IDS与防火墙联动就看NAP

文：NetEye网络安全专家 曹斌博士

　　今年，NetEye在发布网络安全新产品的同时，向业界发布了以安全产品联动为目的的NAP协议，以协议的形式来规范的诠释“联动”。针对目前的“联动”雷声大、雨点小的现状，希望以协议这种公共语言来推动安全产品间的联合行动，从而让“联动”能真正地动起来，最终给用户带来真正的好处。

　　※“联动”需要公共语言

　　“联动”目前是网络安全界中的一个很时髦的概念，虽然已经有三四年的历史，但是到目前为止，还远远没有得到充分的发展。联动本质上是安全产品之间一种信息互通的机制，它的理论基础是：安全事件的意义不是局部的，将安全事件及时通告给相关的安全系统，有助于从全局范围评估安全事件的威胁，并在适当的位置采取动作。它应该不仅局限于防火墙与入侵检测之间，还应该涉及很多其他的安全部件，如报警与审计系统、需要安全保护的主机系统、业务系统，甚至网络设备等等，只要在某个节点发生了安全事件，无论是一个简单系统捕捉到的原始事件，还是一些具有分析能力的系“判断”出来的，它都可能需要将这个事件通过某种机制传递给相关的系统。因“联动”是安全产品间实现互操作的的一种表现，它需要的也是一种“公共语言”作为基础，即一种使产品间互相传递信息的协议。


联动系统示意图
??这种协议不应该也不需要以某个商业联盟为依托，否则很难保证它是完全开放的。而现在产业中现有的商业联盟往往以某个厂家为核心，其他厂家的产品在一些半公开的SDK的支持下实现与核心厂家的某个产品实现互联。用户很容易发现，在这样的联盟中往往不会存在与发起者有竞争关系的产品。这种状况使得联动技术在实际使用中并没有得到很好的发展，以“联动”的名义建立起的商业联盟反使业内形成了若干个孤岛，“联动”无法发展成为泛支持的产品特性。而现有产品之间的联动缺少实际效果的验证，大多数有联动功能的产品停留在仅仅是“有联动功能”这样的程度，而很多用户也没有在其实际的系统中使用联动的功能。出现这样问题的原因，一方面是由于用户可选择的空间比较少，另一方面，由于对于商业联盟缺少长远的信心，很多厂家在联动技术方面并没有投入多少研发力量。

　　任何一项技术，从概念的提出到充分发展，需要很多的厂家进行投入和创新，而这个前提就是有一个完全开放的基础。联动技术恰恰缺少这样一个开放的基础，缺少一个完全对等的开放的联动协议。这样的协议的实现要足够简单、有效；它对于安全信息要有充分的描述能力；同时它能够允许扩展，并且当协议发展时，它可以很容易地实现对老系统的兼容。

　　※ 协议是沟通的公共语言

　　当存在一个需要多个系统互动的应用的时候，必然会存在一个或一组协议来确保多个系统间存在互操作的基础。协议是多个系统间互相沟通的“公共语言”，没有这种公共语言的存在，广泛的互操作性就不可能。

　　让我们看一看历史上的例子。例如著名的TCP/IP就是一组协议，它们构成了现在网络互联的基础，可以说，没有TCP/IP就没有Internet的今天。TCP/IP是开放的，所以，如果你需要把你的局域网与其他的网络连接起来，你需要一个实现了IP协议的路由器，它可以来自Cisco、3Com，也可以来自华为、港湾，这些设备只要配置正确，都可以互相通信，因为他们都实现了标准的IP协议。也正是由于这个协议的存在，各个厂家都清楚如何与其他厂家的设备“交流”，厂家之间不需要为了能够实现互通而达成商业上的同盟，或进行共同开发测试，或者非得由某个厂家提供SDK之类的开发工具，他们需要的只是一个开放的协议，于是路由器市场欣欣向荣，各种优秀的产品层出不穷。

　　类似的例子有很多。我们每天都在使用的网络信息系统没有一个不是依赖于这些公开的协议而存在，没有一个不是因为这些公开的协议而得到了充分的发展。对于需要互联的系统来说，有一个公开的协议至关重要，而且足够了。

　　※ NAP协议让联动动起来

　　正是因为有了以上的想法，因此，东软才做了这样一个第一个“吃螃蟹的人”，提出了NAP（Network Alert Protocol）协议，它是一种完全开放的协议，描述协议的文本完全公开。因此任何需要实现联动的产品，无论是IDS还是防火墙，或是其他的安全产品，都可以按照该协议文本实现对该协议的支持。按照该协议开发的产品，无论是不是东软的产品，都可以实现相互间的联动。

　　NAP采用TCP作为传输手段，采用简单可靠的认证和加密方法，可以保证系统间通信的可靠性和安全性。NAP中传输的安全事件是使用XML进行描述的，由于XML是一种非常强的描述性文法，因此可以传递非常丰富的信息。同时基于XML的系统可以很容易扩展，并保持向后兼容。NAP协议的正式文档可以在东软网络安全网站上下载（https://neteye.neusoft.com）。

　　目前，NAP是业界第一个完全公开的实现安全产品间互联的协议，它将成为联动技术充分发展的一个重要基础。东软新发布的NetEye防火墙3.2和网络入侵检测系统NetEye IDS 2.1已经能够很好地支持NAP协议实现互动。以后，东软还会继续发展支持NAP协议的产品，如网络审计中心等。任何网络安全的厂家都可以在自己的产品上增加对NAP的支持，他们不需要得到东软的授权，公开的协议文档中包含了实现NAP所必需的一切技术细节，因此，这些厂家甚至不需要得到东软的技术支持。东软也会提供针对NAP的SDK，以使其他厂家的产品可以更快速地实现对NAP的支持，这些开发工具也都是NAP的标准实现，并可以免费使用。需要明确的是，协议并不是技术的全部，它只是创造了一个更有利于技术发展的环境，所以它不会很快改变联动技术“好听不好用”的现实。但是，一个有机互动的智能的安全体系无论对于用户还是厂家来说，都是一个有足够吸引力的梦想。相信不久的将来，当支持NAP这样的公开协议成为大多数产品的缺省配置时，这样的梦想会成为现实。

　　※ 点 评

　　联动技术的诞生，的确给了用户一种“眼前一亮”的感觉。但是，“好听不好用”的确是目前联动的应用现状。显然，这种现状是发起它的人们所不愿看到的。缺乏一种大家都认可的沟通语言应该说是联动应用路上的一个最大的拦路虎。作为一种公共语言，协议自然是铲除这种拦路虎的有效手段。因为，任何一种技术能够发扬光大，都离不开这样一种手段。有关这个事实的实例可以说俯拾皆是。协议的诞生是需要有领头者的，主流厂商自然当仁不让，东软现在已经挺身而出，是否还会有其他的厂商来加入这个“协议”队伍，我们还需要拭目以待。第一个吃螃蟹的人当然是勇士，不过，勇士不一定就是成功者，即使是联动协议，NAP也不一定就得到最终的广泛认可。不过，这种“协议思路”应该是值得借鉴联动方式。


* NetEye推出的NAP协议，得到各大IT及安全类媒体的关注，见下：

??－－2003年5月26日版《中国计算机报》.总第1218期.网络与通信版 C20
文章题目：“IDS与防火墙联动就看NAP”。网址：http://www.ciw.com.cn/media/ciw/1218/c2001.htm

??－－《中国计算机报》.总第1206期.网络与通信版 P3?文章题目：“服务要开4S店 东软防火墙、IDS新品在稳定性上做文章”网址：http://www.ciw.com.cn/media/ciw/1206/c0301.htm