防火墻和IDS聯動技術在網絡安全管理中的有效應用

摘 要： 隨著網絡技術的發展，網絡系統安全性成為用戶關心的重點問題，網絡用戶數量大，安全隱患很多，在傳統網絡安全防范中主要依靠防火墻、防病毒以及安全審計等，來保證網絡安全；但是單一產品存在各自缺陷，研究聯動系統對保證網絡安全有重要價值。為了分析防火墻和IDS聯動技術在網絡安全管理中的應用，在分析防火墻和IDS聯動技術需求的基礎上，設計并實現防火墻和IDS聯動系統。測試結果表明聯動系統在網絡安全管理中具有實用價值。

關鍵詞： 防火墻； IDS； 網絡安全； 入侵檢測

中圖分類號： TN915.08?34 文獻標識碼： A 文章編號： 1004?373X（2016）02?0042?03

Effective application of firewall and IDS linkage technology in

network security management

MA Xiaoyu

（Department of Computer， Henan Institute of Engineering， Zhengzhou 451191， China）

Abstract： With the development of network technology， the network security has become the key issue that the users pay more attention to. Traditional network security mainly relies on firewalls， anti?virus and security audit to guarantee the network security， but each single product exists defects. That’s why to study linkage system has an important value to ensure network security and eliminate the security risks. To analyze the application of firewall and IDS interaction technology in network security management， the analysis of firewalls and IDS linkage technology needs to take Fox to design and implement firewalls and IDS linkage system. The test results show that the linkage system has a practical value in the network security management.

Keywords： firewall； IDS； network security； intrusion detection

隨著互聯網絡高速發展，網絡使用開啟了新的里程碑，但是伴隨著網絡的發展，安全問題更加突出[1]；隨著網絡規模的逐漸擴大，網絡熵上的敏感信息和機密數據難免被各類工具攻擊[2]。在中國網絡安全產品中，防火墻是最具有代表性產品之一，能夠根據內網安全需求防止外部攻擊，但是無法主動檢測入侵情況[3]，本文主要分析防火墻和IDS聯動技術在網絡安全管理中的應用。

1 防火墻和入侵檢測理論

防火墻是指建立在內部網絡與其他網絡的屏障之上，避免其他網絡的供給，是網絡安全第一道防線。防火墻主要功能包括訪問控制、防止外部供給、身份認證等，目前主要包括包過濾防火墻、應用代理防火墻以及狀態檢測防火墻等。防火墻能夠解決網絡上的部分安全問題，但是并不是萬能的，其對內部用戶缺乏防范能力，無法阻止內部供給，在處理病毒方面嚴重不足，安全防范范圍比較狹窄，另外防火墻本身也存在安全漏洞。入侵檢測技術能夠降低入侵帶來的危害，從開始提出，已經發展到目前的IDS系統[4]，包括數據收集、檢測器以及控制器部分。目前入侵檢測技術也存在很多不足，存在較高的誤報率和漏報率，檢驗時間較長[5]，未形成統一的IDS評價標準，缺乏響應措施。

2 防火墻和IDS聯動技術需求分析

網絡面臨的安全形勢比較發雜，目前所采用的安全防范措施包括硬件防火墻、防病毒軟件等，但是網絡內部容易傳播病毒，導致網絡成為其他的攻擊目標，現有安全防范措施無法滿足需求。在網絡安全管理中，單單依靠防火墻或IDS系統無法保證安全，而聯合使用能夠提高系統安全性[6]。依照防火墻和IDS的特點，以聯動為目的，設計聯動系統，包括防火墻模塊、聯動模塊以及管理控制模塊等，如圖1所示。其中：聯動模塊主要是發現入侵事件，啟動模塊，基本處理后，交給決策模塊；進一步分析，提交響應策略模塊，編碼策略信息，提交防火墻模塊，生成動態阻斷事件。

圖1 系統功能結構圖

3 防火墻和IDS聯動系統設計與實現

防火墻和IDS聯動系統不是簡單的疊加，而是充分利用兩者優勢，形成互補。利用IDS開放源代碼和Snort系統，監聽網絡中的數據；然后在監聽基礎上，建立具體時間分析特征庫，分析數據功能，在安全通信方面，實現信息的交換和數據的安全傳輸，同時能夠審計發生的事件。通信機制如圖2所示。

