鄧瑩

華僑大學(xué)廈門工學(xué)院計算機科學(xué)與工程系 福建 361021

0 引言

近年來，隨著Internet技術(shù)的發(fā)展，網(wǎng)絡(luò)服務(wù)日益普及。基于互聯(lián)網(wǎng)的視頻會議、在線點播、電子商務(wù)等活動都能有效得以實現(xiàn)。人們對互聯(lián)網(wǎng)的依賴性日益加強，但與此同時網(wǎng)絡(luò)的安全問題也日益突出，如何采取有效安全措施，使網(wǎng)絡(luò)免受黑客、病毒和其他不良意圖的攻擊，以確保網(wǎng)絡(luò)的安全就顯得格外重要。目前防火墻(Firewall)、被公認(rèn)為是防止攻擊的主要措施。但是近年來黑客技術(shù)呈現(xiàn)出一些新的特點：攻擊過程自動化、攻擊工具智能化、攻擊行為多元化、攻擊組織集團化等。這使得我們通常認(rèn)為安全級別很高的防火墻也常常顯得無奈。因為黑客技術(shù)中已經(jīng)存在一些完全能夠繞過典型防火墻配置的技術(shù)，如 IPP(the Internet Printing Protocol)和WebDAV(Web-based Distributed Authoring and Versioning)。很顯然單一的網(wǎng)絡(luò)安全措施無法保障網(wǎng)絡(luò)的安全，構(gòu)建多種網(wǎng)絡(luò)安全產(chǎn)品的聯(lián)動成為網(wǎng)絡(luò)安全技術(shù)發(fā)展的必然趨勢。基于此筆者研究了基于 SNMP的入侵檢測(IDS)與防火墻(Firewall)的聯(lián)動機制，并在校園網(wǎng)環(huán)境下進行了實驗仿真。

1 Firewall簡介

防火墻(Firewall)技術(shù)是古代中世紀(jì)安全設(shè)施(城堡周圍挖一條很深的護城河)的現(xiàn)代數(shù)字改編版。在現(xiàn)代的網(wǎng)絡(luò)環(huán)境下，防火墻就是在可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一個緩沖；也是一個防范從其它網(wǎng)絡(luò)發(fā)起攻擊的屏障。防火墻通?？梢苑譃椋喊^濾型防火墻、應(yīng)用層代理和狀態(tài)檢查防火墻。防火墻的基本功能是對網(wǎng)絡(luò)通信進行篩選屏蔽以防未經(jīng)授權(quán)的訪問進出計算機網(wǎng)絡(luò)。目前，防火墻雖然是公認(rèn)的保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但它也存在一些缺陷和不足，主要表現(xiàn)如下：

(1)防范盲點：防火墻對來自內(nèi)部的安全威脅不具備防范能力；防火墻將檢查點設(shè)立在一個“可信子網(wǎng)”的入口處，來自子網(wǎng)內(nèi)部任何主機的攻擊都將成為該防火墻的盲點；

(2)防火墻很難靈活地控制通過它的信息流：防火墻是嚴(yán)格按照管理員定義的過濾規(guī)則對進出的數(shù)據(jù)流實施過濾篩選，自身無法根據(jù)實際情況靈活地調(diào)整；

(3)配置復(fù)雜：內(nèi)網(wǎng)中待保護的主機或者資源越多，就要設(shè)置更多的安全檢查點，即防火墻需要配置更加安全可靠的訪問規(guī)則。

2 IDS簡介

入侵檢測系統(tǒng)(Intrusion Detection System，IDS)，用于檢測入侵行為。它通過對以下關(guān)鍵信息(安全日志、審計數(shù)據(jù)、網(wǎng)絡(luò)行為、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息)的收集和分析，對網(wǎng)絡(luò)或系統(tǒng)中是否存在與安全規(guī)則相悖的行為和被攻擊的跡象做出判斷。IDS是一種集檢測、記錄、報警、響應(yīng)于一體的動態(tài)安全技術(shù)，屬于一種積極主動的安全防護工具。IDS所采用的技術(shù)主要包括兩種：特征檢測(Signature-based detection)和異常檢測(Anomalydetection)。特征檢測是用一種模式來表示入侵活動，旨在檢測入侵者的活動是否與這些模式匹配。異常檢測則是提出一種假設(shè)，假設(shè)入侵活動有別于正常主體的活動。根據(jù)這一假設(shè)建立主體正?；顒拥摹盎顒雍啓n”，將當(dāng)前主體的活動狀況與“活動簡檔”相比較，當(dāng)發(fā)現(xiàn)違反其統(tǒng)計規(guī)律時，認(rèn)為該活動可能是“入侵”行為。顯然，如果能將IDS與防火墻這兩種安全措施聯(lián)合起來，將能有效的彌補防火墻的不足，大大提高網(wǎng)絡(luò)的安全性。

