（计算机软件与理论专业论文）联动防火墙的入侵检测系统的设计与实现.pdf

联动防火墙的入侵检测系统的设计与实现 计算机软件与理论专业 研究生谈进指导教师伍良富、李涛 防火墙与入侵检测作为保护网络安全的重要技术手段被广泛应用，但现有的安 全产品往往将防火墙与入侵检测系统分开单独使用，不能满足网络安全整体化、忘 体化的要求。实现防火墙与入侵检测系统的联动，可以对网络进行动静结合| _ 勺保护， 对网络行为迸行细颗粒白勺检查，并对网络内夕卜两个部分都进行可靠管理。在我国， 开发具有自主知识产权的新一代智能防火墙产品，具有重要的实用价值。 基于l i n u x 操作系统，本文主要完成了入侵检测系统g u a r d e r 及其与防火墙系 统互动机制的设计与实现等工作。这些工作是门神g a t e g o d 之智能防火墙系统的一 部分，也是安全w e b 站点整体解决方案的重要组成部分。 具体来说，本文的成果如下： 1 设计并实现了智能防火墙的入侵检测系统g u a r d e r 。g u a r d e r 为一基 于网络的入侵检测系统，能够识别约1 2 9 0 种攻击，例如d o s 、d d o s 、f t p 、 w e b 、n i s 、d n s 、c g i 、o s 尝试攻击，u d p t c p 端口扫描和秘密的端口扫描， 缓冲区溢出攻击，强欺骗攻击等。 2 采用了“事件检测”引擎技术，并定义了套入侵特征模式描述语言 及相应的规则语法解释器。这样，可以用模式描述语言描述新的攻击并增加到 攻击特征模式库中，同时增加新的事件检测引擎来识别此攻击，保证了系统的 可扩展性要求，方便升级。 3 设计并实现了防火墙包过滤系统与入侵检测系统协同工作的机制，大 大提高了防火墙自身及网络的安全性。 4 设计并实现了智能防火墙的服务器端配置管理系统。此系统接受客户 端对智能防火墙系统的配置请求并完成相应工作，从而达到了方便、安全的对 防火墙主机远程管理的目的。 5 定制了g a t e g o d 运行的l i n u x 操作系统m i n i l h a u x ，去除了众多不 安全的服务，并定制了内核，做到了功能最小化，使g a t e g o d 建立在一个安全 的操作系统上。 6 对日志系统做了如下改进；使用c a c h e 技术，把日志数据写在内存中， 缓解了d o m 空间不足的问题；使用日志队列技术，避免日志溢出；实现了 志和同志发送程序互斥的访问日志数据。 关键词：智能防火墙，包过滤，入侵检测，联动技术，m i n j l i n u ) ( ，d o m t h ed e s i g na n di m p l e m e n t a t i o no fa ni n t r u s i o n d e t e c t i o ns y s t e mr e l a t e dw i t haf i r e w a l l m a j o rc o m p n t e rs o f t w a r e & t h e o r y s t u d e n tt a nj i na d v i s o rw ul i a n gf u ，l it a o f i r e w a l la n di n t r u s i o nd e t e c t i o n ，a s 沛_ p o r t a n tt e c h n i q u e st op r o t e c tn e t w o r ks e c u r i t y , a r e w i d e l yu s e d ，b u tt h ea v m l a b l en e t w o r ks e c u r i t yp r o d u c t sa l w a y su s et h ef i r e w a l lo rt h e i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) i n d e p e n d e n t l y , w h i c hc a r ln o tm e e tt h ei n t e g r i t ya n d m u l t i l a y e rr e q u i r e m e n t s e n a b l i n gb o t ht h ef t r e w a l la n di d ss i m u l t a n e o u s l yc a n p r o v i d es t a t i ca n dd y n a m i cp r o t e c t i o nt ot h en e t w o r ka sw e l la sc o n d u c tm e t i c u l o u s i n s p e c t i o no ft h en e t w o r kl l a 伍c ，t h e r e f o r et h ei n t r aa n d e x l an e t w o r ku s a g ec a l ls u b j e c t t oar e l i a b l em a n a g e m e n t i nc h i n a , d e v e l o p i n gn e wg e n e r a