防火墙与入侵检测在校园网中的应用

网络技术的发展正在改变校园内人们的学习生活, 我们在享受其带来的巨大的进步与利益同时, 数据信息被窃取和针对网络设备的攻击等等潜伏着的巨大的安全威胁也随之而来。作为开放网络的组成部分, 校园网络的安全也是不可忽视的。目前, 校园网己经具备的网络安全技术有防火墙、代理服务器、过滤器、加密、口令验证等等, 目前校园网所应用的很多安全设备都属于静态安全技术范畴, 如防火墙和系统外壳等外围保护设备。静态安全技术的缺点是需要人工来实施和维护, 不能主动跟踪入侵者。而入侵检测则属于动态安全技术, 它能够主动检测网络的易受攻击点和安全漏洞, 并且通常能够先于人工探测到危险行为。基于以上问题, 详细研究以入侵检测技术为代表的动态安全技术和以防火墙为代表的静态安全技术各自的区别和联系及它们的优缺点, 提出了将动态技术与静态技术相结合的应用能够取长补短, 弥补各自的缺点, 并结合校园网建设和管理, 在校园网络中应用ids 与原来的防火墙共同使用, 极大地提高了校园网的安全防护水平。防火墙(firewall )技术是抵抗黑客入侵和防止未授权访问的最有效手段之一, 也是目前网络系统实现网络安全策略应用最为广泛的工具之一写作论文。
防火墙是设置在被保护网络和外部网络之间的一道屏障, 以防止发生不可预测的、潜在破坏性的侵入, 可有效地保证网络安全。防火墙系统是一个静态的网络攻击防御, 同时由于其对新协议和新服务的支持不能动态的扩展, 所以很难提供个性化的服务。入侵检测系统(ids)是从计算机网络系统中的若干关键点收集信息, 并分析这些信息, 检查网络中是否有违反安全策略的行为和遭到袭击的迹象。 被公认为是防火墙之后的第二道安全闸门, 从网络安全立体纵深、多层次防御的角度出发, 对防范网络恶意攻击及误操作提供了主动的实时保护, 从而能够在网络系统受到危害之前拦截和响应入侵。入侵检测技术可以弥补单纯的防火墙技术暴露出明显的不足和弱点, 为网络安全提供实时的入侵检测及采取相应的防护手段。入侵检测是对防火墙的合理补充, 帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力, 提高了信息安全基础结构的完整性。由些可见, 它们在功能上可以形成互补关系。
下面将建立入侵特征库和入侵检测与防火墙的接口问题分别进行讲述。我们经过将基于异常的ids 和基于误用的ids 系统相比较之后,最后选择使用基于误用的入侵检测系统, 不仅因为这种方法的误报警率低, 而且对一些已知的常用的攻击行为特别有效。当有外来入侵者的时候, 一部分入侵由于没有获得防火墙的信任, 首先就被防火墙隔离在外, 而另一部分骗过防火墙的攻击,或者干脆是内部攻击没经过防火墙的, 再一次受到了入侵检测系统的盘查, 受到怀疑的数据包经预处理模块分检后, 送到相应的模块里去进一步检查, 当对规则树进行扫描后, 发现某些数据包与规则库中的某些攻击特征相符, 立即切断这个ip 的访问请求, 或者报警。建立入侵特征库。
1.编写规则
根据前面所说的该入侵检测系统所期望实现的作用, 因此要将一些规则编写至特征库中。规则模块包括解析规则文件、建立规则语法树、实现规则匹配的算法等。
2.入侵检测流程
单个数据报的检测流程详细的分析如下: 首先对收集到的数据报进行解码, 然后调用预处理函数对解码后的报文进行预处理, 再利用规则树对数据报进行匹配。在规则树匹配的过程中, ids 要从上到下依次对规则树进行判断, 从链首、链表到规则头节点, 一直到规则选项节点。基于规则的模式匹配是入侵检测系统的核心检测机制。入侵检测流程分成两大步: 第一步是规则的解析流程, 包括从规则文件中读取规则和在内存中组织规则; 第二步是使用这些规则进行匹配的入侵流程。
3.规则匹配流程
一个采用模式匹配技术的ids 在从网络中读取一个数据包后大致按照下面方式进行攻击检测:
( 1) 从数据包的第一个字节开始提取与特征库中第一个攻击特征串等长的一组字节与第一个攻击特征串比对, 如果两组字节相同, 则视为检测到一次攻击;如果两组字节不同, 则从数据包的第二个字节开始提取与攻击特征串等长的一组字节与攻击特征串比对。
( 2) 接着比对过程重复进行, 每次后移一个字节直到数据包的每个字节都比对完毕, 最后将数据包与特征库中下一个攻击特征串进行匹配。

