基于SNMP的IDS与Firewall联动机制的研究

邓莹

华侨大学厦门工学院计算机科学与工程系 福建 361021

0 引言

近年来，随着Internet技术的发展，网络服务日益普及。基于互联网的视频会议、在线点播、电子商务等活动都能有效得以实现。人们对互联网的依赖性日益加强，但与此同时网络的安全问题也日益突出，如何采取有效安全措施，使网络免受黑客、病毒和其他不良意图的攻击，以确保网络的安全就显得格外重要。目前防火墙(Firewall)、被公认为是防止攻击的主要措施。但是近年来黑客技术呈现出一些新的特点：攻击过程自动化、攻击工具智能化、攻击行为多元化、攻击组织集团化等。这使得我们通常认为安全级别很高的防火墙也常常显得无奈。因为黑客技术中已经存在一些完全能够绕过典型防火墙配置的技术，如 IPP(the Internet Printing Protocol)和WebDAV(Web-based Distributed Authoring and Versioning)。很显然单一的网络安全措施无法保障网络的安全，构建多种网络安全产品的联动成为网络安全技术发展的必然趋势。基于此笔者研究了基于 SNMP的入侵检测(IDS)与防火墙(Firewall)的联动机制，并在校园网环境下进行了实验仿真。

1 Firewall简介

防火墙(Firewall)技术是古代中世纪安全设施(城堡周围挖一条很深的护城河)的现代数字改编版。在现代的网络环境下，防火墙就是在可信网络与不可信网络之间的一个缓冲；也是一个防范从其它网络发起攻击的屏障。防火墙通常可以分为：包过滤型防火墙、应用层代理和状态检查防火墙。防火墙的基本功能是对网络通信进行筛选屏蔽以防未经授权的访问进出计算机网络。目前，防火墙虽然是公认的保护网络免遭黑客袭击的有效手段，但它也存在一些缺陷和不足，主要表现如下：

(1)防范盲点：防火墙对来自内部的安全威胁不具备防范能力；防火墙将检查点设立在一个“可信子网”的入口处，来自子网内部任何主机的攻击都将成为该防火墙的盲点；

(2)防火墙很难灵活地控制通过它的信息流：防火墙是严格按照管理员定义的过滤规则对进出的数据流实施过滤筛选，自身无法根据实际情况灵活地调整；

(3)配置复杂：内网中待保护的主机或者资源越多，就要设置更多的安全检查点，即防火墙需要配置更加安全可靠的访问规则。

2 IDS简介

入侵检测系统(Intrusion Detection System，IDS)，用于检测入侵行为。它通过对以下关键信息(安全日志、审计数据、网络行为、其它网络上可以获得的信息以及计算机系统中若干关键点的信息)的收集和分析，对网络或系统中是否存在与安全规则相悖的行为和被攻击的迹象做出判断。IDS是一种集检测、记录、报警、响应于一体的动态安全技术，属于一种积极主动的安全防护工具。IDS所采用的技术主要包括两种：特征检测(Signature-based detection)和异常检测(Anomalydetection)。特征检测是用一种模式来表示入侵活动，旨在检测入侵者的活动是否与这些模式匹配。异常检测则是提出一种假设，假设入侵活动有别于正常主体的活动。根据这一假设建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当发现违反其统计规律时，认为该活动可能是“入侵”行为。显然，如果能将IDS与防火墙这两种安全措施联合起来，将能有效的弥补防火墙的不足，大大提高网络的安全性。

3 Firewall与IDS联动

目前，实现IDS和Firewall的联动一般有三种方式：

(1)嵌入联动方式：实际上是把IDS和防火墙合成到一起，即在防火墙中嵌入IDS。IDS从流经防火墙的数据流中提取数据包，这些数据包不仅要受到防火墙过滤规则的筛选验证，还要得到IDS的判断以确定其是否带有攻击性，最终实现真正的实时阻断。

(2)开放接口联动方式：即防火墙或者IDS为对方提供一个开放的接口，双方之间的通信遵循固定的协议格式、警报和传输，实现双方间安全事件的传输。目前开放接口是主要的联动方式，通常由安全厂家提供IDS的开放接口，供各个设计、研发防火墙产品的厂家使用，该方式旨在保障防火墙和入侵检测系统的性能的前提下，灵活实现双方之间的交互。