t i o ni n t e l f i g e n tf i r e w a l l s w i t hs e l f o w n e di n t e l l e c t u a la s s e th a se s p e c i a l l ym o r ep r a c t i c a lv a l u e s t h i sp a p e rp r i m a r i l yf o c u s e so nt h ed e s i g na n di m p l e m e n t a t i o no ft h ei n t e r a c t i v e m e c h a n i s mb e t w e e nt h eg u a r d e ro fi d sa n df i r e w a l ls y s t e m i tc o m p r i s e so n ep a r to f g a t e g o do fa ni n t e l l i g e n tf i r e w a l ls y s t e ma n da l s oi sa l li m p o r t a n tc o m p o n e n to fo v e r a l l s o l u t i o nt os e c u r ew e b t h eh i g h l i 曲t so f t h ep a p e ra r es u m m e du pa sb e l o w ： 1 d e s i g na n di m p l e m e n ti n t r u s i o nd e t e c t i o ns y s t e mo ft h ei n t e l l i g e n tf i r e w a l lw i t ha n a m eo f g u a r d e rw h i c hc a ni d e n f i f y1 2 9 0s o r t so f a t t a c k s ，s u c ha sd o s ，d d o s ，f t p , w e b ，n i s ，d n s ，c g ia n do sa t t e m p t i n ga t t a c k s ，u d p t c pp o r t ss c a na n dp r o b e b u f f e ro v e 川o wa t t a c k ，i pd e c e p t i o na t t a c ka n de t c 2 i n t r o d u c es e a r c h i n ge n g i n et e c h n o l o g yo f “e v e n ti n s p e c t i o n a n dd e f i n et h em o d u l a r i i 3 4 5 6 d e s c r i p t i o nl a n g u a g ei nr e s p e c to fi t s i n t r u s i o np a t t e r n s ，a sw e l ld e v e l o pt h e c o r r e s p o n d i n gr u l e sp a r s e r t h e r e 触n e wa t t a c k sc a nb el o g g e di nm o d u l a r d e s c r i p t i o nl a n g u a g ea n da d d e dt ot h ea t t a c k sl o g g i n gd a t a b a s e t h ed e s c r i p t i o n l a n g u a g e st o g e t h e r w i t ht h ee v e n t i n s p e c t i o n f u n c t i o nm a k et h e s y s t e m s e x p a n d a b i l i t ya n du p g r a d i n gp o s s i b l e d e s i g na n di m p l e m e n tt h ec o l l a b o r a t i n gm e c h a n i s mb e t w e e nt h ef l r e w a l lp a c k e t f i l t e rs y s t e ma n di d s ，g r e a t l ye n h a n c i n gt h es e c u r i t yo f f f r e w a l la n dn e t w o r k s d e s i g na n di m p l e m e n tt h es e r v e rc o n f i g u r a t i o nm a n a g e m e n ts y s t e mo fi n t e l l i g e n t f i r e w a l l t h es y s t e mh a n d l e st h ec o r t f i g u m t i o nr e q u i s i t e so ff i r e w a l ls y s t e mt o m t h ec l i e n t ，m a k i n gr e m o t em a n a g e m e n to f t h eh o s tm o r ec o n v e n i e n ta n ds a f e c u s t o m i z et h el i n u xo st or u ng a t e o o dc a l l e dm i n i l i n u x m a n yi n s e c u r es e r v i c e s h a v eb e e nw i p e do f f 。