基于Linux防火墙与IDS联动的系统设计与部署

摘要

本文作者通过分析本单位的网络环境，在判断网络资产安全面临威胁的基础上，在单位局域网中采用了Linux操作系统防火墙、部署snort软件、通过开发设计程序协调处理事snort报警信号和防火墙联动，解决了局域网接入因特网的网络安全问题。在课题开发过程中，作者主要参与了系统总体设计规划、防火墙配置，程序设计方面的主要工作。 在X86系列计算机上安装LINUX操作系统，配置防火墙模块使之成为多端口的防火墙；使用snort软件作为IDS，配置snort的输出为Unix域套接字，设计程序在同一个域套接字上实时接收Snort的报警信号，自动修改Linux防火墙的规则阻断攻击；设计发送命令的子程序向系统中的第二UNIX域套接字发送控制命令，解决IDS虚警和测试问题，并为今后智能化发展打基础。 系统的主程序在二个UNIX套接字上监听，当有信号到来时，主程序判别出数据是命令或报警，分别向两个不同的线程发送启动信号。一是命令则根据命令的内容执行命令，命令包括设置不被阻断(被保护)的IP地址链表，增减被保护的IP，显示被保护的IP地址列表，显示发生过攻击行为而被阻断的IP地址列表，取消所有的被保护的IP地址链表，取消被阻断的所有IP地址链表。是报警信号则解析出报警数据的信息，与已经存在的被保护的IP地址队列比较，如果在队列中则予以放行；如不在队列中，则与被阻断IP队列进行比较，如果已经存在于被阻断的队列中，则修改相应节点中的报警时间，记录日志；如果是新发现的IP地址攻击行为，则在阻断队列中增加节点；所有的报警信息均被日志记录。当到达预设的阻断时间后，改写防火墙规则取消阻断，同时从阻断队列中将相关的节点删除。 主程序中，两个UNIX域套接字接收函数均为阻塞类型，为了避免浪费系统资源，使用select函数监听两个套接字文件，判断哪个套接字文件发生变化，发送信号启动相关线程，两个处理数据线程平时休眠，对于同时运行IDS的主机压力比较轻。为了避免系统出现竞争现象，利用了Linux系统提供的互斥锁功能，当一个线程操作某个队列时，队列被加锁，其他线程不能操作这个队列，只有当一个线程完成操作之后，其它线程才可以更改队列。 本系统强调了实时性能，避免了其他类似分析日志的系统的时间滞后弱点；增加了可以随时进行人工干预的功能，强调了可以随时进行IP保护，克服了联动系统虚警阻断问题。采取多种措施努力降低了系统开销。实时干预功能是本系统的特色．既可以接收命令，又可以接收报警数据，同肘又强调了效率，是本系统的独创性。 使用X86系列微机运行所有的程序成本低廉，对于低速网络来说，使用这个系统，可以达到深度模式匹配的功能，在一定条件下可以替代价格昂贵的商业IDS联动系统，经过修改snort规则库，也可以应用到其它类似的网络。

目录

文摘

英文文摘

声明

第1章绪论

1.1课题来源

1.2 课题研究的内容

1.2.1课题的基础——网络防火墙

1.2.2课题研究的内容

1.3 国内外防火墙与IDS联动系统的发展现状

1.3.1防火墙与IDS在联动系统中承担不同作用

1.3.2国内外防火墙与IDS联动的两种实现方案

1.3.3联动系统目前存在的问题

1.4 课题的特点及实用价值

1.4.1课题的特点

1.4.2本课题的应用价值

1.4.3作者在项目中完成的任务

第2章我单位网络面临的入侵及攻击方式分析

2.1 威胁网络安全的各种行为

2.1.1网络安全面对的主要威胁

2.1.2黑客攻击技术介绍

2.1.3攻击行为的特征分析

2.2 对威胁的分析及对策

2.2.1 WEB服务器面临的威胁及对策

2.2.2 FTP服务器面临威胁的分析及对策

2.2.3服务器保护的方法

2.3 本章小节

第3章系统中SNORT安装部署方法

3.1 IDS及SNORT软件介绍

3.1.1 IDS的概念及作用原理

3.1.2 IDS的作用方式

3.1.3 NIDS软件SNORT

3.2 SNORT 工作原理

3.2.1 SNORT系统构成及运行过程

3.2.2 SNORT的规则购成

3.2.3 SNORT的规则链表

3.3 在系统中安装配置SNORT

3.3.1安装SNORT软件

3.3.2修改SNORT源程序

3.3.3配置SNORT适应网络需求

3.3.4运行SNORT

3.4本章小结

第4章系统中LINUX防火墙配置

4.1 防火墙理论

4.1.1防火墙的定义

4.1.2防火墙的作用

4.1.3防火墙的分类及作用原理

4.2 LINUX操作系统防火墙

4.2.1 NETFILTER/IPTABLES介绍

4.2.2三个内置表——FILTER、NAT、MANGLE

4.3 应用IPTABLES命令控制防火墙

4.3.1 IPTABLES命令

4.3.2基本的IPTABLES命令

4.3.3匹配和目标还具有各种扩展。

4.4 课题中防火墙的设计

4.4.1访问规则的确定

4.4.2对应的防火墙脚本

4.5本章小结

第5章设计程序构造联动系统

5.1 系统程序的简单介绍

5.1.1基本思路

5.1.2程序中难点的处理

5.2 程序中应用UNIX域套接字

5.2.1 UNIX域套接字介绍

5.2.2创建UNIX域套接字

5.2.3发送数据

5.2.4接收数据

5.3 SELECT()函数及用法

5.3.1 SELECT()函数介绍

5.3.2 SELECT()函数的调用形式

5.3.3 SELECT()函数调用返回情况

5.3.4设置SELECT()函数监控的文件描述符集

5.3.5对两个UNIX域套接字进行监听

5.4 LINUX多线程操作

5.4.1创建线程

5.4.2线程互斥

5.4.3线程休眠

5.4.4线程唤醒

5.5 程序流程分析

5.5.1总体流程

5.5.2主函数功能及部分源程序

5.6 命令处理线程

5.6.1命令处理线程具备的功能

5.6.2命令处理线程中主要程序

5.7 报警处理线程介绍

5.7.1报警处理线程流程

5.7.2报警处理线程分析及源程序

5.8 解除阻断线程介绍

5.8.1解除阻断程序流程

5.8.2解除阻断线程分析及源程序

5.9本章小结

第6章：系统测试

6.1 防火墙功能的测试

6.1.1防火墙实际配置

6.1.2防火墙功能完成情况

6.2 联动系统功能的测试

6.2.1基本功能测试

6.2.2利用发包软件对系统进行测试

6.2.3系统部署后测试

6.3本章小结

结 论

参考文献

致 谢