防火墙与IDS联动技术在校园网的应用研究.docx

1、防火墙与IDS联动技术在校园网的应用研究防火墙与IDS联动技术在校园网的应用研究目 录摘 要 IABSTRACT II1 引言 11.1研究背景 11.2研究意义 12XXX学院网络介绍 32.1情况介绍 32.2校园网络存在的问题 43 相关的知识和技术 63.1网络攻击的主要类型 63.2防火墙理论知识 73.2.1防火墙的概念 73.2.2防火墙的常见类型 83.2.3防火墙的安全策略 93.2.4防火墙技术存在的问题 103.3入侵检测系统相关理论知识 103.3.1入侵检测系统的概念 103.3.2入侵检测系统的类型 113.3.3入侵检测技术存在的问题 124联动机制的理论研究 1

2、24.1联动的必要性 124.2联动的互补性 134.3联动的安全性 144.4防火墙与入侵检测系统的联动方式 144.5防火墙与入侵检测系统互动模型 154.6模式匹配算法研究 164.6.1BM算法概述 175联动技术在校园网中的实现 195.1防火墙配置 195.2 联动实验 215.3 验证实验 265.4注意事项 276结束语 276.1主要工作总结 276.2有待进一步研究的问题 28参考文献 29致 谢 30摘 要随着网络技术的迅速发展，网络的安全问题变得日趋重要，对网络安全理论和防护技术的研究也需不断创新与提高。目前防火墙和入侵检测是最常用的两种网络安全技术，但在单独使用时他们

3、都存在者不足。其中以防火墙为代表的静态安全技术，其缺点是需要人工来实施和维护，不能主动跟踪入侵者，而以入侵检测为代表的动态安全技术，则能够主动检测网络的易受攻击点和安全漏洞，并且通常能够先于人工探测到危险行为，入侵检测能够发现危险攻击的特征，进而探测出攻击行为发出警报，同时采取保护措施。在传统的加密和防火墙技术已不能完全满足安全需求的同时，入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后，新一代的安全保障技术。因此，如何综合利用这两种安全技术，构建一个安全防护系统，己成为计算机网络安全领域中的重要研究课题。本论文提出一种将入侵检测与防火墙结合起来互动运行在校园网站中的理念，将入侵检

4、测作为防火墙的一个有益的补充，防火墙便可通过入侵检测及时发现其策略之外的攻击行为，IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。最后就某高校校园网的建设问题，结合防火墙技术和入侵检测技术的互补优势，提出校园网络安全防御系统的解决方案。关键字：防火墙；入侵检测系统；联动；校园网；解决方案ABSTRACTThe rapid development of the internet technologies, network security issues become increasingly important for network security and protection te

5、chnology theory also need continuous innovation and improvement. Current firewall and intrusion detection are the two most commonly used network security technology, but when used alone they are shortcomings. Firewall on behalf of static security, which disadvantage is that it needs people implement

6、，maintenance and can not follow the intrusion. However, IDS on behalf of dynamic security, which can detect the easy attack point and security hole initiatively. Furthermore, IDS can detect the dangerous action before manual detection. IDS can find the characters of dangerous intrusion and detect th

7、e attack action and then alarm, take protected measures at the same time. Because the traditional technologies such as encryption and firewall cannot satisfy the security needs. Now intrusion detection technology, as a new security method, has been gained more and more attention. Therefore, how comp

8、rehensive utilization of the two security technologies, to build a security system, computer network security has become an important research topic. In this paper, brings a thought that IDS and firewall can work together in the university network. IDS will be a good complement to firewall. Firewall

9、 can find intrusion by using intrusion detection, and IDS can block the attack from the external network by using firewall. In the end, according to the construction experiences by integrating the firewall and IDS technologies in a certain university network, this paper puts forward the defence solu

10、tions in security systems of university network.Key words: Firewall; intrusion detection systems; University network; Solutions appear1 引言1.1 研究背景随着互联网在我国的普及，各级政府部门、企事业单位、社会团体、乃至个人都相继推出了的计算机网络服务，从根本上改变了人们的生活、学习和工作方式。越来越多的计算机用户可以通过网络足不出户地享受丰富的信息资源、方便快捷地穿越空间地域的限制与他人交流。Internet的普及应用，如同工业革命的到来一样，又一次导致了人

