王伍柒 汪靜 丁曉梅

摘要：網(wǎng)絡(luò)安全防護應(yīng)當(dāng)采取一種積極、主動、動態(tài)的防護措施，該文通過防火墻與入侵檢測系統(tǒng)的聯(lián)動機制，充分發(fā)揮各自的優(yōu)長之處，增強網(wǎng)絡(luò)安全整體防御能力，探索構(gòu)建網(wǎng)絡(luò)安全立體防護新技術(shù)。

關(guān)鍵詞：防火墻；入侵檢測系統(tǒng)；拒絕服務(wù)攻擊；聯(lián)動機制

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2014）22-5201-03

1 網(wǎng)絡(luò)安全現(xiàn)狀

計算機網(wǎng)絡(luò)技術(shù)推動人類文明和社會進步的同時，帶來的安全問題也日益嚴(yán)重。網(wǎng)絡(luò)安全風(fēng)險既有網(wǎng)絡(luò)技術(shù)不完善的因素，也有來自于社會的因素。

目前廣泛使用的IPv4協(xié)議缺乏安全性的機制，不能對網(wǎng)絡(luò)數(shù)據(jù)包加密，數(shù)據(jù)的完整性、源或目的地址真實性缺乏有效的驗證機制，網(wǎng)絡(luò)協(xié)議的缺陷為網(wǎng)絡(luò)攻擊者提供了入侵的可能。計算機系統(tǒng)存在諸多的安全漏洞，是網(wǎng)絡(luò)系統(tǒng)脆弱性（vulnerability）的外在表，根本原因是人類認(rèn)識自然和改造世界過程中自身能力的限制。

隨著計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，通過網(wǎng)絡(luò)傳輸重要數(shù)據(jù)或存儲在網(wǎng)絡(luò)結(jié)點中機密信息越來越豐富，如何獲取這些信息和數(shù)據(jù)成為網(wǎng)絡(luò)入侵者趨之若鶩的根本原因，尤其的互聯(lián)網(wǎng)中實時監(jiān)控，防止受到內(nèi)網(wǎng)和外網(wǎng)的攻擊，成為各國網(wǎng)絡(luò)安全防護的近切需要。目前，傳統(tǒng)的網(wǎng)絡(luò)安全防護技術(shù)并沒有有效阻止網(wǎng)絡(luò)攻擊，近期美國“棱鏡門”竊聽丑聞一次次的刺痛全球的神精。

2 網(wǎng)絡(luò)安全威脅的類型

網(wǎng)絡(luò)安全威脅有來自網(wǎng)絡(luò)操作系統(tǒng)和各種應(yīng)用軟件的漏洞，網(wǎng)絡(luò)協(xié)議的不完善，人為的攻擊和管理上的缺失等。

1） 破壞可用性的攻擊

主要包括利用網(wǎng)絡(luò)協(xié)議不足以及和應(yīng)用軟件弱點發(fā)起的網(wǎng)絡(luò)攻擊，如將攻擊信息分散到IPv4協(xié)議分片的數(shù)據(jù)包中，使包過濾防火墻誤認(rèn)為是合法的數(shù)據(jù)包；通過SQL注入式攻擊使信息系統(tǒng)拒絕合法的數(shù)據(jù)服務(wù)請求等。

2） 非法獲取控制權(quán)或使用權(quán)

網(wǎng)絡(luò)攻擊者利用系統(tǒng)漏洞，非法竊取用戶權(quán)限后，刪除或篡改用戶文件，假冒合法用戶竊取機密信息，發(fā)動拒絕服務(wù)攻擊，監(jiān)聽合法網(wǎng)絡(luò)用戶的一舉一動。

3） 利用惡意軟件發(fā)起的間接攻擊

此類攻擊具有隱蔽性好不易被發(fā)現(xiàn)的特點，且大都自動傳播，速度快，范圍廣，危害更大，近年來成為網(wǎng)絡(luò)入侵的主要形式。惡意軟件的類型五花八門，其中具有代表性的軟件有計算機病毒、蠕蟲、特洛伊木馬等。

4） 來自內(nèi)網(wǎng)的安全威脅

根據(jù)調(diào)查表明，當(dāng)前網(wǎng)絡(luò)安全威脅70%以上來自網(wǎng)絡(luò)內(nèi)部。內(nèi)網(wǎng)的安全威脅產(chǎn)生的原因很多，如單位管理制度混亂造成網(wǎng)絡(luò)資源濫用、對內(nèi)網(wǎng)安全管理環(huán)節(jié)不夠重視及制度執(zhí)行不嚴(yán)、個別員工的惡意行為、內(nèi)部用戶的誤操作、內(nèi)部網(wǎng)絡(luò)使用人員的安全意識淡泊等。

