防火墙与网络入侵防御系统集成实施方案
防火墙与网络入侵
防御系统集成实施方案
陈金华1 刘文红2 张思东1
1北京交通大学 电子信息工程学院 北京 100044
2北京佳讯飞鸿公司 北京 100044
摘要:本文分析了Linux防火墙实现方法和网络入侵防御系统的原理,提出了一种防火墙与网络入侵防御系统集成实施的方案,并分析了入侵防御系统实现中的数据来源、检测方法和改进的响应方式。关键词:防火墙;入侵防御;集成实施;IPS;多模式匹配
0 引言
入侵检测系统(IDS)旁路检测网络攻击行为,能够检测出自网络内部和外部发起的攻击和网络异常行为,但由于是旁路连接,往往只能检测到攻击而不能实时阻断攻击。尽管入侵检测系统能够与防火墙联动实施阻断,但实时性很差,过多的错误报警也使得防火墙难以响应。由IDS发展而来的入侵防御系统(IPS)能够在线检测并实时阻断网络攻击,属于访问控制类系统。而传统的广泛使用的网络安全类产品防火墙也属于访问控制类系统,因此用户不能接受将IPS作为一个单独的产品来使用,因为这样将使得两类访问控制产品重复布设,增加建网费用和管理成本。而将防火墙与IPS集成实施以作为防火墙系统的升级则能够对防火墙放行的数据进行进一步的检测,弥补了防火墙不能对应用层检查的缺陷,也符合实际需求,因此集成实施方案越来越受到关注。本文结合网络安全发展趋势及防火墙和IPS实现原理,提出了一个防火墙与网络入侵防御系统集成实施的框架。
部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。
本方案中采用基于Linux系统的包过滤防火墙,它具有实施简便、数据包处理速度快的优点。下面简述Linux防火墙的实施原理。
在Linux系统中防火墙的实现是基于Netfilter框架的。Netfilter由一系列基于协议栈的钩子组成,对于IPv4、IPv6、IPX等协议都有对应的钩子函数。
IP协议栈中有如下五个钩子点:
NF_IP_PRE_ROUTING:进行完版本号及校验和验证后的网络数据包通过这个检查点;
NF_IP_LOCAL_IN:经路由查找后,送往本机的数据包通过此检查点;
NF_IP_FORWARD:要转发的包通过此检查点;NF_IP_LOCAL_OUT:本机发出的包通过此检查点;NF_IP_POST_ROUTING:所有马上将要通过网络设备发送出去的包通过此检查点。
这些点是在内核中定义好的, 可使用nf_register_hook()函数在这些钩子处注册相应的处理函数。在数据报经过这些钩子函数时注册的函数就被调用,从而加载的模块可以处理这些数据报,并向Netfilter返回值以表明丢弃该数据包或接受该数据包或其他处理。
包过滤型防火墙通过钩子函数NF_IP_LOCAL_IN、NF_IP_FORWARD及NF_IP_LOCAL_OUT接入Netfilter框架。在这三个钩子处分别挂接一个过滤表,因此提供了三条链进行数据过滤。所有来自于网络并且发给本机的数据报会遍历INPUT规则链,根据INPUT链中的条目来允许或拒绝数据包发往本机;所有被转发的数据报将仅仅遍历FOR-WARD规则链,根据FORWARD
链中的规则条目来决定是
1 防火墙和IPS原理
1.1 防火墙原理
防火墙是一种用来在网络之间实施访问控制的网络设备,它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,从而达到保护内部网络信息不被外部非授权用户访问和过滤不良信息的目的。
按照防火墙对数据包处理方法的不同,可分为包过滤防火墙和应用层网关防火墙。包过滤防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包头中的IP源地址、IP目的地址、TCP/UDP目的端口、ICMP消息类型等。应用层网关防火墙通过代理技术参与到一个TCP连接的全过程,从内
本文由信息产业部电子发展基金项目资助。作者简介:陈金华(1979-),女,北京交通大学,电子学院下一代互联网研究中心2003级硕士研究生,主要研究方向:网络安全;刘文红(1967-),女,电子学院下一代互联网研究中心博士研究生,主要研究方向:IP网络组播。张思东(1945-),男,教授,电子学院下一代互联网研究中心博士生导师,主要研究方向:下一代互联网。
你可能喜欢
- 系统集成项目实施方案
- 网络实施方案
- 企业网络安全解决方案
- 计算机网络面试题
- 华为防火墙
- 华为项目管理模板
- 入侵防御系统
- 华为项目管理培训
- 如何编制2013版网络系统互联及集成技术产品项目商业计划书(符合VC风投+甲级资质)及融资方案实施指导30页
- 如何编制2013版系统集成软件项目商业计划书(符合VC风投+甲级资质)及融资方案实施指导30页
- 《网络系统集成项目实施方案》23页
- XXXX项目实施及系统集成方案16页
- 系统集成设计 大、中型通信网络集成项目实施 标前调研、技术交流、投标方案编制25页
- 系统集成项目实施方案4页
- 第一小学关于开展网络教研的实施方案2012.44页
- 中小型企业网络工程实施方案38页
- VPN网络链路保护项目实施方案5页
- XX大楼网络实施设计方案55页
- TD-LTE网络部署实施方案及关键点16页
- 关于参加中小学安全知识网络竞赛活动的实施方案3页
- 排除隐患 中小企业网络安全解决方案6页
- 飞鱼星科技企业安全网络解决方案19页
- Hillstone山石网科中小企业网络安全解决方案 V140页
- 移动企业网络安全整体解决方案121页
- 中小企业网络安全解决方案10页
- 中小企业整体网络安全解决方案8页
- 计算机网络工程师笔试面试题汇总25页
- 计算机网络面试题(很全哦)24页
- 计算机网络面试题5页
- 综合面试题-操作系统、计算机网络、设计模式46页
- 计算机网络,操作系统,智力面试题15页
- 计算机网络面试题14页
- 华为赛门铁克防火墙配置2页
- 华为路由器和防火墙配置命令总结10页
- 华为公司防火墙技术培训-基础篇84页
- 华为防火墙VPN配置3页
- 华为防火墙基础和配置V1.191页
- 华为公司防火墙技术培训-基础篇V1.2_2009061684页