11、类社会发展方式的革命，信息化时代已全面到来。如同事物发展的必然规律，Internet的普及应用在给人类带来无穷便利和无限可能的同时，同样也会产生各种各样的问题和矛盾。比如某些Internet使用者在虚拟环境中的人格会发生变化，某些Internet使用者会沉迷于网络所营造的虚幻世界，又比如Internet在技术上存在的稳定性和安全性隐患等等。这些问题有些是属于社会学范畴，有些是属于伦理学范畴，还有一些则是属于计算机科学技术范畴，本文所要重点讨论的，就是属于计算机科学技术范畴之内的校园网络安全问题。具体来说，由于网络协议本身在设计和实现上的一些不完善因素，随之而来的Internet入侵事件也就层出

12、不穷。随着Internet的发展，网络与信息安全问题日益突出。在所有的安全事故中有些涉及到了一个站点或一台计算机，有些则涉及到了成百上千的站点和计算机，而且持续相当长的时间。除了发生安全事故的数量急剧增长外，侵袭的方法与手段也日趋先进和复杂。特别是近年来，通过计算机实施犯罪的案件数量急剧上升，如果对网络安全问题掉以轻心，互联网络就可能会让用户的正当利益受到严重侵害，还可能带来重大的经济损失，甚至对国家安全产生负面影响。具体到教学范畴，随着校园网的建设和普及，教与学不可避免的与Internet产生越发密切的联系，师生通过网络进行网上教学、网上交流、网上专题讨论、网络检索所需信息以及收发电子邮件等

13、活动。在享受网络给教学带来便捷的同时，我们也体会到了各种负面因素带来的困扰，例如：病毒侵犯、保密资料外泄等等。所以，对于校园网这个特殊而又重要的局域网来说，建立完备的校园网安全防护体系，保护校园网内部信息资源不受侵害，确保网络教学等活动得以正常运转，校园网络安全问题就成为计算机网络管理中一个极其重要且必须要解决的问题。1.2 研究意义 校园网的主要服务对象是学生。对于学生这个群体来说，有着其显著的生理特征和心理特点：年轻、好动、极富想象力、充满热情并积极投入实践，但同时心智与是非观念尚不成熟，人生观和价值观还没有完全成形。所以这个年龄段的年轻人恰恰是攻击者、入侵者最多发的年龄段。校园网的特点是

14、面积广，速度快，使用者人数众多并且相对集中，相对于电子商务和政府行政、国防军事等重要部门所使用的网络来说，网络安全相对薄弱一些,甚至于有些校园网并不重视网络安全，导致自身的防护能力极其有限。防护能力的薄弱会导致入侵成功率的增大，而任何成功的入侵都有可能给校园网带来不可预测的后果，轻则破坏、恶意修改主页，重则清除数据库，删除重要文件，窃取科研和考试机密，甚至会使整个校园网络瘫痪，给学校的公众形象、正常教学和行政工作造成不必要的麻烦和严重的后果。所以说作为开放网络的组成部分，校园网的安全问题是不容忽视的。对于学校政治宣传和安全保密部门来说，则希望对非法的、有害的、涉及国家机密的信息进行过滤和堵塞，

15、保证机密的数据信息不会外泄，避免对社会产生危害，给国家造成损失。一般来说，校园网己经具备的网络安全技术有防火墙、代理服务器、过滤器、加密、口令验证等等。而目前学校里更多应用的安全设备都属于被动防御措施。作为被动防御措施的代表防火墙是位于两个信任程度不同的网络之间的软件与硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止外部非法用户对重要信息资源的非法存取和访问，以达到保护系统安全的目的。但是我们也必须看到，作为一种周边安全机制，防火墙无法控制内部网络中的行为，它只能在网络层或应用层进行访问控制，无法对通信的内容数据进行监控。防火墙只是一种基于策略的被动防御措施，是

