入侵防御系統(tǒng)與交換機設備聯(lián)動方案的設計思考

李順　張麗華　王斌　吳曉清

摘 要：入侵防御系統(tǒng)因設計及位置的特點，導致其安全入侵響應能力存在一定限制，為搭建更為嚴密、完善的網(wǎng)絡安全防御系統(tǒng)，本文提出將入侵防御系統(tǒng)與交換機設備聯(lián)動的防護方案，介紹聯(lián)動技術特點，并給出聯(lián)動方案的具體設計流程，以供借鑒參考。

關鍵詞：聯(lián)動技術;入侵防御系統(tǒng);交換機

引言：

隨著網(wǎng)絡在生產(chǎn)、生活中的應用進一步加深，網(wǎng)絡安全問題成為社會關注的重點。目前常見的計算機網(wǎng)絡安全防護技術有入侵防御系統(tǒng)、防火墻、殺毒軟件等。而網(wǎng)絡技術、信息技術的升級也使得網(wǎng)絡安全環(huán)境變得更為復雜，單一安全防御技術能夠發(fā)揮的保護作用還遠遠不夠，此時就需要借助聯(lián)動技術，將多種安全防御技術相結(jié)合，各自發(fā)揮優(yōu)勢確保網(wǎng)絡安全。

1聯(lián)動技術

聯(lián)動技術即將兩種及以上網(wǎng)絡安全防護設備或技術結(jié)合使用，使得各類安全設備和技術安全防御性能相互補充，形成安全防護網(wǎng)絡，以更好應對各類網(wǎng)絡入侵及攻擊。從聯(lián)動技術的實質(zhì)上講，安全設備及技術間的聯(lián)動是一種信息交換機制，目前較常見的聯(lián)動模式為入侵防御系統(tǒng)與防火墻的聯(lián)動，可同時彌補防火墻入侵檢測有效范圍有限及入侵防御系統(tǒng)不具備處理和防御功能的不足。

基于以上聯(lián)動模式，本文提出入侵防御系統(tǒng)與交換機設備的聯(lián)動，以便在防火墻規(guī)則被禁用時，利用交換機ACL對服務器行為做有效約束，進而確保服務器及內(nèi)網(wǎng)安全。

2入侵防御系統(tǒng)與交換機設備聯(lián)動方案

2.1入侵檢測模塊

選用Snort輕量級入侵檢測軟件，該軟件的優(yōu)點為可適用于多種操作環(huán)境，提供跨平臺開發(fā)功能，因此能夠為后期安全防御系統(tǒng)拓展升級提供便利。注意該入侵檢測軟件需在嗅探工具的輔助下使用，如sniffer，使用嗅探工具順利捕獲網(wǎng)絡中的數(shù)據(jù)包，對其進行分析驗證，以檢測是否存在網(wǎng)絡攻擊或其他異常。另外，Snort入侵檢測軟件配置功能強大的規(guī)則庫，其中含有多種類型的入侵檢測規(guī)則，能夠確保入侵防御系統(tǒng)與交換機設備聯(lián)動安全防護的主動性。

基于以上理論，入侵檢測系統(tǒng)分為入侵檢測、嗅探器和記錄器三部分，由嗅探器完成網(wǎng)絡數(shù)據(jù)包的捕獲，然后在入侵檢測單元進行數(shù)據(jù)包與規(guī)則庫數(shù)據(jù)的對比，分析是否存在入侵風險。由于該入侵檢測軟件使用開源架構，因此可通過程序調(diào)整進行網(wǎng)絡底層訪問，捕獲、分析數(shù)據(jù)包以得到最終的設置規(guī)則，對規(guī)則庫中內(nèi)容做動態(tài)化更新，以提高入侵檢測的靈敏度和適用廣度。

