司鳳山，王晶

（1.安徽財(cái)經(jīng)大學(xué)管理科學(xué)與工程學(xué)院，安徽蚌埠233030，2.蚌埠學(xué)院數(shù)理系，安徽蚌埠233030）

一種運(yùn)用入侵檢測的分布式防火墻系統(tǒng)研究

司鳳山1，王晶2

（1.安徽財(cái)經(jīng)大學(xué)管理科學(xué)與工程學(xué)院，安徽蚌埠233030，2.蚌埠學(xué)院數(shù)理系，安徽蚌埠233030）

針對目前集中式防火墻不能適應(yīng)高速網(wǎng)絡(luò)環(huán)境、無法滿足網(wǎng)絡(luò)流量需求的不足，提出了一種運(yùn)用入侵檢測的分布式防火墻系統(tǒng)模型.該系統(tǒng)可以根據(jù)入侵檢測系統(tǒng)提供的訪問策略，對某些數(shù)據(jù)包實(shí)施阻斷或限制其流量.文中詳細(xì)論述了模型中負(fù)載調(diào)整模塊和狀態(tài)統(tǒng)計(jì)模塊間的通信機(jī)制以及報(bào)文轉(zhuǎn)發(fā)模塊的處理機(jī)制.本系統(tǒng)的提出對網(wǎng)絡(luò)防火墻的設(shè)計(jì)有一定的參考價(jià)值，對解決網(wǎng)絡(luò)安全問題是一個(gè)有益的探索.

入侵檢測系統(tǒng)；分布式防火墻；網(wǎng)絡(luò)安全

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用的不斷深入，各種入侵事件與入侵手法層出不窮，網(wǎng)絡(luò)安全問題日益嚴(yán)重.目前防范網(wǎng)絡(luò)入侵最常用的技術(shù)是防火墻，但由于傳統(tǒng)集中式防火墻暴露出來的不足和弱點(diǎn)，導(dǎo)致網(wǎng)絡(luò)的安全保障技術(shù)相對落后于網(wǎng)絡(luò)攻擊技術(shù)，從而出現(xiàn)防不勝防的尷尬局面.因此，有必要探索新的安全技術(shù)和策略來迎接挑戰(zhàn)，改變原有的安全解決方案.

1 入侵檢測系統(tǒng)與防火墻

入侵檢測系統(tǒng)（Intrusion Detection System，下稱“IDS”）是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全技術(shù).它與其他網(wǎng)絡(luò)安全技術(shù)的不同之處在于，IDS是一種積極主動的安全防護(hù)技術(shù).IDS通過收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被入侵的跡象[1].

防火墻的主要作用是在內(nèi)部網(wǎng)通向外部網(wǎng)的出口處，根據(jù)用戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊.傳統(tǒng)的集中式防火墻只是在網(wǎng)絡(luò)邊界設(shè)置一個(gè)屏障，進(jìn)行網(wǎng)絡(luò)存取控制.它是把內(nèi)部網(wǎng)絡(luò)一端的用戶看成是可信任的，而外部網(wǎng)絡(luò)一端的用戶則都被作為潛在的攻擊者來對待.但隨著網(wǎng)絡(luò)流量的大大增加，防火墻的性能直接影響整個(gè)網(wǎng)絡(luò)的安全性能，因此應(yīng)盡量減輕防火墻負(fù)擔(dān)，實(shí)施負(fù)載均衡策略，構(gòu)建分布式防火墻.

如果把防火墻和IDS的功能有機(jī)地組合在一起，就能夠彌補(bǔ)防火墻自身存在的不足.入侵檢測部分對過往流量進(jìn)行檢測，一旦發(fā)現(xiàn)入侵后不僅發(fā)出報(bào)警，同時(shí)把安全訪問策略傳達(dá)給防火墻，讓它進(jìn)行網(wǎng)絡(luò)訪問的實(shí)時(shí)阻斷.這里采用聯(lián)動接口把防火墻和入侵檢測有機(jī)地結(jié)合在一起，共同提供一個(gè)良好的安全防御系統(tǒng).

正是基于以上思想，提出了一種運(yùn)用IDS的分布式防火墻（Distributed Firewalls）系統(tǒng)模型，該系統(tǒng)采用基于狀態(tài)的包過濾防火墻并輔助少量的應(yīng)用層控制策略，同時(shí)由入侵檢測系統(tǒng)輔助防火墻實(shí)施訪問控制策略，從而達(dá)到安全與性能的折衷.