16、一种粗粒度的防御手段，缺点是需要人工来实施和维护，不能主动跟踪入侵者，无法自动调整策略设置来阻隔正在进行的攻击，也无法防范基于协议的攻击。作为主动防御措施的有效补充入侵监测系统是一种主动防御手段，能够主动检测网络的易受攻击点和安全漏洞，并且通常能够先于人工探测到危险行为，能够实时分析内部网络的通信信息，检测出入侵行为或入侵企图，在网络系统受到危害前以各种方式发出报警，并且及时地对网络入侵行为采取相应的措施，最大限度的保护网络系统的安全。入侵检测位于防火墙的后端，先由防火墙做基本的过滤,，再由入侵检测系统做细致的检测。如果它们之间互相独立的工作，就会有相当一部分的内容相互重叠，使得硬件资源的使用

17、效率降低。就防火墙来说，其过滤规则需要人为地设定，并不能够根据当前的连接情况做出动态的调整，而单独的入侵监测系统即便是发现了入侵，也不能立即阻止。如果能使入侵检测系统检测出的新入侵，生成临时的检测过滤规则并通过某种渠道，使入侵检测系统能够将新生成的过滤规则通知防火墙，便可以达到让防火墙及时拦截入侵信息的效果。所以，如果让防火墙与入侵检测系统结合起来互动运行，入侵检测系统就可以及时发现防火墙策略之外的入侵行为，防火墙则根据入侵检测系统反馈的入侵信息来进一步调整安全策略，从而进一步从源头上阻隔入侵行为。这样就可以大大提高整个防御系统的性能，保证网络的畅通与安全。本文比较了以防火墙为代表的静态安全技

18、术和入侵检测技术为代表的动态安全技术的区别和联系，经过研究它们的优缺点，探讨将防火墙与入侵检测系统相结合取长补短，更好的发挥各自的优势功能。结合校园网的建设和管理，提出在校园网中将防火墙与入侵检测系统联动起来相互运行的理念，将入侵检测作为防火墙的一个有益的补充，防火墙便可以通过入侵检测及时发现所遗漏的攻击行为，入侵检测也可以通过防火墙对来自网络外部的攻击行为进行阻断。这样就可以在不必大幅增加运行成本的基础上大大提高校园网络系统的安全防护水平和网络管理水平。2 XXX学院网络介绍2.1 情况介绍XXX学院下设三院六系一部的教学管理机构。现有在校师生约8000人。学院建有校园网、无线广播系统、闭路

19、电视系统、电视演播室、广播站、实习工厂、多媒体教室、语音室。网络设备产品类型包括路由器、防火墙、核心交换机、工作组交换机，以太网卡等，服务器主要为turbolinux，工作站系统平台有：WindowsXP/unix等，可提供DNS、EMAIL、WWW、和FTP等因特网服务。其中路由器主要采用思科3285，是一款集成化路由器，路由网管功能是Cisco ClickStart，SNMP，局域网接口为2个10/100/1000Mbps端口，广域网接口可选，内置防火墙功能，模块化端口结构，支持VPN和Qos，扩展插槽有两个。核心交换机主要采用锐捷S6806， 应用层级为二层，有128个接口，全模块化的接

20、口类型和端口结构，网管功能支持SNMPv1/v2/v3，Telnet，console，CLI,IMON。防火墙主要采用锐捷WALL60，VPN设备接口为固化7个10/100BaseT端口，包括4个交换机端口，协议支持L2TP VPN,GRE VPN,IPSec VPN，NAT，支持多种NAT ALG，包括DNS，FTP，H.323，ILS,MSN,NBP，PPTP,SIP，其他功能包括扩展的状态检测功能，防范入侵及其它（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等附加功能）。校园网拓扑图如2-1示：图2-1校园网拓扑图2.2校园网络存在的问题校园在建设中面

21、临的问题有如下几个方面8：1、网络管理维护的困难。课堂教学逐步走向网络化，学生在线学习、娱乐时间增加。校园网网络大、业务多、故障问题定位复杂，网络的安全性差、管理难度大。2、网络业务容量及资源调配的困难如何有效合理对教育网络带宽的调度和分配，满足教育网络多媒体教学和远程教学、图书馆访问系统、视频会议、ePhone等等应用。3、网络安全、统计等运营问题。缺乏用户认证、授权、计费体系，安全认证以IP地址为主，存在有意和无意的攻击。由于本文讨论的是网络安全技术在校园网中的应用，所以主要讨论校园网的安全问题。与其它网络一样，校园网面临的安全问题主要可分为对网络中数据信息的危害和对网络设备的危害。具体来

