基于SNMP的IDS與Firewall聯動機制的研究

鄧瑩

華僑大學廈門工學院計算機科學與工程系 福建 361021

0 引言

近年來，隨著Internet技術的發展，網絡服務日益普及。基于互聯網的視頻會議、在線點播、電子商務等活動都能有效得以實現。人們對互聯網的依賴性日益加強，但與此同時網絡的安全問題也日益突出，如何采取有效安全措施，使網絡免受黑客、病毒和其他不良意圖的攻擊，以確保網絡的安全就顯得格外重要。目前防火墻(Firewall)、被公認為是防止攻擊的主要措施。但是近年來黑客技術呈現出一些新的特點：攻擊過程自動化、攻擊工具智能化、攻擊行為多元化、攻擊組織集團化等。這使得我們通常認為安全級別很高的防火墻也常常顯得無奈。因為黑客技術中已經存在一些完全能夠繞過典型防火墻配置的技術，如 IPP(the Internet Printing Protocol)和WebDAV(Web-based Distributed Authoring and Versioning)。很顯然單一的網絡安全措施無法保障網絡的安全，構建多種網絡安全產品的聯動成為網絡安全技術發展的必然趨勢。基于此筆者研究了基于 SNMP的入侵檢測(IDS)與防火墻(Firewall)的聯動機制，并在校園網環境下進行了實驗仿真。

1 Firewall簡介

防火墻(Firewall)技術是古代中世紀安全設施(城堡周圍挖一條很深的護城河)的現代數字改編版。在現代的網絡環境下，防火墻就是在可信網絡與不可信網絡之間的一個緩沖；也是一個防范從其它網絡發起攻擊的屏障。防火墻通常可以分為：包過濾型防火墻、應用層代理和狀態檢查防火墻。防火墻的基本功能是對網絡通信進行篩選屏蔽以防未經授權的訪問進出計算機網絡。目前，防火墻雖然是公認的保護網絡免遭黑客襲擊的有效手段，但它也存在一些缺陷和不足，主要表現如下：

(1)防范盲點：防火墻對來自內部的安全威脅不具備防范能力；防火墻將檢查點設立在一個“可信子網”的入口處，來自子網內部任何主機的攻擊都將成為該防火墻的盲點；

(2)防火墻很難靈活地控制通過它的信息流：防火墻是嚴格按照管理員定義的過濾規則對進出的數據流實施過濾篩選，自身無法根據實際情況靈活地調整；

(3)配置復雜：內網中待保護的主機或者資源越多，就要設置更多的安全檢查點，即防火墻需要配置更加安全可靠的訪問規則。

2 IDS簡介

入侵檢測系統(Intrusion Detection System，IDS)，用于檢測入侵行為。它通過對以下關鍵信息(安全日志、審計數據、網絡行為、其它網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息)的收集和分析，對網絡或系統中是否存在與安全規則相悖的行為和被攻擊的跡象做出判斷。IDS是一種集檢測、記錄、報警、響應于一體的動態安全技術，屬于一種積極主動的安全防護工具。IDS所采用的技術主要包括兩種：特征檢測(Signature-based detection)和異常檢測(Anomalydetection)。特征檢測是用一種模式來表示入侵活動，旨在檢測入侵者的活動是否與這些模式匹配。異常檢測則是提出一種假設，假設入侵活動有別于正常主體的活動。根據這一假設建立主體正常活動的“活動簡檔”，將當前主體的活動狀況與“活動簡檔”相比較，當發現違反其統計規律時，認為該活動可能是“入侵”行為。顯然，如果能將IDS與防火墻這兩種安全措施聯合起來，將能有效的彌補防火墻的不足，大大提高網絡的安全性。

3 Firewall與IDS聯動

目前，實現IDS和Firewall的聯動一般有三種方式：

(1)嵌入聯動方式：實際上是把IDS和防火墻合成到一起，即在防火墻中嵌入IDS。IDS從流經防火墻的數據流中提取數據包，這些數據包不僅要受到防火墻過濾規則的篩選驗證，還要得到IDS的判斷以確定其是否帶有攻擊性，最終實現真正的實時阻斷。

(2)開放接口聯動方式：即防火墻或者IDS為對方提供一個開放的接口，雙方之間的通信遵循固定的協議格式、警報和傳輸，實現雙方間安全事件的傳輸。目前開放接口是主要的聯動方式，通常由安全廠家提供IDS的開放接口，供各個設計、研發防火墻產品的廠家使用，該方式旨在保障防火墻和入侵檢測系統的性能的前提下，靈活實現雙方之間的交互。