圖2 聯動通信機制

在防火墻和IDS聯動技術中，重點實現不同操作系統的通信，支持擴展、認證和加密功能，保證網絡環境的可靠性，兼顧傳輸性能和實時性。

3.1 聯動模塊設計與實現

聯動模塊是系統核心部分，在設計中，保證正常通信，同時保證通信安全性和數據傳輸的有效性，因此采用數據編碼、數據加密等措施。采用Stunnel軟件，提供全局TLS/SSL服務，客戶端數據加密，傳輸到服務器進行還原。

客戶端設置在系統主機中，形成C/S聯動安全框架，入侵檢測部分在5300端口設置報警程序，監聽防火墻1234端口，客戶端同時能夠監聽5300端口。為了保證入侵檢測和防火墻模塊之間數據傳輸的安全性，利用生成證實方法，配置方法為：openssl genrsa?des3?out server.key 1024。聯動模塊在接收告警信息后，需要正確判斷這類信息，并利用檢測模塊分析入侵事件，有針對性地執行相應策略。

根據防火墻動態規則設置方法，從告警類型、攻擊通信協議類型、攻擊來源方面評估攻擊威脅，對攻擊頻率、時間等進行分級，制定策略失效，聯動模塊相應決策流程為攻擊告警→是否存在威脅（是）→威脅等級評估→n級威脅→相應策略庫→策略輸出。聯動模塊響應策略控制中，設計聯動模塊發送給防火墻信息擱置，利用XML數據進行格式交換，采用封鎖特定IP特定端口流量阻斷，阻斷時間1 h。為保證通信安全性，利用Stunnel進行通信，防治身份欺詐，同時能夠進行SSL加密處理。

利用Snort軟件來實現入侵檢測模塊，通過數據鏈路層分析和處理數據包，判斷潛在的入侵行為，有針對性的做出響應。在入侵檢測過程中，不斷比對數據庫特征和檢測系統數據包，發現存在數據匹配，表明存在入侵行為，引導系統做出響應，基本框架流程如圖3所示。

圖3 基本框架圖

3.2 入侵檢測模塊設計與實現

入侵檢測模塊可以分為分組捕捉器、解碼器、入侵事件、輸出系統等部分。由于網絡中可能包括多種擦做系統，因此需要具有監聽過濾器，設計采用libcap函數庫，實現監聽，在本聯動系統平臺上安裝函數庫，提供一致的接口。從鏈路層獲取解碼器原始信息，生成網絡協議數據結構，根據OSI模型從下往上進行解碼。

為了保證攻擊事件能夠準確識別，需要描述大部分攻擊事件。普通規則包括規則頭端和選擇部分，根據實際情況選擇不同的規則，不同規則采用分號隔開。

3.3 控制管理模塊設計與實現

控制管理模塊主要進行信息配置的讀/寫、審計以及人工控制等，運作流程為開始→初始化建立Socket連接→讀取客戶端信息→分析客戶端命令→客戶端關閉連接→結束。

在防火墻工作中會產生大量日志，長時間可能影響系統運行，設計通過緩存設備應用、過濾以及日志隊列方式實現日志系統控制，采用共享內存結構struct shin street實現。

4 結 語

對系統運行措施，防火墻用Linux系統配置，采用Snort入侵檢測系統，攻擊軟件模擬采用NMAP6.4，捕捉和分析聯動系統啟動后的數據，觀察聯動系統工作情況。利用攻擊進行掃描攻擊測試，利用主機發動攻擊。測試結果表明，主機受到攻擊，檢測到TCP掃描，將警告發送到中心主機，得到告警日志，聯動中心將事件給防火墻，按照要求生成相應規則，防火墻阻斷向主機攻擊數據，測試結果總結見表1所示，設計系統能夠有效攔截多種攻擊行為，適應性和實用性都很好。

表1 測試結果表

參考文獻

[1] 楊靜.校園網安全策略：IDS與防火墻聯動[J].電腦知識與技術，2014，10（11）：2520?2522.

[2] 姚東鈮.分布式蜜罐技術在網絡安全中的應用[J].電子測試，2014（15）：134?136.

[3] 彭沙沙，張紅梅，卞東亮.計算機網絡安全分析研究[J].現代電子技術，2012，35（4）：109?112.

[4] 胡穎群.基于Linux平臺防止IP欺騙的SYN攻擊防火墻的設計與實現[J].計算機測量與控制，2013（7）：1880?1881.

[5] 左偉志.防火墻與IDS聯動在校園網部署的研究與應用[D].長沙：湖南大學，2014.

[6] 吳凱.探討網絡安全技術中防火墻和IDS聯動的應用分析[J].網絡安全技術與應用，2014（1）：31.