( 3) 重复进行直到匹配成功或者匹配到特征库中最后一个攻击特征依然没有结果为止, 然后整体模型从网络中读取下一个数据包进行另一次检测。规则匹配的过程就是对从网络上捕获的每一条数据报文和上面描述的规则树进行匹配的过程。如果发现存在一条规则匹配的报文,就表示检测到一个攻击, 然后按照规指定的行为进行处理(如发送警告等), 如果搜索完所有的规则都没有找到匹配的规则, 就表示报文是正常的报文。
所有的规则被组织成规则树, 然后分类存放在规则类列表中。总体的检测过程归根结底到对规则树进行匹配扫描, 并找到报文所对应的规则。对规则树的匹配过程则是先根据报文的ip 地址和端口号, 在规则头链表中找到相对应的规则头, 找到后再接着匹配此规则头附带的规则选项链表。
4.规则语法树的生成
ids 采用链表的方式构建规则的语法树, 规则语法所用到的数据结构主要都在rules.h 文件中, 其中最为要的数据结构形式有以下一些: 规则头函数指针列表、规则选项函数指针列表、响应函数指针列表、规则选项结构体、ip 地址结构体、表头、规则列表结构体、变量体等。当防火墙和入侵检测系统互动时, 所有的数据通信是通过认证和加密来确保传输信息的可靠性和保密性。通信双方可以事先约定并设定通信端口, 并且相互正确配置对方ip 地址, 防火墙以服务器(server)的模式来运行, ids 以客户端(client)的模式来运行。将防火墙与ids 结合起来互动运行, 防火墙便可通过ids 及时发现其策略之外的攻击行为, ids 也可以通过防火墙对来自外部网络的攻击行为进行阻断。ids 与防火墙有效互动就可以实现一个较为有效的安全防护体系, 可以大大提高整体防护性能, 解决了传统信息安全技术的弊端、解决了原先防火墙的粗颗粒防御和检测系统只发现难响应的问题。
防火墙与ids 结合是将动态安全技术的实时、快速、自适应的特点成为静态技术的有效补充, 将静态技术的包过滤、信任检查、访问控制成为动态技术的有力保障。二者结合使用可以很好的将对方的弱点淡化, 而将自己的优点补充上去, 使防御系统成为一个更加坚固的围墙。在未来的网络安全技术领域中, 将动态技术与静态技术的互动使用, 将有很大的发展市场和空间。

参考文献：
[ 1] 张兴东, 胡华平, 况晓辉, 陈辉忠.防火墙与入侵检测系统联动的研究与实现[ j] .计算机工程与科学
[ 2]杨琼, 杨建华, 王习平, 马斌, 基于防火墙与入侵检测联动技术的系统设计《武汉理工大学学报》2005 年07 期.
[ 3] 桂春梅,钟求喜,王怀民. 基于uml 的防火墙和入侵检测联动模型的研究[ j] . 计算机工程与科学, 2004,26(11): 22- 25.
[ 4] 高光勇, 迟乐军, 王艳春联动防火墙的主机入侵检测系统的研究

本文链接：http://www.qk112.com/lwfw/jsjlw/xinxiguanli/259678.html