l i n u xo sa n di t sk e r n e lh a sb e e nc u s t o m i z e dw i t hm i n i m u m f u n c t i o n s i nt h i sc a s eg a t e g o di se s t a b l i s h e do nas a f eo s m a k es o m ea m e n d m e n t st ot h ed a i l yi o g f i l es y s t e m ：w r i t et h ed a i l yl o g g i n gd a t at o t h em e m o r yu s i n gc a c h et e c h n o l o g y , m i t i g a t i n gt h ep r o b l e mo fd o m i n s u f f i c i e n t s p a c e ；a v o i dl o g f i l eo v e r f l o wb yu s i n gd a i l yl o gq u e u et e c h n o l o g y ；c o p ew i t h r e p u l s i o np r o b l e mo f d a t al o g g i n ga n dd a t as e n d i n g k e yw o r d s ：i n t e l l i g e n tf i r e w a l l ，p a c k e tf i l t e r , i n t r u s i o nd e t e c t i o n ，l i n k a g et e c h n i q u e m i n i l i n u x ，d o m i v 1 绪论 1 1 课题背景 i n t e m e t 的发展已成燎原之势，它的应用也从原来的军事、科技、文化和商 业渗透到当前社会的各个领域。越来越多的网络连入了i n l e m e t ，越来越多的信 息进入了i n t e r n e t 。i n t e m e t 吸引了亿万用户。很多入已经离不开i n t e m e t ，并且 每天都在访问它、应用它。 随着i n t e r n e t 的发展，网络与信息安全问题日益突出。据c e r t 的统计，用 户向其报告的安全事故逐年增加：从1 9 8 9 年的1 3 2 件、1 9 9 5 年的2 4 1 2 件激增 到2 0 0 2 年的9 5 3 8 6 件，而且，这些数字还是全球中发生的计算机安全事故中的 一部分，大量的用户在发生安全事故后并没有向c e r t 报告。所有的安全事故 中有些涉及到了一个站点或一台计算机，有些则涉及到了成百上千的站点和计 算机，而且持续相当长时间。除了发生安全事故的数量急剧增长外，侵袭的方 法与手段也日趋先进和复杂。“黑客攻击”、“蠕虫病毒”、“特洛伊木马”等 类似的报道也屡见不鲜。 在我国，网络的应用起步虽晚，但发展非常迅速，现已形成一定的规模， 信息服务的普及程度有了很大提高，在国民经济的发展中发挥着重要作用。与 此同时，人们普遍对网络安全问题认识不足，安全防范意识淡薄，许多网络应 用系统还处在不设防状态，存在极大的安全风险和隐患。可以说，现阶段我国 面临的网络安全问题十分严峻。 防火墙是保护网络安全的最重要技术，它是保护网络并连接网络到i n t e m e t 的最有效方法。防火墙是网络安全防护体系的大门，所有进出的信息必须通过 这个唯一的检查点。实际上，它为网络安全起到了把关的作用，将安全防范集 中于这个检查点，收敛了网络中复杂多样的可能安全隐患。 防火墙技术是现在市场上应用范围最广、最易被客户接受的网络安全产品 之一。作为不同网段之间的逻辑隔离设备，防火墙将内部可信区域与外部危险 区域有效隔离，将网络的安全策略制定和信息流动集中管理控制，为网络边界 提供保护，是网络的防盗门，也是抵御入侵最可靠有效的手段之一。但是防火 墙具有自身的局限性。首先，防火墙提供的是静态防御，它的规则都事先设置， 1 四川大学硕士论文联动防火墙的入侵检测系统的设计与实蛾 对于实时的攻击或异常的行为不能做出实时反应。其次，防火墙规则的制定， 更多的是一种粗颗粒的检查，对一些协议细节无法做到完全解析。而且，防火 墙无法自动调整策略设置来阻断正在进行的攻击，也无法防范基于协议的攻击。 还有，防火墙具有防外不防内的局限性，对于内部用户的非法行为或已经渗透 的攻击无法检查和响应。 基于以上的考虑而提出了联动防火墙的思想。