2 分布式防火墻的集成模型

該分布式防火墻是在屏蔽子網(wǎng)防火墻模型的基礎(chǔ)上進(jìn)行的改造，屏蔽子網(wǎng)防火墻將網(wǎng)絡(luò)劃分為三個(gè)部分：可信子網(wǎng)/工作子網(wǎng)、非軍事區(qū)（DMZ區(qū)）/服務(wù)子網(wǎng)、不可信部分，其配置方式如圖1所示.外部網(wǎng)是不可信部分，可以認(rèn)為是Internet.內(nèi)部子網(wǎng)又叫可信子網(wǎng)或工作子網(wǎng)，內(nèi)部的用戶在這里工作.非軍事區(qū)是一個(gè)服務(wù)子網(wǎng)，所有對外服務(wù)在這里提供，所有內(nèi)部用戶訪問不可信網(wǎng)絡(luò)時(shí)，要經(jīng)過兩層防火墻（路由器和分布式防火墻）訪問控制策略的檢測，所有外部到內(nèi)部可信子網(wǎng)的訪問也要經(jīng)過這兩層控制策略的檢測，這樣可以很好地提高系統(tǒng)的安全性能.其中路由器實(shí)施粗粒度的訪問控制策略，分布式防火墻實(shí)施細(xì)粒度的控制策略[2].

圖1 分布式防火墻的集成模型

為實(shí)現(xiàn)單一系統(tǒng)映像，集群需向外界提供一個(gè)單一的服務(wù)訪問點(diǎn)SAP（Service Access Point），該服務(wù)訪問點(diǎn)通常是前端處理機(jī)或網(wǎng)關(guān)，實(shí)現(xiàn)負(fù)載均衡和地址偽裝等功能.

3 分布式防火墻的體系結(jié)構(gòu)

分布式防火墻的體系結(jié)構(gòu)如圖2所示.系統(tǒng)用前端處理機(jī)實(shí)現(xiàn)集群與外界的單一入口.前端處理機(jī)由負(fù)載調(diào)整模塊、入侵決策與響應(yīng)模塊和報(bào)文轉(zhuǎn)發(fā)模塊組成.分布式防火墻由狀態(tài)統(tǒng)計(jì)模塊、響應(yīng)單元和防火墻模塊組成.各個(gè)防火墻模塊采用iptables防火墻，分布式防火墻系統(tǒng)與入侵檢測系統(tǒng)的聯(lián)動接口由前端處理機(jī)的入侵決策與響應(yīng)模塊實(shí)現(xiàn).

圖2 前端處理機(jī)和分布式防火墻的通信機(jī)制

入侵決策與響應(yīng)模塊接收入侵檢測系統(tǒng)發(fā)來的入侵報(bào)警信息，通過snort2iptables軟件包把入侵檢測規(guī)則轉(zhuǎn)化為防火墻規(guī)則，然后將防火墻規(guī)則發(fā)送給各結(jié)點(diǎn)的響應(yīng)單元.

負(fù)載調(diào)整模塊接收各結(jié)點(diǎn)狀態(tài)統(tǒng)計(jì)模塊發(fā)送的負(fù)載信息，根據(jù)各結(jié)點(diǎn)的負(fù)載情況調(diào)整報(bào)文轉(zhuǎn)發(fā)模塊的轉(zhuǎn)發(fā)策略.

報(bào)文轉(zhuǎn)發(fā)模塊解析路由器發(fā)來的數(shù)據(jù)包，根據(jù)負(fù)載調(diào)整模塊的負(fù)載調(diào)整策略將數(shù)據(jù)包轉(zhuǎn)發(fā)給各分布式防火墻.