3 Firewall與IDS聯(lián)動

目前，實現(xiàn)IDS和Firewall的聯(lián)動一般有三種方式：

(1)嵌入聯(lián)動方式：實際上是把IDS和防火墻合成到一起，即在防火墻中嵌入IDS。IDS從流經(jīng)防火墻的數(shù)據(jù)流中提取數(shù)據(jù)包，這些數(shù)據(jù)包不僅要受到防火墻過濾規(guī)則的篩選驗證，還要得到IDS的判斷以確定其是否帶有攻擊性，最終實現(xiàn)真正的實時阻斷。

(2)開放接口聯(lián)動方式：即防火墻或者IDS為對方提供一個開放的接口，雙方之間的通信遵循固定的協(xié)議格式、警報和傳輸，實現(xiàn)雙方間安全事件的傳輸。目前開放接口是主要的聯(lián)動方式，通常由安全廠家提供IDS的開放接口，供各個設(shè)計、研發(fā)防火墻產(chǎn)品的廠家使用，該方式旨在保障防火墻和入侵檢測系統(tǒng)的性能的前提下，靈活實現(xiàn)雙方之間的交互。

(3)端口映像聯(lián)動方式：防火墻將網(wǎng)絡(luò)中指定的一部分流量映像到入侵檢測系統(tǒng)，入侵檢測系統(tǒng)在處理完后將最終結(jié)果告知防火墻，防火墻修改調(diào)整相應(yīng)的安全策略。

4 聯(lián)動實現(xiàn)機制

IETF 的 SNMP(Simple Network Management Protocol)是目前網(wǎng)絡(luò)管理中常用的方案，它采用傳統(tǒng)的基于C/S 計算模式。SNMP屬于應(yīng)用層協(xié)議、是TCP／IP協(xié)議族的一部分，通過用戶數(shù)據(jù)報協(xié)議(UDP)來操作，隨著TCP／IP成為事實上的協(xié)議標(biāo)準(zhǔn)而廣泛被使用。自1988年以來SNMP已有三個主版本，即SNMPv1，SNMPv2和SNMPv3。其中SNMPv2e使用最為廣泛。管理節(jié)點、網(wǎng)管站和SNMP Agent共同構(gòu)成了SNMP模型，其中網(wǎng)管站主要負(fù)責(zé)網(wǎng)絡(luò)計算，它采用了集中式管理模式。SNMP網(wǎng)絡(luò)管理結(jié)構(gòu)模型如圖1所示。

圖1 SNMP網(wǎng)絡(luò)管理結(jié)構(gòu)模型

圖1中整個模型體系的核心是網(wǎng)管站，通常在網(wǎng)管站中運行的主要是管理進程，管理進程協(xié)助網(wǎng)管站與 SNMP Agent(位于管理節(jié)點內(nèi))之間的通信，包括發(fā)送命令、接收應(yīng)答信號等。構(gòu)成管理節(jié)點的設(shè)備范疇較為寬泛，通常包括：路由器、主機、打印機以及任何可以與外界互換狀態(tài)信息的設(shè)備。為了保障管理節(jié)點和網(wǎng)管站之間的通信，管理節(jié)點內(nèi)必須具有運行SNMP Agent的環(huán)境，該環(huán)境包含一個Local Database，用以保存SNMP Agent的狀態(tài)、歷史等信息，以確保SNMP Agent的運行正常。在該模型體系內(nèi)所有設(shè)備都可以使用一組統(tǒng)稱為對象的狀態(tài)變量來對其描述，它們都被保存在MIB中，這些變量僅包含狀態(tài)，而不包含方法(讀和寫除外)，有別于面向?qū)ο笾械膶ο蟆＞W(wǎng)管站與SNMP Agent之間的通信采用的是SNMP協(xié)議，通過查詢——應(yīng)答的方式來實現(xiàn)二者間的通信。網(wǎng)管站使用SNMP協(xié)議可以方便地查詢、更新 SNMP Agent的本地對象狀態(tài)，并且可以通過SNMPGetRequest，GetNextRequest，SetRequest，GetResponse，Trap等操作獲得和設(shè)置管理節(jié)點的參數(shù)值。