3 傳統(tǒng)的網(wǎng)絡(luò)安全防護技術(shù)

防火墻作為被動的防范技術(shù)能有效阻止來自外網(wǎng)的入侵和攻擊，是目前企事業(yè)單位中應(yīng)用最為廣泛的網(wǎng)絡(luò)安全防護技術(shù)，但是隨著網(wǎng)絡(luò)攻擊手段的多樣性攻擊技術(shù)的復(fù)雜性，單一的防火墻防護技術(shù)顯得十分單薄。

1） 防火墻位于網(wǎng)絡(luò)的邊界，只能對來自網(wǎng)絡(luò)的攻擊作出響應(yīng)，無法阻止來自內(nèi)部網(wǎng)絡(luò)的攻擊，如內(nèi)部人員機密信息的泄漏。

2） 防火墻的過濾規(guī)則是網(wǎng)絡(luò)管理者預(yù)先設(shè)定好的，不能對信息過濾規(guī)則進行動態(tài)的調(diào)整，靈活性較差。如果過濾規(guī)則定義得過于嚴(yán)格，網(wǎng)絡(luò)的互通性產(chǎn)生較大的影響；規(guī)則定義過于寬松，則對網(wǎng)絡(luò)攻擊行為或攻擊事件又不能有效地法檢測，因此，防火墻缺乏動態(tài)自我調(diào)整性，是一種被動靜目地網(wǎng)絡(luò)安全防御措施。

3） 防火墻缺乏日志審記功能，對復(fù)雜的網(wǎng)絡(luò)攻擊行為不能有效地調(diào)查取證，無法威懾網(wǎng)絡(luò)罪犯行為，例如Ddos攻擊。

入侵檢測是對潛在的有預(yù)謀的未經(jīng)授權(quán)的訪問信息、操作信息的監(jiān)視，以及對系統(tǒng)不可靠、不穩(wěn)定或無法使用的企圖的監(jiān)視。入侵檢測是新一代的安全保障技術(shù)，是對安全保護采取的是一種積極、主動的防御策略。一旦發(fā)現(xiàn)訪問者對系統(tǒng)進行非法的操作，入侵檢測系統(tǒng)就會向系統(tǒng)管理員發(fā)出警報，或者自動截斷與入侵者的連接，確保被保護信息系統(tǒng)安全、正常、持續(xù)的運行。

入侵檢測系統(tǒng)（Intrusion Detection System，IDS）是指入侵檢測的軟件與硬件的組合，它是一種積極主動的網(wǎng)絡(luò)安全防護措施，能夠?qū)崟r捕獲流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包，并對其進行入侵分析和檢測，當(dāng)發(fā)現(xiàn)可能存在的安全威脅時，即時發(fā)出報警信息，或主動切斷與攻擊源的連接。如果將防火墻和入侵檢測系統(tǒng)實現(xiàn)聯(lián)動，那么網(wǎng)絡(luò)系統(tǒng)的安全性就大大提高了，但是兩者聯(lián)動機制實現(xiàn)的應(yīng)用研究，目前國內(nèi)還比較少。

4 防火墻與入侵檢測系統(tǒng)聯(lián)動的實現(xiàn)

防火墻不識別網(wǎng)絡(luò)流量，只要經(jīng)過合法通道的網(wǎng)絡(luò)攻擊，都不能有效的識別；入侵檢測系統(tǒng)自身極易受到拒絕服務(wù)攻擊，在網(wǎng)絡(luò)阻塞時性能下降較為突出，而且入侵檢測系統(tǒng)對攻擊的抵抗控制力不強，對攻擊源的處理方式較為單一。若兩者實現(xiàn)聯(lián)動，不但可以克服各自的不足，而且提高網(wǎng)絡(luò)防護的能力，防火墻側(cè)重于訪問控制，入侵檢測系統(tǒng)側(cè)重于主動發(fā)現(xiàn)入侵信息。

防火墻與入侵檢測系統(tǒng)相結(jié)合，能夠使網(wǎng)絡(luò)受到攻擊的危害大大降低。當(dāng)攻擊者對受保護網(wǎng)絡(luò)發(fā)動攻擊時，入侵檢測系統(tǒng)通過數(shù)據(jù)采集單元，獲取流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包，調(diào)用入侵檢測引擎對這些數(shù)據(jù)包進行分析，如果檢測到存在入侵攻擊行為或可疑連接等異常事件時，入侵檢測系統(tǒng)通過與防火墻之間的內(nèi)部通信機制，將受到攻擊的異常事件通知報文發(fā)送到防火墻，再由防火墻驗證后生成動態(tài)規(guī)則，防火墻以默認(rèn)拒絕的工作方式實現(xiàn)對攻擊行為的控制和阻斷。