22、说，危害校园网络安全的主要威胁有16：1.操作系统的安全问题目前，广泛使用的网络操作系统主要有UNIX、WINDOWS和Linux等，这些操作系统都存在各种各样的安全问题，许多计算机病毒和黑客便是利用操作系统的这些安全隐患和漏洞，通过减慢系统的响应时间等手段干扰系统正常运行，对校园网进行攻击。如果不及时对操作系统进行更新，修复各种漏洞，计算机即使安装了防毒软件也会因此而感染。2.病毒的破坏计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用并能自我复制、传播的一组计算机指令或程序代码。是一种人为制造的，寄生于计算机应用程序或操作系统中的可执行部分。通过网络传播的病毒

23、在传播速度、破坏性和传播范围等方面都远远超过单机病毒。网络中的计算机在运行、下载共享资源和收发电子邮件时都有可能感染病毒，一旦感染病毒，就很可能会造成计算机系统无法正常运行，破坏系统软件和文件系统，破坏网络资源，使网络效率急剧下降，甚至造成计算机和网络系统的瘫痪或者崩溃。可以说目前互联网上存在的最大的安全隐患就是病毒，也是影响校园网络安全的主要因素。3.遭受非法入侵及恶意破坏一些人因为好奇心、功利心或者带有恶意的心理动机，便利用网络设备、网络协议和操作系统的安全漏洞以及管理上的疏漏，使用各种非法手段访问资源、删改数据、破坏系统。对这些行为如不及时加以控制，就有可能造成主机系统的瘫痪或者崩溃，给

24、教学和管理工作带来不良后果及损失。一般来说，为了管理的方便，学校会为每个上网的教师和学生分配一个使用账号，根据其应用范围，分配相应的权限。某些人出于好奇、个人私利或恶意报复，使用不正常的手段窃取他人的口令，访问不该属于自己访问的内容，进行恶意篡改、改变程序设置，引起系统混乱、窃取机密数据等等，这些安全隐患都严重地影响了学校正常的教学和管理秩序。4.不良信息的传播随着网络范围的不断扩大，应用水平的不断加深，师生都可以通过校园网络使用自己的电脑上联入Internet,越来越多的人进入到了Internet这个大家庭，目前，Internet上各种信息良莠不齐，有关色情、暴力、邪教内容的网站泛滥，其中有

25、些不良信息违反人类的道德标准和有关法律法规，对于正处在个体人生观和世界观形成期的大学生来说具有极大的潜在危害。如果不采取相应的防范措施，必然会对当代大学生的身心健康成长产生极为恶劣的影响。5.技术之外的问题校园网是一个比较特殊的网络环境。随着校园网络规模的扩大，许多高校基本实现了教学科研办公上网，学生宿舍、教师家庭上网。由于信息点的增加及分散，使得网络监管困难重重。由于一些学生对网络知识很感兴趣，并且具有相当高的专业知识水平，为了表现他们的才华，实践自己所学知识，充当黑客入侵，通常利用端口监听、端口扫描、口令入侵、JAVA炸弹等手法，对计算机系统进行非授权访问，对校园网实施攻击。另外，许多教师

26、和学生的计算机网络安全意识薄弱、安全知识缺乏。学校的规章制度还不够完善，还不能够有效的规范和约束学生、教工的上网行为。除此之外，Internet上的非法内容也形成了对网络的另一大威胁。对校园网来说，面对形形色色、良莠不分的网络资源，如不具有识别和过滤作用，不但会造成大量非法内容或邮件出入，占用大量流量资源，造成流量堵塞、上网速度慢等问题，而且某些网站如娱乐、游戏、暴力、色情、反动消息等不良网络内容，将极大地危害学生的身心健康，导致无法想象的后果。3 相关的知识和技术3.1网络攻击的主要类型在安全系统中，一般至少应当考虑如下三类安全威胁；外部攻击、内部攻击和授权滥用。攻击者来自该计算机系统的外部

