王伍柒 汪靜 丁曉梅

摘要：網(wǎng)絡(luò)安全防護(hù)應(yīng)當(dāng)采取一種積極、主動(dòng)、動(dòng)態(tài)的防護(hù)措施，該文通過防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)機(jī)制，充分發(fā)揮各自的優(yōu)長(zhǎng)之處，增強(qiáng)網(wǎng)絡(luò)安全整體防御能力，探索構(gòu)建網(wǎng)絡(luò)安全立體防護(hù)新技術(shù)。

關(guān)鍵詞：防火墻；入侵檢測(cè)系統(tǒng)；拒絕服務(wù)攻擊；聯(lián)動(dòng)機(jī)制

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）22-5201-03

1 網(wǎng)絡(luò)安全現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)推動(dòng)人類文明和社會(huì)進(jìn)步的同時(shí)，帶來的安全問題也日益嚴(yán)重。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)既有網(wǎng)絡(luò)技術(shù)不完善的因素，也有來自于社會(huì)的因素。

目前廣泛使用的IPv4協(xié)議缺乏安全性的機(jī)制，不能對(duì)網(wǎng)絡(luò)數(shù)據(jù)包加密，數(shù)據(jù)的完整性、源或目的地址真實(shí)性缺乏有效的驗(yàn)證機(jī)制，網(wǎng)絡(luò)協(xié)議的缺陷為網(wǎng)絡(luò)攻擊者提供了入侵的可能。計(jì)算機(jī)系統(tǒng)存在諸多的安全漏洞，是網(wǎng)絡(luò)系統(tǒng)脆弱性（vulnerability）的外在表，根本原因是人類認(rèn)識(shí)自然和改造世界過程中自身能力的限制。

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，通過網(wǎng)絡(luò)傳輸重要數(shù)據(jù)或存儲(chǔ)在網(wǎng)絡(luò)結(jié)點(diǎn)中機(jī)密信息越來越豐富，如何獲取這些信息和數(shù)據(jù)成為網(wǎng)絡(luò)入侵者趨之若鶩的根本原因，尤其的互聯(lián)網(wǎng)中實(shí)時(shí)監(jiān)控，防止受到內(nèi)網(wǎng)和外網(wǎng)的攻擊，成為各國(guó)網(wǎng)絡(luò)安全防護(hù)的近切需要。目前，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)并沒有有效阻止網(wǎng)絡(luò)攻擊，近期美國(guó)“棱鏡門”竊聽丑聞一次次的刺痛全球的神精。

2 網(wǎng)絡(luò)安全威脅的類型

網(wǎng)絡(luò)安全威脅有來自網(wǎng)絡(luò)操作系統(tǒng)和各種應(yīng)用軟件的漏洞，網(wǎng)絡(luò)協(xié)議的不完善，人為的攻擊和管理上的缺失等。

1） 破壞可用性的攻擊

主要包括利用網(wǎng)絡(luò)協(xié)議不足以及和應(yīng)用軟件弱點(diǎn)發(fā)起的網(wǎng)絡(luò)攻擊，如將攻擊信息分散到IPv4協(xié)議分片的數(shù)據(jù)包中，使包過濾防火墻誤認(rèn)為是合法的數(shù)據(jù)包；通過SQL注入式攻擊使信息系統(tǒng)拒絕合法的數(shù)據(jù)服務(wù)請(qǐng)求等。

2） 非法獲取控制權(quán)或使用權(quán)

網(wǎng)絡(luò)攻擊者利用系統(tǒng)漏洞，非法竊取用戶權(quán)限后，刪除或篡改用戶文件，假冒合法用戶竊取機(jī)密信息，發(fā)動(dòng)拒絕服務(wù)攻擊，監(jiān)聽合法網(wǎng)絡(luò)用戶的一舉一動(dòng)。

3） 利用惡意軟件發(fā)起的間接攻擊

此類攻擊具有隱蔽性好不易被發(fā)現(xiàn)的特點(diǎn)，且大都自動(dòng)傳播，速度快，范圍廣，危害更大，近年來成為網(wǎng)絡(luò)入侵的主要形式。惡意軟件的類型五花八門，其中具有代表性的軟件有計(jì)算機(jī)病毒、蠕蟲、特洛伊木馬等。

