防火墙和IDS联动技术在网络安全管理中的有效应用
摘 要: 随着网络技术的发展,网络系统安全性成为用户关心的重点问题,网络用户数量大,安全隐患很多,在传统网络安全防范中主要依靠防火墙、防病毒以及安全审计等,来保证网络安全;但是单一产品存在各自缺陷,研究联动系统对保证网络安全有重要价值。为了分析防火墙和IDS联动技术在网络安全管理中的应用,在分析防火墙和IDS联动技术需求的基础上,设计并实现防火墙和IDS联动系统。测试结果表明联动系统在网络安全管理中具有实用价值。
关键词: 防火墙; IDS; 网络安全; 入侵检测
中图分类号: TN915.08?34 文献标识码: A 文章编号: 1004?373X(2016)02?0042?03
Effective application of firewall and IDS linkage technology in
network security management
MA Xiaoyu
(Department of Computer, Henan Institute of Engineering, Zhengzhou 451191, China)
Abstract: With the development of network technology, the network security has become the key issue that the users pay more attention to. Traditional network security mainly relies on firewalls, anti?virus and security audit to guarantee the network security, but each single product exists defects. That’s why to study linkage system has an important value to ensure network security and eliminate the security risks. To analyze the application of firewall and IDS interaction technology in network security management, the analysis of firewalls and IDS linkage technology needs to take Fox to design and implement firewalls and IDS linkage system. The test results show that the linkage system has a practical value in the network security management.
Keywords: firewall; IDS; network security; intrusion detection
随着互联网络高速发展,网络使用开启了新的里程碑,但是伴随着网络的发展,安全问题更加突出[1];随着网络规模的逐渐扩大,网络熵上的敏感信息和机密数据难免被各类工具攻击[2]。在中国网络安全产品中,防火墙是最具有代表性产品之一,能够根据内网安全需求防止外部攻击,但是无法主动检测入侵情况[3],本文主要分析防火墙和IDS联动技术在网络安全管理中的应用。
1 防火墙和入侵检测理论
防火墙是指建立在内部网络与其他网络的屏障之上,避免其他网络的供给,是网络安全第一道防线。防火墙主要功能包括访问控制、防止外部供给、身份认证等,目前主要包括包过滤防火墙、应用代理防火墙以及状态检测防火墙等。防火墙能够解决网络上的部分安全问题,但是并不是万能的,其对内部用户缺乏防范能力,无法阻止内部供给,在处理病毒方面严重不足,安全防范范围比较狭窄,另外防火墙本身也存在安全漏洞。入侵检测技术能够降低入侵带来的危害,从开始提出,已经发展到目前的IDS系统[4],包括数据收集、检测器以及控制器部分。目前入侵检测技术也存在很多不足,存在较高的误报率和漏报率,检验时间较长[5],未形成统一的IDS评价标准,缺乏响应措施。
2 防火墙和IDS联动技术需求分析
网络面临的安全形势比较发杂,目前所采用的安全防范措施包括硬件防火墙、防病毒软件等,但是网络内部容易传播病毒,导致网络成为其他的攻击目标,现有安全防范措施无法满足需求。在网络安全管理中,单单依靠防火墙或IDS系统无法保证安全,而联合使用能够提高系统安全性[6]。依照防火墙和IDS的特点,以联动为目的,设计联动系统,包括防火墙模块、联动模块以及管理控制模块等,如图1所示。其中:联动模块主要是发现入侵事件,启动模块,基本处理后,交给决策模块;进一步分析,提交响应策略模块,编码策略信息,提交防火墙模块,生成动态阻断事件。