联动即通过一种组合的方式， 将不同的技术与防火墙技术进行整合，在提高防火墙自身功能和性能的同时， 由其他技术完成防火墙所缺乏的功能，以适应网络安全整体化、立体化的要求。 入侵检测是对防火墙极其有益的补充，能够帮助网络系统快速发现网络攻 击的发生，扩展了系统管理员的安全管理能力( 包括安全审计、监视、进攻识 别和响应) ，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干 关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和 遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响 网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操 作的实时保护。 现今的网络安全产品往往将防火墙与入侵检测系统孤立起来单独使用。为 了克服现有安全产品各自为政的现状，更加有效地保障系统安全，防火墙联动 技术( 智能防火墙) 正渐渐成为网络安全领域的一个新兴课题。由于防火墙与 入侵检测技术具有较强的互补性，实现防火墙与入侵检测的协同工作是理想的 网络安全解决方案。 防火墙和入侵检测系统之间的协同工作有两种方式可以实现。一种是实现 防火墙与入侵检测的紧密结合，即把入侵检测系统嵌入到防火墙中，即入侵检 测系统的数据来源不再来源于抓包，而是流经防火墙的数据流。所有通过的包 不仅要接受防火墙包过滤规则的验证，还需要经过入侵检测，判断是否具有攻 击性，以达到真正的实时阻断，这实际上是把两个产品合成体。但是，由于 入侵检测系统本身也是一个很庞大的系统，所以无论从实施难度、合成后的性 能等方面都会因此受到很大影响。另一种方式是通过开放接口来实现防火墙与 入侵检测的协同工作，即防火墙或者入侵检测系统开放一个接口供对方调用， 按照一定的协议进行通讯、警报和传输。这种方式比较灵活，不影响防火墙和 入侵检测系统的性能。 2 四川大学硕士论文联动防火墙的入侵检测系统的设计与实现 综上所述，开发具有自主知识产权的智能防火墙产品，不仅具有重要的理 论价值，而且有着广阔的应用前景。 1 2 课题来源 本课题是李涛教授主持的四川大学计算机网络与安全研究所( n i s e c ) 的众 多课题之一，n i s e c 长期致力于计算机网络与安全、电子商务电子政务、智能 信息系统等领域的理论与技术的研究，研制成功c a 认证中心、新型智能防火 墙、i d s 、安全v p n 、安全电子邮件系统、安全w e b 服务器、灾难紧急救援系 统、多功能网络安全服务器、国库直接支付系统、政府采购系统等八大系列l o 多个产品，应用范围遍及全省各地市州县乡镇。 这些产品的研发成功标志着我们在网络安全理论以及应用的研究上都取得 了重要的进展，如专家所评“不仅具有重大的理论意义，同时具有广阔的应用 前景”。 1 3 现有安全技术手段和产品 按照美国的计算机安全白皮书的标准，可以将计算机的安全性划分为四个 等级，从低到高依次是d 、c 、b 、a 四级，d 级最不安全，a 级最安全。d 、c 、 b 、a 四级中，某些级别中又可细分为若干子级别，每个安全级别和子级别都有 相应的安全标准，其主要要求如表1 3 1 所示： 现有的计算机系统产品，其安全性大多属于d 级( 无保护) 或者c 级( 自 主保护) ，具有b 级安全性的实用产品非常少，并且尚没有在商用领域被广泛地 采用，而具有a 级安全性的系统据本人所知尚未见诸报道。 四川大学硕士论文联动荫火墙的入侵检测系统的设计与实现 安全性等级主要特征 _ _ 1d最低保护等级 d 非安全保护 2c自主保护等级 c 1 自主安全保护自主存取控制，审计功能 c 2可控存取保护比c l 级更强的自主存取控制， 审计功能 _ 3b强制保护等级 b 1 标记安全保护强制存取控制，敏感度标记 b 2 可结构化保护形式化模型，隐蔽通道约束 _ b 3安全区域保护安全内核，高抗渗透能力 4a验证保护等级a l 可验证保护形式化安全验证，隐蔽通道分析 1 3 1 主要技术手段 表1 3 1 计算机系统安全等级划分 基于上述网络上存在的安全威胁和用户对网络安全方面的要求，相应的网 络安全技术也不断发展，出现了各式各样的安全技术，综合起来主要有下面几 种： 1 专网技术 采用专网技术，单独建立自己的私有网络，使其独立于i n t e m e t 之外， 使大量存在于i n t e m e t 上的攻击者在物理上没有进入其内的通路，可以有效 的防范来自i n t e m e t 的各类安全威胁。 2 加密技术 加密与解密仍然是保护信息的最有效的方法之一。信息的保密、完整性 检验、抗否认和网络用户身份的确认等都离不开加解密。它涉及两个算法： 加密算法和解密算法。一个密码系统的强度由密码空间的大小、算法的可靠 性等因素决定。目前，加解密算法大致分为对称算法和非对称算法两大类。 对称算法采用对称密码编码技术，加密算法和解密算法公用同一把密 钥，二者互为逆过程。对称算法的主要优点是加解密速度都非常快，很适 4 璺型奎兰堡主堡三二壁垫堕坐苎堕垒堡垫型至竺竺堡生兰塞翌 合对大块数据加密；主要缺点在于密钥难于管理( 主要是密钥的分发和销 毁) ，典型的算法有d e s 算法、i d e a 算法和a e s 算法。 