聯(lián)動控制機制是基于C/S網(wǎng)絡(luò)計算模式，防火墻端駐留Server程序，入侵檢測系統(tǒng)駐留Client程序，如果入侵檢測系統(tǒng)端發(fā)現(xiàn)需要防火墻阻斷的攻擊行為后，入侵檢測系統(tǒng)產(chǎn)生控制信息后，再發(fā)送至防火墻的，由防火墻動態(tài)生成過濾規(guī)則，這樣防火墻就變被動為主動地攔截網(wǎng)絡(luò)攻擊。聯(lián)動機制還設(shè)置了系統(tǒng)計時器，如果防火墻添加的規(guī)則超時，那么超時的規(guī)則將自動刪除。

1） 控制信息生成模塊

防火墻嚴(yán)格地按照訪問控制規(guī)則進行匹配，過濾非法數(shù)據(jù)包。每條訪問控制規(guī)則包括源和目的地址、相應(yīng)的端口號，協(xié)類的類型，執(zhí)行允許還是拒絕的行為等。如果實現(xiàn)與入侵檢測系統(tǒng)聯(lián)動，則入侵檢測系統(tǒng)將接收到的入侵檢測告警信息進行整理，生成統(tǒng)一格式的控制信息。控制信息可以根據(jù)系統(tǒng)保密性的要求進行加密處理，發(fā)送至防火墻，為防火墻生成控制規(guī)則提供數(shù)據(jù)來源，入侵檢測系統(tǒng)也可以根據(jù)其檢測結(jié)果，直接生成防火墻所能識別的控制規(guī)則。

安全聯(lián)動策略并不是一檢測到入侵攻擊就生成控制規(guī)則，而是按照以下步驟進行處理：

① 對攻擊行為分類

網(wǎng)絡(luò)中受到的攻擊的危害程度，可簡單劃分為高危攻擊、中等程度的攻擊和一般程度的攻擊。安全聯(lián)動策略只對系統(tǒng)受到高危程度攻擊時才設(shè)置為聯(lián)動，對于危害不是很嚴(yán)重的一般程度攻擊通過防火墻或入侵檢測系統(tǒng)獨立處理即可。聯(lián)動策略對受到的攻擊危害程度設(shè)定過低，可能會使系統(tǒng)的誤報率大幅度的提高。

② 設(shè)置阻斷時間及阻斷方式

入侵檢測系統(tǒng)生成的告警信息要求簡明額要，不能對網(wǎng)絡(luò)帶寬產(chǎn)生較大的影響，同時又要實現(xiàn)兩者的安全聯(lián)動的目的。所以聯(lián)動的策略不但要定義“危險”的級別，而且要定義“對網(wǎng)絡(luò)影響的程度”。

例如，入侵檢測系統(tǒng)提取出來的控制信息如下：

202.103.68.117/檢測到的源IP地址/

202.103.68.117/檢測到的源IP地址/

3624/源端檢測到的連接端口號/

8080/目的端檢測到的連接端口號/http/協(xié)議類型/

4/定義危險程度的級別/

3/定義該攻擊對網(wǎng)絡(luò)影響的程度/

560/設(shè)置規(guī)則的生存期/

以上格式信息中，其中time表示規(guī)則生存期，超時將刪除該規(guī)則。這樣，就可以在防火墻中動態(tài)的設(shè)置規(guī)則，規(guī)則的格式為“l(fā)evel*scoPe*time*”形式。

2） 通信模塊

聯(lián)動機制的通信模塊采用開放聯(lián)動接口來實現(xiàn)，通信雙方可以事先約定并正確配置對方IP地址，設(shè)定通信端口，防火墻運行服務(wù)器端程序，入侵檢測系統(tǒng)則運行客戶端模程序。具體聯(lián)動方式的實現(xiàn)：在入侵檢測系統(tǒng)中配置網(wǎng)絡(luò)安全策略，定義入侵行為或入侵攻擊的危險等級和危害程度，當(dāng)危險等級和危害程度達(dá)到或超過系統(tǒng)設(shè)定的閾值時，入侵檢測系統(tǒng)立即向防火墻發(fā)起連接請求，防火墻將根據(jù)上報的告警信息生成訪問控制規(guī)則，并做出最終的響應(yīng)。

