网络安全立体防护机制实现的研究

王伍柒 汪静 丁晓梅

摘要：网络安全防护应当采取一种积极、主动、动态的防护措施，该文通过防火墙与入侵检测系统的联动机制，充分发挥各自的优长之处，增强网络安全整体防御能力，探索构建网络安全立体防护新技术。

关键词：防火墙；入侵检测系统；拒绝服务攻击；联动机制

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）22-5201-03

1 网络安全现状

计算机网络技术推动人类文明和社会进步的同时，带来的安全问题也日益严重。网络安全风险既有网络技术不完善的因素，也有来自于社会的因素。

目前广泛使用的IPv4协议缺乏安全性的机制，不能对网络数据包加密，数据的完整性、源或目的地址真实性缺乏有效的验证机制，网络协议的缺陷为网络攻击者提供了入侵的可能。计算机系统存在诸多的安全漏洞，是网络系统脆弱性（vulnerability）的外在表，根本原因是人类认识自然和改造世界过程中自身能力的限制。

随着计算机网络技术的快速发展，通过网络传输重要数据或存储在网络结点中机密信息越来越丰富，如何获取这些信息和数据成为网络入侵者趋之若鹜的根本原因，尤其的互联网中实时监控，防止受到内网和外网的攻击，成为各国网络安全防护的近切需要。目前，传统的网络安全防护技术并没有有效阻止网络攻击，近期美国“棱镜门”窃听丑闻一次次的刺痛全球的神精。

2 网络安全威胁的类型

网络安全威胁有来自网络操作系统和各种应用软件的漏洞，网络协议的不完善，人为的攻击和管理上的缺失等。

1） 破坏可用性的攻击

主要包括利用网络协议不足以及和应用软件弱点发起的网络攻击，如将攻击信息分散到IPv4协议分片的数据包中，使包过滤防火墙误认为是合法的数据包；通过SQL注入式攻击使信息系统拒绝合法的数据服务请求等。

2） 非法获取控制权或使用权

网络攻击者利用系统漏洞，非法窃取用户权限后，删除或篡改用户文件，假冒合法用户窃取机密信息，发动拒绝服务攻击，监听合法网络用户的一举一动。

3） 利用恶意软件发起的间接攻击

此类攻击具有隐蔽性好不易被发现的特点，且大都自动传播，速度快，范围广，危害更大，近年来成为网络入侵的主要形式。恶意软件的类型五花八门，其中具有代表性的软件有计算机病毒、蠕虫、特洛伊木马等。

4） 来自内网的安全威胁

根据调查表明，当前网络安全威胁70%以上来自网络内部。内网的安全威胁产生的原因很多，如单位管理制度混乱造成网络资源滥用、对内网安全管理环节不够重视及制度执行不严、个别员工的恶意行为、内部用户的误操作、内部网络使用人员的安全意识淡泊等。

3 传统的网络安全防护技术

防火墙作为被动的防范技术能有效阻止来自外网的入侵和攻击，是目前企事业单位中应用最为广泛的网络安全防护技术，但是随着网络攻击手段的多样性攻击技术的复杂性，单一的防火墙防护技术显得十分单薄。

1） 防火墙位于网络的边界，只能对来自网络的攻击作出响应，无法阻止来自内部网络的攻击，如内部人员机密信息的泄漏。

2） 防火墙的过滤规则是网络管理者预先设定好的，不能对信息过滤规则进行动态的调整，灵活性较差。如果过滤规则定义得过于严格，网络的互通性产生较大的影响；规则定义过于宽松，则对网络攻击行为或攻击事件又不能有效地法检测，因此，防火墙缺乏动态自我调整性，是一种被动静目地网络安全防御措施。

