1.概述

　　網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為現(xiàn)代工作、生活不可或缺的一部分，網(wǎng)絡(luò)技術(shù)的飛速發(fā)展在給人們帶來巨大好處的同時，也存在病毒、木馬、黑客攻擊等破壞我們網(wǎng)絡(luò)系統(tǒng)的行為，網(wǎng)絡(luò)攻擊的方式也呈現(xiàn)出多樣性和隱蔽性的特征，網(wǎng)絡(luò)安全保護(hù)成為重要的研究議題。

　　目前IPv6協(xié)議正處在不斷完善和發(fā)展中，正在由IPv4協(xié)議向IPv6協(xié)議過渡，它在不久的將來，尤其是隨著物聯(lián)網(wǎng)技術(shù)的推進(jìn)，將取代目前被廣泛使用的IPv4協(xié)議。隨著IPv6協(xié)議的不斷發(fā)展和推廣應(yīng)用，在過渡期間的網(wǎng)絡(luò)將不斷出現(xiàn)新的網(wǎng)絡(luò)安全問題。Linux平臺下基于IPv4網(wǎng)絡(luò)的入侵檢測與防火墻的聯(lián)動系統(tǒng)目前已經(jīng)比較成熟，并得到應(yīng)用，但是Linux平臺下基于IPv6的入侵檢測與防火墻聯(lián)動系統(tǒng)的研究才剛剛起步，未得到普及和應(yīng)用。

　　2.防火墻和入侵檢測系統(tǒng)

　　防火墻是綜合了多種技術(shù)的高級訪問控制設(shè)備，是網(wǎng)絡(luò)安全防護(hù)體系的大門。傳統(tǒng)的防火墻的規(guī)則是靜態(tài)的，對于攻擊或異常行為不能做出實時反應(yīng)，也不能按照當(dāng)時的環(huán)境變化自動調(diào)整其過濾規(guī)則。同時，防火墻具有防外不防內(nèi)的特點，對于內(nèi)部發(fā)起的非法行為或攻擊無法防御。

　　入侵檢測系統(tǒng)是對防火墻的有益補充，能夠?qū)�網(wǎng)絡(luò)或計算機系統(tǒng)可能操到的攻擊進(jìn)行實時檢測，是一種動態(tài)的安全防護(hù)技術(shù)，其重點在于入侵行為的識別上，能在來自于網(wǎng)絡(luò)內(nèi)部和外部的入侵攻擊隊系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，但入侵檢測系統(tǒng)即使檢測到入侵，也只能進(jìn)行報警或有限的反擊，很難采取有效的方法進(jìn)行阻止或控制。

　　3.系統(tǒng)模型分析

　　現(xiàn)有的入侵檢測系統(tǒng)和防火墻在功能上是相互獨立的，防火墻一般放置在內(nèi)網(wǎng)和外網(wǎng)的中間充當(dāng)網(wǎng)關(guān)使用，由于不能識別網(wǎng)絡(luò)流量中的攻擊行為，對于通過合法路徑進(jìn)入的網(wǎng)絡(luò)攻擊和來自內(nèi)部網(wǎng)絡(luò)的攻擊行為防火墻無能為力。雖然目前已有將初步的入侵檢測功能加入到防火墻功能中，但這會防火墻效率大大降低，所有的網(wǎng)絡(luò)流量都要通過防火墻進(jìn)行入侵檢測，這會嚴(yán)重影響防火墻的性能，導(dǎo)致網(wǎng)絡(luò)瓶頸的產(chǎn)生，只能適應(yīng)網(wǎng)絡(luò)規(guī)模較小和網(wǎng)絡(luò)流量不大的網(wǎng)絡(luò)，無法應(yīng)用于高速網(wǎng)絡(luò)檢測。

　　IDS一般采用旁路部署的方式進(jìn)行入侵檢測，可以及時發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為，無需網(wǎng)絡(luò)流量流經(jīng)它，便可正常工作，不影響網(wǎng)絡(luò)的性能，但也存在缺陷。例如，IDS自身容易受到拒絕服務(wù)攻擊。而且，由于當(dāng)代網(wǎng)絡(luò)迅速發(fā)展，網(wǎng)絡(luò)傳輸速度大大加快，IDS檢測到攻擊，如不能及時有效的阻斷，仍將對網(wǎng)絡(luò)安全造成威脅。
　　由上面的分析可以看出，只有將入侵檢測與防火墻實現(xiàn)聯(lián)動，根據(jù)檢測到的入侵信息改變防火墻的策略，從源頭上徹底切斷入侵行為，彌補兩者間的不足，將各自的能力發(fā)揮出來，從整體防御的角度保證網(wǎng)絡(luò)的安全。

　　Snort是Linux平臺下強大的輕量級網(wǎng)絡(luò)入侵檢測系統(tǒng)，Snort　V2.8.1擴展了新的是基于IPv6的檢測規(guī)則，是一個以開放源代碼的形式發(fā)布的網(wǎng)絡(luò)入侵檢測系統(tǒng)，它添加了IPv6解碼模塊，在數(shù)據(jù)包捕獲和檢測做了改進(jìn)，實現(xiàn)了對IPv6分段的重組，改進(jìn)了IPv6快速檢測算法，同時增加對IPv6/IPv4雙協(xié)議的支持。

