联动入侵检测的Linux动态防火墙的设计.pdfVIP

第14卷 第4期 北京电子科技学院学报 2006年12月 Vol.14No.4 JournalofBeijingElectronicScienceandTechnologyInstitute Dec.2006 联动入侵检测的Linux 动态防火墙的设计* 1 2 李恩杰 郭珍军 （1.北京交通大学 电子信息工程学院，北京 100044；2.解放军总医院，北京 100853） 摘 要：本文分析了传统安全技术（防火墙、入侵检测）的优势和缺点，指出了防火墙和入侵检测进行联 动的必要性，设计了联动入侵检测的动态防火墙，给出了具体的解决方案，并对关键技术进行了分析。该 动态防火墙提高了防火墙的实时响应能力，增强了入侵检测的阻断功能，实现了网络的整体防御。 关键词：入侵检测；联动；iptables；联动控制中心 中图分类号： 文献标识码： 文章编号: TP393.08 A 1672-464X(2006)04-0048-05 1引言 针对网络入侵、攻击等各种安全问题，防火墙、入侵检测等安全技术应运而生，并且得到了广泛的应用。但是，不同的安 全技术主要侧重于解决某一方面的安全问题，它们之间缺乏信息共享，各自的缺点逐渐暴露出来。加上攻击技术的日趋成 熟，攻击工具和手法的日趋复杂，单独的某一种安全技术已不能满足人们对安全的需求，迫切需要多种安全技术协同作战， 共同保护系统的安全。于是防火墙联动技术成为网络安全领域的一个新兴课题。 本文基于Linux下开放源代码的netfilter/iptables框架，研究和设计了能与入侵检测系统进行联动的动态防火墙。 2防火墙和入侵检测 防火墙位于内部和外部网络之间，是网络安全防护体系的大门，所有进出网络的信息都必须通过防火墙。作为保护网 络安全最重要的技术，防火墙得到了广泛的应用，是市场上使用范围最广的安全产品之一。 但是传统的防火墙作为一种访问控制技术，具有其自身的局限性 。首先，传统的防火墙提供的是静态防御，它的规则 [1] 都要事先设置，对于攻击或异常的行为不能做出实时反应，也无法自动调整安全策略以阻断正在进行的攻击；其次，防火墙 具有防外不防内的局限性，对于内部用户的非法行为或已经渗透的攻击无法检查和响应；再次，防火墙规则的制定，更多的 是一种粗颗粒的检查，对一些协议细节无法做到完全解析。 入侵检测技术 （ ）作为防火墙的有益补充，提供了对内部攻击、外部攻击和误操作的实时保护，是防火墙后的第二道 IDS 安全防线。它采用的是一种动态的安全防护技术，通过对网络资源 如（数据包、用户行为等）进行监控，实时的发现网络中的 入侵行为。这是一种积极主动的安全防御技术，极大的增强了网络与系统的立体防御能力。 IDS虽具有发现入侵、阻断连接的功能，但其重点更多地放在对入侵行为的识别上，而且只能被动的监听。即使检测到 入侵，也很难采取有效的阻止或者控制措施，网络整体的安全策略还需由防火墙实现。 —防火 防火墙和IDS各自的特点和局限性决定了它们需要互相补充，且不可能相互取代，原因在于二者的功能不同—— 墙侧重于访问控制， 侧重于发现入侵。而且，如果二者之间缺乏必要的联系，它们本身所具有的强大功效将得不到充分 IDS 的发挥。例如， 检测到一种入侵，如不能及时有效地阻断，这种入侵仍将对网络应用造成损害。没有 ，一些攻击会通 IDS IDS 过防火墙的合法通道进入网络，对内部网络安全形成威胁。因此，防火墙和IDS之间十分适合建立紧密的联动关系，以将两 者的能力充分发挥出来，相互弥补不足，互相提供保护 。