基于防火墻日志的網絡隔離安全審計系統設計與實現

摘要：在當前網絡攻擊方式不斷變化的背景下，新出現的安全隔離技術直接阻斷網絡在鏈路層上的連接，并進行數據交換。日志是網絡安全體系中的重要部分。針對一個網絡隔離系統，討論了日志管理系統的架構、設計實現方法，并在實際中得到應用。

關鍵詞：網絡隔離； 日志審計； 安全隔離與信息交換網閘

中圖分類號：TP309文獻標志碼：A

文章編號：1001－3695(2007)07－0114－03

在當今計算機網絡高度發達的信息化社會，網絡安全越來越受到重視，出現了各種安全措施。日志審計作為一種安全措施也受到關注。通過對日志信息的分析可以達到查找網絡安全隱患，彌補安全漏洞的目的。

安全隔離技術（GAP技術）指通過專用硬件使兩個彼此隔離的網絡進行安全數據交換。該技術逐漸發展并被應用。在實際應用中，針對外網攻擊和系統異常會產生大量日志文件，而傳統的GAP設備一般由內網處理單元、隔離傳輸硬件、外網處理單元三個部分組成，并沒有特別針對日志信息進行處理。如果利用這些日志對其進行分析，并進行嚴密監控，識別入侵和入侵企圖，會大大提高系統的安全性能。

1SGAP系統整體概述

SGAP（安全隔離與信息交換網閘系統）利用先進的安全隔離技術保證了安全、高效、可靠的數據交換，可以與防火墻或其他網絡安全設備無縫地協同工作。它一般部署于信任域與非信任域之間，并且是不同域之間唯一的連接，如圖1所示。

SGAP系統在結構上分為內、外網處理單元和中間的隔離傳輸硬件三個部分。內、外網處理單元均為獨立工作的主機，安裝運行Linux操作系統；隔離傳輸硬件與內、外網服務器之間通信通過USB外部總線連接，傳輸交換數據。隔離傳輸硬件內有一塊CPU，一塊存儲數據用的緩存區域數據池（即一塊移動硬盤）；CPU對通過的擺渡數據進行安全檢查和病毒掃描，這也是與傳統隔離設備的區別之處，在很大程度上提高了系統的安全級別。

隔離硬件保證了內、外網之間在任何時刻都不存在直接的通路；硬件與主機之間用USB進行通信，USB總線的即插即用特性，使硬件設計大大簡化。主機上安裝Linux Red Hat 2．6版本的操作系統，利用其自帶Iptables配置，實現防火墻功能。SGAP系統中的代理功能由位于內網處理單元的代理存根和位于外網單元的代理引擎協同工作完成，檢查應用層數據，不同代理服務的實現與具體的協議內容相關。

防火墻部分日志文件傳輸到專門的日志服務器端，導入數據庫中，便于根據審計分析規則審記日志。

2系統功能要求描述

一個安全系統中的安全審計系統，是對系統中任一或所有安全相關事件進行記錄、分析和再現。對于安全產品，美國已經有一套比較完整的CC（Common Criteria)，如US Government Application Level Firewall Protection Profile for Low Risk Environments，而且國外一些大的網絡安全公司也有其自己的安全指標。這些安全指標的規范化和標準化為網絡安全技術的發展起到了推動作用。

2．1系統架構

日志數據的產生由Linux系統的防火墻模塊實現，并發送到專門的日志服務器。日志服務器接收到防火墻發來的日志信息后，存儲在數據庫中，并通過審計界面來完成審計數據查找、統計等功能。其系統架構如圖2所示。

2．2功能模塊劃分

根據系統功能要求描述，并參考公安部《信息安全技術日志分析產品安全要求檢驗規范》，日志系統設計具有以下功能：①日志收集。只有授權的審計數據源發送的審計信息才能被系統分析處理。②日志分析管理。能對數據源產生的日志進行實時監控，能提供基于時間、源地址、目的地址、協議類型、危險級別等字段的組合查詢；能生成統計報表、支持一個常用的數據庫，對數據進行備份/刪除、導入/導出。③安全功能。保證只有授權管理員和可信主機才有權使用產品的管理功能，具備對授權管理員和可信主機進行身份鑒別的功能。④審計功能。能針對網絡訪問行為和網絡數據包進行審計。

將日志系統分為以下功能模塊：

（1）用戶身份驗證。對登錄用戶進行角色劃分和身份驗證管理，保證系統使用安全。

（2）日志信息管理。接收日志信息模塊，與防火墻進行通信，下載日志信息；日志查詢模塊，對日志信息進行查詢、瀏覽；日志審計模塊，根據審計規則對日志庫中的數據進行審計；日志數據庫管理模塊，對日志信息進行刪除、存儲、備份。

（3）參數設置模塊。對系統中的參數進行設置，如登錄防火墻的口令、網絡參數。

3系統實現

3．1日志格式和數據庫設計

目前日志服務器采用一臺PC機，系統配置為：處理器PentiumⅢ 1．67 GHz，內存1 GB，操作系統Windows Server 2003。內、外網服務器中采用Linux Kernel 2．6版本，內核提供的Iptables防火墻與IP協議棧緊密結合，方便記錄日志。

由于從防火墻傳輸過來的日志文件為文本格式，存儲、檢索、統計均不方便，設計將日志導入數據庫中，提高效率；日志服務器安裝Windows操作系統，選擇使用Access數據庫較為方便。

考慮到詳細存儲所花費的空間較大，且傳輸花費時間較長，日志只記錄一些最主要的信息，如防火墻記載源地址（Source Address）、目的地址（Destination Address）、源端口、目的端口、傳輸協議、TCP標志、數據包長度、字節數及記錄時間。

