摘 要： 隨著網(wǎng)絡技術(shù)的發(fā)展，網(wǎng)絡系統(tǒng)安全性成為用戶關(guān)心的重點問題，網(wǎng)絡用戶數(shù)量大，安全隱患很多，在傳統(tǒng)網(wǎng)絡安全防范中主要依靠防火墻、防病毒以及安全審計等，來保證網(wǎng)絡安全；但是單一產(chǎn)品存在各自缺陷，研究聯(lián)動系統(tǒng)對保證網(wǎng)絡安全有重要價值。為了分析防火墻和IDS聯(lián)動技術(shù)在網(wǎng)絡安全管理中的應用，在分析防火墻和IDS聯(lián)動技術(shù)需求的基礎(chǔ)上，設計并實現(xiàn)防火墻和IDS聯(lián)動系統(tǒng)。測試結(jié)果表明聯(lián)動系統(tǒng)在網(wǎng)絡安全管理中具有實用價值。

關(guān)鍵詞： 防火墻； IDS； 網(wǎng)絡安全； 入侵檢測

中圖分類號： TN915.08?34 文獻標識碼： A 文章編號： 1004?373X（2016）02?0042?03

Effective application of firewall and IDS linkage technology in

network security management

MA Xiaoyu

（Department of Computer， Henan Institute of Engineering， Zhengzhou 451191， China）

Abstract： With the development of network technology， the network security has become the key issue that the users pay more attention to. Traditional network security mainly relies on firewalls， anti?virus and security audit to guarantee the network security， but each single product exists defects. That’s why to study linkage system has an important value to ensure network security and eliminate the security risks. To analyze the application of firewall and IDS interaction technology in network security management， the analysis of firewalls and IDS linkage technology needs to take Fox to design and implement firewalls and IDS linkage system. The test results show that the linkage system has a practical value in the network security management.

Keywords： firewall； IDS； network security； intrusion detection

隨著互聯(lián)網(wǎng)絡高速發(fā)展，網(wǎng)絡使用開啟了新的里程碑，但是伴隨著網(wǎng)絡的發(fā)展，安全問題更加突出[1]；隨著網(wǎng)絡規(guī)模的逐漸擴大，網(wǎng)絡熵上的敏感信息和機密數(shù)據(jù)難免被各類工具攻擊[2]。在中國網(wǎng)絡安全產(chǎn)品中，防火墻是最具有代表性產(chǎn)品之一，能夠根據(jù)內(nèi)網(wǎng)安全需求防止外部攻擊，但是無法主動檢測入侵情況[3]，本文主要分析防火墻和IDS聯(lián)動技術(shù)在網(wǎng)絡安全管理中的應用。

1 防火墻和入侵檢測理論

防火墻是指建立在內(nèi)部網(wǎng)絡與其他網(wǎng)絡的屏障之上，避免其他網(wǎng)絡的供給，是網(wǎng)絡安全第一道防線。防火墻主要功能包括訪問控制、防止外部供給、身份認證等，目前主要包括包過濾防火墻、應用代理防火墻以及狀態(tài)檢測防火墻等。防火墻能夠解決網(wǎng)絡上的部分安全問題，但是并不是萬能的，其對內(nèi)部用戶缺乏防范能力，無法阻止內(nèi)部供給，在處理病毒方面嚴重不足，安全防范范圍比較狹窄，另外防火墻本身也存在安全漏洞。入侵檢測技術(shù)能夠降低入侵帶來的危害，從開始提出，已經(jīng)發(fā)展到目前的IDS系統(tǒng)[4]，包括數(shù)據(jù)收集、檢測器以及控制器部分。目前入侵檢測技術(shù)也存在很多不足，存在較高的誤報率和漏報率，檢驗時間較長[5]，未形成統(tǒng)一的IDS評價標準，缺乏響應措施。

