龙源期刊网 http://www.qikan.com.cn
入侵检测技术与防火墙技术的联动研究
作者:李 伟 贺晓坤 姜 云
来源:《电脑知识与技术·学术交流》2008年第31期
摘要:通过对防火墙技术以及入侵检测技术的介绍,分析了各自的不足,提出把入侵检测技术与防火墙技术相结合来提供一个更加安全的防护措施。通过对它的研究与实现,可以极大提高网络的防御能力。
关键词:防火墙;入侵检测;网络安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)31-0807-02
The Linking Research Between the Intrusion Detection Technology and the Firewall Technology LI Wei1,HE Xiao-kun2,JIANG Yun2
(1.Taiyuan University of Science and Technology,Taiyuan 030000,China;2.CETC NO.33 Research Institute,Taiyuan 030000,China)
Abstract: Through the introduction of firewall technology and intrusion detection technology, the essay analyses their own deficiencies, and proposes that intrusion detection technology is combined with firewall technology to provide a more secure protective measure. Through its research and implementation, the network's defensive capability can be greatly improved. Key words: firewall; intrusion detection; network security 1 引言
在全球信息技术高度发达的今天,随着互联网的日益普及,网络对我们来说已经成为工作和生活中必不可少的一部分。但网络在带给人们极大便利的同时,也带来了一个棘手的问题,就是网络安全问题。
为实现网络安全,防范网络攻击,最常用的对策就是构建防火墙。防火墙是指在内部网和互联网之间或者其他外部网之间插入一个中介系统,阻断来自外部通过网络对内部网的威胁和入侵。虽然防火墙是保护网络免遭黑客袭击的有效手段,但是防火墙也有一些缺陷和不足,如防火墙不能防备新的网络安全问题,它也无法防护内部网络用户的攻击等等,所以仅仅使用防火墙技术来保障网络安全是远远不够的,必须寻找新的解决方法来弥补防火墙的不足,本文提出将入侵检测技术与防火墙技术相结合提供一个更加安全的解决方案。 2 现有入侵检测系统与防火墙的不足
龙源期刊网 http://www.qikan.com.cn
入侵检测系统(Intrusion Delection System)简称IDS可以定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理系统。它通过对计算机系统进行监视,提供实时的人侵检测并采取相应的防护手段。人侵检测系统的目的在于检测可能存在的攻击行为。它不仅能检测来自外部的入侵行为,还可以检测内部用户的未授权行为。是一种积极主动的安全防卸技术。目前就检测的数据来源IDS可分为基于主机的IDS(Host-Based IDS)和基于网络的IDS(Network- Based IDS) 基于主机IDS主要根据系统的审计记录,用户的位置和命令,CPU和I/O及内存的使用情况文件系统的变化因素等来进行检测; 基于网络的IDS系统通过获取网络上传送的IP包来进行安全检测分析,对IP包的获取一般采用被动的基于包侦听的方式,如采用Sniffer或Tcpdump等工具来实现。入侵检测系统的主要不足如下:
1) 采用侦听方式的网络IDS只能实现被动的侦听即使检测到攻击,也很难实施有效的阻止或有效控制。
2) 易受拒绝服务攻击(Denial Of Server简称DOS),NIDS为了不漏掉攻击,需要近可能对每一个包进行检测,而不相防火墙在处理不过来的时候可以丢掉包而不威胁系统安全。这样当攻击者向内部网发送大量的NIDS需要处理时,便造成NIDS拒绝服务。 3) 没有控制外部网对内部网访问的能力。
防火墙是一种用来加强网络之间访问控制的特出网络互联设备它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是不是被允许,从而达到保护内部网络的信息不被外部网络的非法用户访问,防火墙系统本质上是一种访问控制系统,它存在以下不足: 1) 防火墙规则的制定,更多的是一种粗粒度的检查,对一些协议细节无法做到完全的解释。
2) 防火墙提供的是静态防卸,它的规则都是事先设置的,需要人工来维护对于实施的攻击或异常的行为不能做出实时反应,不能主动跟踪入侵者。 3) 防火墙无法自动调整策略来阻断正在进行的攻击。
4) 防火墙具有防外不防内的局限性,对于内部用户的非法行为或已经渗透的攻击无法检查和响应。
通过以上分析我们集两种技术之所长提出了一种将网络入侵检测技术与放火墙技术相接合的体系结构。防火墙与入侵检测是一套完整的网络安全解决方案的两个重要部分,二者各有所长,行成互补,但同时部署防火墙和入侵检测将是一笔较大的资金投入。所以可以采用在防火墙中嵌入入侵检测功能的方法来将防火墙与入侵检测系统的功能有机地结合到一起,共同提供一个安全防御系统。 3 结合方法
龙源期刊网 http://www.qikan.com.cn
防火墙与入侵检测是一套完整的网络安全解决方案的两个重要部分,二者各有所长,形成互补,但同时部署防火墙和入侵检测将是一笔较大的资金投入。所以可以采用在防火墙中嵌入入侵检测功能的方法来将防火墙与入侵检测系统的功能有机地结合到一起,共同提供一个安全防御系统。
在国外,软件形式的产品已经开始成为低端网络安全市场中非常重要的一部分。针对个人来讲,无论防火墙还是入侵检测都可以采用公开源代码的软件。选择公开源代码软件的原因是:公开源软件不仅是免费的,而且随着不断的发展,正变得高效和稳定。如防火墙可以选用Ipfilter,入侵检测系统可以选用Snort,并将Snort嵌入在Ipfilter中,让其运行Openbsd上。本文以防火墙选用Ipfilter,入侵检测系统选用Snort,将二者进行联动研究:Snort是一种基于误用检测模型的网络入侵检测系统,对每一种入侵行为,提炼出其特征值,按照Snort的规范写成检测规范,形成一个规则数据库。检查时,Snort收到的数据包在规则库中逐一匹配,如果匹配成功,则认为发生入侵。
Netfilter/Iptables是Linux内核(2.4.x)集成的IP信息包过滤系统,由两个组件Netfilter和Iptables组成。Netfilter组件称为内核空间,提供了一个对IP包进行操作的框架Iptables组件称为用户空间,它是用户插入,删除和修改保存在Netfilter组件中的包过滤规则的工具。 网络环境:图1是Netfilter/Iptables和Snort联动应用的网络环境。内部网络一以太网,取C类地址 192.168. *.*通过防火墙以IP伪装方式访问Internet 。 防火墙硬件是一台安装有eth1和eth2两快网卡的主机,eth1连接外部网络,eth2连接内部网络;软件采用Netfilter/Iptables,提供网络地址转换,在内部网络的每个子网中,有一台运行的Snort主机。 ■
图1 网络拓扑结构
安全联动设计:为了克服防火墙和入侵检测系统各自的缺点采用NetfilterIptables和Snort联动的安全方式,联动具有以下两种功能:
1) Snort检测自身的丢包率并与用户在规则中指定的丢包率做比较,如果大于用户的设定值,设置远程NetfilterIptables规则,减少流入Snort所在子网的流量,以避免对Snort的拒绝服务攻击。
2) Snort检测到攻击后,设置远程Netfilter/Iptables的规则,抵御来自外部网络的攻击。对于内部网络的攻击,可以在规则选项中指定关键字Flexresp来抵御这类攻击。
通过以上分析我们可以看出NetfilterIptables和Snort联动应用大大提高了网络的安全性。 4 结束语