基于代理的分布式防火墙与入侵检测协同防御系统设计与应用＊

王 浩

(安徽财经大学管理科学与工程学院,安徽蚌埠233030)

基于代理的分布式防火墙与入侵检测协同防御系统设计与应用＊

王 浩

(安徽财经大学管理科学与工程学院,安徽蚌埠233030)

分析了传统防火墙和现有分布式防火墙在网络应用中的局限性.将防火墙与入侵检测相结合,提升了系统的防御能力.引入Agent技术,利用Agent的特性对防御系统重新规范、设计,改变以往各防御单元的通信方式,并且在防御系统中增加了中心服务器和域服务器的备份,更好地提高了网络的稳定性、安全性.

分布式防火墙;入侵检测;网络;协同防御

引言

随着网络覆盖范围不断扩大,网络的内外之分也更加地不明显,传统防火墙的一些缺陷,诸如:“防外不防内”、“单点失效”、“性能下降”、”策略惟一性”,都暴露了出来.为了解决传统防火墙出现的问题,通常将防火墙设计为分散的体系结构,各个结点分布处理、集中管理,此类防火墙被称为分布式防火墙[1].

相对传统防火墙来说,分布式防火墙具有许多优势:首先,分布式防火墙能够弥补传统防火墙对内防范不强的缺点,它将各个结点分布到各个子网、关键结点中,避免了一点被攻破整个网络的安全都受到威胁;其次,随着网络规模的不断扩大,对防火墙的功能要求也越来越多,性能要求越来越强,而传统防火墙采用的架构形式和机械的过滤方式已很难满足网络的发展.分布式防火墙对数据包采取分布式过滤,提升了系统性能和扩展性,并且各个结点可根据自身需求对数据包的过滤更有针对性.最后,传统防火墙很难过滤出隐藏在合法数据包中的攻击,而分布式防火墙的安全策略可由主机控制,主机可以根据自身对网络的请求,有针对性地过滤数据包里的内容[2].

虽然现有的分布式防火墙可以解决传统防火墙存在的缺点,但仍存在一些问题:

1)只是形式上的分布 早期分布式防火墙检测分析都是由单一主机完成,数据从采集到分析一定会有延时,往往分析出的结果并不是此时网络的状态,所以作出的处理也不一定是最合理的,在网络环境不好的情况下,还有可能造成网络拥塞.同时,一旦这台主机被黑客攻破整个网络都将暴露在外.

2)缺少恢复机制 一些关键结点如果崩溃,不能够立即恢复,无法保证防火墙自身的安全性和冗余性,这将使得网络存在安全漏洞.

3)不能够主动防御 现有的分布式防火墙往往都是等到攻击出现以后再进行被动地防御.采用这类分布式防火墙将无法抵御大规模的、复杂的网络攻击.

本文所设计的防御系统,采用协同机制将分布式防火墙和分布式入侵检测系统(Distributed intrusion detection system,D IDS)有机地结合在一起,使得防御系统从整体上、动态地掌握攻击行为,以便采用有效手段防御攻击.

1 代理技术在网络防御系统中的应用

为了提高防御系统的处理效率,降低系统的工作流量和响应时间,并且使系统能够适应不同网络规模和异构网络,让系统在有效的通信机制下协同工作.在设计中我们引入Agent[3]技术,利用Agent的自治性、移动性、自适应性等[4],定义分布式防火墙和入侵检测系统的需求和功能,利用Agent通信功能[5],提高系统的处理速度,增加系统时效性,可以动态地加入和移去某些功能,提高系统扩展性.

2 基于代理的协同防御系统防御体系设计

2.1 协同防御体系框架设计

针对现在黑客多采用协同攻击的手段,我们在本协同防御体系中采用自治的防御系统,它们可以独立地工作,结构上是松散型的,但各自治系统之间可以通过通信方式来协同防御.各主机防火墙也采用的是分布式技术,将防火墙和入侵检测系统融合在一起,综合防御入侵行为.基于上述,设计协同防御

体系模型如图1所示.

图1 协同防御体系模型

此协同防御模型中包含了三大部分,分别是中心服务器、域服务器和主机防御单元.中心服务器用来指定全网的安全策略,负责为域服务器制定入侵响应和策略更新的服务.其中,中心服务器包括:系统入侵响应代理(SIRA)和代理服务器(AS).域服务器负责为该域覆盖范围内的代理子系统提供入侵响应和策略下载服务,域服务器可以根据该域内的实际运用制定适合自身的策略.其中,域服务器包括:域入侵响应代理(D I RA)和代理服务器(AS),并且主机防御单元不受地理位置的限制,只要具有该域的权限,就属于该域所辖的一个代理子系统.这样即可实现不在同一地理范围,但具有同一域的防御策略.同时,为了避免中心服务器或域服务器受到攻击而导致无法正常工作,我们为中心服务器和域服务器都配备了备份服务器,所有的策略、事件、日志等数据都备份在相应的服务器中,一旦服务器无法工作,这些备用服务器将转换成服务器角色开始工作,通过增加备份服务器的设计,增加该防御系统的健壮性.我们在主机防御单元中部署入侵检测代理(IDA)、入侵响应代理(IRA)和代理防火墙(firewall agent,FWA). IDA通过实时审计所驻留主机的日志发现入侵行为.在同一台主机上可以同时运行多个IDA,用于监测不同的活动,如监控某协议的网络数据传输和监控对主机上特定数据的访问,从而实现了入侵检测的分布化.代理防火墙主要运行在受保护的服务器、主机和远程主机上,因为它针对的是单个主机设置防御策略,因此可以提供更细粒度的安全保护,满足不同主机的需求.