2 防火墻和IDS聯(lián)動技術(shù)需求分析

網(wǎng)絡面臨的安全形勢比較發(fā)雜，目前所采用的安全防范措施包括硬件防火墻、防病毒軟件等，但是網(wǎng)絡內(nèi)部容易傳播病毒，導致網(wǎng)絡成為其他的攻擊目標，現(xiàn)有安全防范措施無法滿足需求。在網(wǎng)絡安全管理中，單單依靠防火墻或IDS系統(tǒng)無法保證安全，而聯(lián)合使用能夠提高系統(tǒng)安全性[6]。依照防火墻和IDS的特點，以聯(lián)動為目的，設計聯(lián)動系統(tǒng)，包括防火墻模塊、聯(lián)動模塊以及管理控制模塊等，如圖1所示。其中：聯(lián)動模塊主要是發(fā)現(xiàn)入侵事件，啟動模塊，基本處理后，交給決策模塊；進一步分析，提交響應策略模塊，編碼策略信息，提交防火墻模塊，生成動態(tài)阻斷事件。

圖1 系統(tǒng)功能結(jié)構(gòu)圖

3 防火墻和IDS聯(lián)動系統(tǒng)設計與實現(xiàn)

防火墻和IDS聯(lián)動系統(tǒng)不是簡單的疊加，而是充分利用兩者優(yōu)勢，形成互補。利用IDS開放源代碼和Snort系統(tǒng)，監(jiān)聽網(wǎng)絡中的數(shù)據(jù)；然后在監(jiān)聽基礎(chǔ)上，建立具體時間分析特征庫，分析數(shù)據(jù)功能，在安全通信方面，實現(xiàn)信息的交換和數(shù)據(jù)的安全傳輸，同時能夠?qū)徲嫲l(fā)生的事件。通信機制如圖2所示。

圖2 聯(lián)動通信機制

在防火墻和IDS聯(lián)動技術(shù)中，重點實現(xiàn)不同操作系統(tǒng)的通信，支持擴展、認證和加密功能，保證網(wǎng)絡環(huán)境的可靠性，兼顧傳輸性能和實時性。

3.1 聯(lián)動模塊設計與實現(xiàn)

聯(lián)動模塊是系統(tǒng)核心部分，在設計中，保證正常通信，同時保證通信安全性和數(shù)據(jù)傳輸?shù)挠行?，因此采用?shù)據(jù)編碼、數(shù)據(jù)加密等措施。采用Stunnel軟件，提供全局TLS/SSL服務，客戶端數(shù)據(jù)加密，傳輸?shù)椒掌鬟M行還原。

客戶端設置在系統(tǒng)主機中，形成C/S聯(lián)動安全框架，入侵檢測部分在5300端口設置報警程序，監(jiān)聽防火墻1234端口，客戶端同時能夠監(jiān)聽5300端口。為了保證入侵檢測和防火墻模塊之間數(shù)據(jù)傳輸?shù)陌踩?，利用生成證實方法，配置方法為：openssl genrsa?des3?out server.key 1024。聯(lián)動模塊在接收告警信息后，需要正確判斷這類信息，并利用檢測模塊分析入侵事件，有針對性地執(zhí)行相應策略。

根據(jù)防火墻動態(tài)規(guī)則設置方法，從告警類型、攻擊通信協(xié)議類型、攻擊來源方面評估攻擊威脅，對攻擊頻率、時間等進行分級，制定策略失效，聯(lián)動模塊相應決策流程為攻擊告警→是否存在威脅（是）→威脅等級評估→n級威脅→相應策略庫→策略輸出。聯(lián)動模塊響應策略控制中，設計聯(lián)動模塊發(fā)送給防火墻信息擱置，利用XML數(shù)據(jù)進行格式交換，采用封鎖特定IP特定端口流量阻斷，阻斷時間1 h。為保證通信安全性，利用Stunnel進行通信，防治身份欺詐，同時能夠進行SSL加密處理。

