防火墻與入侵檢測結(jié)合的應(yīng)用研究

1、防火墻與入侵檢測結(jié)合的應(yīng)用研究摘要: 防火墻與入侵檢測系統(tǒng)IDS各有優(yōu)缺點(diǎn),本文在認(rèn)真研究了其原理之后，將二者進(jìn)行了細(xì)致深入的比較，在衡量了防火墻與IDS放置的位置后，著重提出了一種將IDS與防火墻結(jié)合互動使用的新理念， 并且設(shè)計了一種針對這種互動的基于校園網(wǎng)的安全模型，對該安全模型的重要組成部分：建立特征庫以及IDS與防火墻的接口設(shè)計進(jìn)行了重點(diǎn)研究。關(guān)鍵詞: 防火墻；校園網(wǎng)；入侵檢測；網(wǎng)絡(luò)安全1 引言隨著計算機(jī)網(wǎng)絡(luò)的飛速發(fā)展和Internet應(yīng)用范圍的不斷擴(kuò)大，人們能夠方便有效地獲取信息資源和與他人交流。但是，由于網(wǎng)絡(luò)協(xié)議本身設(shè)計和實(shí)現(xiàn)上一些不完善的因素，隨之而來的Internet入侵事件也

2、就層出不窮。作為開放網(wǎng)絡(luò)的組成部分，校園網(wǎng)絡(luò)的安全也是不可忽視的。一般來說，校園網(wǎng)己經(jīng)具備的網(wǎng)絡(luò)安全技術(shù)有防火墻、代理服務(wù)器、過濾器、加密、口令驗(yàn)證等等，目前我院所應(yīng)用的很多安全設(shè)備都屬于靜態(tài)安全技術(shù)范疇，如防火墻和系統(tǒng)外殼等外圍保護(hù)設(shè)備。靜態(tài)安全技術(shù)的缺點(diǎn)是需要人工來實(shí)施和維護(hù)，不能主動跟蹤入侵者。而入侵檢測則屬于動態(tài)安全技術(shù)，它能夠主動檢測網(wǎng)絡(luò)的易受攻擊點(diǎn)和安全漏洞，并且通常能夠先于人工探測到危險行為?；谝陨蠁栴}，本文進(jìn)一步比較了入侵檢測技術(shù)為代表的動態(tài)安全技術(shù)和以防火墻為代表的靜態(tài)安全技術(shù)各自的區(qū)別和聯(lián)系，經(jīng)過探究它們的優(yōu)缺點(diǎn)，提出了將動態(tài)技術(shù)與靜態(tài)技術(shù)相結(jié)合的應(yīng)用能夠取長補(bǔ)短，彌補(bǔ)各

3、自的缺點(diǎn)，并結(jié)合校園網(wǎng)的建設(shè)和管理，大膽地在校園網(wǎng)絡(luò)中應(yīng)用IDS與原來的防火墻共同使用，大大提高系統(tǒng)的安全防護(hù)水平，取得了良好的效果。2 相關(guān)理論與技術(shù)2.1 網(wǎng)絡(luò)安全網(wǎng)絡(luò)信息安全的定義有很多種，如國際標(biāo)準(zhǔn)委員會ISO定義為：“為數(shù)據(jù)處理系統(tǒng)采取的技術(shù)和管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改和泄露”。針對網(wǎng)絡(luò)信息安全的相對性，著名的網(wǎng)絡(luò)安全公司安氏也給出了一個通俗的、動態(tài)的定義：網(wǎng)絡(luò)的安全實(shí)際上是理想中的安全策略和實(shí)際的執(zhí)行之間的一個平衡。2.2 防火墻從狹義上來講，防火墻是指在兩個網(wǎng)絡(luò)之間加強(qiáng)訪問控制的一個或一系列網(wǎng)絡(luò)設(shè)備，是安裝了防火墻軟件的主機(jī)、

4、路由器或多機(jī)系統(tǒng)；從廣義上講，防火墻還包括了整個網(wǎng)絡(luò)的安全策略和安全行為，是一整套保障網(wǎng)絡(luò)安全的手段。已有的防火墻系統(tǒng)是一個靜態(tài)的網(wǎng)絡(luò)攻擊防御，同時由于其對新協(xié)議和新服務(wù)的支持不能動態(tài)的擴(kuò)展，所以很難提供個性化的服務(wù)。2.3入侵檢測系統(tǒng) (IDS)入侵檢測可被定義為對計算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識別和響應(yīng)的處理過程，它不僅檢測來自外部的入侵行為，同時也檢測內(nèi)部用戶的未授權(quán)活動。入侵檢測系統(tǒng) (IDS)是從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認(rèn)為是防火墻之后的第二道安全閘門，它作為一種積極主動的安全防護(hù)技術(shù)，