3） 防火墙缺乏日志审记功能，对复杂的网络攻击行为不能有效地调查取证，无法威慑网络罪犯行为，例如Ddos攻击。

入侵检测是对潜在的有预谋的未经授权的访问信息、操作信息的监视，以及对系统不可靠、不稳定或无法使用的企图的监视。入侵检测是新一代的安全保障技术，是对安全保护采取的是一种积极、主动的防御策略。一旦发现访问者对系统进行非法的操作，入侵检测系统就会向系统管理员发出警报，或者自动截断与入侵者的连接，确保被保护信息系统安全、正常、持续的运行。

入侵检测系统（Intrusion Detection System，IDS）是指入侵检测的软件与硬件的组合，它是一种积极主动的网络安全防护措施，能够实时捕获流经网络的数据包，并对其进行入侵分析和检测，当发现可能存在的安全威胁时，即时发出报警信息，或主动切断与攻击源的连接。如果将防火墙和入侵检测系统实现联动，那么网络系统的安全性就大大提高了，但是两者联动机制实现的应用研究，目前国内还比较少。

4 防火墙与入侵检测系统联动的实现

防火墙不识别网络流量，只要经过合法通道的网络攻击，都不能有效的识别；入侵检测系统自身极易受到拒绝服务攻击，在网络阻塞时性能下降较为突出，而且入侵检测系统对攻击的抵抗控制力不强，对攻击源的处理方式较为单一。若两者实现联动，不但可以克服各自的不足，而且提高网络防护的能力，防火墙侧重于访问控制，入侵检测系统侧重于主动发现入侵信息。

防火墙与入侵检测系统相结合，能够使网络受到攻击的危害大大降低。当攻击者对受保护网络发动攻击时，入侵检测系统通过数据采集单元，获取流经网络的数据包，调用入侵检测引擎对这些数据包进行分析，如果检测到存在入侵攻击行为或可疑连接等异常事件时，入侵检测系统通过与防火墙之间的内部通信机制，将受到攻击的异常事件通知报文发送到防火墙，再由防火墙验证后生成动态规则，防火墙以默认拒绝的工作方式实现对攻击行为的控制和阻断。

联动控制机制是基于C/S网络计算模式，防火墙端驻留Server程序，入侵检测系统驻留Client程序，如果入侵检测系统端发现需要防火墙阻断的攻击行为后，入侵检测系统产生控制信息后，再发送至防火墙的，由防火墙动态生成过滤规则，这样防火墙就变被动为主动地拦截网络攻击。联动机制还设置了系统计时器，如果防火墙添加的规则超时，那么超时的规则将自动删除。

1） 控制信息生成模块

防火墙严格地按照访问控制规则进行匹配，过滤非法数据包。每条访问控制规则包括源和目的地址、相应的端口号，协类的类型，执行允许还是拒绝的行为等。如果实现与入侵检测系统联动，则入侵检测系统将接收到的入侵检测告警信息进行整理，生成统一格式的控制信息。控制信息可以根据系统保密性的要求进行加密处理，发送至防火墙，为防火墙生成控制规则提供数据来源，入侵检测系统也可以根据其检测结果，直接生成防火墙所能识别的控制规则。

安全联动策略并不是一检测到入侵攻击就生成控制规则，而是按照以下步骤进行处理：

① 对攻击行为分类

网络中受到的攻击的危害程度，可简单划分为高危攻击、中等程度的攻击和一般程度的攻击。安全联动策略只对系统受到高危程度攻击时才设置为联动，对于危害不是很严重的一般程度攻击通过防火墙或入侵检测系统独立处理即可。联动策略对受到的攻击危害程度设定过低，可能会使系统的误报率大幅度的提高。

② 设置阻断时间及阻断方式

入侵检测系统生成的告警信息要求简明额要，不能对网络带宽产生较大的影响，同时又要实现两者的安全联动的目的。所以联动的策略不但要定义“危险”的级别，而且要定义“对网络影响的程度”。

