入侵檢測技術(shù)和防火墻結(jié)合的網(wǎng)絡(luò)安全探討

1、 俞美玉 陳守文：欽建誠意伯廟楹聯(lián)匾額之解讀入侵檢測技術(shù)和防火墻結(jié)合的網(wǎng)絡(luò)安全探討陳珊 陳哲* 收稿日期：2009-3-9作者簡介：陳珊（1975- ），女，講師，研究方向：計算機科學。（浙江工貿(mào)職業(yè)技術(shù)學院，溫州科技職業(yè)學院，浙江 溫州 325000）摘 要：本文指出了目前校園網(wǎng)絡(luò)安全屏障技術(shù)存在的問題，重點分析了IDS與防火墻結(jié)合互動構(gòu)建校園網(wǎng)絡(luò)安全體系的技術(shù)優(yōu)勢，并對IDS與防火墻的接口設(shè)計進行了分析研究。關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全；入侵檢測中圖文分號：TP309 文獻標識碼：A 文章編號： 16720105（2009）02006105The Discussion of Security

2、Defence Based on IDS and FirewallChen Shan, Chen Zhe(Zhejiang IndustrialTrade Polytechnic, Wenzhou Science and Technology Vocaitional College， Wenzhou Zhejiang 325000)Abstract: This essay points out the problem in current security defence technology of campus network, which focuses on the technology

3、 advantages of combine and interaction of firewall and IDS (Intrusion Detection System) to build 120 campus network security system, and it also analyses and studies the interface design of firewall and IDS. Key Words: Firewall; Network Security; IDS (Intrusion Detection Systems)隨著國際互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，校園網(wǎng)絡(luò)在

4、我們的校園管理、日常教學等方面正扮演著越來越重要的角色，為了保護學校內(nèi)部的機密信息(如人事安排、檔案、在研課題、專利、紀檢報告等)，保證用戶正常訪問，不受網(wǎng)絡(luò)黑客的攻擊，病毒的傳播，校園網(wǎng)必須加筑安全屏障，因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管理人員的一個重要課題。一、目前校園網(wǎng)絡(luò)安全屏障技術(shù)存在的問題一）防火墻技術(shù)的的缺陷防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，它越來越多被地應(yīng)用于校園網(wǎng)的互聯(lián)環(huán)境中。是位于兩個信任程度不同的網(wǎng)絡(luò)之間(如校園網(wǎng)與Internet之間)的軟件或硬件設(shè)備的組合，它對網(wǎng)絡(luò)之間的通信進行控制，通過

5、強制實施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問以達到保護系統(tǒng)安全的目的。但也必須看到，作為一種周邊安全機制，防火墻無法監(jiān)控內(nèi)部網(wǎng)絡(luò)，僅能在應(yīng)用層或網(wǎng)絡(luò)層進行訪問控制，無法保證信息(即通信內(nèi)容)安全，有些安全威脅是防火墻無法防范的，比如很容易通過協(xié)議隧道繞過防火墻，而且無法自動調(diào)整策略設(shè)置來阻斷正在進行的攻擊，也無法防范基于協(xié)議的攻擊。二）入侵檢測技術(shù)入侵檢測系統(tǒng)（IDS）是近十多年發(fā)展起來的新一代安全防范技術(shù)，它通過對計算機網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。這是一種集檢測、記錄、報警、響應(yīng)的動態(tài)安全技術(shù)，不僅能檢測來自外

6、部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動。入侵檢測技術(shù)（IDS）能夠?qū)崟r分析校園網(wǎng)外部及校園網(wǎng)內(nèi)部的數(shù)據(jù)通訊信息，分辨入侵企圖，在校園網(wǎng)絡(luò)系統(tǒng)受到危害之前以各種方式發(fā)出警報，但是入侵檢測系統(tǒng)自身，只能及時發(fā)現(xiàn)攻擊行為，但卻無法阻止和處理。二、入侵檢測（IDS）與防火墻互動運行，實現(xiàn)有效的安全防護體系一個有效的安全體系至少是由防護、檢測、響應(yīng)三部分組成，可以說這3個部分構(gòu)成一個最小的安全體系，3個方面缺一不可。而且這三者之間要實現(xiàn)基于時間的簡單關(guān)系：P>D+R(式中P代表防護手段所需支持的時間，D代表入侵檢測手段發(fā)現(xiàn)入侵行為所需的時間，R代表事件響應(yīng)設(shè)施產(chǎn)生效力所需的時間)才能有效。從

