內(nèi)部網(wǎng)絡(luò)安全中防火墻系統(tǒng)的改進

摘要：提出了把分布式防火墻系統(tǒng)和分布式入侵檢測系統(tǒng)結(jié)合在一起的安金防御系統(tǒng)。

關(guān)鍵詞：分布式防火墻 分布式入侵檢測系統(tǒng) 網(wǎng)絡(luò)安全

中圖分類號：TP393.08 文獻標(biāo)識碼：A 文章編號：1002－2422(2008)04－0030－02

1 分布式防火墻技術(shù)

1.1 主防火墻

放于內(nèi)網(wǎng)與外網(wǎng)的交界處，對流經(jīng)的數(shù)據(jù)進行過濾，可以防范絕大多數(shù)的外部攻擊。主防火墻在制定安全策略時，不必配置最高的安全保護措施，而是提供最高的性能。

1.2 主機防火墻

主機防火墻放在內(nèi)網(wǎng)中比較重要的主機或服務(wù)器前面，由于默認的安全策略是主機以外的網(wǎng)絡(luò)，不管處在內(nèi)部網(wǎng)還是外部網(wǎng)都認為是不可信任的，因此可以根據(jù)主機上運行的具體應(yīng)用和對外提供的特定服務(wù)設(shè)定針對性很強的安全策略。其不僅可以防止攻擊，還可以對輸出數(shù)據(jù)進行加密，對輸入數(shù)據(jù)進行解密，對連接進行認證，為主機提供多方面的綜合保護屏障。

1.3 中央控制平臺

主防火墻和各主機防火墻的安全策略的管理和分發(fā)是由中央控制平臺來完成的。中央控制平臺可以與每臺防火墻進行相互認證，并建立加密的安全通道，然后將根據(jù)防火墻的安全需求而配置的安全策略分發(fā)到防火墻上。

2 分布式入侵檢測技術(shù)

2.1 基于主機的入侵檢測系統(tǒng)

基于主機的入侵檢測系統(tǒng)(HIDS)通常以系統(tǒng)日志、應(yīng)用程序日志等審計記錄文件作為數(shù)據(jù)源。主要功能有：(1)能夠確定攻擊是否成功；(2)近實時的檢測和響應(yīng)；(3)可監(jiān)視特定的系統(tǒng)行為。

2.2 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)以原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。是利用網(wǎng)絡(luò)適配器來實時地監(jiān)視并分析通過網(wǎng)絡(luò)進行傳輸?shù)乃型ㄐ艠I(yè)務(wù)的。其攻擊識別模塊在進行攻擊簽名識別時常用技術(shù)有：(1)模式、表達式或字節(jié)碼的匹配；(2)頻率或閾值的比較；(3)事件相關(guān)性處理；(4)異常統(tǒng)計檢測。

一旦檢測到攻擊，IDS的響應(yīng)模塊通過通知、報警以及中斷連接等方式來對攻擊行為做出反應(yīng)。由于基于網(wǎng)絡(luò)的IDS對整個網(wǎng)絡(luò)的數(shù)據(jù)流進行分析，因此能檢測到一些基于主機的IDS無法檢測到的入侵，為中央控制平臺從宏觀上制定安全策略提供了很好的依據(jù)。

3 系統(tǒng)的實現(xiàn)

3.1 系統(tǒng)設(shè)計

改進后的整個系統(tǒng)主要由主防火墻、主機防火墻、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)、基于主機的入侵檢測系統(tǒng)、信息數(shù)據(jù)庫和中央控制平臺組成。

整個系統(tǒng)通過主防火墻與Internet相連，網(wǎng)絡(luò)中心的主防火墻放置在網(wǎng)絡(luò)的入口邊界處，通過設(shè)置必要的安全訪問控制策略來保證內(nèi)部校園網(wǎng)絡(luò)的安全，防范絕大部分的外部攻擊。在主防火墻后面是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，對整個網(wǎng)絡(luò)的數(shù)據(jù)包進行監(jiān)視和分析。

