防火墙与网络入侵

　　　　　　　　　　防御系统集成实施方案

陈金华１　刘文红２　张思东１

１北京交通大学　电子信息工程学院　北京　１０００４４

２北京佳讯飞鸿公司　北京　１０００４４

摘要：本文分析了Ｌｉｎｕｘ防火墙实现方法和网络入侵防御系统的原理，提出了一种防火墙与网络入侵防御系统集成实施的方案，并分析了入侵防御系统实现中的数据来源、检测方法和改进的响应方式。关键词：防火墙；入侵防御；集成实施；ＩＰＳ；多模式匹配

０　引言

入侵检测系统（ＩＤＳ）旁路检测网络攻击行为，能够检测出自网络内部和外部发起的攻击和网络异常行为，但由于是旁路连接，往往只能检测到攻击而不能实时阻断攻击。尽管入侵检测系统能够与防火墙联动实施阻断，但实时性很差，过多的错误报警也使得防火墙难以响应。由ＩＤＳ发展而来的入侵防御系统（ＩＰＳ）能够在线检测并实时阻断网络攻击，属于访问控制类系统。而传统的广泛使用的网络安全类产品防火墙也属于访问控制类系统，因此用户不能接受将ＩＰＳ作为一个单独的产品来使用，因为这样将使得两类访问控制产品重复布设，增加建网费用和管理成本。而将防火墙与ＩＰＳ集成实施以作为防火墙系统的升级则能够对防火墙放行的数据进行进一步的检测，弥补了防火墙不能对应用层检查的缺陷，也符合实际需求，因此集成实施方案越来越受到关注。本文结合网络安全发展趋势及防火墙和ＩＰＳ实现原理，提出了一个防火墙与网络入侵防御系统集成实施的框架。

部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。

本方案中采用基于Ｌｉｎｕｘ系统的包过滤防火墙，它具有实施简便、数据包处理速度快的优点。下面简述Ｌｉｎｕｘ防火墙的实施原理。

在Ｌｉｎｕｘ系统中防火墙的实现是基于Ｎｅｔｆｉｌｔｅｒ框架的。Ｎｅｔｆｉｌｔｅｒ由一系列基于协议栈的钩子组成，对于ＩＰｖ４、ＩＰｖ６、ＩＰＸ等协议都有对应的钩子函数。

ＩＰ协议栈中有如下五个钩子点：

ＮＦ＿ＩＰ＿ＰＲＥ＿ＲＯＵＴＩＮＧ：进行完版本号及校验和验证后的网络数据包通过这个检查点；

ＮＦ＿ＩＰ＿ＬＯＣＡＬ＿ＩＮ：经路由查找后，送往本机的数据包通过此检查点；

ＮＦ＿ＩＰ＿ＦＯＲＷＡＲＤ：要转发的包通过此检查点；ＮＦ＿ＩＰ＿ＬＯＣＡＬ＿ＯＵＴ：本机发出的包通过此检查点；ＮＦ＿ＩＰ＿ＰＯＳＴ＿ＲＯＵＴＩＮＧ：所有马上将要通过网络设备发送出去的包通过此检查点。

这些点是在内核中定义好的，　可使用ｎｆ＿ｒｅｇｉｓｔｅｒ＿ｈｏｏｋ（）函数在这些钩子处注册相应的处理函数。在数据报经过这些钩子函数时注册的函数就被调用，从而加载的模块可以处理这些数据报，并向Ｎｅｔｆｉｌｔｅｒ返回值以表明丢弃该数据包或接受该数据包或其他处理。

包过滤型防火墙通过钩子函数ＮＦ＿ＩＰ＿ＬＯＣＡＬ＿ＩＮ、ＮＦ＿ＩＰ＿ＦＯＲＷＡＲＤ及ＮＦ＿ＩＰ＿ＬＯＣＡＬ＿ＯＵＴ接入Ｎｅｔｆｉｌｔｅｒ框架。在这三个钩子处分别挂接一个过滤表，因此提供了三条链进行数据过滤。所有来自于网络并且发给本机的数据报会遍历ＩＮＰＵＴ规则链，根据ＩＮＰＵＴ链中的条目来允许或拒绝数据包发往本机；所有被转发的数据报将仅仅遍历ＦＯＲ－ＷＡＲＤ规则链，根据ＦＯＲＷＡＲＤ

链中的规则条目来决定是

１　防火墙和ＩＰＳ原理

１．１　防火墙原理

防火墙是一种用来在网络之间实施访问控制的网络设备，它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是否被允许，从而达到保护内部网络信息不被外部非授权用户访问和过滤不良信息的目的。

按照防火墙对数据包处理方法的不同，可分为包过滤防火墙和应用层网关防火墙。包过滤防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包头中的ＩＰ源地址、ＩＰ目的地址、ＴＣＰ／ＵＤＰ目的端口、ＩＣＭＰ消息类型等。应用层网关防火墙通过代理技术参与到一个ＴＣＰ连接的全过程，从内

本文由信息产业部电子发展基金项目资助。作者简介：陈金华（１９７９－），女，北京交通大学，电子学院下一代互联网研究中心２００３级硕士研究生，主要研究方向：网络安全；刘文红（１９６７－），女，电子学院下一代互联网研究中心博士研究生，主要研究方向：ＩＰ网络组播。张思东（１９４５－），男，教授，电子学院下一代互联网研究中心博士生导师，主要研究方向：下一代互联网。