數據庫表結構設計如表1所示。

3．2日志傳輸與數據導入

完成日志下載，最主要的有：

（1）CPreLog類。它主要定義特定段日志下載的信息。

主要變量說明如下：

{

Cstring m_strDate //最近日志日期

Cstring m_strLocation //最近日志結尾在日志文件中的偏移量

Cstring m_strLocHead //最近日志開頭在日志文件中的偏移量

…}

（2）CLogDownDlg類。它主要負責封裝日志下載的Socket通信類，同時可以顯示下載日志的狀態和封裝網絡通信等。

主要成員變量如下：

{ CLogDownSocket m_socket //CLogDownSocket 類對象

short m_sport //要連接的端口

Cstring m_strIP //要連接的IP

Cstring m_strSend //要發送的數據

…}

（3）CLogDownSocket類。它直接由CAsyncSocket派生，負責日志下載過程中與防火墻通信。

主要成員變量如下：

{ CObArray m_aryLog 

//消息級別與文件名數組，元素類型為CLogLevelToName

CObArray m_aryLogInfo //各元素為CPreLog的數組

CFile m_curFile //當前打開的日志文件

int m_nLogLen //要接收到的日志數據的字節數

int m_nRead //已經接收到的日志字節數

int m_nStatus //狀態

Cstring m_strRecHead //接收到的消息頭

Cstring m_strSend //發送的數據

…}

它的主要成員函數有

ONSend: 由框架調用，通知可以發送數據，根據m_nStatus發送數據。

SendReqCmm: 發送請求下載日志消息頭。

SendReady: 發送ready，通知防火墻客戶端準備好接收日志數據。

SendOk: 發送OK，通知防火墻某級別日志接收完畢，可以開始發送下一個日志。

OnReceive: 由框架調用，處理讀準備好通知消息。

ReceiveHead: 接收日志消息頭。

ReceiveLog: 接收日志數據，并存入相應文件。

3．3數據庫訪問

具體實現中，完成把文本日志導入數據庫的類為CDBClass，主要包括三個函數：

ConnectToDB：初始化ADO.NET并連接數據庫;

CloseToDB：關閉數據庫連接;

ImportToDB：把指定目錄下的日志文件導入數據庫。

考慮到日志數據很多時，導入時間會很長，程序不會響應用戶操作，就像死機一樣，所以設計了一個用戶可以活動的界面，告訴用戶程序正在進行導入數據庫工作。類CAVIDLG實現了這個功能，開啟了一個后臺工作者線程。由這個工作者線程FileToDBThread來生成下面CDBClass類的一個對象，然后使用這個對象來完成數據的導入；函數返回值表示此線程的運行情況。執行數據庫日志查詢和瀏覽的類為CLogShowFrame，由CListView類派生。

3．4用戶身份認證

對使用系統的用戶進行身份認證，是系統安全可靠的前提，也是日志信息長久安全的保障。

系統采用基于角色的認證方式，將用戶分為系統管理員和高級用戶、一般用戶三種角色。系統管理員權限級別最高，可查看、備份、刪除、審計日志，并可增加、刪除、修改一般用戶和高級用戶的信息；高級用戶可以查看、備份、刪除、審計日志；一般用戶只可查看日志。用戶登錄時，身份認證模塊根據用戶輸入的用戶名和密碼，查找其所屬的角色，賦予相應的權限。

3．5日志審計

分析引擎的結構如圖3所示，主要功能是按照規則語言對規則庫中的規則進行解釋，對原始數據進行匹配，包括規則分析和規則匹配兩個步驟。在規則分析過程中，需要刪除重復規則，歸并相似規則。規則庫中的規則針對TCP、UDP、ICMP等協議，由管理人員自行編寫。一般系統采用默認規則進行審計。針對實際應用，規則可增加、刪除、修改，在參數設定模塊完成。分析即把規則庫的規則變成字節符號流，使得規則信息變為可理解的形式，從而根據這些信息進行有目的的獲取。

4結束語

針對安全隔離與信息交換網閘系統中產生的日志文件，本文設計了一個日志管理系統，將日志文件讀取到日志服務器中進行分析審計。它是管理人員查找漏洞和制定安全策略的依據。此系統的應用，進一步提高了該網絡隔離系統的實用性。

該系統還有需要完善的地方，如果能在這些方面進一步研究和改進，則該網絡隔離系統性能會得到進一步提高。概括起來，有如下幾點：

（1）通信及其安全性。在防火墻與日志服務器的日志傳輸過程中，沒有特別的加密措施，在數據傳輸的安全性方面需要加強。

（2）統計分析方法。目前采用的是一般的統計方法。一些新的分析方法，如模糊規則等，還有對于處理海量數據信息，如何提高其效率與準確性，需進一步研究。

（3）規則庫的匹配效率和自適應能力。目前采用的是記錄和規則簡單順序匹配的方法，可以對規則匹配算法優化，并可進一步使規則庫根據管理員對審計報告的評價，動態調整規則的參數。

參考文獻：

[1]ANDERSON J P. Computer security threat monitoring and surveilance[R]. Washington: James P. Anderson Co.，1980.

[2]MSCTC－GFJ－04.信息技術網閘產品安全檢驗規范[S].上海:公安部計算機信息系統安全產品質量監督檢驗中心， 2003.

[3]OGLETREE T W.防火墻原理與實施[M].李之棠，等譯.北京:電子工業出版社，2001.

[4]李建華，潘理.安全隔離與信息交換系統及其在電子政務中的應用研究[J].計算機安全，2003(9):51－54.

[5]鄧智群，劉福，慕德俊，等.網絡隔離體系結構研究[J].計算機應用研究，2005，22(3):219－221.

[6]何鵬舉，王萬誠，李高盈，等.網絡隔離器的設計與實現[J].控制工程，2002，9(6):52－53.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”