27、时称作外部攻击；当攻击者就是那些有权使用计算机，但无权访问某些特定的数据、程序或资源的人意图越权使用系统资源时视为内部攻击，包括假冒者(即那些使用其他合法用户的身份和口令的人)秘密使用者(即那些有意逃避审计机制和存取控制的人)；特权滥用者也是计算机系统资源的合法用户；表现为有意或无意地滥用他们的特权。其中主要有：1.借助系统命令进行攻击 很多攻击我们在日常都有接触，最为简单的，比如早期通过“Ping”命令来执行攻击，方法用了早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定63KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有

28、效载荷生成缓冲区的情况，利用内存分配错误的漏洞点，来发动攻击，不过这一攻击方法，显然现在已很少有人使用，毕竟目前最为简单的防火墙软件，恐怕也都可以对这类攻击做出拦截。2.通过“IP欺骗”发起攻击IP欺骗攻击发生在这样一种情况下。网络外部的攻击者假冒受信主机，通过伪装成当前内外范围内的IP地址信息，或是远程中，看似为信任区域的主机，比如从IP地址来看，甚至你会认为那只是你邻居、对门、室友的计算机、或者你在公司、学校的服务器等等。而一旦骗取用户的信任，黑客就会把数据或命令注入到客户、服务器之间对等网络连接间传送中已存在的数据流，而当防火墙也无法辨别或无法做出判断时，那么此时攻击就会自动发起。3.“

29、破解密码”来实施攻击破解密码，如何破解电报信息一样，并不容易但是有技巧，比如早年，一些所谓的“密码词典”等程序，他们就通过这一方法，利用最为原始，看似又更为有效的破解方式，来试图强行计算原创计算机登录密码，特别是当反复试探，甚至上千、上万次试验后，真的出现破解到密码的情况，那么便会在用户尚未察觉，防火墙又无法发挥效果的情况下，立即登录计算机，并创建管理员账户，同时快速植入后门程序等，而即使用户发现了这一情况，程序已然植入到系统当中，窃密祸根便从此种下。4.“拒绝服务”欺骗式攻击和其他的攻击方式不同，拒绝服务器是因为他们不是以获得网络或网络上信息的访问权为目的。攻击主要是使服务器不能正常的使用提

30、供服务。通常可以耗尽网络、系统或应用程序有限的资源来实现。特别是当其涉及到特殊的网络服务应用，像HTTP或FTP服务，攻击者能够获得并保持所有服务器支持的有用连接，有效的把服务器或服务的真正使用者关在外面。拒绝访问攻击也能用普通的Internet协议实现，像TCP和ICMP漏洞等，通过系统的缺陷发起攻击。5.通过系统“应用层”攻击应用层攻击能够使用多种不同的方法实现。如使用服务器上通常可找到软件的已知缺陷，通过使用这些缺陷，攻击者能够获得计算机的访问权，该计算机上有运行应用程序所需账户的许可权，一旦获取，同样会立即创建管理员账户，并快速植入木马程序。而尽管现在包括微软等对软件程序、硬件驱动程序

31、都进行了认证处理，但由于目前技术方面仍然存在弱点，导致仍会有大量黑客通过此方法对系统进行攻击，而且大多会取得成功。3.2防火墙理论知识3.2.1防火墙的概念防火墙是目前最为流行也是使用最为广泛的一种网络安全技术，在构建安全网络环境的过程中，防火墙作为第一道安全防线，受到越来越多用户的关注。防火墙并不是真正的墙，它是一类防范措施的总称，简单的说，就是位于信任程度不同的网络之间（如Internet或有一定风险的网络与局域网之间）的软件或硬件设备的组合，它通过强制实施统一的安全策略，对两个网络之间的通信进行控制，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。典型的防火墙具有以下三个方

32、面的基本特征：(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙根据美国国家安全局制定的信息保障技术框架，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。(2)只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。防火墙将网络上的流量通过相应的网络接口接收上来，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。(3)防火墙自身应具有非常强的抗攻击免疫力防火墙处于网络边缘，每时每刻都要面对黑客的入侵，这就要求防火墙自身要具有非常强的抗击入侵本领。3.2.2防火墙的常见类型根据防范的方式和侧重点的不同，防火墙可以分为以下几种类型：1. 包过滤型防火墙包过滤型防