1.概述

　　網絡系統已經成為現代工作、生活不可或缺的一部分，網絡技術的飛速發展在給人們帶來巨大好處的同時，也存在病毒、木馬、黑客攻擊等破壞我們網絡系統的行為，網絡攻擊的方式也呈現出多樣性和隱蔽性的特征，網絡安全保護成為重要的研究議題。

　　目前IPv6協議正處在不斷完善和發展中，正在由IPv4協議向IPv6協議過渡，它在不久的將來，尤其是隨著物聯網技術的推進，將取代目前被廣泛使用的IPv4協議。隨著IPv6協議的不斷發展和推廣應用，在過渡期間的網絡將不斷出現新的網絡安全問題。Linux平臺下基于IPv4網絡的入侵檢測與防火墻的聯動系統目前已經比較成熟，并得到應用，但是Linux平臺下基于IPv6的入侵檢測與防火墻聯動系統的研究才剛剛起步，未得到普及和應用。

　　2.防火墻和入侵檢測系統

　　防火墻是綜合了多種技術的高級訪問控制設備，是網絡安全防護體系的大門。傳統的防火墻的規則是靜態的，對于攻擊或異常行為不能做出實時反應，也不能按照當時的環境變化自動調整其過濾規則。同時，防火墻具有防外不防內的特點，對于內部發起的非法行為或攻擊無法防御。

　　入侵檢測系統是對防火墻的有益補充，能夠對網絡或計算機系統可能操到的攻擊進行實時檢測，是一種動態的安全防護技術，其重點在于入侵行為的識別上，能在來自于網絡內部和外部的入侵攻擊隊系統發生危害前，檢測到入侵攻擊，但入侵檢測系統即使檢測到入侵，也只能進行報警或有限的反擊，很難采取有效的方法進行阻止或控制。

　　3.系統模型分析

　　現有的入侵檢測系統和防火墻在功能上是相互獨立的，防火墻一般放置在內網和外網的中間充當網關使用，由于不能識別網絡流量中的攻擊行為，對于通過合法路徑進入的網絡攻擊和來自內部網絡的攻擊行為防火墻無能為力。雖然目前已有將初步的入侵檢測功能加入到防火墻功能中，但這會防火墻效率大大降低，所有的網絡流量都要通過防火墻進行入侵檢測，這會嚴重影響防火墻的性能，導致網絡瓶頸的產生，只能適應網絡規模較小和網絡流量不大的網絡，無法應用于高速網絡檢測。

　　IDS一般采用旁路部署的方式進行入侵檢測，可以及時發現那些穿透防火墻的深層攻擊行為，無需網絡流量流經它，便可正常工作，不影響網絡的性能，但也存在缺陷。例如，IDS自身容易受到拒絕服務攻擊。而且，由于當代網絡迅速發展，網絡傳輸速度大大加快，IDS檢測到攻擊，如不能及時有效的阻斷，仍將對網絡安全造成威脅。
　　由上面的分析可以看出，只有將入侵檢測與防火墻實現聯動，根據檢測到的入侵信息改變防火墻的策略，從源頭上徹底切斷入侵行為，彌補兩者間的不足，將各自的能力發揮出來，從整體防御的角度保證網絡的安全。

　　Snort是Linux平臺下強大的輕量級網絡入侵檢測系統，Snort　V2.8.1擴展了新的是基于IPv6的檢測規則，是一個以開放源代碼的形式發布的網絡入侵檢測系統，它添加了IPv6解碼模塊，在數據包捕獲和檢測做了改進，實現了對IPv6分段的重組，改進了IPv6快速檢測算法，同時增加對IPv6/IPv4雙協議的支持。

　　IP6tables是Linux內核提供的包過濾工具，通常用來建立、維護、檢查Linux內核過濾表，可以加入、插入或刪除核心包過濾鏈中的規則。IP6tables在語法上和IPtables基本相同，它是建立在Netfilter框架上的用戶空間管理工具，具有很好的擴展性，支持128位地址。IP6tables提供了INPUT、FORWARD和OUTPUT3種過濾鏈表。用戶可以配置不同的過濾規則，每一條鏈可以有一條或數條規則，當一個數據包到達相應的過濾鏈表時，按照順序將鏈中的每條規則應用到分組，直到找到一個匹配。如果該數據包不匹配任何一條規則，則根據預先定義的策略來處理該數據包。IP6tables配置命令的基本形式如下：

　　IP6tables –[AD]chain-name　rule-specification

　　命令中各項解釋如下：

　　1）-A表示添加規則，-D表示刪除規則。

　　2）chain-name表示INPUT、FORWARD和OUTPUT3種過濾鏈表中的一種。
 
　　3）rule-specification確定了具體規則的內容。

　　SnortSam是snort的入侵防范插件，是snort和IP6tables聯動機制的核心，在整個聯動的安全防護體系中起到了一個核心作用。它通過向snort規則添加新響應來工作，規則一旦觸發將會使防火墻發生變化。它可以接收一個或多個入侵檢測系統的報警信息也可以和一個或多個防火墻進行交互，可以基于所觸發的規則控制每個防火墻。

　　4.利用SnortSam插件實現snort與IP6tables聯動

　　SnortSam有兩個基本的組成部分：插件和代理。插件是一個標準的snort輸出插件，用于當規則觸發時向代理發送指令。這些指令以加密的方式發送。代理負責解密收到的指令，建立和移除防火墻規則。當一條入侵信息觸發了Snort的一條入侵規則時，它能夠及時向插件傳送報警信息。插件根據傳遞過來的報警信息，生成FWsampacket或者FWsampacket6報警包，并引入TwoFish算法對對通信信息進行加密后發往SnortSam，由于SnortSam輸出插件與代理間需要安全的通信，所以在為snort制定SnortSam輸出插件時，需要指定SnortSam代理所在主機和通訊口令。SnortSam接收到加密指令后由代理負責解密，自動生成一條阻斷規則，并通過代理在防火墻IP6tables上實現。IP6tables執行這個請求，并等待代理發布一個終止請求從而移除被阻斷的地址。當到達預定義的時間限制時，代理發送另一個請求刪除被阻斷的地址。如果在計時結束之前，該阻斷地址又一次發起攻擊，系統不會生成重復的防火墻規則，但會將計時器刷新，重新計時。

　　主要實現步驟如下：

　　1）新建規則文件snortsam.rules，并在此文件中編寫snort新規則，并將報警信息輸出至snortsam輸出插件，同時設置阻斷源IP數據包的時間。

　　2）在snort配置文件fwsam-snort.conf中添加新的輸出插件，使snort支持snortsam輸出，并設置snortsam輸出插件與代理間的通訊口令。

　　3）運行snortsam代理，以入侵檢測方式運行fwsam-snort。

　　5.測試與結果

　　本系統采用典型的網絡掃描進行測試，使用X-Scan和NMAP作為測試工具。利用X-Scan對Snort監控的網絡進行加載掃描，利用NMAP對Snort監控的網絡進行FIN、XMAS和NULL三種特殊形式的掃描，使用IP6tables實現聯動。通過對攻擊方網絡數據流量的分析，在入侵數據包觸發了Snort規則集后，會通過輸出插件向SnortSam報告，從而在防火墻上產生阻斷的訪問控制條目，達到阻斷源IP數據包的目的，實現了Linux平臺下基于IPv6的入侵檢測與防火墻聯動。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.vmgcyvh.cn/

本文標題：基于IPv6的入侵檢測與防火墻聯動系統

本文網址：http://www.vmgcyvh.cn/html/support/11121511832.html