2.2 主机防御单元设计

根据功能需求,从系统结构角度分析,将主机防御单元分为FWA、 IDA、IRA、本地数据库和通信Agent五大部分,如图2所示. I

图2 主机防御单元

DA负责本机系统和网络的安全检测,它使用本机数据库中的参数,对数据进行实时分析,一旦检测到入侵行为,则动态地改变防火墙的策略以阻止当前的攻击.FWA根据设定参数对数据进行过滤,尤其对数据的内容进行扫描,防止隐藏在有效数据内部的攻击.因为传输过程中,对数据的内容进行扫描须将整个数据都存储在路由器等中间设备后再进行扫描,这对中间设备的要求极高,而且也严重影响数据的转发速度,因此对整个数据的扫描只能放在主机防御单元内.通过 IDA与F WA协同工作,实现保护各主机的目的.为了能更好地检测系统安全,在IDA中分出若干子Agent,对数据进行分布式处理. I RA负责监听 IDA发来的入侵警告,并把信息存储到本地数据库中,同时向域服务器发送该事件信息.

2.3 分布式系统部件的设计

在主机防御单元的设计中,主机防御单元从域服务器上下载策略在本地运行,防御攻击等行为.在防御的同时, IDA会生成审计记录,上层的域服务器中的D IRA通过通信代理接收该审计记录.D I RA根据审计记录信息生成新的安全策略,接着主机防御单元会下载该安全策略.随后,D IRA会对下面各主机防御单元传来的记录综合分析,如果确认并没受到攻击,则撤销生成的安全策略;如果确定受到非法攻击,则重新定义该域内的安全策略,该域内的所有主机防御单元通过通信代理更新策略;如果分析出受到了潜在的分布式攻击,该域服务器会立即通过通信代理向中心服务器报告审计结果.中心服务器中的SI RA对整个网络内的域服务器传送来的审计结果进行系统分析,根据分析结果采取系统级的响应策略,从而对整个网络的安全策略重新定义、更新和配置.

3 通信机制设计

采用代理机制的分布式防御系统通常会采用移动代理机制来实现代理之间的通信,方法是通过消息交换以实现代理之间通信,但这种通信方式常常会因为接收者已经离开无法收到消息,造成通信失败.为了解决这一问题,现阶段有两种方法,一种是将系统设计成C/S结构,在中心服务器上保存所有客户端的地址,并且要与移动代理保持同步更新.采用这种通信方式可以实现可靠通信,但由于网络流量过大,对中心服务器的处理能力和网络带宽是个很大的考验.一旦中心服务器出现问题整个防御系统也将崩溃.第二种方法是采用多个地址服务器,每个服务器负责一片区域.如:代理2要和代理1通信,首先代理2要解析代理1的地址,并将消息传给服务器2,再由服务器2将消息传给代理1.这种方法能有较高的容错性,但代理每一次移动需及时更新服务器的地址,这势必造成通信的复杂化.

为了能解决上述的问题,同时能满足各代理在物理位置上随意移动,通信机制又要高效、可靠,并且保证产生的流量不会影响主机的正常工作,各个代理之间的协调和组织将变得尤为重要.本系统本系统采用"主动机制"来保证移动Agent可靠、高效通信,该设计的最主要特点是消息不须移动,代理主动获取发给它的消息,从而避免了代理在接收消息时发生移动,造成通信失败的情况发生.为了避免某节点通信压力过重,我们将消息放在多个节点上,等待代理去获取.

4 结束语

该防火墙与入侵检测协同防御系统采用了分布式的设计,提高了系统的可伸缩性、开放性和安全性.同时,将Agent的自主性、交互性和通信能力等特性引入到防御系统的体系结构设计当中,提出了一种新型的防御体系结构,能够弥补现有分布式防火墙的中心管理主机的“瓶颈”问题,制定了“主动机制”的通信规则,避免了移动代理造成的通信失败情况,并且有效地节约了网络带宽,提高系统的稳定性.

[1]Bellovin SM.Distributed Firewalls[EB/OL].http://www. research.att.com/～s mb/papers/distfw.pdf,2004-06-25.

[2]赵戈,钱德沛,范晖.用分布式防火墙构造网络安全体系[J].计算机应用研究,2004,21(2):106-107.

[3]刘大为,杨鲲,陈建中.Agent研究现状与发展趋势[J].软件学报,2000(3):315-321.

[4]张磊,卿斯汉.一个基于Agent的防火墙系统的设计与实现[J].软件学报,2000,11(5):642-645.

[5]魏衍君,沈祥鸿.基于移动代理的分布式入侵检测系统设计与实现[J].微计算机信息,2006,22(15):43-45.

The Design and Implementation of Agent-based I ntrusion Detection Defense System Cooperated with D istributed Firewall System

WANG Hao

(College ofManagement Science and Engineering,AnhuiUniversity of Finance and Economics,Bengbu Anhui 233030,China)

The papermakes an analysis of limitations of traditional firewall and current distributed firewall in net application.The integration of firewall and intrusion detection can raise the system’s defense.It ismore steady and safer for the net to introduce Agent technology and re-regulate and re-design the defense system and change the communication modes of defense units,and to add back-ups of central server and domain server.

distributed firewall;intrusion detection;net;cooperated defense

book=9,ebook=366

TP 393.08

A

1673-2103(2010)05-0044-04

2010-09-06

安徽财经大学青年科研项目(ACKYQ0916)

王浩(1982-),男,安徽蚌埠人,实验师,在读硕士研究生,研究方向:计算机网络安全.