一種運用入侵檢測的分布式防火墻系統研究

司鳳山，王晶

（1.安徽財經大學管理科學與工程學院，安徽蚌埠233030，2.蚌埠學院數理系，安徽蚌埠233030）

一種運用入侵檢測的分布式防火墻系統研究

司鳳山1，王晶2

（1.安徽財經大學管理科學與工程學院，安徽蚌埠233030，2.蚌埠學院數理系，安徽蚌埠233030）

針對目前集中式防火墻不能適應高速網絡環境、無法滿足網絡流量需求的不足，提出了一種運用入侵檢測的分布式防火墻系統模型.該系統可以根據入侵檢測系統提供的訪問策略，對某些數據包實施阻斷或限制其流量.文中詳細論述了模型中負載調整模塊和狀態統計模塊間的通信機制以及報文轉發模塊的處理機制.本系統的提出對網絡防火墻的設計有一定的參考價值，對解決網絡安全問題是一個有益的探索.

入侵檢測系統；分布式防火墻；網絡安全

隨著網絡技術的發展和應用的不斷深入，各種入侵事件與入侵手法層出不窮，網絡安全問題日益嚴重.目前防范網絡入侵最常用的技術是防火墻，但由于傳統集中式防火墻暴露出來的不足和弱點，導致網絡的安全保障技術相對落后于網絡攻擊技術，從而出現防不勝防的尷尬局面.因此，有必要探索新的安全技術和策略來迎接挑戰，改變原有的安全解決方案.

1 入侵檢測系統與防火墻

入侵檢測系統（Intrusion Detection System，下稱“IDS”）是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全技術.它與其他網絡安全技術的不同之處在于，IDS是一種積極主動的安全防護技術.IDS通過收集和分析計算機網絡或計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被入侵的跡象[1].

防火墻的主要作用是在內部網通向外部網的出口處，根據用戶設定的安全規則，在保護內部網絡安全的前提下，提供內外網絡通訊.傳統的集中式防火墻只是在網絡邊界設置一個屏障，進行網絡存取控制.它是把內部網絡一端的用戶看成是可信任的，而外部網絡一端的用戶則都被作為潛在的攻擊者來對待.但隨著網絡流量的大大增加，防火墻的性能直接影響整個網絡的安全性能，因此應盡量減輕防火墻負擔，實施負載均衡策略，構建分布式防火墻.

如果把防火墻和IDS的功能有機地組合在一起，就能夠彌補防火墻自身存在的不足.入侵檢測部分對過往流量進行檢測，一旦發現入侵后不僅發出報警，同時把安全訪問策略傳達給防火墻，讓它進行網絡訪問的實時阻斷.這里采用聯動接口把防火墻和入侵檢測有機地結合在一起，共同提供一個良好的安全防御系統.

正是基于以上思想，提出了一種運用IDS的分布式防火墻（Distributed Firewalls）系統模型，該系統采用基于狀態的包過濾防火墻并輔助少量的應用層控制策略，同時由入侵檢測系統輔助防火墻實施訪問控制策略，從而達到安全與性能的折衷.

2 分布式防火墻的集成模型

該分布式防火墻是在屏蔽子網防火墻模型的基礎上進行的改造，屏蔽子網防火墻將網絡劃分為三個部分：可信子網/工作子網、非軍事區（DMZ區）/服務子網、不可信部分，其配置方式如圖1所示.外部網是不可信部分，可以認為是Internet.內部子網又叫可信子網或工作子網，內部的用戶在這里工作.非軍事區是一個服務子網，所有對外服務在這里提供，所有內部用戶訪問不可信網絡時，要經過兩層防火墻（路由器和分布式防火墻）訪問控制策略的檢測，所有外部到內部可信子網的訪問也要經過這兩層控制策略的檢測，這樣可以很好地提高系統的安全性能.其中路由器實施粗粒度的訪問控制策略，分布式防火墻實施細粒度的控制策略[2].

圖1 分布式防火墻的集成模型

為實現單一系統映像，集群需向外界提供一個單一的服務訪問點SAP（Service Access Point），該服務訪問點通常是前端處理機或網關，實現負載均衡和地址偽裝等功能.

3 分布式防火墻的體系結構

分布式防火墻的體系結構如圖2所示.系統用前端處理機實現集群與外界的單一入口.前端處理機由負載調整模塊、入侵決策與響應模塊和報文轉發模塊組成.分布式防火墻由狀態統計模塊、響應單元和防火墻模塊組成.各個防火墻模塊采用iptables防火墻，分布式防火墻系統與入侵檢測系統的聯動接口由前端處理機的入侵決策與響應模塊實現.

圖2 前端處理機和分布式防火墻的通信機制

入侵決策與響應模塊接收入侵檢測系統發來的入侵報警信息，通過snort2iptables軟件包把入侵檢測規則轉化為防火墻規則，然后將防火墻規則發送給各結點的響應單元.

負載調整模塊接收各結點狀態統計模塊發送的負載信息，根據各結點的負載情況調整報文轉發模塊的轉發策略.

報文轉發模塊解析路由器發來的數據包，根據負載調整模塊的負載調整策略將數據包轉發給各分布式防火墻.

3.1 負載調整模塊和狀態統計模塊間的通信機制

各分布結點的防火墻模塊為每個允許穿過防火墻的會話建立完整的會話狀態信息.該信息包括每個連接的協議號、源IP地址、源端口號、目的IP地址、目的端口號和TCP報頭中的六個標志位.當防火墻模塊允許一條輸入、輸出數據流建立Ipv4/Ipv6連接時，上述信息被登記在狀態統計模塊的連接狀態表中.每當防火墻模塊允許建立或撤消一條連接時，狀態統計模塊都將該信息發送到前端處理機的負載調整模塊，后者對這些狀態信息進行統計和分析，并以各防火墻的并發連接數作為衡量其負載的參數，防火墻I的負載用Li表示.圖3所示是前端處理機的負載調整模塊和各分布結點的狀態統計模塊的通信模型[3].