非对称密钥算法采用非对称密钥，即加密和解密使用不同的密钥，其中 加密密钥是公开的( p u b l i ck e y ) ，解密密钥是私藏的( p r i v a t ek e y ) ，只为 拥有者所知晓。非对称密钥算法的主要优点是密钥的分发和销毁管理较易， 主要缺点是速度较慢，典型的算法有美国r l b e r s t 、s h a m i r 和a d e m a n 三人 提出的r s a 算法。 加密算法和加密技术发展的趋势是信息加密采用对称算法。密钥保护、 数字签名、身份认证采用非对称算法，并且密钥长度增加。 加密技术应用于t c p i p 的不同层次，就产生了多种不同的派生技术： 比如应用于网络层，就是v p n ，其一个实现是i p s e c ：应用于应用层，就产 生了s s l 、p o p 、s m i m e 等安全应用。 3 数字签名 数字签名是保护数据完整性和抗否认性的主要手段。目前主要通过 h a s h 、m d 5 等算法提取原文的摘要信息，并通过非对称算法( 如r s a ) 对摘要信息加密来完成数字签名。通过数字签名，可防止第三方篡改原文， 也可防止通信者否认其发出的信息。 4 认证 认证就是确认用户的真实身份的过程，用以验证信息来源的可靠性，防 止非法用户冒充合法用户窃取信息或者传递伪造信息。目前用得最多的的认 证方式是口令、票据、电子证书等。 口令方式是用户以口令为信物，直接向服务器提供的方式。典型的有 t e | n e t 、f t p 的认证。该方式简单易行，但口令易被截取。不够安全。 票据方式是用户先要通过专用认证服务器的认证，然后获得该认证服务 器签发的票据，并持该票据作为信物来访问信息服务器的方式，典型的是 m i t 开发的k e r b e r o s 。k e r b e r o s 是利用对称加密技术进行加密的，其密钥的 管理是一大问题。 电子证书方式是每个合法用户在认证中心( c a ) 申请一份证书，通过 其持有的证书来表明其身份的方式。典型的标准有x 5 0 9 标准，它是以公钥 密码技术和数字签名为基础的，已广泛应用于s m i m e 、s s l 和i p s e c 等。 四川大学硕士论文联动防火墙的入侵检测系统的设计与实现 5 防火墙 防火墙是近年来提出并广泛使用的一种网络安全技术，主要用于实现网 络上的访问控制。在i n t e m e t 上，防火墙被设置于内部网络与外部网络之间， 用于限制出入内部网的通信和访问。防火墙的使用环境是被保护的网络有明 确定义的边界和服务，并且网络威胁仅来自外部网络。对来自内部的威胁和 数据驱动的攻击( 如病毒) ，防火墙是无能为力的。 6 攻击检测技术 攻击检测技术是一种主动的防御技术，此技术用于监测网络的通信状 况，通过收集数据并加以分析，区分用户的访问当中，哪些是善意的，哪些 是恶意的。攻击检测技术分为事后的和实时的两种：事后的是将收集到的数 据记录在日志数据库中，供以后分析之用；实时的则具有在线监测、在线报 警的能力。现阶段攻击检测技术还很难脱离人的干预，在很大程度上还依赖 于人的经验和直觉。攻击检测系统要缩短实时反应时间、提高识别率，都离 不开建立一个好的智能攻击检测模型，这是当前攻击检测技术的主攻方向。 1 3 2 现有产品情况 基于上述技术，国际上开发出了许多相应的安全产品，目前在我国比较流 行的网络安全产品就主要来自国外，这使许多人产生了这样的误解：既然这些 产品来自技术发达国家，就一定足够安全。然而事实与此相反，使用这些产品 其实是相当不安全的。首先从国家的安全角度来讲，在重要部门中大量使用来 自外国的安全产品肯定是非常不妥当的，它将使我国的机密信息掌握在他人之 手，这就如同使用一群外国雇佣兵来替我们看家护院一样不可靠。微软不是曾 被爆光其软件产品中存在“后门”吗? 谁也说不清这些安全产品又存在多少“后 门”。其次，这些产品的性能也让人怀疑。由于美国政府对安全产品出口的限制， 出口到我国来的产品其性能已经大打折扣，如流行的s s l 、h t t p s 协议，按要 求分组加密密钥长度至少应为1 2 8 位，公钥算法的密钥应高达1 0 2 4 位，但出口 中国的产品其密钥长度远远没有达到要求：分组加密算法是d e s ( 6 4 位密钥) 或者r c 2 ( 4 0 位) ，公钥算法的密钥也只有5 1 2 位。 正是基于这样的考虑，我们必须自主研究和开发我们自己的网络安全产品。 四川大学硕士论文联动防火墙的入侵检测系统的设计与实现 近几年来，在我国已进行了网络安全方面的大量研究，也开发出了相当数量的 安全产品，但是这些产品在完善性、规范性、实用性上还存在许多不是，而且 由于长期以来我国的主流操作系统是从国外引进，这些产品中相当部分是基于 这些国外引进的操作系统之上的，其安全性也不能让人放心。 + 总之，目前国际上已有的众多网络安全解决方案和产品，由于受到出口政 策和自主性等问题限制，它们不能直接用于解决我国自己的网络安全问题。切 实可行的办法只能是借鉴这些先进技术和产品，在消化吸收其思想和精髓的前 提下，搞出我们自己的具有完全自主知识产权的安全产品。 1 4 本文的工作 具体来说，本文的工作如下： 1 设计并实现了智能防火墙的入侵检测系统g l l a r d e r 。