4） 來自內(nèi)網(wǎng)的安全威脅

根據(jù)調(diào)查表明，當(dāng)前網(wǎng)絡(luò)安全威脅70%以上來自網(wǎng)絡(luò)內(nèi)部。內(nèi)網(wǎng)的安全威脅產(chǎn)生的原因很多，如單位管理制度混亂造成網(wǎng)絡(luò)資源濫用、對(duì)內(nèi)網(wǎng)安全管理環(huán)節(jié)不夠重視及制度執(zhí)行不嚴(yán)、個(gè)別員工的惡意行為、內(nèi)部用戶的誤操作、內(nèi)部網(wǎng)絡(luò)使用人員的安全意識(shí)淡泊等。

3 傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)

防火墻作為被動(dòng)的防范技術(shù)能有效阻止來自外網(wǎng)的入侵和攻擊，是目前企事業(yè)單位中應(yīng)用最為廣泛的網(wǎng)絡(luò)安全防護(hù)技術(shù)，但是隨著網(wǎng)絡(luò)攻擊手段的多樣性攻擊技術(shù)的復(fù)雜性，單一的防火墻防護(hù)技術(shù)顯得十分單薄。

1） 防火墻位于網(wǎng)絡(luò)的邊界，只能對(duì)來自網(wǎng)絡(luò)的攻擊作出響應(yīng)，無法阻止來自內(nèi)部網(wǎng)絡(luò)的攻擊，如內(nèi)部人員機(jī)密信息的泄漏。

2） 防火墻的過濾規(guī)則是網(wǎng)絡(luò)管理者預(yù)先設(shè)定好的，不能對(duì)信息過濾規(guī)則進(jìn)行動(dòng)態(tài)的調(diào)整，靈活性較差。如果過濾規(guī)則定義得過于嚴(yán)格，網(wǎng)絡(luò)的互通性產(chǎn)生較大的影響；規(guī)則定義過于寬松，則對(duì)網(wǎng)絡(luò)攻擊行為或攻擊事件又不能有效地法檢測(cè)，因此，防火墻缺乏動(dòng)態(tài)自我調(diào)整性，是一種被動(dòng)靜目地網(wǎng)絡(luò)安全防御措施。

3） 防火墻缺乏日志審記功能，對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊行為不能有效地調(diào)查取證，無法威懾網(wǎng)絡(luò)罪犯行為，例如Ddos攻擊。

入侵檢測(cè)是對(duì)潛在的有預(yù)謀的未經(jīng)授權(quán)的訪問信息、操作信息的監(jiān)視，以及對(duì)系統(tǒng)不可靠、不穩(wěn)定或無法使用的企圖的監(jiān)視。入侵檢測(cè)是新一代的安全保障技術(shù)，是對(duì)安全保護(hù)采取的是一種積極、主動(dòng)的防御策略。一旦發(fā)現(xiàn)訪問者對(duì)系統(tǒng)進(jìn)行非法的操作，入侵檢測(cè)系統(tǒng)就會(huì)向系統(tǒng)管理員發(fā)出警報(bào)，或者自動(dòng)截?cái)嗯c入侵者的連接，確保被保護(hù)信息系統(tǒng)安全、正常、持續(xù)的運(yùn)行。

入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）是指入侵檢測(cè)的軟件與硬件的組合，它是一種積極主動(dòng)的網(wǎng)絡(luò)安全防護(hù)措施，能夠?qū)崟r(shí)捕獲流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包，并對(duì)其進(jìn)行入侵分析和檢測(cè)，當(dāng)發(fā)現(xiàn)可能存在的安全威脅時(shí)，即時(shí)發(fā)出報(bào)警信息，或主動(dòng)切斷與攻擊源的連接。如果將防火墻和入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)聯(lián)動(dòng)，那么網(wǎng)絡(luò)系統(tǒng)的安全性就大大提高了，但是兩者聯(lián)動(dòng)機(jī)制實(shí)現(xiàn)的應(yīng)用研究，目前國(guó)內(nèi)還比較少。

4 防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的實(shí)現(xiàn)