基于以上SNMP網(wǎng)絡(luò)管理結(jié)構(gòu)模型的特點，我們可以在管理節(jié)點中預(yù)先設(shè)置好 MIB變量來存儲包過濾規(guī)則及其他狀態(tài)變量，這樣管理節(jié)點中的 SNMP Agent能夠直接讀取SNMP命令，再通過加載模塊完成對實際的防火墻狀態(tài)的操作。具體編程時可以直接使用管理節(jié)點上的SNMP接口，如果管理節(jié)點本身不提供SNMP接口，則必須借助SNMP工具包開發(fā)。目前網(wǎng)絡(luò)上有很多開發(fā)SNMP的工具包，最著名的是公開源碼的 NET—SNMP開發(fā)包，這些開發(fā)包提供Windows和Linux等不同操作系統(tǒng)下的SNMP Agent，大多數(shù)只支持 SNMP v1，SNMP v2c(community string-based)，SNMPv2u(user-based)和SNMPv3協(xié)議所采用的報文格式。SNMP接口實現(xiàn)后，防火墻就可以通過它與IDS通信了。當(dāng)黑客從外部入侵網(wǎng)絡(luò)時候，首先要經(jīng)過防火墻，一部分入侵由于違反防火墻的安全規(guī)則就被隔離在外，但是可能有一部分入侵會繞過防火墻或者干脆是來自于內(nèi)部網(wǎng)絡(luò)客戶的攻擊會穿過防火墻，這些攻擊盡管僥幸逃脫但仍會受到IDS的盤查，經(jīng)IDS預(yù)處理模塊分檢后，再被送到相應(yīng)的模塊中做進一步檢測。通過對規(guī)則樹的掃描，如果IDS檢測到與規(guī)則庫中攻擊特征相符的數(shù)據(jù)包存在，則立即阻斷來自于該 IP 的訪問請求或者發(fā)出警報，并向Firewall發(fā)送的SNMP命令通知其添加或修改新的安全規(guī)則，F(xiàn)irewall處理完畢后向IDS發(fā)出相應(yīng)的SNMP應(yīng)答信號、告知IDS防火墻規(guī)則的修改是否成功。IDS與Firewall聯(lián)動模型如圖2所示。

圖2 IDS與Firewall聯(lián)動模型

5 IDS與Firewall的聯(lián)動實驗

為了驗證IDS與Firewall聯(lián)動對攻擊阻斷的有效性，筆者在校園網(wǎng)實驗室環(huán)境下模擬IDS與Firewall聯(lián)動模型進行了仿真。實驗采用了銳捷網(wǎng)絡(luò)安全系列產(chǎn)品RG-IDS入侵檢測系統(tǒng)與RG-WALL防火墻進行聯(lián)動實驗。RG-IDS采用多層分布式體系結(jié)構(gòu)，由五部分程序組件組成：控制臺、EC(事件收集器)、LogServer(數(shù)據(jù)服務(wù)器)、Sensor(傳感器)、報表和查詢工具。RG-IDS采用基于狀態(tài)的應(yīng)用層協(xié)議分析技術(shù)，極大地提高了檢測效率和準(zhǔn)確性。RG-WALL采用銳捷網(wǎng)絡(luò)獨創(chuàng)的分類算法(Classification Algorithm)設(shè)計，支持?jǐn)U展的狀態(tài)檢測(Stateful Inspection)技術(shù)，具備高性能的網(wǎng)絡(luò)傳輸功能；同時在啟用動態(tài)端口應(yīng)用程序(如VoIP,H323等)時，可提供強有力的安全信道。

聯(lián)動仿真采取在實驗室出口上分別部署了 RG-WALL(RG-WALL設(shè)置為透明工作方式)、RG-IDS檢測引擎和RG-IDS控制臺，實驗配置了3部交換機A、B、C，其中交換機B、C均支持端口鏡像功能。通過交換機B的網(wǎng)口2以及交換機C的網(wǎng)口3的流量全部鏡像到交換機A的端口1。主機A模擬入侵者對主機B實施攻擊，RG-IDS檢測引擎負(fù)責(zé)檢測網(wǎng)絡(luò)中的攻擊和惡意流量，然后通過 SSH與RG-WALL通訊，將攻擊源地址、目的地址、源端口、目的端口、協(xié)議等信息發(fā)送給 RG-WALL，RG-WALL根據(jù)這些信息采取相應(yīng)的阻斷措施，將攻擊阻斷在網(wǎng)絡(luò)之外，充分保護網(wǎng)絡(luò)安全。RG-IDS與RG-WALL防火墻聯(lián)動的拓?fù)浣Y(jié)構(gòu)如圖3所示。