g u a r d e r 为一 基于网络的入侵检测系统，能够识别约1 2 9 0 种攻击，例如d o s 、d d o s 、 f t p 、w e b 、n i s 、d n s 、c g i 、o s 尝试攻击，u d p f r c p 端口扫描和秘密的 端口扫描，缓冲区溢出攻击，i p 欺骗攻击等。 2 采用了“事件检测”引擎技术，并定义了一套入侵特征模式描述语 言及相应的规则语法解释器。这样，可以用模式描述语言描述新的攻击并 增加到攻击特征模式库中，同时增加新的事件检测引擎来识别此攻击，保 证了可扩展性要求，方便升级。 3 设计并实现了包过滤系统与入侵检测系统协同工作的机制，大大提 高了防火墙自身及网络的安全性。 4 设计并实现了智能防火墙的服务器端配置管理系统。此系统接受客 户端对智能防火墙系统的配置请求并完成相应工作，从而达到了方便、安 全的对防火墙主机远程管理的目的。 5 定制了g a t e g o d 运行的l i n u x 操作系统m i l l i l i n u x ，去除了众多 不安全的服务，并定制了内核，做到了功能最小化，使g a t e g o d 建立在一个 安全的操作系统上。 6 对日志系统做了如下改进：使用c a c h e 技术，把日志数据写在内存 中，缓解了d o m 空间不足的问题：使用日志队列技术，避免日志溢出：实 四川大学硕士论文联动防火墙的入侵检测系统的设计与实现 现了日志和日志发送程序互斥的访问日志数据。 1 5 论文结构 本文主要论述入侵检测系统g u a r d e r 及与包过滤系统互动机制的设计和具体 实现，并介绍了其相关理论及技术。 论文结构如下： 第一章： ( 即本章) 讲述课题背景、来源，国内外研究现状及本文工作。 第二章： 介绍防火墙的相关理论知识。 第三章： 介绍入侵检测的相关理论知识。 第四章： 介绍g a t e g o d 之智能防火墙系统的总体设计，包括设计目标和 系统的基本结构介绍。 第五章： 介绍入侵检测系统g u a r d e r 的设计与实现。 第六章： 介绍接警服务程序的设计与实现 第七章： 介绍防火墙配置管理子系统( 服务器端) 的设计与实现。 第八章： 介绍日志系统的设计与实现。 第九章： 总结全文工作。 3 塑型查兰堡主堡奎二= 壁垫堕奎苎竺垒垦垫翌墨竺塑堡堡兰塞鎏一 2 防火墙的相关理论知识 2 1 防火墙的概念和工作原理 防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络流量 快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原 始的防火墙是一台双穴主机，即具备两个网络接口，同时拥有两个网络层地址。 防火墙将网络上的流量通过相应的网络接1 2 1 接收上来，按照t c p i p 协议栈的七 层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过 条件的报文从相应的网络接口送出，面对于那些不符合通过条件的报文则予以 阻断。 因此，从这个角度上来说。防火墙是一个类似于桥接或路由器的、多端口 的( 网络接1 5 = 2 ) 转发设备，它跨接于多个分离的物理网段之间，并在报文转 发过程之中完成对报文的审查工作。图例说明请参见图2 1 1 。 z f 、 外巡四i 图2 1 1 防火墙的原理流程 9 l l 报文允许通过 【u 扩 四川大学硕士论文联动防火墙的入侵检测系统的设计与实现 2 2 防火墙的功能 传统的子网系统，往往把自己一些本身并不安全的服务比如n f s 和 n i s ，暴露在外部主机的侦探和攻击下。这样子网的安全就完全依赖于各个主 机，而且要求各个主机有相同的安全度。而子网越大，越难以保证各主机都有 较高的安全度。况且，子网越大，人为失误变得越来越普遍，很多所谓“入侵” 实际上是由于配置错误造成的，而不是来自外部的故意的、复杂的攻击。 防火墙能提高主机群整体的安全性，从而给站点带来了数不尽的好处。下 面我们就来简单介绍一下使用防火墙究竟有什么好处。 1 控制不安全的服务 防火墙可以控制不安全的服务，因为只有授权的协议和服务才能通过防火 墙。这就大大降低了予网的暴露程度，从而提高了网络的安全度。 2 站点访问控制 防火墙不允许外部主机访问内部的主机和它提供的服务，因此在网络的边 界形成一道关卡，达到站点访问控制的目的。 3 集中安全保护 如果一个予网的所有或大部分需要改动的软件以及附加的安全软件能集中 地放在防火墙系统中，而不是分敖到每个主机中。这样防火墙的保护就相对集 中一些，也相对便宜一点。尤其对于密码口令系统或其它的身份认证软件等等， 放在防火墙系统中更是优于放在每个从i n t e m e t 中能访问的机器上。 4 ，强化私有权 对一些站点而言，私有性是很重要的，因为，某些看似不甚重要的信息往 往会成为攻击者灵感的源泉。使用防火墙系统，站点可以防止通过f i n g e r 以及 d n s 域名服务等造成的泄密。 5 网磐连接的日志记录及使用统计 当防火墙系统被配置为所有内部网络与外部i n t e m e t 连接均需经过的安全 系统时，防火墙系统就能够对所有的访问作出日志记录。日志是对一些可能的 攻击进行分析和防范的十分重要的情报。另外，防火墙系统也能够对正常的网 络使用情况作出统计。