防火墻不識(shí)別網(wǎng)絡(luò)流量，只要經(jīng)過合法通道的網(wǎng)絡(luò)攻擊，都不能有效的識(shí)別；入侵檢測(cè)系統(tǒng)自身極易受到拒絕服務(wù)攻擊，在網(wǎng)絡(luò)阻塞時(shí)性能下降較為突出，而且入侵檢測(cè)系統(tǒng)對(duì)攻擊的抵抗控制力不強(qiáng)，對(duì)攻擊源的處理方式較為單一。若兩者實(shí)現(xiàn)聯(lián)動(dòng)，不但可以克服各自的不足，而且提高網(wǎng)絡(luò)防護(hù)的能力，防火墻側(cè)重于訪問控制，入侵檢測(cè)系統(tǒng)側(cè)重于主動(dòng)發(fā)現(xiàn)入侵信息。

防火墻與入侵檢測(cè)系統(tǒng)相結(jié)合，能夠使網(wǎng)絡(luò)受到攻擊的危害大大降低。當(dāng)攻擊者對(duì)受保護(hù)網(wǎng)絡(luò)發(fā)動(dòng)攻擊時(shí)，入侵檢測(cè)系統(tǒng)通過數(shù)據(jù)采集單元，獲取流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包，調(diào)用入侵檢測(cè)引擎對(duì)這些數(shù)據(jù)包進(jìn)行分析，如果檢測(cè)到存在入侵攻擊行為或可疑連接等異常事件時(shí)，入侵檢測(cè)系統(tǒng)通過與防火墻之間的內(nèi)部通信機(jī)制，將受到攻擊的異常事件通知報(bào)文發(fā)送到防火墻，再由防火墻驗(yàn)證后生成動(dòng)態(tài)規(guī)則，防火墻以默認(rèn)拒絕的工作方式實(shí)現(xiàn)對(duì)攻擊行為的控制和阻斷。

聯(lián)動(dòng)控制機(jī)制是基于C/S網(wǎng)絡(luò)計(jì)算模式，防火墻端駐留Server程序，入侵檢測(cè)系統(tǒng)駐留Client程序，如果入侵檢測(cè)系統(tǒng)端發(fā)現(xiàn)需要防火墻阻斷的攻擊行為后，入侵檢測(cè)系統(tǒng)產(chǎn)生控制信息后，再發(fā)送至防火墻的，由防火墻動(dòng)態(tài)生成過濾規(guī)則，這樣防火墻就變被動(dòng)為主動(dòng)地?cái)r截網(wǎng)絡(luò)攻擊。聯(lián)動(dòng)機(jī)制還設(shè)置了系統(tǒng)計(jì)時(shí)器，如果防火墻添加的規(guī)則超時(shí)，那么超時(shí)的規(guī)則將自動(dòng)刪除。

1） 控制信息生成模塊

防火墻嚴(yán)格地按照訪問控制規(guī)則進(jìn)行匹配，過濾非法數(shù)據(jù)包。每條訪問控制規(guī)則包括源和目的地址、相應(yīng)的端口號(hào)，協(xié)類的類型，執(zhí)行允許還是拒絕的行為等。如果實(shí)現(xiàn)與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)，則入侵檢測(cè)系統(tǒng)將接收到的入侵檢測(cè)告警信息進(jìn)行整理，生成統(tǒng)一格式的控制信息?？刂菩畔⒖梢愿鶕?jù)系統(tǒng)保密性的要求進(jìn)行加密處理，發(fā)送至防火墻，為防火墻生成控制規(guī)則提供數(shù)據(jù)來源，入侵檢測(cè)系統(tǒng)也可以根據(jù)其檢測(cè)結(jié)果，直接生成防火墻所能識(shí)別的控制規(guī)則。

安全聯(lián)動(dòng)策略并不是一檢測(cè)到入侵攻擊就生成控制規(guī)則，而是按照以下步驟進(jìn)行處理：

① 對(duì)攻擊行為分類

網(wǎng)絡(luò)中受到的攻擊的危害程度，可簡(jiǎn)單劃分為高危攻擊、中等程度的攻擊和一般程度的攻擊。安全聯(lián)動(dòng)策略只對(duì)系統(tǒng)受到高危程度攻擊時(shí)才設(shè)置為聯(lián)動(dòng)，對(duì)于危害不是很嚴(yán)重的一般程度攻擊通過防火墻或入侵檢測(cè)系統(tǒng)獨(dú)立處理即可。聯(lián)動(dòng)策略對(duì)受到的攻擊危害程度設(shè)定過低，可能會(huì)使系統(tǒng)的誤報(bào)率大幅度的提高。