7、這個公式可以知道：如果在入侵者尚未能突破防護設(shè)施的防御時，檢測系統(tǒng)已經(jīng)發(fā)現(xiàn)了這一入侵企圖，且響應(yīng)設(shè)施隨即進、行了有效的處理，那么盡管保護不能百分之百地有效，但只要檢測快速，響應(yīng)及時，在攻擊企圖未能達到目的之前，防護系統(tǒng)能發(fā)現(xiàn)并成功地做出正確響應(yīng)，那整個安全系統(tǒng)作為一個整體，仍是有可能實現(xiàn)有效防御的。這里防護是指防火墻一類防御手段，檢測指入侵檢測手段，響應(yīng)指網(wǎng)絡(luò)系統(tǒng)對檢測手段所發(fā)現(xiàn)的入侵企圖做出的反應(yīng)。這就是說IDS與防火墻有效互動就可以實現(xiàn)一個較為有效的安全防護體系，解決了傳統(tǒng)信息安全技術(shù)的弊端，解決了原先防火墻的粗顆粒防御和檢測系統(tǒng)只發(fā)現(xiàn)難響應(yīng)的問題。所以，讓IDS與防火墻結(jié)合起來互動運行，

8、防火墻便可通過IDS及時發(fā)現(xiàn)其策略之外的攻擊行為，IDS也可以通過防火墻對來自外部網(wǎng)絡(luò)的攻擊行為進行阻斷。這樣就可以大大提高整體防護性能并解決上述問題。其互動邏輯示意圖如圖1所示。 發(fā)現(xiàn)入侵行為，發(fā)阻斷請求 入侵檢測 防火墻 調(diào)整策略，響應(yīng)請求圖1 互動邏輯示意圖在防火墻之后加入入侵檢測的好處有；如果能夠足夠迅速檢測到入侵，那么就能確認入侵者，并能在破壞發(fā)生或數(shù)據(jù)損壞之前把他驅(qū)逐出系統(tǒng)，即使未能足夠迅速地檢測出入侵并加以阻止，也是越迅速地檢測出入侵，越能減少破壞的危害并能夠迅速地加以恢復。高效的檢測系統(tǒng)能夠起到威懾作用，因此也能從一定程度上阻止入侵。入侵檢測系統(tǒng)能夠收集有關(guān)入侵技術(shù)的信息，這樣

9、可以用來加強入侵阻止設(shè)施。三、檢測器設(shè)置的位置選擇分析檢測器設(shè)置的位置選擇入侵檢測可以放在防火墻之外也可以放在防火墻之內(nèi)，圖2所示為將IDS放在防火墻之內(nèi)的設(shè)置 IDS 實驗網(wǎng)站 SERVER Ineranet 防火墻 Ineranet SERVER SERCER SERCER 圖2 IDS防在防火墻之內(nèi)這種結(jié)構(gòu)主要是考慮到防火墻對于內(nèi)部入侵防范能力的弱點，IDS可以檢測出內(nèi)部用戶的異常行為、黑客突破防火墻和系統(tǒng)限制后的非法入侵，但它自身不能控制攻擊，而且自身安全也是一個問題，因此將入侵檢測系統(tǒng)置于防火墻之后，可以利用防火墻的技術(shù)減少負載工作量，外來不合法的信息可以經(jīng)過防火墻首先過濾掉一部分，

10、防火墻對入侵檢測系統(tǒng)本身也是一種保護，同時，對于由外而內(nèi)的入侵，IDS無疑是防火墻的第二道防線，它既面對外部也面對內(nèi)部。另外，如果攻擊者能夠發(fā)現(xiàn)檢測器，就可能會對檢測器進行攻擊，從而減小攻擊者的行動被審計的機會。防火墻內(nèi)的系統(tǒng)會比外面的系統(tǒng)脆弱性少一些，如果檢測器在防火墻內(nèi)就會少一些干擾，從而有可能減小誤報警。如果本應(yīng)該被防火墻封鎖的攻擊滲透進來，檢測器在防火墻內(nèi)檢測到后就能發(fā)現(xiàn)防火墻的設(shè)置失誤。因此，將檢測器放在防火墻內(nèi)部的最大理由就是設(shè)置良好的防火墻能夠阻止大部分“幼稚腳本”的攻擊，使檢測器不用將大部分的注意力分散在這類攻擊上。但在設(shè)計的過程中，并不是將兩個完整的防火墻系統(tǒng)和入侵檢測系統(tǒng)進