圖3 RG-IDS與RG-WALL聯(lián)動拓?fù)浣Y(jié)構(gòu)

實驗室各網(wǎng)絡(luò)部件的IP地址設(shè)定如表1所示。

表1 RG-IDS與RG-WALL聯(lián)動實驗IP地址分配表

實驗仿真過程：通過主機 A(入侵者)向主機 B(受害者)發(fā)送內(nèi)容為“Ping You Death！”的ICMP報文，報文被IDS檢測到并將事件的信息通過 SSH發(fā)送給 RG-WALL，RG-WALL根據(jù) RG-IDS發(fā)送的攻擊事件信息自動生成響應(yīng)規(guī)則，阻斷主機A和B之間通信。效果如圖4所示。

RG-WALL收到 RG-IDS發(fā)送的攻擊事件信息后將在安全規(guī)則表中寫入過濾規(guī)則阻斷主機 A到主機 B的通信，RG-WALL的阻斷規(guī)則如圖5所示。

圖5 RG-WALL的阻斷規(guī)則表

之后主機A再試圖連接主機B都將返回連接失敗。由以上仿真實驗不難得出結(jié)論，網(wǎng)絡(luò)采用防火墻與入侵檢測聯(lián)動的安全機制，可以很好的彌補防火墻的不足，網(wǎng)絡(luò)的安全性在一定程度上得到了改善。

6 結(jié)論

網(wǎng)絡(luò)采用IDS與Firewall聯(lián)動的安全機制對于提升網(wǎng)絡(luò)安全性有積極的意義。但是這種機制并非無懈可擊，其中信息傳遞通道的安全性就很關(guān)鍵，F(xiàn)irewall與IDS在產(chǎn)品安全策略規(guī)則方面還缺乏國際化的統(tǒng)一標(biāo)準(zhǔn)，如何選取時間來平衡Firewall與IDS負(fù)載還有待解決。因為安全永遠是相對的。如果某個用戶連續(xù)ping服務(wù)器十多分鐘，那么IDS又該如何判定用戶行為是惡意攻擊還是無意行為呢？這還需要網(wǎng)絡(luò)管理員的主觀判斷以及網(wǎng)絡(luò)對安全性的要求來確定如何應(yīng)對。說到底網(wǎng)絡(luò)安全和人、防火墻、IDS等各種安全產(chǎn)品都有著密切的關(guān)聯(lián)，忽略其中任何一個因素都會給網(wǎng)絡(luò)安全造成威脅。

[1]AndrewS.Tanenbaum,潘愛民．Computer Networks Fourth Edition[M].北京:清華大學(xué)出版社.2004.

[2]KeithE.Strassberg,Richard J.Gondek,Gary Rollie.Firewalls The Complete Reference[M].北京:機械工業(yè)出版社.2003.

[3]Steve Waldbusser.Net-SNMP projcot[EB／OL].http：／www.net-snip.org.2004.

[4]唐勇.基于 SNMP的流量監(jiān)控系統(tǒng)[J].重慶工商大學(xué)學(xué)報.2005.

[5]楊家海,任憲坤,王沛瑜.網(wǎng)絡(luò)管理原理與實現(xiàn)技術(shù)[M].北京:清華大學(xué)出版社.2000.

[6]Mark A,Miller PE,晏明峰,譯.用SNMP管理互聯(lián)網(wǎng)絡(luò)[M].北京:中國水利水電出版社.2001.

[7]Stallings W.胡成松譯.SNMP網(wǎng)絡(luò)管理[M].北京:中國電力出版社.2001.

[8]余元輝.基于SNMP協(xié)議的NFDS的研究與應(yīng)用[J].河南大學(xué)學(xué)報(自然科學(xué)版).2008.

[9]黃磊.基于SNMP的網(wǎng)絡(luò)安全模塊的研究[J].現(xiàn)代電子技術(shù).2005.