　　IP6tables是Linux內(nèi)核提供的包過濾工具，通常用來建立、維護(hù)、檢查Linux內(nèi)核過濾表，可以加入、插入或刪除核心包過濾鏈中的規(guī)則。IP6tables在語法上和IPtables基本相同，它是建立在Netfilter框架上的用戶空間管理工具，具有很好的擴展性，支持128位地址。IP6tables提供了INPUT、FORWARD和OUTPUT3種過濾鏈表。用戶可以配置不同的過濾規(guī)則，每一條鏈可以有一條或數(shù)條規(guī)則，當(dāng)一個數(shù)據(jù)包到達(dá)相應(yīng)的過濾鏈表時，按照順序?qū)㈡溨械拿織l規(guī)則應(yīng)用到分組，直到找到一個匹配。如果該數(shù)據(jù)包不匹配任何一條規(guī)則，則根據(jù)預(yù)先定義的策略來處理該數(shù)據(jù)包。IP6tables配置命令的基本形式如下：

　　IP6tables –[AD]chain-name　rule-specification

　　命令中各項解釋如下：

　　1）-A表示添加規(guī)則，-D表示刪除規(guī)則。

　　2）chain-name表示INPUT、FORWARD和OUTPUT3種過濾鏈表中的一種。
 
　　3）rule-specification確定了具體規(guī)則的內(nèi)容。

　　SnortSam是snort的入侵防范插件，是snort和IP6tables聯(lián)動機制的核心，在整個聯(lián)動的安全防護(hù)體系中起到了一個核心作用。它通過向snort規(guī)則添加新響應(yīng)來工作，規(guī)則一旦觸發(fā)將會使防火墻發(fā)生變化。它可以接收一個或多個入侵檢測系統(tǒng)的報警信息也可以和一個或多個防火墻進(jìn)行交互，可以基于所觸發(fā)的規(guī)則控制每個防火墻。

　　4.利用SnortSam插件實現(xiàn)snort與IP6tables聯(lián)動

　　SnortSam有兩個基本的組成部分：插件和代理。插件是一個標(biāo)準(zhǔn)的snort輸出插件，用于當(dāng)規(guī)則觸發(fā)時向代理發(fā)送指令。這些指令以加密的方式發(fā)送。代理負(fù)責(zé)解密收到的指令，建立和移除防火墻規(guī)則。當(dāng)一條入侵信息觸發(fā)了Snort的一條入侵規(guī)則時，它能夠及時向插件傳送報警信息。插件根據(jù)傳遞過來的報警信息，生成FWsampacket或者FWsampacket6報警包，并引入TwoFish算法對對通信信息進(jìn)行加密后發(fā)往SnortSam，由于SnortSam輸出插件與代理間需要安全的通信，所以在為snort制定SnortSam輸出插件時，需要指定SnortSam代理所在主機和通訊口令。SnortSam接收到加密指令后由代理負(fù)責(zé)解密，自動生成一條阻斷規(guī)則，并通過代理在防火墻IP6tables上實現(xiàn)。IP6tables執(zhí)行這個請求，并等待代理發(fā)布一個終止請求從而移除被阻斷的地址。當(dāng)?shù)竭_(dá)預(yù)定義的時間限制時，代理發(fā)送另一個請求刪除被阻斷的地址。如果在計時結(jié)束之前，該阻斷地址又一次發(fā)起攻擊，系統(tǒng)不會生成重復(fù)的防火墻規(guī)則，但會將計時器刷新，重新計時。

　　主要實現(xiàn)步驟如下：

　　1）新建規(guī)則文件snortsam.rules，并在此文件中編寫snort新規(guī)則，并將報警信息輸出至snortsam輸出插件，同時設(shè)置阻斷源IP數(shù)據(jù)包的時間。

　　2）在snort配置文件fwsam-snort.conf中添加新的輸出插件，使snort支持snortsam輸出，并設(shè)置snortsam輸出插件與代理間的通訊口令。

　　3）運行snortsam代理，以入侵檢測方式運行fwsam-snort。

　　5.測試與結(jié)果

　　本系統(tǒng)采用典型的網(wǎng)絡(luò)掃描進(jìn)行測試，使用X-Scan和NMAP作為測試工具。利用X-Scan對Snort監(jiān)控的網(wǎng)絡(luò)進(jìn)行加載掃描，利用NMAP對Snort監(jiān)控的網(wǎng)絡(luò)進(jìn)行FIN、XMAS和NULL三種特殊形式的掃描，使用IP6tables實現(xiàn)聯(lián)動。通過對攻擊方網(wǎng)絡(luò)數(shù)據(jù)流量的分析，在入侵?jǐn)?shù)據(jù)包觸發(fā)了Snort規(guī)則集后，會通過輸出插件向SnortSam報告，從而在防火墻上產(chǎn)生阻斷的訪問控制條目，達(dá)到阻斷源IP數(shù)據(jù)包的目的，實現(xiàn)了Linux平臺下基于IPv6的入侵檢測與防火墻聯(lián)動。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：基于IPv6的入侵檢測與防火墻聯(lián)動系統(tǒng)

本文網(wǎng)址：http://www.oesoe.com/html/support/11121511832.html