器，IP地址為192.168.39.246，與該交換機(jī)的f4/28口相連。

　　在東區(qū)機(jī)房Cisco交換機(jī)4006上給G4/1配置鏡像的方法如下：

　　monitor session 2 source interface Gil/1—2
　　monitor session 2 destination interface Gi4/1