李順　張麗華　王斌　吳曉清

摘 要：入侵防御系統(tǒng)因設(shè)計(jì)及位置的特點(diǎn)，導(dǎo)致其安全入侵響應(yīng)能力存在一定限制，為搭建更為嚴(yán)密、完善的網(wǎng)絡(luò)安全防御系統(tǒng)，本文提出將入侵防御系統(tǒng)與交換機(jī)設(shè)備聯(lián)動(dòng)的防護(hù)方案，介紹聯(lián)動(dòng)技術(shù)特點(diǎn)，并給出聯(lián)動(dòng)方案的具體設(shè)計(jì)流程，以供借鑒參考。

關(guān)鍵詞：聯(lián)動(dòng)技術(shù);入侵防御系統(tǒng);交換機(jī)

引言：

隨著網(wǎng)絡(luò)在生產(chǎn)、生活中的應(yīng)用進(jìn)一步加深，網(wǎng)絡(luò)安全問(wèn)題成為社會(huì)關(guān)注的重點(diǎn)。目前常見(jiàn)的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)有入侵防御系統(tǒng)、防火墻、殺毒軟件等。而網(wǎng)絡(luò)技術(shù)、信息技術(shù)的升級(jí)也使得網(wǎng)絡(luò)安全環(huán)境變得更為復(fù)雜，單一安全防御技術(shù)能夠發(fā)揮的保護(hù)作用還遠(yuǎn)遠(yuǎn)不夠，此時(shí)就需要借助聯(lián)動(dòng)技術(shù)，將多種安全防御技術(shù)相結(jié)合，各自發(fā)揮優(yōu)勢(shì)確保網(wǎng)絡(luò)安全。

1聯(lián)動(dòng)技術(shù)

聯(lián)動(dòng)技術(shù)即將兩種及以上網(wǎng)絡(luò)安全防護(hù)設(shè)備或技術(shù)結(jié)合使用，使得各類安全設(shè)備和技術(shù)安全防御性能相互補(bǔ)充，形成安全防護(hù)網(wǎng)絡(luò)，以更好應(yīng)對(duì)各類網(wǎng)絡(luò)入侵及攻擊。從聯(lián)動(dòng)技術(shù)的實(shí)質(zhì)上講，安全設(shè)備及技術(shù)間的聯(lián)動(dòng)是一種信息交換機(jī)制，目前較常見(jiàn)的聯(lián)動(dòng)模式為入侵防御系統(tǒng)與防火墻的聯(lián)動(dòng)，可同時(shí)彌補(bǔ)防火墻入侵檢測(cè)有效范圍有限及入侵防御系統(tǒng)不具備處理和防御功能的不足。

基于以上聯(lián)動(dòng)模式，本文提出入侵防御系統(tǒng)與交換機(jī)設(shè)備的聯(lián)動(dòng)，以便在防火墻規(guī)則被禁用時(shí)，利用交換機(jī)ACL對(duì)服務(wù)器行為做有效約束，進(jìn)而確保服務(wù)器及內(nèi)網(wǎng)安全。

2入侵防御系統(tǒng)與交換機(jī)設(shè)備聯(lián)動(dòng)方案

2.1入侵檢測(cè)模塊

選用Snort輕量級(jí)入侵檢測(cè)軟件，該軟件的優(yōu)點(diǎn)為可適用于多種操作環(huán)境，提供跨平臺(tái)開(kāi)發(fā)功能，因此能夠?yàn)楹笃诎踩烙到y(tǒng)拓展升級(jí)提供便利。注意該入侵檢測(cè)軟件需在嗅探工具的輔助下使用，如sniffer，使用嗅探工具順利捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包，對(duì)其進(jìn)行分析驗(yàn)證，以檢測(cè)是否存在網(wǎng)絡(luò)攻擊或其他異常。另外，Snort入侵檢測(cè)軟件配置功能強(qiáng)大的規(guī)則庫(kù)，其中含有多種類型的入侵檢測(cè)規(guī)則，能夠確保入侵防御系統(tǒng)與交換機(jī)設(shè)備聯(lián)動(dòng)安全防護(hù)的主動(dòng)性。

基于以上理論，入侵檢測(cè)系統(tǒng)分為入侵檢測(cè)、嗅探器和記錄器三部分，由嗅探器完成網(wǎng)絡(luò)數(shù)據(jù)包的捕獲，然后在入侵檢測(cè)單元進(jìn)行數(shù)據(jù)包與規(guī)則庫(kù)數(shù)據(jù)的對(duì)比，分析是否存在入侵風(fēng)險(xiǎn)。由于該入侵檢測(cè)軟件使用開(kāi)源架構(gòu)，因此可通過(guò)程序調(diào)整進(jìn)行網(wǎng)絡(luò)底層訪問(wèn)，捕獲、分析數(shù)據(jù)包以得到最終的設(shè)置規(guī)則，對(duì)規(guī)則庫(kù)中內(nèi)容做動(dòng)態(tài)化更新，以提高入侵檢測(cè)的靈敏度和適用廣度。