2.2交換機ACL配置

本文研究的聯(lián)動方案使用S2928G-24P型號交換機，進行網(wǎng)絡鏈接分析，完成交換機ACL配置，并命名為for_http，該ACL的內(nèi)容有：（1）定義擴展訪問控制列表，命名為for_http。（2）設置源地址：WWW_SERVER_IP，源端口：TCP80，目標地址：任意數(shù)據(jù)包轉(zhuǎn)發(fā)，主要向開放服務器提供服務。（3）設置源地址：WWW_SERVER_IP，源端口：TCP 21，目標地址：管理主機的IP數(shù)據(jù)包轉(zhuǎn)發(fā)，開啟開放服務器FTP服務的命令通道。（4）設置源地址：WWW_SERVER_IP，源端口：TCP 20001-20010，目標地址：管理主機的IP數(shù)據(jù)包轉(zhuǎn)發(fā)，以開啟FTP服務的被動數(shù)據(jù)通道。（5）設置源地址：WWW_SERVER_IP，源端口：TCP 20，目標地址：管理主機IP數(shù)據(jù)包轉(zhuǎn)發(fā)，以開啟FTP服務的主動數(shù)據(jù)通道。（6）設置源地址：WWW_SERVER_IP，源端口：TCP 3389，目標地址：管理主機IP數(shù)據(jù)包轉(zhuǎn)發(fā)，以搭建主機與服務器間的訪問通道。（7）設置源地址：WWW_SERVER_IP，目標地址：病毒庫的升級服務器IP，目標端口：TCP 80數(shù)據(jù)包轉(zhuǎn)發(fā)，保證病毒庫的實時更新。（8）設置源地址：WWW_SERVER_IP，目標地址：DMS_SERVER_IP，目標端口：UDP 53的數(shù)據(jù)包轉(zhuǎn)發(fā)，確保服務器可完成域名解析。（9）設置源地址：WWW_SERVER_IP，目標地址：NTP_SERVER_IP，目標端口：UDP 123的數(shù)據(jù)包轉(zhuǎn)發(fā)，使服務器進行定期更新。（10）禁止數(shù)據(jù)包轉(zhuǎn)發(fā)行為，除以上提到的數(shù)據(jù)包外，丟棄其余IP數(shù)據(jù)包[1]。

完成交換機ACL配置后，將ACL訪問控制列表與服務器的與交換機的IN接口連接，進入服務器的數(shù)據(jù)包首先需通過交換機的過濾。

2.3防火墻模塊

在入侵防御系統(tǒng)與交換機聯(lián)動中，防火墻發(fā)揮最終的安全防護功能，依照既定規(guī)則確保網(wǎng)絡運行穩(wěn)定及安全。在聯(lián)動系統(tǒng)運行過程中，IPSec負責接收控制信息，自動形成新的過濾規(guī)則，然后以數(shù)據(jù)流向、IP地址、時間節(jié)點、端口等攔截異常數(shù)據(jù)，各策略存在相應時長后，則自動解除。防火墻框架設計為Netfilter/Iptables，該框架的優(yōu)勢為防御性能強、作用效果穩(wěn)定、自定義程度高。防火墻模塊分控制、規(guī)則和過濾三個部分，能夠?qū)θ肭忠援惓?shù)據(jù)做識別分析，以形成新的防御規(guī)則添加至規(guī)則庫，并將該部分數(shù)據(jù)過濾。防火墻模塊源IP、端口目標、IP目標、協(xié)議類型等均依靠BlockFilterPacket函數(shù)進行，利用DataFilte結(jié)構進行生存周期及篩選器命名，并將篩選器列表存放至IPSecFilterNode結(jié)構體當中[2]。

結(jié)論：

基于聯(lián)動技術的入侵防御系統(tǒng)與交換機設備安全防護系統(tǒng)，具備防御性能穩(wěn)定、適用范圍廣、防御靈敏度高等優(yōu)勢，可在提供可靠網(wǎng)絡安全防御作用的同時，提高系統(tǒng)構建經(jīng)濟性，因此非常適用于中小型企業(yè)的網(wǎng)絡安全防護中，值得推廣。

參考文獻：

[1]劉沛.網(wǎng)絡安全現(xiàn)狀及安全防護實施方案[J].信息與電腦（理論版），2019，31（24）：196-199.

[2]馬崇瑞，張輝.基于云計算的網(wǎng)絡入侵安全防御系統(tǒng)設計[J].電子元器件與信息技術，2019，3（10）：24-25+28.