(3)端口映像联动方式：防火墙将网络中指定的一部分流量映像到入侵检测系统，入侵检测系统在处理完后将最终结果告知防火墙，防火墙修改调整相应的安全策略。

4 联动实现机制

IETF 的 SNMP(Simple Network Management Protocol)是目前网络管理中常用的方案，它采用传统的基于C/S 计算模式。SNMP属于应用层协议、是TCP／IP协议族的一部分，通过用户数据报协议(UDP)来操作，随着TCP／IP成为事实上的协议标准而广泛被使用。自1988年以来SNMP已有三个主版本，即SNMPv1，SNMPv2和SNMPv3。其中SNMPv2e使用最为广泛。管理节点、网管站和SNMP Agent共同构成了SNMP模型，其中网管站主要负责网络计算，它采用了集中式管理模式。SNMP网络管理结构模型如图1所示。

图1 SNMP网络管理结构模型

图1中整个模型体系的核心是网管站，通常在网管站中运行的主要是管理进程，管理进程协助网管站与 SNMP Agent(位于管理节点内)之间的通信，包括发送命令、接收应答信号等。构成管理节点的设备范畴较为宽泛，通常包括：路由器、主机、打印机以及任何可以与外界互换状态信息的设备。为了保障管理节点和网管站之间的通信，管理节点内必须具有运行SNMP Agent的环境，该环境包含一个Local Database，用以保存SNMP Agent的状态、历史等信息，以确保SNMP Agent的运行正常。在该模型体系内所有设备都可以使用一组统称为对象的状态变量来对其描述，它们都被保存在MIB中，这些变量仅包含状态，而不包含方法(读和写除外)，有别于面向对象中的对象。网管站与SNMP Agent之间的通信采用的是SNMP协议，通过查询——应答的方式来实现二者间的通信。网管站使用SNMP协议可以方便地查询、更新 SNMP Agent的本地对象状态，并且可以通过SNMPGetRequest，GetNextRequest，SetRequest，GetResponse，Trap等操作获得和设置管理节点的参数值。

基于以上SNMP网络管理结构模型的特点，我们可以在管理节点中预先设置好 MIB变量来存储包过滤规则及其他状态变量，这样管理节点中的 SNMP Agent能够直接读取SNMP命令，再通过加载模块完成对实际的防火墙状态的操作。具体编程时可以直接使用管理节点上的SNMP接口，如果管理节点本身不提供SNMP接口，则必须借助SNMP工具包开发。目前网络上有很多开发SNMP的工具包，最著名的是公开源码的 NET—SNMP开发包，这些开发包提供Windows和Linux等不同操作系统下的SNMP Agent，大多数只支持 SNMP v1，SNMP v2c(community string-based)，SNMPv2u(user-based)和SNMPv3协议所采用的报文格式。SNMP接口实现后，防火墙就可以通过它与IDS通信了。当黑客从外部入侵网络时候，首先要经过防火墙，一部分入侵由于违反防火墙的安全规则就被隔离在外，但是可能有一部分入侵会绕过防火墙或者干脆是来自于内部网络客户的攻击会穿过防火墙，这些攻击尽管侥幸逃脱但仍会受到IDS的盘查，经IDS预处理模块分检后，再被送到相应的模块中做进一步检测。通过对规则树的扫描，如果IDS检测到与规则库中攻击特征相符的数据包存在，则立即阻断来自于该 IP 的访问请求或者发出警报，并向Firewall发送的SNMP命令通知其添加或修改新的安全规则，Firewall处理完毕后向IDS发出相应的SNMP应答信号、告知IDS防火墙规则的修改是否成功。IDS与Firewall联动模型如图2所示。