3） 防火墻動態(tài)規(guī)則處理模塊

聯(lián)動機制是入侵檢測系統(tǒng)發(fā)出控制信息到防火墻，并由防火墻確認(rèn)身份認(rèn)證后才能正常受理，不能完成身份認(rèn)證的報文將直接丟棄，而且，控制信息在傳輸過程中還須以密文發(fā)送。防火墻端在生成動態(tài)規(guī)則時，將為每一條規(guī)則設(shè)置一個生存期，當(dāng)該規(guī)則超時末匹配時，將自動刪除。設(shè)置規(guī)則生存期的是為了減輕防火墻的負(fù)擔(dān)，避免防火墻成為網(wǎng)絡(luò)的瓶頸。

防火墻規(guī)則設(shè)置如下：

① 確保防火墻優(yōu)先檢查動態(tài)規(guī)則鏈，并自動刪除超時的規(guī)則。

② 當(dāng)動態(tài)規(guī)則鏈中的規(guī)則超過上限，此時又有新的規(guī)則加入時，那么距離超時最近的舊規(guī)則將被新的規(guī)則所替換。

③ 采用多線程技術(shù)進行規(guī)則匹配，提高檢測效率。

4） 規(guī)則的審計分析模塊

防火墻詳細(xì)的記錄添加其中的動態(tài)規(guī)則，及時掌握過濾規(guī)則阻止的訪問條目，分析其中可疑或試圖攻擊的規(guī)則。規(guī)則記錄雖然需要更多的存儲空間，但對網(wǎng)絡(luò)入侵行為的審計分析是十分有必要的，同理，便于為網(wǎng)絡(luò)安全管理者以后的日志分析，為入侵行為提供證據(jù)。

5） 聯(lián)動策略的改進

防火墻與入侵檢測系統(tǒng)聯(lián)動可使網(wǎng)絡(luò)系統(tǒng)防護由靜態(tài)上升到動態(tài)，由被動防護上升為主動防護，提升了防火墻的機動性，使系統(tǒng)整體防護能力得到很大的提升。但是，當(dāng)前的入侵檢測系統(tǒng)還有進一步的改進措施，兩者的聯(lián)動機制，還需要注意以下幾個問題：

① 入侵檢測系統(tǒng)自我完善的過程，網(wǎng)絡(luò)攻擊的隱蔽性，復(fù)雜性需要入侵檢測系統(tǒng)規(guī)則特征的不斷完善，提高入侵攻擊行為或攻擊事件匹配的準(zhǔn)確性，降低系統(tǒng)的漏報率和誤報率。

② 入侵檢測系統(tǒng)應(yīng)根據(jù)數(shù)據(jù)包的協(xié)議類型抓包、檢測，提高系統(tǒng)檢測的速度，使其能夠適應(yīng)現(xiàn)代高速網(wǎng)絡(luò)帶寬的要求。

③ 需要對兩者聯(lián)動的策略進一步細(xì)化處理。例如，動態(tài)規(guī)則策略的優(yōu)化，聯(lián)動系統(tǒng)的協(xié)同機制等。

④ 聯(lián)動機制如何進行任務(wù)的分配，負(fù)載的均衡。例如，入侵檢測系統(tǒng)和防火墻產(chǎn)生的告警分析處理工作分配網(wǎng)絡(luò)中其他主機完成，以避免過量的告警信息影響防火墻的處理性能。

5 結(jié)束語

防火墻和入侵檢測系統(tǒng)都是網(wǎng)絡(luò)安全防護技術(shù)實現(xiàn)的基本措施，防火墻是由網(wǎng)絡(luò)管理者預(yù)先設(shè)置的訪問控制規(guī)則，以默認(rèn)拒絕的工作方式防止來自外網(wǎng)絡(luò)的攻擊；入侵檢測系統(tǒng)對網(wǎng)絡(luò)監(jiān)控的范圍進一步擴大，不僅可以防止外網(wǎng)的攻擊，也可以防止來自內(nèi)網(wǎng)的攻擊、內(nèi)網(wǎng)機密信息的泄露和用戶的誤操作等，相對防火墻來說，入侵檢測系統(tǒng)擴大了網(wǎng)絡(luò)管理者的管理范圍，如果將入侵檢測系統(tǒng)和防火墻實現(xiàn)聯(lián)動，那么網(wǎng)絡(luò)安全防護就可以得到進一步的加固，而且聯(lián)動機制在局域網(wǎng)環(huán)境中較易實現(xiàn)，因此，入侵檢測系統(tǒng)和防火墻聯(lián)動機制市場前景廣闊。

參考文獻：

[1] 王健. 網(wǎng)絡(luò)安全防護技術(shù)的研究與實現(xiàn)[D].成都：四川大學(xué)，2004.

[2] 劉善文，鄭海新，劉健宏，等.網(wǎng)絡(luò)安全立體防護體系的構(gòu)建[J].計算機安全，2009（10）.