5、從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，對防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動的實(shí)時保護(hù)，從而能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。3 防火墻與入侵檢測在校園網(wǎng)中的應(yīng)用3.1防火墻與IDS的單獨(dú)擺放時的位置3.1.1防火墻位置防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，只有在關(guān)鍵網(wǎng)絡(luò)流量通過防火墻的時候，防火墻才能對此實(shí)行檢查、防護(hù)等功能。因此，在網(wǎng)絡(luò)拓?fù)渖?，防火墻?yīng)當(dāng)處在網(wǎng)絡(luò)的出口處和不同安全等級區(qū)域的結(jié)合點(diǎn)處。這些位置通常位于內(nèi)部網(wǎng)到Internet出口鏈路處；主干交換機(jī)至服務(wù)器區(qū)域工作組交換機(jī)的骨干鏈路上；內(nèi)部網(wǎng)與高安全等級的涉密網(wǎng)的連接點(diǎn)；遠(yuǎn)程撥號服務(wù)器與骨干交換機(jī)或路由器之間。3.1.2入侵檢測

6、位置不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進(jìn)行統(tǒng)計、監(jiān)視的網(wǎng)絡(luò)報文都必須流經(jīng)的鏈路上。IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在：盡可能靠近攻擊源；盡可能靠近受保護(hù)資源。這些位置通常是：·服務(wù)器區(qū)域的交換機(jī)上；·Internet接入路由器之后的第一臺交換機(jī)上；·重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。3.2防火墻與IDS的結(jié)合談到網(wǎng)絡(luò)安全，人們第一個想到的就是防火墻。但隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)日趨復(fù)雜，傳統(tǒng)防火墻所暴露出來的不足和弱點(diǎn)引

7、起了人們對入侵檢測系統(tǒng)(IDS)技術(shù)的研究和開發(fā)。首先，傳統(tǒng)的防火墻在工作時，就像深宅大院雖有高大的院墻，卻不能擋住小老鼠甚至是家賊的偷襲一樣，因?yàn)槿肭终呖梢哉业椒阑饓Ρ澈罂赡艹ㄩ_的后門。其次，防火墻完全不能阻止來自內(nèi)部的襲擊。我們通過調(diào)查發(fā)現(xiàn)，70%的攻擊都將來自于校園網(wǎng)內(nèi)部，對于校園網(wǎng)內(nèi)部個別心懷不滿的教師或?qū)W生來說，防火墻形同虛設(shè)。再者，由于性能的限制，防火墻通常不能提供實(shí)時的入侵檢測能力，對于現(xiàn)在層出不窮的攻擊技術(shù)來說是至關(guān)重要的。第四，防火墻對于病毒也束手無策。因此，以為在 Internet入口處部署防火墻系統(tǒng)就足夠安全的想法是不切實(shí)際的。入侵檢測系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足，

8、為網(wǎng)絡(luò)安全提供實(shí)時的入侵檢測及采取相應(yīng)的防護(hù)手段，如及時記錄證據(jù)用于跟蹤、切斷網(wǎng)絡(luò)連接，執(zhí)行用戶的安全策略等。3.3防火墻與IDS在功能上的互補(bǔ)如前所述防火墻是一個跨接多個物理網(wǎng)段的報文轉(zhuǎn)發(fā)設(shè)備，可以對所有流經(jīng)它的流量進(jìn)行各種各樣最直接的操作處理，如無通告拒絕、ICMP拒絕、轉(zhuǎn)發(fā)通過(可轉(zhuǎn)發(fā)至任何端口)、各層報頭檢查修改、各層報文內(nèi)容檢查修改、鏈路帶寬資源管理、流量統(tǒng)計、訪問日志記錄、協(xié)議轉(zhuǎn)換等。由于網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)不必為它所連接的鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量，所以IDS可以把大部分的系統(tǒng)資源用于對采集報文的分析，這正是IDS最眩目的亮點(diǎn)。IDS可以輕易做到很多有益的工作，如入侵活動報警、不同業(yè)