2.2交換機(jī)ACL配置

本文研究的聯(lián)動(dòng)方案使用S2928G-24P型號(hào)交換機(jī)，進(jìn)行網(wǎng)絡(luò)鏈接分析，完成交換機(jī)ACL配置，并命名為for_http，該ACL的內(nèi)容有：（1）定義擴(kuò)展訪問(wèn)控制列表，命名為for_http。（2）設(shè)置源地址：WWW_SERVER_IP，源端口：TCP80，目標(biāo)地址：任意數(shù)據(jù)包轉(zhuǎn)發(fā)，主要向開(kāi)放服務(wù)器提供服務(wù)。（3）設(shè)置源地址：WWW_SERVER_IP，源端口：TCP 21，目標(biāo)地址：管理主機(jī)的IP數(shù)據(jù)包轉(zhuǎn)發(fā)，開(kāi)啟開(kāi)放服務(wù)器FTP服務(wù)的命令通道。（4）設(shè)置源地址：WWW_SERVER_IP，源端口：TCP 20001-20010，目標(biāo)地址：管理主機(jī)的IP數(shù)據(jù)包轉(zhuǎn)發(fā)，以開(kāi)啟FTP服務(wù)的被動(dòng)數(shù)據(jù)通道。（5）設(shè)置源地址：WWW_SERVER_IP，源端口：TCP 20，目標(biāo)地址：管理主機(jī)IP數(shù)據(jù)包轉(zhuǎn)發(fā)，以開(kāi)啟FTP服務(wù)的主動(dòng)數(shù)據(jù)通道。（6）設(shè)置源地址：WWW_SERVER_IP，源端口：TCP 3389，目標(biāo)地址：管理主機(jī)IP數(shù)據(jù)包轉(zhuǎn)發(fā)，以搭建主機(jī)與服務(wù)器間的訪問(wèn)通道。（7）設(shè)置源地址：WWW_SERVER_IP，目標(biāo)地址：病毒庫(kù)的升級(jí)服務(wù)器IP，目標(biāo)端口：TCP 80數(shù)據(jù)包轉(zhuǎn)發(fā)，保證病毒庫(kù)的實(shí)時(shí)更新。（8）設(shè)置源地址：WWW_SERVER_IP，目標(biāo)地址：DMS_SERVER_IP，目標(biāo)端口：UDP 53的數(shù)據(jù)包轉(zhuǎn)發(fā)，確保服務(wù)器可完成域名解析。（9）設(shè)置源地址：WWW_SERVER_IP，目標(biāo)地址：NTP_SERVER_IP，目標(biāo)端口：UDP 123的數(shù)據(jù)包轉(zhuǎn)發(fā)，使服務(wù)器進(jìn)行定期更新。（10）禁止數(shù)據(jù)包轉(zhuǎn)發(fā)行為，除以上提到的數(shù)據(jù)包外，丟棄其余IP數(shù)據(jù)包[1]。

完成交換機(jī)ACL配置后，將ACL訪問(wèn)控制列表與服務(wù)器的與交換機(jī)的IN接口連接，進(jìn)入服務(wù)器的數(shù)據(jù)包首先需通過(guò)交換機(jī)的過(guò)濾。

2.3防火墻模塊

在入侵防御系統(tǒng)與交換機(jī)聯(lián)動(dòng)中，防火墻發(fā)揮最終的安全防護(hù)功能，依照既定規(guī)則確保網(wǎng)絡(luò)運(yùn)行穩(wěn)定及安全。在聯(lián)動(dòng)系統(tǒng)運(yùn)行過(guò)程中，IPSec負(fù)責(zé)接收控制信息，自動(dòng)形成新的過(guò)濾規(guī)則，然后以數(shù)據(jù)流向、IP地址、時(shí)間節(jié)點(diǎn)、端口等攔截異常數(shù)據(jù)，各策略存在相應(yīng)時(shí)長(zhǎng)后，則自動(dòng)解除。防火墻框架設(shè)計(jì)為Netfilter/Iptables，該框架的優(yōu)勢(shì)為防御性能強(qiáng)、作用效果穩(wěn)定、自定義程度高。防火墻模塊分控制、規(guī)則和過(guò)濾三個(gè)部分，能夠?qū)θ肭忠援惓?shù)據(jù)做識(shí)別分析，以形成新的防御規(guī)則添加至規(guī)則庫(kù)，并將該部分?jǐn)?shù)據(jù)過(guò)濾。防火墻模塊源IP、端口目標(biāo)、IP目標(biāo)、協(xié)議類型等均依靠BlockFilterPacket函數(shù)進(jìn)行，利用DataFilte結(jié)構(gòu)進(jìn)行生存周期及篩選器命名，并將篩選器列表存放至IPSecFilterNode結(jié)構(gòu)體當(dāng)中[2]。

結(jié)論：

基于聯(lián)動(dòng)技術(shù)的入侵防御系統(tǒng)與交換機(jī)設(shè)備安全防護(hù)系統(tǒng)，具備防御性能穩(wěn)定、適用范圍廣、防御靈敏度高等優(yōu)勢(shì)，可在提供可靠網(wǎng)絡(luò)安全防御作用的同時(shí)，提高系統(tǒng)構(gòu)建經(jīng)濟(jì)性，因此非常適用于中小型企業(yè)的網(wǎng)絡(luò)安全防護(hù)中，值得推廣。

參考文獻(xiàn)：

[1]劉沛.網(wǎng)絡(luò)安全現(xiàn)狀及安全防護(hù)實(shí)施方案[J].信息與電腦（理論版），2019，31（24）：196-199.

[2]馬崇瑞，張輝.基于云計(jì)算的網(wǎng)絡(luò)入侵安全防御系統(tǒng)設(shè)計(jì)[J].電子元器件與信息技術(shù)，2019，3（10）：24-25+28.