3.1 負(fù)載調(diào)整模塊和狀態(tài)統(tǒng)計(jì)模塊間的通信機(jī)制

各分布結(jié)點(diǎn)的防火墻模塊為每個(gè)允許穿過防火墻的會話建立完整的會話狀態(tài)信息.該信息包括每個(gè)連接的協(xié)議號、源IP地址、源端口號、目的IP地址、目的端口號和TCP報(bào)頭中的六個(gè)標(biāo)志位.當(dāng)防火墻模塊允許一條輸入、輸出數(shù)據(jù)流建立Ipv4/Ipv6連接時(shí)，上述信息被登記在狀態(tài)統(tǒng)計(jì)模塊的連接狀態(tài)表中.每當(dāng)防火墻模塊允許建立或撤消一條連接時(shí)，狀態(tài)統(tǒng)計(jì)模塊都將該信息發(fā)送到前端處理機(jī)的負(fù)載調(diào)整模塊，后者對這些狀態(tài)信息進(jìn)行統(tǒng)計(jì)和分析，并以各防火墻的并發(fā)連接數(shù)作為衡量其負(fù)載的參數(shù)，防火墻I的負(fù)載用Li表示.圖3所示是前端處理機(jī)的負(fù)載調(diào)整模塊和各分布結(jié)點(diǎn)的狀態(tài)統(tǒng)計(jì)模塊的通信模型[3].

圖3 負(fù)載調(diào)整模塊和狀態(tài)統(tǒng)計(jì)模塊的通信機(jī)制

3.2 報(bào)文轉(zhuǎn)發(fā)模塊和負(fù)載調(diào)整模塊的處理機(jī)制

數(shù)據(jù)包的連接狀態(tài)監(jiān)控及連接信息對防火墻的安全分析非常有用，而網(wǎng)絡(luò)連接信息可以從數(shù)據(jù)包TCP/IP（IPv6）報(bào)頭獲得.每一個(gè)數(shù)據(jù)包中的包標(biāo)志反映了該包的特性，目前我們只關(guān)心有連接的TCP協(xié)議，TCP報(bào)頭中共有六個(gè)標(biāo)志位，即SYN、ACK、PSH、FIN、URG、RST，其中與連接狀態(tài)有密切關(guān)系的是SYN、ACK和FIN標(biāo)志，TCP通過三次握手在連接雙方之間交換SYN標(biāo)記來建立新連接，并通過FIN或RST標(biāo)志來結(jié)束連接，因此防火墻通過這些標(biāo)記來記錄和更新連接狀態(tài)表.

基于狀態(tài)的包過濾防火墻綜合了數(shù)據(jù)包過濾和代理過濾器技術(shù)的優(yōu)點(diǎn)，是目前分析能力最強(qiáng)的防火墻，本模型各分布結(jié)點(diǎn)采用的iptables防火墻即為這類系統(tǒng)，但iptables目前還不支持分布式結(jié)構(gòu).在分布式環(huán)境中為了將網(wǎng)絡(luò)流量較平均地分配給每個(gè)防火墻，可以采用基于網(wǎng)絡(luò)包的輪轉(zhuǎn)法，即當(dāng)前端處理機(jī)接受到一個(gè)包時(shí)，輪流將包分給相應(yīng)的防火墻，但此算法很可能將同一個(gè)連接的不同IP包分配給不同防火墻，導(dǎo)致防火墻無法有效對TCP流進(jìn)行檢測.為使所有防火墻主機(jī)能夠共同分擔(dān)流量，同時(shí)又能實(shí)現(xiàn)防火墻系統(tǒng)的負(fù)載均衡，傳統(tǒng)的靜態(tài)負(fù)載均衡算法，如循環(huán)算法和加權(quán)循環(huán)算法已不能勝任，為此，本分布式防火墻系統(tǒng)的負(fù)載調(diào)整模塊采用了以TCP流為記數(shù)單位的負(fù)載均衡算法（基于狀態(tài)的防火墻負(fù)載均衡算法）.該算法以通過各分布式防火墻的TCP流數(shù)量作為其負(fù)載，屬于同一TCP流的數(shù)據(jù)包由同一防火墻進(jìn)行檢測.采用本算法的防火墻系統(tǒng)能夠根據(jù)各分布結(jié)點(diǎn)的負(fù)載情況共同分擔(dān)流量，同時(shí)又實(shí)現(xiàn)了基于狀態(tài)的數(shù)據(jù)包過濾[4].