9、務(wù)類別的網(wǎng)絡(luò)流量統(tǒng)計、網(wǎng)絡(luò)多種流量協(xié)議恢復(fù)（實(shí)時監(jiān)控功能）。IDS高智能的數(shù)據(jù)分析技術(shù)、詳盡的入侵知識描述庫可以提供比防火墻更準(zhǔn)確、更嚴(yán)格、更全面的訪問行為審查功能。綜上所述，它們在功能上可以形成互補(bǔ)關(guān)系。4 防火墻與IDS結(jié)合在校園網(wǎng)中的解決方案4.1設(shè)計思想防火墻與IDS雖然在原理方法手段等方面各不同，他們的目標(biāo)和方向相同，即保護(hù)信息的安全，并且面對的敵人都是相同的，即想非法入侵的黑客們，這為將二者結(jié)合起來應(yīng)用提供了依據(jù)。我們的設(shè)計思想是這樣的，并不是將兩個完整的防火墻系統(tǒng)和入侵檢測系統(tǒng)進(jìn)行的疊加，而是在對二者功能和優(yōu)缺點(diǎn)進(jìn)行仔細(xì)的研究之后，建立一個簡易的入侵檢測系統(tǒng)來輔助現(xiàn)有的防火墻系統(tǒng)

10、，將二者進(jìn)行功能上的互補(bǔ)，IDS的程序設(shè)計上參考了一個非常優(yōu)秀的、有著開放源代碼的入侵檢測系統(tǒng)Snort。這個簡易的入侵檢測系統(tǒng)平時看起來是透明的，通過軟件包的監(jiān)聽(sniffer/logger)獲得網(wǎng)絡(luò)數(shù)據(jù)包，然后增加入侵檢測分析功能，其主要的方法是建立具體的特征庫，基于規(guī)則審計分析，并能夠進(jìn)行包的數(shù)據(jù)內(nèi)容搜索/匹配。目前，能檢測到緩沖區(qū)溢出、端口掃描、等多種攻擊，還具有實(shí)時報警功能。下面將就該系統(tǒng)最重要的兩步，即建立入侵特征庫和入侵檢測與防火墻的接口問題分別進(jìn)行講述。4.2 系統(tǒng)整體模型我們經(jīng)過將基于異常的IDS和基于誤用的IDS系統(tǒng)相比較之后，最后選擇使用基于誤用的入侵檢測系統(tǒng)，不僅因?yàn)?/p>

11、這種方法的誤報警率低，而且對一些已知的常用的攻擊行為特別有效。將IDS與防火墻結(jié)合在校園網(wǎng)中應(yīng)用的整體模型如圖1所示：模式庫匹配防火墻少量鉆入防火墻入侵者網(wǎng) 站 內(nèi) 部網(wǎng) 站 外 部外來入侵者被防火墻擋住的入侵報警圖1 防火墻與IDS結(jié)合的整體模型圖如圖1，當(dāng)有外來入侵者的時候，一部分入侵由于沒有獲得防火墻的信任，首先就被防火墻隔離在外，而另一部分騙過防火墻的攻擊，或者干脆是內(nèi)部攻擊沒經(jīng)過防火墻的，再一次受到了入侵檢測系統(tǒng)的盤查，受到懷疑的數(shù)據(jù)包經(jīng)預(yù)處理模塊分檢后，送到相應(yīng)的模塊里去進(jìn)一步檢查，當(dāng)對規(guī)則樹進(jìn)行掃描后，發(fā)現(xiàn)某些數(shù)據(jù)包與規(guī)則庫中的某些攻擊特征相符，立即切斷這個IP的訪問請求，或者報

12、警。4.3 建立入侵特征庫4.3.1 編寫規(guī)則根據(jù)前面所說的該入侵檢測系統(tǒng)所期望實(shí)現(xiàn)的作用，因此要將一些規(guī)則編寫至特征庫中。規(guī)則模塊包括解析規(guī)則文件、建立規(guī)則語法樹、實(shí)現(xiàn)規(guī)則匹配的算法等。4.3 .2 入侵檢測流程單個數(shù)據(jù)報的檢測流程詳細(xì)的分析如下：首先對收集到的數(shù)據(jù)報進(jìn)行解碼，然后調(diào)用預(yù)處理函數(shù)對解碼后的報文進(jìn)行預(yù)處理，再利用規(guī)則樹對數(shù)據(jù)報進(jìn)行匹配。在規(guī)則樹匹配的過程中，IDS要從上到下依次對規(guī)則樹進(jìn)行判斷，從鏈?zhǔn)住㈡湵淼揭?guī)則頭節(jié)點(diǎn)，一直到規(guī)則選項(xiàng)節(jié)點(diǎn)。基于規(guī)則的模式匹配是入侵檢測系統(tǒng)的核心檢測機(jī)制。入侵檢測流程分成兩大步：第一步是規(guī)則的解析流程，包括從規(guī)則文件中讀取規(guī)則和在內(nèi)存中組織規(guī)則；