② 設(shè)置阻斷時(shí)間及阻斷方式

入侵檢測(cè)系統(tǒng)生成的告警信息要求簡(jiǎn)明額要，不能對(duì)網(wǎng)絡(luò)帶寬產(chǎn)生較大的影響，同時(shí)又要實(shí)現(xiàn)兩者的安全聯(lián)動(dòng)的目的。所以聯(lián)動(dòng)的策略不但要定義“危險(xiǎn)”的級(jí)別，而且要定義“對(duì)網(wǎng)絡(luò)影響的程度”。

例如，入侵檢測(cè)系統(tǒng)提取出來的控制信息如下：

202.103.68.117/檢測(cè)到的源IP地址/

202.103.68.117/檢測(cè)到的源IP地址/

3624/源端檢測(cè)到的連接端口號(hào)/

8080/目的端檢測(cè)到的連接端口號(hào)/http/協(xié)議類型/

4/定義危險(xiǎn)程度的級(jí)別/

3/定義該攻擊對(duì)網(wǎng)絡(luò)影響的程度/

560/設(shè)置規(guī)則的生存期/

以上格式信息中，其中time表示規(guī)則生存期，超時(shí)將刪除該規(guī)則。這樣，就可以在防火墻中動(dòng)態(tài)的設(shè)置規(guī)則，規(guī)則的格式為“l(fā)evel*scoPe*time*”形式。

2） 通信模塊

聯(lián)動(dòng)機(jī)制的通信模塊采用開放聯(lián)動(dòng)接口來實(shí)現(xiàn)，通信雙方可以事先約定并正確配置對(duì)方IP地址，設(shè)定通信端口，防火墻運(yùn)行服務(wù)器端程序，入侵檢測(cè)系統(tǒng)則運(yùn)行客戶端模程序。具體聯(lián)動(dòng)方式的實(shí)現(xiàn)：在入侵檢測(cè)系統(tǒng)中配置網(wǎng)絡(luò)安全策略，定義入侵行為或入侵攻擊的危險(xiǎn)等級(jí)和危害程度，當(dāng)危險(xiǎn)等級(jí)和危害程度達(dá)到或超過系統(tǒng)設(shè)定的閾值時(shí)，入侵檢測(cè)系統(tǒng)立即向防火墻發(fā)起連接請(qǐng)求，防火墻將根據(jù)上報(bào)的告警信息生成訪問控制規(guī)則，并做出最終的響應(yīng)。

3） 防火墻動(dòng)態(tài)規(guī)則處理模塊

聯(lián)動(dòng)機(jī)制是入侵檢測(cè)系統(tǒng)發(fā)出控制信息到防火墻，并由防火墻確認(rèn)身份認(rèn)證后才能正常受理，不能完成身份認(rèn)證的報(bào)文將直接丟棄，而且，控制信息在傳輸過程中還須以密文發(fā)送。防火墻端在生成動(dòng)態(tài)規(guī)則時(shí)，將為每一條規(guī)則設(shè)置一個(gè)生存期，當(dāng)該規(guī)則超時(shí)末匹配時(shí)，將自動(dòng)刪除。設(shè)置規(guī)則生存期的是為了減輕防火墻的負(fù)擔(dān)，避免防火墻成為網(wǎng)絡(luò)的瓶頸。

防火墻規(guī)則設(shè)置如下：

① 確保防火墻優(yōu)先檢查動(dòng)態(tài)規(guī)則鏈，并自動(dòng)刪除超時(shí)的規(guī)則。

② 當(dāng)動(dòng)態(tài)規(guī)則鏈中的規(guī)則超過上限，此時(shí)又有新的規(guī)則加入時(shí)，那么距離超時(shí)最近的舊規(guī)則將被新的規(guī)則所替換。