图1 系统功能结构图
3 防火墙和IDS联动系统设计与实现
防火墙和IDS联动系统不是简单的叠加,而是充分利用两者优势,形成互补。利用IDS开放源代码和Snort系统,监听网络中的数据;然后在监听基础上,建立具体时间分析特征库,分析数据功能,在安全通信方面,实现信息的交换和数据的安全传输,同时能够审计发生的事件。通信机制如图2所示。
图2 联动通信机制
在防火墙和IDS联动技术中,重点实现不同操作系统的通信,支持扩展、认证和加密功能,保证网络环境的可靠性,兼顾传输性能和实时性。
3.1 联动模块设计与实现
联动模块是系统核心部分,在设计中,保证正常通信,同时保证通信安全性和数据传输的有效性,因此采用数据编码、数据加密等措施。采用Stunnel软件,提供全局TLS/SSL服务,客户端数据加密,传输到服务器进行还原。
客户端设置在系统主机中,形成C/S联动安全框架,入侵检测部分在5300端口设置报警程序,监听防火墙1234端口,客户端同时能够监听5300端口。为了保证入侵检测和防火墙模块之间数据传输的安全性,利用生成证实方法,配置方法为:openssl genrsa?des3?out server.key 1024。联动模块在接收告警信息后,需要正确判断这类信息,并利用检测模块分析入侵事件,有针对性地执行相应策略。
根据防火墙动态规则设置方法,从告警类型、攻击通信协议类型、攻击来源方面评估攻击威胁,对攻击频率、时间等进行分级,制定策略失效,联动模块相应决策流程为攻击告警→是否存在威胁(是)→威胁等级评估→n级威胁→相应策略库→策略输出。联动模块响应策略控制中,设计联动模块发送给防火墙信息搁置,利用XML数据进行格式交换,采用封锁特定IP特定端口流量阻断,阻断时间1 h。为保证通信安全性,利用Stunnel进行通信,防治身份欺诈,同时能够进行SSL加密处理。
利用Snort软件来实现入侵检测模块,通过数据链路层分析和处理数据包,判断潜在的入侵行为,有针对性的做出响应。在入侵检测过程中,不断比对数据库特征和检测系统数据包,发现存在数据匹配,表明存在入侵行为,引导系统做出响应,基本框架流程如图3所示。
图3 基本框架图
3.2 入侵检测模块设计与实现
入侵检测模块可以分为分组捕捉器、解码器、入侵事件、输出系统等部分。由于网络中可能包括多种擦做系统,因此需要具有监听过滤器,设计采用libcap函数库,实现监听,在本联动系统平台上安装函数库,提供一致的接口。从链路层获取解码器原始信息,生成网络协议数据结构,根据OSI模型从下往上进行解码。
为了保证攻击事件能够准确识别,需要描述大部分攻击事件。普通规则包括规则头端和选择部分,根据实际情况选择不同的规则,不同规则采用分号隔开。
3.3 控制管理模块设计与实现
控制管理模块主要进行信息配置的读/写、审计以及人工控制等,运作流程为开始→初始化建立Socket连接→读取客户端信息→分析客户端命令→客户端关闭连接→结束。
在防火墙工作中会产生大量日志,长时间可能影响系统运行,设计通过缓存设备应用、过滤以及日志队列方式实现日志系统控制,采用共享内存结构struct shin street实现。
4 结 语
对系统运行措施,防火墙用Linux系统配置,采用Snort入侵检测系统,攻击软件模拟采用NMAP6.4,捕捉和分析联动系统启动后的数据,观察联动系统工作情况。利用攻击进行扫描攻击测试,利用主机发动攻击。测试结果表明,主机受到攻击,检测到TCP扫描,将警告发送到中心主机,得到告警日志,联动中心将事件给防火墙,按照要求生成相应规则,防火墙阻断向主机攻击数据,测试结果总结见表1所示,设计系统能够有效拦截多种攻击行为,适应性和实用性都很好。
表1 测试结果表
参考文献
[1] 杨静.校园网安全策略:IDS与防火墙联动[J].电脑知识与技术,2014,10(11):2520?2522.
[2] 姚东铌.分布式蜜罐技术在网络安全中的应用[J].电子测试,2014(15):134?136.
[3] 彭沙沙,张红梅,卞东亮.计算机网络安全分析研究[J].现代电子技术,2012,35(4):109?112.
[4] 胡颖群.基于Linux平台防止IP欺骗的SYN攻击防火墙的设计与实现[J].计算机测量与控制,2013(7):1880?1881.
[5] 左伟志.防火墙与IDS联动在校园网部署的研究与应用[D].长沙:湖南大学,2014.
[6] 吴凯.探讨网络安全技术中防火墙和IDS联动的应用分析[J].网络安全技术与应用,2014(1):31.