通过对统计结果的分析，可以使得网络资源得到更好的 使用。 四川大学硕士论文联动防火墙的入侵捡测系统的设计与实脱 6 其它安全控制 各组织机构可以根据本单位的特殊要求来配置防火墙系统，从而实现其它 安全控制。 2 3 防火墙的局限性 防火墙对网络安全威胁进行极好的防范，但是，它不是安全解决方案的全 部。某些威胁是防火墙力所不及的，下面是防火墙的一些弱点： 1 不能防御内部攻击者 2 不能防御绕过防火墙的攻击 3 不能防御完全新的威胁 4 不能防御数据驱动的攻击 所以，防火墙并不是完全的网络安全解决方案，要保护你的网络免于i n t e m e t 上的威胁，就必须和其它的安全措施结合起来，这样它们才能真正有效地发挥 各自的作用。 2 4 防火墙的基本技术 通常根据使用的技术将现在流行的防火墙划分为两大类型：包过滤型和代 理型。包过滤型防火墙又可分为：静态包过滤( s t a t i c p a c k e t f i l t e r i n g ) 和状态检 测( s t a t e f u li n s p e c t i o n ) 防火墙。代理型防火墙又包括电路级网关( c i r c u i tl e v e l g a t e w a y s ) 和应用级网关( a p p l i c a t i o nl e v e lg a t e w a y s ) 防火墙。 2 4 1 静态包过滤防火墙 静态包过滤防火墙工作在o s l 模型的网络层或t c p i p 协议的i p 层，如图 2 4 1 i 所示。依据系统事先制定好的过滤逻辑，即静态规则，检查数据流中的 每个数据包，根据数据包的源地址、目的地址、端口号、协议以及数据包头中 的各种标志位或它们的组合来确定是否允许该数据包通过。静态包过滤防火墙 的优点是：逻辑简单，价格便宜，对网络性能的影响较小，有较强的透明性： 工作与应用层无关；易于安装和使用。它的弱点是：配置基于包过滤方式的防 四川大学硕士论文联动防火墙的入侵检测系统的设计与实现 火墙，需要对i p 、t c p 、u d p 、i c m p 等各种协议有深入的了解，否则容易出现 因配置不当带来的问题；用于过滤判别的只有网络层和传输层的有限信息，所 以各种安全要求不能得到充分的满足：数据包的地址及端口号都在数据包的头 部，因而不能彻底防止地址欺骗；允许外部客户和内部主机直接连接以及不提 供用户的鉴别机制。 t c p i p 协议模型 5 应_ 目 ；i 层 4 传输层 3i p 层 2 数据链路层 一 l 1 r 1 物理层 t c p i p 协议模型 5 应用层 4 传输层 3i p 层 2 数据链路层 jl 1r 1 物理层 输入数据流输出数据流输入数据流输出数据流 图24 ，11 静态包过滤防火墙示意图图2 4 2 1 状态检测防火墙示意图 2 4 2 状态检测防火墙 静态包过滤防火墙最明显的缺陷是为了实现期望的通信，它必须保持一些 端口的永久开放，这就为潜在的攻击提供了机会。为了克服这一弱点，发展出 了动态包过滤技术，它根据数据包的头信息打开或关闭端口。状态检测技术就 是在动态包过滤技术的基础上发展而来。是对动态包过滤技术的增强。著名的 网络安全公司c h e e kf c m t 第一个研制出基于这种技术的防火墙c h e c kp o i n t 防火墙一i 。这种防火墙采用了一个在网关上执行网络安全策略的软件引擎，称 之为检测模块。检测模块工作在链路层和网络层之间，如图2 4 2 1 所示，对网 络通信的各层实施检测分析，提取相关的通信和状态信息，并在动态连接表中 进行状态及上下文信息的存储和更新，这些表被持续更新，为下一个通信检查 提供累积的数据。状态监视器的另一个优点是能够提供对基于无连接的协议 四川大学硕士论文联动防火墙的入侵检测系统的设计与实现 ( u d p ) 的应用( d n sw a i se t c ) 及对基于端口动态分配的协议( r p c ) 的应 用( 如n f sn i s ) 的安全支持，静态包过滤和代理网关都不支持此类应用。总 之，这类防火墙减少了端口的开放时间，提供了对几乎所有服务的支持。缺点 是它也允许外部客户和内部主机的直接连接，不提供用户的鉴别机制。 2 4 3 应用级网关防火墙 应用级网关防火墙通常也称为应用代理服务器。它工作于o s i 模型的应用 层，如图2 4 3 1 所示。用来提供应用层服务的控制，起到外部网络向内部网络 或内部网络向外部网络申请服务时的转接作用。当外部网络向内部网络申请服 务时，内部网络只接受代理提出的服务请求，拒绝外部网络其它节点的直接请 求。代理服务器的工作过程为：首先，它对该用户的身份进行验证，若为合法 用户，则把请求转发给真正的某个内部网络的主机，同时监控用户的操作，拒 绝不合法的访问。当内部网络向外部网络申请服务时，代理服务器的工作过程 正好相反。应用网关的优点是易于配置，界面友好；不允许内外网主机的直接 连接；可以提供比包过滤更详细的日志记录，例如在一个h t t p 连接中，包过 滤只能记录单个的数据包，无法记录文件名、u r l 等信息；可以隐藏内部i p 地 址；可以给单个用户授权；可以为用户提供透明的加密机制；可以与认证、授 权等安全手段方便的集成。代理技术的缺点是：代理速度比包过滤慢；代理对 用户不透明，给用户带来不便，需要针对每种协议设置一个不同的代理服务器。 