由于網(wǎng)絡(luò)中心的DNS、E-mail、Web、Ftp等服務(wù)器是重要的資源，要進行特別的保護，因此，在這些重要主機的前面，都加有一個主機防火墻和基于主機的入侵檢測系統(tǒng)，避免了來自內(nèi)部的攻擊。

同時，內(nèi)部網(wǎng)使用內(nèi)部地址，經(jīng)主防火墻完成對校園網(wǎng)的地址轉(zhuǎn)換。每個模塊都與中央控制平臺和信息數(shù)據(jù)庫相連，各模塊把信息反饋給信息數(shù)據(jù)庫，并由中央控制平臺統(tǒng)一管理。

主防火墻和主機防火墻構(gòu)成了分布式防火墻，基于網(wǎng)絡(luò)的IDS和基于主機的IDS構(gòu)成了分布式IDS。這樣，一個由防火墻進行訪問控制，入侵檢測系統(tǒng)檢測入侵行為并反饋入侵信息，中央控制平臺對各模塊統(tǒng)一管理和配置的、立體的、多層次的防御系統(tǒng)就形成了。

3.2 系統(tǒng)的工作模式

系統(tǒng)采用集中控制管理的模式進行工作。

一方面，中央控制平臺根據(jù)網(wǎng)絡(luò)中各個模塊的安全需求制定安全策略，再將這些策略分發(fā)到各個模塊執(zhí)行；另一方面，各個模塊將信息傳到信息數(shù)據(jù)庫，信息數(shù)據(jù)庫對這些信息進行預(yù)處理，形成統(tǒng)一的格式再傳遞給中央控制平臺。中央控制平臺對數(shù)據(jù)進行綜合分析，從而能發(fā)現(xiàn)一些單機無法檢測到的入侵，當(dāng)確定入侵危害較大時，可及時采取措施，如，修改防火墻的配置、屏蔽未被入侵的主機、記錄入侵過程、收集入侵證據(jù)等。

主防火墻放在內(nèi)部網(wǎng)和外部網(wǎng)之間，監(jiān)測、限制、更改通過的數(shù)據(jù)流，對外屏蔽內(nèi)部網(wǎng)的信息、結(jié)構(gòu)和運行狀況，以防止發(fā)生網(wǎng)絡(luò)入侵或攻擊，實現(xiàn)對內(nèi)部網(wǎng)的安全保護。主機防火墻放在內(nèi)部網(wǎng)需要重點保護的主機上，可以為每臺主機設(shè)置一套單獨的規(guī)則，既解決了單一防火墻的安全策略無法滿足每臺主機的安全需求問題，又可以減輕主防火墻的工作量，提高了整個網(wǎng)絡(luò)的性能，同時通過對主機防火墻的設(shè)置，可對不同的內(nèi)部用戶賦予不同的訪問權(quán)限，防止來自內(nèi)部的攻擊，從而大大提高系統(tǒng)的安全性。

基于網(wǎng)絡(luò)的IDS監(jiān)視所負責(zé)網(wǎng)段的數(shù)據(jù)流，當(dāng)發(fā)現(xiàn)有入侵時，其響應(yīng)模塊一方面采取適當(dāng)?shù)姆烙胧环矫婕皶r通知中央控制平臺，由中央控制平臺做進一步的處理。基于主機的IDS通過比較審計主機的系統(tǒng)日志、應(yīng)用程序日志，當(dāng)發(fā)現(xiàn)有入侵時，檢測系統(tǒng)就向中央控制平臺發(fā)出入侵報警并采取相應(yīng)的行動。

4 結(jié)束語

提出了分布式入侵檢測系統(tǒng)與分布式防火墻系統(tǒng)相結(jié)合的安全系統(tǒng)，比單一的防火墻綜合安全性能高很多，能夠有效地防止惡性攻擊、防止IP欺騙、漏洞掃描等入侵行為，能夠有效地防范內(nèi)部攻擊，解決了傳統(tǒng)防火墻的痼疾。