例如，入侵检测系统提取出来的控制信息如下：

202.103.68.117/检测到的源IP地址/

202.103.68.117/检测到的源IP地址/

3624/源端检测到的连接端口号/

8080/目的端检测到的连接端口号/http/协议类型/

4/定义危险程度的级别/

3/定义该攻击对网络影响的程度/

560/设置规则的生存期/

以上格式信息中，其中time表示规则生存期，超时将删除该规则。这样，就可以在防火墙中动态的设置规则，规则的格式为“level*scoPe*time*”形式。

2） 通信模块

联动机制的通信模块采用开放联动接口来实现，通信双方可以事先约定并正确配置对方IP地址，设定通信端口，防火墙运行服务器端程序，入侵检测系统则运行客户端模程序。具体联动方式的实现：在入侵检测系统中配置网络安全策略，定义入侵行为或入侵攻击的危险等级和危害程度，当危险等级和危害程度达到或超过系统设定的阈值时，入侵检测系统立即向防火墙发起连接请求，防火墙将根据上报的告警信息生成访问控制规则，并做出最终的响应。

3） 防火墙动态规则处理模块

联动机制是入侵检测系统发出控制信息到防火墙，并由防火墙确认身份认证后才能正常受理，不能完成身份认证的报文将直接丢弃，而且，控制信息在传输过程中还须以密文发送。防火墙端在生成动态规则时，将为每一条规则设置一个生存期，当该规则超时末匹配时，将自动删除。设置规则生存期的是为了减轻防火墙的负担，避免防火墙成为网络的瓶颈。

防火墙规则设置如下：

① 确保防火墙优先检查动态规则链，并自动删除超时的规则。

② 当动态规则链中的规则超过上限，此时又有新的规则加入时，那么距离超时最近的旧规则将被新的规则所替换。

③ 采用多线程技术进行规则匹配，提高检测效率。

4） 规则的审计分析模块

防火墙详细的记录添加其中的动态规则，及时掌握过滤规则阻止的访问条目，分析其中可疑或试图攻击的规则。规则记录虽然需要更多的存储空间，但对网络入侵行为的审计分析是十分有必要的，同理，便于为网络安全管理者以后的日志分析，为入侵行为提供证据。

5） 联动策略的改进

防火墙与入侵检测系统联动可使网络系统防护由静态上升到动态，由被动防护上升为主动防护，提升了防火墙的机动性，使系统整体防护能力得到很大的提升。但是，当前的入侵检测系统还有进一步的改进措施，两者的联动机制，还需要注意以下几个问题：

① 入侵检测系统自我完善的过程，网络攻击的隐蔽性，复杂性需要入侵检测系统规则特征的不断完善，提高入侵攻击行为或攻击事件匹配的准确性，降低系统的漏报率和误报率。

② 入侵检测系统应根据数据包的协议类型抓包、检测，提高系统检测的速度，使其能够适应现代高速网络带宽的要求。

③ 需要对两者联动的策略进一步细化处理。例如，动态规则策略的优化，联动系统的协同机制等。

④ 联动机制如何进行任务的分配，负载的均衡。例如，入侵检测系统和防火墙产生的告警分析处理工作分配网络中其他主机完成，以避免过量的告警信息影响防火墙的处理性能。

5 结束语

防火墙和入侵检测系统都是网络安全防护技术实现的基本措施，防火墙是由网络管理者预先设置的访问控制规则，以默认拒绝的工作方式防止来自外网络的攻击；入侵检测系统对网络监控的范围进一步扩大，不仅可以防止外网的攻击，也可以防止来自内网的攻击、内网机密信息的泄露和用户的误操作等，相对防火墙来说，入侵检测系统扩大了网络管理者的管理范围，如果将入侵检测系统和防火墙实现联动，那么网络安全防护就可以得到进一步的加固，而且联动机制在局域网环境中较易实现，因此，入侵检测系统和防火墙联动机制市场前景广阔。

参考文献：

[1] 王健. 网络安全防护技术的研究与实现[D].成都：四川大学，2004.

[2] 刘善文，郑海新，刘健宏，等.网络安全立体防护体系的构建[J].计算机安全，2009（10）.