11、行簡單的疊加，而是在對二者的功能和優(yōu)缺點進行仔細的研究后，建立一個簡易的入侵檢測系統(tǒng)來輔助現(xiàn)有的防火墻系統(tǒng)，將二者進行功能上的互補。這個簡易的入侵檢測系統(tǒng)通過對軟件包的監(jiān)聽獲得數(shù)據(jù)包，然后基于已經(jīng)建立的特征庫，按照規(guī)則進行審計，并能夠進行包的數(shù)據(jù)內(nèi)容搜索與匹配，從而實現(xiàn)入侵檢測分析功能。如圖3所示， 進入防火墻的入侵者 網(wǎng) 網(wǎng)站 站內(nèi) 外 外來入侵者部 部 防火墻擋住的入侵者模式庫匹配報警防火墻 防圖3 IDS與防火墻結(jié)合當有外來入侵者的時候，一部分入侵由于沒有獲得防火墻的信任，首先就被防火墻隔離在外，而另一部分騙過防火墻的攻擊，或者是不經(jīng)過防火墻的內(nèi)部攻擊，再一次受到了入侵檢測系統(tǒng)的檢測，受

12、到懷疑的數(shù)據(jù)包經(jīng)過預處理后，送到相應(yīng)的模塊去進一步檢查，當對規(guī)則庫進行掃描后，發(fā)現(xiàn)某些數(shù)據(jù)包與規(guī)則庫中的某些攻擊特征相符，立即切斷這個IP的訪問請求或者報警。四、IDS與防火墻的接口互動方式IDS與防火墻的接口目前實現(xiàn)入侵檢測系統(tǒng)和防火墻之間的互動一般有兩種方式：一種方式是實現(xiàn)緊密結(jié)合，把入侵檢測系統(tǒng)嵌入到防火墻中，即入侵檢測系統(tǒng)的數(shù)據(jù)來源不再來源于數(shù)據(jù)包，而是流經(jīng)防火墻的數(shù)據(jù)流。所有通過的包不僅要接受防火墻的檢測規(guī)則的驗證，還要判斷是否是有攻擊，以達到真正的實時阻斷。這樣實際上是把兩個產(chǎn)品合成到一起。但是由于入侵檢測系統(tǒng)本身也是一個很龐大的系統(tǒng)，所以無論從實施難度上，還是合成后的整體性能上，

13、都會受很大的影響。第二種方式是通過開發(fā)接口來實現(xiàn)互動。即防火墻或者入侵檢測系統(tǒng)開放一個接口供對方使用，雙方按照固定的協(xié)議進行通信，完成網(wǎng)絡(luò)安全事件的傳輸。這種方式比較靈活，不影響防火墻和入侵檢測系統(tǒng)的性能。經(jīng)過比較之后，將IDS與防火墻通過開放接口結(jié)合起來實現(xiàn)互動要比將兩者緊密結(jié)合在一起要好，因為系統(tǒng)越復雜其自身的安全問題就難以解決。所以選擇將防火墻或者入侵檢測系統(tǒng)開放一個接口供對方使用，雙方按照固定的協(xié)議進行通信，完成網(wǎng)絡(luò)安全事件的傳輸。當防火墻和入侵檢測系統(tǒng)互動時，所有的數(shù)據(jù)通信是通過認證和加密來確保傳輸信息的可靠性和保密性。通信雙方可以事先約定并設(shè)定通信端口，并且互相正確配置對方IP地址

14、，防火墻以服務(wù)器(Server)的模式來運行，IDS以客戶端(Client)的模式來運行。其互動原理圖如圖4所示。 驗證合法性并建立連接 判斷是否需要互動 如果需要則發(fā)動互動信息入侵檢測系統(tǒng)入侵檢測系統(tǒng) 防火墻 防火墻檢測到攻擊不符合安全標準 阻斷圖4 IDS互動原理圖具體步驟如下：第一步，初始化通信連接時，一般由IDS向Fire-wall發(fā)起連接。第二步，建立正常連接后，當IDS產(chǎn)生需要通知Firewall的安全事件時，通過發(fā)送約定格式的數(shù)據(jù)包，來完成向Firewall傳遞圖4 所示IDS與防火墻結(jié)合必要的互動信息。其中主網(wǎng)站內(nèi)部模式庫匹配進入防火墻的入侵者外來入侵者被防火墻擋住的入侵防火墻報警網(wǎng)站外部預處理插件處理插件輸出插件規(guī)則處理模塊解碼模塊主控模塊輔助模塊日志模塊使用/調(diào)用要的信息包括：源IP地址、目的IP地址、IDS的IP地址、實施阻斷的時間、源端口、目的端口、通信協(xié)議、端阻斷模式(阻斷源、阻斷目的、兩者都阻斷)、是否要求回應(yīng)的標識、其他保留字段。第三步：Firewall收到互