利用Snort軟件來實現(xiàn)入侵檢測模塊，通過數(shù)據(jù)鏈路層分析和處理數(shù)據(jù)包，判斷潛在的入侵行為，有針對性的做出響應。在入侵檢測過程中，不斷比對數(shù)據(jù)庫特征和檢測系統(tǒng)數(shù)據(jù)包，發(fā)現(xiàn)存在數(shù)據(jù)匹配，表明存在入侵行為，引導系統(tǒng)做出響應，基本框架流程如圖3所示。

圖3 基本框架圖

3.2 入侵檢測模塊設計與實現(xiàn)

入侵檢測模塊可以分為分組捕捉器、解碼器、入侵事件、輸出系統(tǒng)等部分。由于網(wǎng)絡中可能包括多種擦做系統(tǒng)，因此需要具有監(jiān)聽過濾器，設計采用libcap函數(shù)庫，實現(xiàn)監(jiān)聽，在本聯(lián)動系統(tǒng)平臺上安裝函數(shù)庫，提供一致的接口。從鏈路層獲取解碼器原始信息，生成網(wǎng)絡協(xié)議數(shù)據(jù)結(jié)構(gòu)，根據(jù)OSI模型從下往上進行解碼。

為了保證攻擊事件能夠準確識別，需要描述大部分攻擊事件。普通規(guī)則包括規(guī)則頭端和選擇部分，根據(jù)實際情況選擇不同的規(guī)則，不同規(guī)則采用分號隔開。

3.3 控制管理模塊設計與實現(xiàn)

控制管理模塊主要進行信息配置的讀/寫、審計以及人工控制等，運作流程為開始→初始化建立Socket連接→讀取客戶端信息→分析客戶端命令→客戶端關(guān)閉連接→結(jié)束。

在防火墻工作中會產(chǎn)生大量日志，長時間可能影響系統(tǒng)運行，設計通過緩存設備應用、過濾以及日志隊列方式實現(xiàn)日志系統(tǒng)控制，采用共享內(nèi)存結(jié)構(gòu)struct shin street實現(xiàn)。

4 結(jié) 語

對系統(tǒng)運行措施，防火墻用Linux系統(tǒng)配置，采用Snort入侵檢測系統(tǒng)，攻擊軟件模擬采用NMAP6.4，捕捉和分析聯(lián)動系統(tǒng)啟動后的數(shù)據(jù)，觀察聯(lián)動系統(tǒng)工作情況。利用攻擊進行掃描攻擊測試，利用主機發(fā)動攻擊。測試結(jié)果表明，主機受到攻擊，檢測到TCP掃描，將警告發(fā)送到中心主機，得到告警日志，聯(lián)動中心將事件給防火墻，按照要求生成相應規(guī)則，防火墻阻斷向主機攻擊數(shù)據(jù)，測試結(jié)果總結(jié)見表1所示，設計系統(tǒng)能夠有效攔截多種攻擊行為，適應性和實用性都很好。

表1 測試結(jié)果表

參考文獻

[1] 楊靜.校園網(wǎng)安全策略：IDS與防火墻聯(lián)動[J].電腦知識與技術(shù)，2014，10（11）：2520?2522.

[2] 姚東鈮.分布式蜜罐技術(shù)在網(wǎng)絡安全中的應用[J].電子測試，2014（15）：134?136.

[3] 彭沙沙，張紅梅，卞東亮.計算機網(wǎng)絡安全分析研究[J].現(xiàn)代電子技術(shù)，2012，35（4）：109?112.

[4] 胡穎群.基于Linux平臺防止IP欺騙的SYN攻擊防火墻的設計與實現(xiàn)[J].計算機測量與控制，2013（7）：1880?1881.

[5] 左偉志.防火墻與IDS聯(lián)動在校園網(wǎng)部署的研究與應用[D].長沙：湖南大學，2014.

[6] 吳凱.探討網(wǎng)絡安全技術(shù)中防火墻和IDS聯(lián)動的應用分析[J].網(wǎng)絡安全技術(shù)與應用，2014（1）：31.