為了實(shí)現(xiàn)各防火墻間的負(fù)載均衡，需要在每個(gè)過濾TCP流的防火墻上配置一個(gè)狀態(tài)統(tǒng)計(jì)模塊，該模塊為前端處理機(jī)的負(fù)載調(diào)整模塊提供各個(gè)防火墻主機(jī)的連接狀態(tài)，而負(fù)載調(diào)整模塊則綜合各分布式結(jié)點(diǎn)的狀態(tài)統(tǒng)計(jì)模塊發(fā)來的數(shù)據(jù)，產(chǎn)生如圖3所示的六元素：（防火墻IP地址、協(xié)議類型、源IP地址、源端口號、目的IP地址、目的端口號），防火墻I的負(fù)載情況用一個(gè)統(tǒng)計(jì)值Li（穿越防火墻I的并發(fā)連接數(shù)）來量化，前端處理機(jī)的報(bào)文轉(zhuǎn)發(fā)模塊根據(jù)六元素表中的源IP地址、源端口號、目的IP地址、目的端口號和數(shù)據(jù)包的TCP標(biāo)志位來確定自己的轉(zhuǎn)發(fā)策略.當(dāng)收到新的連接請求包（SYN標(biāo)志為1的同步包）時(shí)，報(bào)文轉(zhuǎn)發(fā)模塊將該包轉(zhuǎn)發(fā)給負(fù)載Li最小的防火墻I，在以后的處理中，該連接的后續(xù)包也將轉(zhuǎn)發(fā)給防火墻I，當(dāng)收到的包為非連接請求包時(shí)，處理機(jī)將包頭中的相應(yīng)字段與六元素表中（源IP地址、源端口號、目的IP地址、目的端口號）進(jìn)行匹配.若與表中第j條記錄匹配成功，則將數(shù)據(jù)包轉(zhuǎn)發(fā)給第j條記錄中的防火墻IP地址；若匹配不成功，則說明該連接已經(jīng)被防火墻拒絕，因此只需簡單丟棄該包[5].

當(dāng)某臺防火墻的負(fù)載過大時(shí)，也可以考慮實(shí)現(xiàn)負(fù)載的遷移，將某一臺防火墻的負(fù)載轉(zhuǎn)移到另一臺防火墻.遷移的方法是將某臺防火墻上的連接表轉(zhuǎn)移到另一臺防火墻上，然后由防火墻的統(tǒng)計(jì)狀態(tài)模塊通知負(fù)載調(diào)整模塊修改連接狀態(tài)表.這樣，前端處理機(jī)就獲得了更新的連接狀態(tài)表，并將這些連接的后續(xù)包轉(zhuǎn)發(fā)給接收負(fù)載的防火墻.

4 結(jié)束語

安全是相對的，不安全才是絕對的.雖然傳統(tǒng)的防火墻提供了較好的安全防御功能，但還存在一些缺陷.通過分析入侵檢測和防火墻的技術(shù)特點(diǎn)，提出了一種運(yùn)用入侵檢測的分布式防火墻系統(tǒng)模型.

防火墻和IDS技術(shù)的有機(jī)結(jié)合，可以彌補(bǔ)以往防火墻安全防御中的一些不足之處，使網(wǎng)絡(luò)的安全性更穩(wěn)固.但伴隨著高速網(wǎng)絡(luò)，尤其是交換技術(shù)的發(fā)展以及加密信道的數(shù)據(jù)通信，使得通過共享網(wǎng)段采集網(wǎng)絡(luò)數(shù)據(jù)的方法顯得不足，并且巨大的通信量對數(shù)據(jù)分析的實(shí)時(shí)性也提出了新的要求.這都需要對高速網(wǎng)絡(luò)環(huán)境下的安全防御系統(tǒng)作進(jìn)一步的完善和改進(jìn)，如何找出更加合適的解決方法還有待研究.

〔1〕肖竟華,盧娜.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的研究及實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展,2007(2):242-244.

〔2〕Marcin Dobrucki.The Effects of the Transition to IPv6 on Internet Security,Nixu Ltd,December 1999.

〔3〕Uwe Ellermann.IPV6 and Firewalls,SECURICOM-14th International Congress on Computer and Communications Security Protection,June 1996.

〔4〕陳科,李之棠.網(wǎng)絡(luò)入侵檢測系統(tǒng)和防火墻集成的框架模型[J].計(jì)算機(jī)工程與科學(xué),2001（23）.

〔5〕鮮豐,韓宗芳,金海,陳穎.基于集群的分布式微防火墻系統(tǒng)結(jié)構(gòu).華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版),2001（30）.

TP393.08

A

1673-260X（2011）01-0028-03

安徽省高等學(xué)校省級自然科學(xué)研究項(xiàng)目（KJ2009B213）