③ 采用多線程技術(shù)進(jìn)行規(guī)則匹配，提高檢測(cè)效率。

4） 規(guī)則的審計(jì)分析模塊

防火墻詳細(xì)的記錄添加其中的動(dòng)態(tài)規(guī)則，及時(shí)掌握過濾規(guī)則阻止的訪問條目，分析其中可疑或試圖攻擊的規(guī)則。規(guī)則記錄雖然需要更多的存儲(chǔ)空間，但對(duì)網(wǎng)絡(luò)入侵行為的審計(jì)分析是十分有必要的，同理，便于為網(wǎng)絡(luò)安全管理者以后的日志分析，為入侵行為提供證據(jù)。

5） 聯(lián)動(dòng)策略的改進(jìn)

防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)可使網(wǎng)絡(luò)系統(tǒng)防護(hù)由靜態(tài)上升到動(dòng)態(tài)，由被動(dòng)防護(hù)上升為主動(dòng)防護(hù)，提升了防火墻的機(jī)動(dòng)性，使系統(tǒng)整體防護(hù)能力得到很大的提升。但是，當(dāng)前的入侵檢測(cè)系統(tǒng)還有進(jìn)一步的改進(jìn)措施，兩者的聯(lián)動(dòng)機(jī)制，還需要注意以下幾個(gè)問題：

① 入侵檢測(cè)系統(tǒng)自我完善的過程，網(wǎng)絡(luò)攻擊的隱蔽性，復(fù)雜性需要入侵檢測(cè)系統(tǒng)規(guī)則特征的不斷完善，提高入侵攻擊行為或攻擊事件匹配的準(zhǔn)確性，降低系統(tǒng)的漏報(bào)率和誤報(bào)率。

② 入侵檢測(cè)系統(tǒng)應(yīng)根據(jù)數(shù)據(jù)包的協(xié)議類型抓包、檢測(cè)，提高系統(tǒng)檢測(cè)的速度，使其能夠適應(yīng)現(xiàn)代高速網(wǎng)絡(luò)帶寬的要求。

③ 需要對(duì)兩者聯(lián)動(dòng)的策略進(jìn)一步細(xì)化處理。例如，動(dòng)態(tài)規(guī)則策略的優(yōu)化，聯(lián)動(dòng)系統(tǒng)的協(xié)同機(jī)制等。

④ 聯(lián)動(dòng)機(jī)制如何進(jìn)行任務(wù)的分配，負(fù)載的均衡。例如，入侵檢測(cè)系統(tǒng)和防火墻產(chǎn)生的告警分析處理工作分配網(wǎng)絡(luò)中其他主機(jī)完成，以避免過量的告警信息影響防火墻的處理性能。

5 結(jié)束語

防火墻和入侵檢測(cè)系統(tǒng)都是網(wǎng)絡(luò)安全防護(hù)技術(shù)實(shí)現(xiàn)的基本措施，防火墻是由網(wǎng)絡(luò)管理者預(yù)先設(shè)置的訪問控制規(guī)則，以默認(rèn)拒絕的工作方式防止來自外網(wǎng)絡(luò)的攻擊；入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)監(jiān)控的范圍進(jìn)一步擴(kuò)大，不僅可以防止外網(wǎng)的攻擊，也可以防止來自內(nèi)網(wǎng)的攻擊、內(nèi)網(wǎng)機(jī)密信息的泄露和用戶的誤操作等，相對(duì)防火墻來說，入侵檢測(cè)系統(tǒng)擴(kuò)大了網(wǎng)絡(luò)管理者的管理范圍，如果將入侵檢測(cè)系統(tǒng)和防火墻實(shí)現(xiàn)聯(lián)動(dòng)，那么網(wǎng)絡(luò)安全防護(hù)就可以得到進(jìn)一步的加固，而且聯(lián)動(dòng)機(jī)制在局域網(wǎng)環(huán)境中較易實(shí)現(xiàn)，因此，入侵檢測(cè)系統(tǒng)和防火墻聯(lián)動(dòng)機(jī)制市場(chǎng)前景廣闊。

參考文獻(xiàn)：

[1] 王健. 網(wǎng)絡(luò)安全防護(hù)技術(shù)的研究與實(shí)現(xiàn)[D].成都：四川大學(xué)，2004.

[2] 劉善文，鄭海新，劉健宏，等.網(wǎng)絡(luò)安全立體防護(hù)體系的構(gòu)建[J].計(jì)算機(jī)安全，2009（10）.