(3)端口映像聯動方式：防火墻將網絡中指定的一部分流量映像到入侵檢測系統，入侵檢測系統在處理完后將最終結果告知防火墻，防火墻修改調整相應的安全策略。

4 聯動實現機制

IETF 的 SNMP(Simple Network Management Protocol)是目前網絡管理中常用的方案，它采用傳統的基于C/S 計算模式。SNMP屬于應用層協議、是TCP／IP協議族的一部分，通過用戶數據報協議(UDP)來操作，隨著TCP／IP成為事實上的協議標準而廣泛被使用。自1988年以來SNMP已有三個主版本，即SNMPv1，SNMPv2和SNMPv3。其中SNMPv2e使用最為廣泛。管理節點、網管站和SNMP Agent共同構成了SNMP模型，其中網管站主要負責網絡計算，它采用了集中式管理模式。SNMP網絡管理結構模型如圖1所示。

圖1 SNMP網絡管理結構模型

圖1中整個模型體系的核心是網管站，通常在網管站中運行的主要是管理進程，管理進程協助網管站與 SNMP Agent(位于管理節點內)之間的通信，包括發送命令、接收應答信號等。構成管理節點的設備范疇較為寬泛，通常包括：路由器、主機、打印機以及任何可以與外界互換狀態信息的設備。為了保障管理節點和網管站之間的通信，管理節點內必須具有運行SNMP Agent的環境，該環境包含一個Local Database，用以保存SNMP Agent的狀態、歷史等信息，以確保SNMP Agent的運行正常。在該模型體系內所有設備都可以使用一組統稱為對象的狀態變量來對其描述，它們都被保存在MIB中，這些變量僅包含狀態，而不包含方法(讀和寫除外)，有別于面向對象中的對象。網管站與SNMP Agent之間的通信采用的是SNMP協議，通過查詢——應答的方式來實現二者間的通信。網管站使用SNMP協議可以方便地查詢、更新 SNMP Agent的本地對象狀態，并且可以通過SNMPGetRequest，GetNextRequest，SetRequest，GetResponse，Trap等操作獲得和設置管理節點的參數值。

基于以上SNMP網絡管理結構模型的特點，我們可以在管理節點中預先設置好 MIB變量來存儲包過濾規則及其他狀態變量，這樣管理節點中的 SNMP Agent能夠直接讀取SNMP命令，再通過加載模塊完成對實際的防火墻狀態的操作。具體編程時可以直接使用管理節點上的SNMP接口，如果管理節點本身不提供SNMP接口，則必須借助SNMP工具包開發。目前網絡上有很多開發SNMP的工具包，最著名的是公開源碼的 NET—SNMP開發包，這些開發包提供Windows和Linux等不同操作系統下的SNMP Agent，大多數只支持 SNMP v1，SNMP v2c(community string-based)，SNMPv2u(user-based)和SNMPv3協議所采用的報文格式。SNMP接口實現后，防火墻就可以通過它與IDS通信了。當黑客從外部入侵網絡時候，首先要經過防火墻，一部分入侵由于違反防火墻的安全規則就被隔離在外，但是可能有一部分入侵會繞過防火墻或者干脆是來自于內部網絡客戶的攻擊會穿過防火墻，這些攻擊盡管僥幸逃脫但仍會受到IDS的盤查，經IDS預處理模塊分檢后，再被送到相應的模塊中做進一步檢測。通過對規則樹的掃描，如果IDS檢測到與規則庫中攻擊特征相符的數據包存在，則立即阻斷來自于該 IP 的訪問請求或者發出警報，并向Firewall發送的SNMP命令通知其添加或修改新的安全規則，Firewall處理完畢后向IDS發出相應的SNMP應答信號、告知IDS防火墻規則的修改是否成功。IDS與Firewall聯動模型如圖2所示。