5 应用层 4 传输层 3j p 层 2 数据链路层 一l 1 1 物理层 输入数据流输出数据流 图2 4 3 1 应用级网关防火墙示意图 5 应用层 4 传层检测 3i p 层 2 数据链路层 一l 、 r 1 物理层 输入数据流输出数据流 图2 4 4 1 电路级网关防火墙示意图 四川大学硕士论文联动防火墙的入侵检测系统的设计与实现 2 4 4 电路级网关防火墙 电路级网关是一个通用代理服务器，它工作干o s 互联模型的会话层或是 t c p i p 协议的t c p 层，如图2 4 4 1 所示。它适用于多个协议，但它不能识别 在同一个协议栈上运行的不同的应用，当然也就不需要对不同的应用设置不同 的代理模块，但这种代理需要对客户端做适当的修改。它接受客户端的连接请 求，代理客户端完成网络连接，建立起一个回路，对数据包起转发作用，数据 包被提交给用户的应用层来处理。通过电路级网关传递的数据似乎起源于防火 墙，隐藏了被保护网络的信息。 2 5 防火墙的体系结构 2 5 1 双重宿主主机体系结构 双重宿主主机防火墙体系结构围绕双重宿主主机来构筑，双重宿主主机至 少有两个网络接1 ：3 ，分别与受保护的内部予网及i n t e m e t 连接，并且关闭了两个 网络接口间的i p 转发功能。因而，i p 包不能直接在任一内部主机与任一外部主 机间传递，内部子网十分安全。其体系结构图如图2 5 1 1 所示。这种防火墙的 特点是主机路由功能被禁止，两个网络之间的通信通过应用层代理服务来完成。 囤2 5 1 1 双重宿主主机体系结构 四川大学颐士论文联动防火墙的入侵检铡系统的设计与实现 2 5 2 屏蔽主机体系结构 屏蔽主机防火墙由包过滤路由器和堡垒主机组成，其配置如图2 5 2 1 所示。 在这种方式的防火墙中，堡垒主机安装在内部网络上，通常在路由器上设立过 滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了 内部网络不受未被授权的外部用户的攻击。屏蔽主机防火墙实现了网络层和应 用层的安全，因而比单独的包过滤或应用网关代理跟安全。在这一方式下，过 滤路由器是否配置正确是这种防火墙安全与否的关键，如果路由表遭到破坏， 堡垒主机就可能被越过，使内部网完全暴露。 2 5 3 屏蔽子网体系结构 图2 5 2 1 屏蔽主机体系结构 屏蔽子网防火墙的配置如图2 5 3 1 所示，此种方式采用了两个包过滤路由 器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非军 事区( d e m i l i t a r i z e dz o n e ) 网络，有时也称作周边网( p e r i m e t e r n e t w o r k ) 。网络 管理员将堡垒主机、w e b 服务器、e m a i l 服务器等公用服务器放在非军事区网 四j i i 大学硕士论文联动防火墙的入侵检测系统的设计与实现 络中。内部网络和外部网络均可访问屏蔽子网，但禁止他们穿过屏蔽子网通信。 在这一配置中，即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器 的保护。 图2 5 3 1 屏蔽予网体系结构 1 6 匹qjj l 大学硕士论文联动舫火墙的入侵检测系统的设计与实现 入侵检测的相关理论知识 3 1 入侵检测的概念和工作原理 入侵检测是对防火墙极其有益的补充，能够帮助网络系统快速发现网络攻 击的发生，扩展了系统管理员的安全管理能力( 包括安全审计、监视、进攻识 别和响应) ，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干 关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和 遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响 网络性能附隋况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操 作的实时保护。 在本质上，入侵检测系统是一个典型的”窥探设备”。它不跨接多个物理网 段，无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的 报文即可。对收集来的报文，入侵检测系统提取相应的流量统计特征值，并利 用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀 值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的 配置进行报警或进行有限度的反击。入侵检测系统的原理模型如图3 1 1 所示。 _ 、j j、 j ；j ： ， ，j 物 理 链 路 图3 1 1 入侵检测系统通过监听获得网络连路上流量的拷贝 1 7 四川大学硕士论文联动防火墙的入侵检测系统的设计与实王见 3 2 入侵检测系统的功能及模型 一个合格的入侵检测系统能大大简化安全管理员的工作，保证网络安全的 运行。具体说来，入侵检测系统的主要功能有以下几点： 监测并分析用户和系统的活动 核查系统配置和漏洞 评估系统关键资源和数据文件的完整性 识