13、第二步是使用這些規(guī)則進(jìn)行匹配的入侵流程。4.3.3 規(guī)則匹配流程一個采用模式匹配技術(shù)的IDS在從網(wǎng)絡(luò)中讀取一個數(shù)據(jù)包后大致按照下面方式進(jìn)行攻擊檢測：（1）從數(shù)據(jù)包的第一個字節(jié)開始提取與特征庫中第一個攻擊特征串等長的一組字節(jié)與第一個攻擊特征串比對，如果兩組字節(jié)相同，則視為檢測到一次攻擊;如果兩組字節(jié)不同，則從數(shù)據(jù)包的第二個字節(jié)開始提取與攻擊特征串等長的一組字節(jié)與攻擊特征串比對。（2）接著比對過程重復(fù)進(jìn)行，每次后移一個字節(jié)直到數(shù)據(jù)包的每個字節(jié)都比對完畢，最后將數(shù)據(jù)包與特征庫中下一個攻擊特征串進(jìn)行匹配。（3）重復(fù)進(jìn)行直到匹配成功或者匹配到特征庫中最后一個攻擊特征依然沒有結(jié)果為止，然后整體模型從網(wǎng)絡(luò)中

14、讀取下一個數(shù)據(jù)包進(jìn)行另一次檢測。規(guī)則匹配的過程就是對從網(wǎng)絡(luò)上捕獲的每一條數(shù)據(jù)報文和上面描述的規(guī)則樹進(jìn)行匹配的過程。如果發(fā)現(xiàn)存在一條規(guī)則匹配的報文，就表示檢測到一個攻擊，然后按照規(guī)則指定的行為進(jìn)行處理(如發(fā)送警告等)，如果搜索完所有的規(guī)則都沒有找到匹配的規(guī)則，就表示報文是正常的報文。所有的規(guī)則被組織成規(guī)則樹，然后分類存放在規(guī)則類列表中。總體的檢測過程歸根結(jié)底到對規(guī)則樹進(jìn)行匹配掃描，并找到報文所對應(yīng)的規(guī)則。對規(guī)則樹的匹配過程則是先根據(jù)報文的IP地址和端口號，在規(guī)則頭鏈表中找到相對應(yīng)的規(guī)則頭，找到后再接著匹配此規(guī)則頭附帶的規(guī)則選項(xiàng)鏈表。4.3.4 規(guī)則語法樹的生成IDS采用鏈表的方式構(gòu)建規(guī)則的語法樹

15、，規(guī)則語法所用到的數(shù)據(jù)結(jié)構(gòu)主要都在rules.h文件中，其中最為重要的數(shù)據(jù)結(jié)構(gòu)形式有以下一些：規(guī)則頭函數(shù)指針列表、規(guī)則選項(xiàng)函數(shù)指針列表、響應(yīng)函數(shù)指針列表、規(guī)則選項(xiàng)結(jié)構(gòu)體、IP地址結(jié)構(gòu)體、表頭、規(guī)則列表結(jié)構(gòu)體、變量體等。 由以上的數(shù)據(jù)結(jié)構(gòu)構(gòu)成了整個規(guī)則語法樹，可以說它是IDS的核心數(shù)據(jù)結(jié)構(gòu)，檢測流程就是在遍歷這個樹。4.4 IDS與防火墻的接口通常來說，將實(shí)現(xiàn)入侵檢測系統(tǒng)和防火墻之間的互動一般有兩種方式：一種方式是實(shí)現(xiàn)緊密結(jié)合，即把入侵檢測系統(tǒng)嵌入到防火墻中，即入侵檢測系統(tǒng)的數(shù)據(jù)來源不再來源于數(shù)據(jù)包，而是流經(jīng)防火墻的數(shù)據(jù)流。所有通過的包不僅要接受防火墻的檢測規(guī)則的驗(yàn)證，還要判斷是否是有攻擊，以達(dá)