图2 IDS与Firewall联动模型

5 IDS与Firewall的联动实验

为了验证IDS与Firewall联动对攻击阻断的有效性，笔者在校园网实验室环境下模拟IDS与Firewall联动模型进行了仿真。实验采用了锐捷网络安全系列产品RG-IDS入侵检测系统与RG-WALL防火墙进行联动实验。RG-IDS采用多层分布式体系结构，由五部分程序组件组成：控制台、EC(事件收集器)、LogServer(数据服务器)、Sensor(传感器)、报表和查询工具。RG-IDS采用基于状态的应用层协议分析技术，极大地提高了检测效率和准确性。RG-WALL采用锐捷网络独创的分类算法(Classification Algorithm)设计，支持扩展的状态检测(Stateful Inspection)技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP,H323等)时，可提供强有力的安全信道。

联动仿真采取在实验室出口上分别部署了 RG-WALL(RG-WALL设置为透明工作方式)、RG-IDS检测引擎和RG-IDS控制台，实验配置了3部交换机A、B、C，其中交换机B、C均支持端口镜像功能。通过交换机B的网口2以及交换机C的网口3的流量全部镜像到交换机A的端口1。主机A模拟入侵者对主机B实施攻击，RG-IDS检测引擎负责检测网络中的攻击和恶意流量，然后通过 SSH与RG-WALL通讯，将攻击源地址、目的地址、源端口、目的端口、协议等信息发送给 RG-WALL，RG-WALL根据这些信息采取相应的阻断措施，将攻击阻断在网络之外，充分保护网络安全。RG-IDS与RG-WALL防火墙联动的拓扑结构如图3所示。

图3 RG-IDS与RG-WALL联动拓扑结构

实验室各网络部件的IP地址设定如表1所示。

表1 RG-IDS与RG-WALL联动实验IP地址分配表

实验仿真过程：通过主机 A(入侵者)向主机 B(受害者)发送内容为“Ping You Death！”的ICMP报文，报文被IDS检测到并将事件的信息通过 SSH发送给 RG-WALL，RG-WALL根据 RG-IDS发送的攻击事件信息自动生成响应规则，阻断主机A和B之间通信。效果如图4所示。

RG-WALL收到 RG-IDS发送的攻击事件信息后将在安全规则表中写入过滤规则阻断主机 A到主机 B的通信，RG-WALL的阻断规则如图5所示。

图5 RG-WALL的阻断规则表

之后主机A再试图连接主机B都将返回连接失败。由以上仿真实验不难得出结论，网络采用防火墙与入侵检测联动的安全机制，可以很好的弥补防火墙的不足，网络的安全性在一定程度上得到了改善。

6 结论

网络采用IDS与Firewall联动的安全机制对于提升网络安全性有积极的意义。但是这种机制并非无懈可击，其中信息传递通道的安全性就很关键，Firewall与IDS在产品安全策略规则方面还缺乏国际化的统一标准，如何选取时间来平衡Firewall与IDS负载还有待解决。因为安全永远是相对的。如果某个用户连续ping服务器十多分钟，那么IDS又该如何判定用户行为是恶意攻击还是无意行为呢？这还需要网络管理员的主观判断以及网络对安全性的要求来确定如何应对。说到底网络安全和人、防火墙、IDS等各种安全产品都有着密切的关联，忽略其中任何一个因素都会给网络安全造成威胁。

[1]AndrewS.Tanenbaum,潘爱民．Computer Networks Fourth Edition[M].北京:清华大学出版社.2004.

[2]KeithE.Strassberg,Richard J.Gondek,Gary Rollie.Firewalls The Complete Reference[M].北京:机械工业出版社.2003.

[3]Steve Waldbusser.Net-SNMP projcot[EB／OL].http：／www.net-snip.org.2004.

[4]唐勇.基于 SNMP的流量监控系统[J].重庆工商大学学报.2005.

[5]杨家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社.2000.

[6]Mark A,Miller PE,晏明峰,译.用SNMP管理互联网络[M].北京:中国水利水电出版社.2001.

[7]Stallings W.胡成松译.SNMP网络管理[M].北京:中国电力出版社.2001.

[8]余元辉.基于SNMP协议的NFDS的研究与应用[J].河南大学学报(自然科学版).2008.

[9]黄磊.基于SNMP的网络安全模块的研究[J].现代电子技术.2005.