圖2 IDS與Firewall聯動模型

5 IDS與Firewall的聯動實驗

為了驗證IDS與Firewall聯動對攻擊阻斷的有效性，筆者在校園網實驗室環境下模擬IDS與Firewall聯動模型進行了仿真。實驗采用了銳捷網絡安全系列產品RG-IDS入侵檢測系統與RG-WALL防火墻進行聯動實驗。RG-IDS采用多層分布式體系結構，由五部分程序組件組成：控制臺、EC(事件收集器)、LogServer(數據服務器)、Sensor(傳感器)、報表和查詢工具。RG-IDS采用基于狀態的應用層協議分析技術，極大地提高了檢測效率和準確性。RG-WALL采用銳捷網絡獨創的分類算法(Classification Algorithm)設計，支持擴展的狀態檢測(Stateful Inspection)技術，具備高性能的網絡傳輸功能；同時在啟用動態端口應用程序(如VoIP,H323等)時，可提供強有力的安全信道。

聯動仿真采取在實驗室出口上分別部署了 RG-WALL(RG-WALL設置為透明工作方式)、RG-IDS檢測引擎和RG-IDS控制臺，實驗配置了3部交換機A、B、C，其中交換機B、C均支持端口鏡像功能。通過交換機B的網口2以及交換機C的網口3的流量全部鏡像到交換機A的端口1。主機A模擬入侵者對主機B實施攻擊，RG-IDS檢測引擎負責檢測網絡中的攻擊和惡意流量，然后通過 SSH與RG-WALL通訊，將攻擊源地址、目的地址、源端口、目的端口、協議等信息發送給 RG-WALL，RG-WALL根據這些信息采取相應的阻斷措施，將攻擊阻斷在網絡之外，充分保護網絡安全。RG-IDS與RG-WALL防火墻聯動的拓撲結構如圖3所示。

圖3 RG-IDS與RG-WALL聯動拓撲結構

實驗室各網絡部件的IP地址設定如表1所示。

表1 RG-IDS與RG-WALL聯動實驗IP地址分配表

實驗仿真過程：通過主機 A(入侵者)向主機 B(受害者)發送內容為“Ping You Death！”的ICMP報文，報文被IDS檢測到并將事件的信息通過 SSH發送給 RG-WALL，RG-WALL根據 RG-IDS發送的攻擊事件信息自動生成響應規則，阻斷主機A和B之間通信。效果如圖4所示。

RG-WALL收到 RG-IDS發送的攻擊事件信息后將在安全規則表中寫入過濾規則阻斷主機 A到主機 B的通信，RG-WALL的阻斷規則如圖5所示。

圖5 RG-WALL的阻斷規則表

之后主機A再試圖連接主機B都將返回連接失敗。由以上仿真實驗不難得出結論，網絡采用防火墻與入侵檢測聯動的安全機制，可以很好的彌補防火墻的不足，網絡的安全性在一定程度上得到了改善。

6 結論

網絡采用IDS與Firewall聯動的安全機制對于提升網絡安全性有積極的意義。但是這種機制并非無懈可擊，其中信息傳遞通道的安全性就很關鍵，Firewall與IDS在產品安全策略規則方面還缺乏國際化的統一標準，如何選取時間來平衡Firewall與IDS負載還有待解決。因為安全永遠是相對的。如果某個用戶連續ping服務器十多分鐘，那么IDS又該如何判定用戶行為是惡意攻擊還是無意行為呢？這還需要網絡管理員的主觀判斷以及網絡對安全性的要求來確定如何應對。說到底網絡安全和人、防火墻、IDS等各種安全產品都有著密切的關聯，忽略其中任何一個因素都會給網絡安全造成威脅。

[1]AndrewS.Tanenbaum,潘愛民．Computer Networks Fourth Edition[M].北京:清華大學出版社.2004.

[2]KeithE.Strassberg,Richard J.Gondek,Gary Rollie.Firewalls The Complete Reference[M].北京:機械工業出版社.2003.

[3]Steve Waldbusser.Net-SNMP projcot[EB／OL].http：／www.net-snip.org.2004.

[4]唐勇.基于 SNMP的流量監控系統[J].重慶工商大學學報.2005.

[5]楊家海,任憲坤,王沛瑜.網絡管理原理與實現技術[M].北京:清華大學出版社.2000.

[6]Mark A,Miller PE,晏明峰,譯.用SNMP管理互聯網絡[M].北京:中國水利水電出版社.2001.

[7]Stallings W.胡成松譯.SNMP網絡管理[M].北京:中國電力出版社.2001.

[8]余元輝.基于SNMP協議的NFDS的研究與應用[J].河南大學學報(自然科學版).2008.

[9]黃磊.基于SNMP的網絡安全模塊的研究[J].現代電子技術.2005.