16、到真正的實(shí)時阻斷。這樣實(shí)際上是把兩個產(chǎn)品合成到一起。但是由于入侵檢測系統(tǒng)本身也是一個很龐大的系統(tǒng)，所以無論從實(shí)施難度上，還是合成后的整體性能上，都會受很大的影響。第二種方式是通過開放接口來實(shí)現(xiàn)互動。即防火墻或者入侵檢測系統(tǒng)開放一個接口供對方使用，雙方按照固定的協(xié)議進(jìn)行通信，完成網(wǎng)絡(luò)安全事件的傳輸。這種方式比較靈活，不影響防火墻和入侵檢測系統(tǒng)的性能。經(jīng)過比較之后，我們認(rèn)為將IDS與防火墻通過開放接口結(jié)合起來實(shí)現(xiàn)互動要比將兩者緊密結(jié)合在一起要好，因?yàn)橄到y(tǒng)越復(fù)雜其自身的安全問題就難以解決。所以選擇將防火墻或者入侵檢測系統(tǒng)開放一個接口供對方使用，雙方按照固定的協(xié)議進(jìn)行通信，完成網(wǎng)絡(luò)安全事件的傳輸。當(dāng)防

17、火墻和入侵檢測系統(tǒng)互動時，所有的數(shù)據(jù)通信是通過認(rèn)證和加密來確保傳輸信息的可靠性和保密性。通信雙方可以事先約定并設(shè)定通信端口，并且相互正確配置對方IP地址，防火墻以服務(wù)器(Server)的模式來運(yùn)行，IDS以客戶端(Client)的模式來運(yùn)行。我們設(shè)計的互動模式原理如圖2所示：入侵檢測系統(tǒng)防火墻驗(yàn)證合法性建立連接如果需要發(fā)送互動信息判斷是否需要互動入侵檢測系統(tǒng)防火墻符合安全標(biāo)準(zhǔn)，阻斷檢 測 到攻 擊圖2 防火墻(Firewall )與入侵檢測系統(tǒng)(IDS)互動的原理圖具體步驟如下：1 初始化通信連接時，一般由IDS向Firewall發(fā)起連接。2. 建立正常連接后，當(dāng)IDS產(chǎn)生需要通知Firewa

18、ll的安全事件時，通過發(fā)送約定格式的數(shù)據(jù)包，來完成向傳遞必要的互動信息。3. Firewall收到互動信息后，可以實(shí)施互動行為，并將結(jié)果(成功與否)以約定格式的數(shù)據(jù)包反饋給IDS。4.5防火墻與IDS結(jié)合的優(yōu)點(diǎn) 防火墻只是一種基于策略的被動防御措施，是一種粗顆粒的防御手段，無法自動調(diào)整策略設(shè)置來阻斷正在進(jìn)行的攻擊，也無法防范基于協(xié)議的攻擊。所以，單靠防火墻是無法實(shí)現(xiàn)良好的安全防護(hù)性能的。IDS能夠?qū)崟r分析校園網(wǎng)外部及校園網(wǎng)內(nèi)部的數(shù)據(jù)通訊信息，分辨入侵企圖，在校園網(wǎng)絡(luò)系統(tǒng)受到危害前以各種方式發(fā)出警報，并且及時對網(wǎng)絡(luò)入侵采取相應(yīng)措施，最大限度保護(hù)校園網(wǎng)系統(tǒng)的安全。但是，單靠入侵檢測系統(tǒng)自身，只能及

19、時發(fā)現(xiàn)攻擊行為，但卻無法阻止和處理。我們將二者結(jié)合起來互動運(yùn)行，防火墻便可通過IDS及時發(fā)現(xiàn)其策略之外的攻擊行為，IDS也可以通過防火墻對來自外部網(wǎng)絡(luò)的攻擊行為進(jìn)行阻斷。IDS與防火墻有效互動就可以實(shí)現(xiàn)一個較為有效的安全防護(hù)體系，可以大大提高整體防護(hù)性能，解決了傳統(tǒng)信息安全技術(shù)的弊端、解決了原先防火墻的粗顆粒防御和檢測系統(tǒng)只發(fā)現(xiàn)難響應(yīng)的問題。防火墻和入侵檢測的模型有以下好處：1)如果能夠足夠迅速檢測到入侵，那么就能確認(rèn)入侵者，并能在破壞發(fā)生或數(shù)據(jù)損壞之前把他驅(qū)逐出系統(tǒng)。即使未能足夠迅速地檢測出入侵并加以阻止，也是越迅速地檢測出入侵，越能減少破壞的危害并能更迅速地加以恢復(fù)。2)高效的檢測系統(tǒng)能夠起到威懾作用，因此也能從一定程度上阻止入侵。3)入侵檢測系統(tǒng)能夠收集有關(guān)入侵技術(shù)的信息。這樣可以用來加強(qiáng)入侵阻止設(shè)施。5 結(jié)束語本文的實(shí)現(xiàn)是基于對于防火墻和入侵檢測系統(tǒng)的深入細(xì)致的研究后所做