圖3 負載調整模塊和狀態統計模塊的通信機制

3.2 報文轉發模塊和負載調整模塊的處理機制

數據包的連接狀態監控及連接信息對防火墻的安全分析非常有用，而網絡連接信息可以從數據包TCP/IP（IPv6）報頭獲得.每一個數據包中的包標志反映了該包的特性，目前我們只關心有連接的TCP協議，TCP報頭中共有六個標志位，即SYN、ACK、PSH、FIN、URG、RST，其中與連接狀態有密切關系的是SYN、ACK和FIN標志，TCP通過三次握手在連接雙方之間交換SYN標記來建立新連接，并通過FIN或RST標志來結束連接，因此防火墻通過這些標記來記錄和更新連接狀態表.

基于狀態的包過濾防火墻綜合了數據包過濾和代理過濾器技術的優點，是目前分析能力最強的防火墻，本模型各分布結點采用的iptables防火墻即為這類系統，但iptables目前還不支持分布式結構.在分布式環境中為了將網絡流量較平均地分配給每個防火墻，可以采用基于網絡包的輪轉法，即當前端處理機接受到一個包時，輪流將包分給相應的防火墻，但此算法很可能將同一個連接的不同IP包分配給不同防火墻，導致防火墻無法有效對TCP流進行檢測.為使所有防火墻主機能夠共同分擔流量，同時又能實現防火墻系統的負載均衡，傳統的靜態負載均衡算法，如循環算法和加權循環算法已不能勝任，為此，本分布式防火墻系統的負載調整模塊采用了以TCP流為記數單位的負載均衡算法（基于狀態的防火墻負載均衡算法）.該算法以通過各分布式防火墻的TCP流數量作為其負載，屬于同一TCP流的數據包由同一防火墻進行檢測.采用本算法的防火墻系統能夠根據各分布結點的負載情況共同分擔流量，同時又實現了基于狀態的數據包過濾[4].

為了實現各防火墻間的負載均衡，需要在每個過濾TCP流的防火墻上配置一個狀態統計模塊，該模塊為前端處理機的負載調整模塊提供各個防火墻主機的連接狀態，而負載調整模塊則綜合各分布式結點的狀態統計模塊發來的數據，產生如圖3所示的六元素：（防火墻IP地址、協議類型、源IP地址、源端口號、目的IP地址、目的端口號），防火墻I的負載情況用一個統計值Li（穿越防火墻I的并發連接數）來量化，前端處理機的報文轉發模塊根據六元素表中的源IP地址、源端口號、目的IP地址、目的端口號和數據包的TCP標志位來確定自己的轉發策略.當收到新的連接請求包（SYN標志為1的同步包）時，報文轉發模塊將該包轉發給負載Li最小的防火墻I，在以后的處理中，該連接的后續包也將轉發給防火墻I，當收到的包為非連接請求包時，處理機將包頭中的相應字段與六元素表中（源IP地址、源端口號、目的IP地址、目的端口號）進行匹配.若與表中第j條記錄匹配成功，則將數據包轉發給第j條記錄中的防火墻IP地址；若匹配不成功，則說明該連接已經被防火墻拒絕，因此只需簡單丟棄該包[5].

當某臺防火墻的負載過大時，也可以考慮實現負載的遷移，將某一臺防火墻的負載轉移到另一臺防火墻.遷移的方法是將某臺防火墻上的連接表轉移到另一臺防火墻上，然后由防火墻的統計狀態模塊通知負載調整模塊修改連接狀態表.這樣，前端處理機就獲得了更新的連接狀態表，并將這些連接的后續包轉發給接收負載的防火墻.

4 結束語

安全是相對的，不安全才是絕對的.雖然傳統的防火墻提供了較好的安全防御功能，但還存在一些缺陷.通過分析入侵檢測和防火墻的技術特點，提出了一種運用入侵檢測的分布式防火墻系統模型.

防火墻和IDS技術的有機結合，可以彌補以往防火墻安全防御中的一些不足之處，使網絡的安全性更穩固.但伴隨著高速網絡，尤其是交換技術的發展以及加密信道的數據通信，使得通過共享網段采集網絡數據的方法顯得不足，并且巨大的通信量對數據分析的實時性也提出了新的要求.這都需要對高速網絡環境下的安全防御系統作進一步的完善和改進，如何找出更加合適的解決方法還有待研究.

〔1〕肖竟華,盧娜.基于網絡的入侵檢測系統的研究及實現[J].計算機技術與發展,2007(2):242-244.

〔2〕Marcin Dobrucki.The Effects of the Transition to IPv6 on Internet Security,Nixu Ltd,December 1999.

〔3〕Uwe Ellermann.IPV6 and Firewalls,SECURICOM-14th International Congress on Computer and Communications Security Protection,June 1996.

〔4〕陳科,李之棠.網絡入侵檢測系統和防火墻集成的框架模型[J].計算機工程與科學,2001（23）.

〔5〕鮮豐,韓宗芳,金海,陳穎.基于集群的分布式微防火墻系統結構.華中科技大學學報(自然科學版),2001（30）.

TP393.08

A

1673-260X（2011）01-0028-03

安徽省高等學校省級自然科學研究項目（KJ2009B213）