入侵防御系統與交換機設備聯動方案的設計思考

李順　張麗華　王斌　吳曉清

摘 要：入侵防御系統因設計及位置的特點，導致其安全入侵響應能力存在一定限制，為搭建更為嚴密、完善的網絡安全防御系統，本文提出將入侵防御系統與交換機設備聯動的防護方案，介紹聯動技術特點，并給出聯動方案的具體設計流程，以供借鑒參考。

關鍵詞：聯動技術;入侵防御系統;交換機

引言：

隨著網絡在生產、生活中的應用進一步加深，網絡安全問題成為社會關注的重點。目前常見的計算機網絡安全防護技術有入侵防御系統、防火墻、殺毒軟件等。而網絡技術、信息技術的升級也使得網絡安全環境變得更為復雜，單一安全防御技術能夠發揮的保護作用還遠遠不夠，此時就需要借助聯動技術，將多種安全防御技術相結合，各自發揮優勢確保網絡安全。

1聯動技術

聯動技術即將兩種及以上網絡安全防護設備或技術結合使用，使得各類安全設備和技術安全防御性能相互補充，形成安全防護網絡，以更好應對各類網絡入侵及攻擊。從聯動技術的實質上講，安全設備及技術間的聯動是一種信息交換機制，目前較常見的聯動模式為入侵防御系統與防火墻的聯動，可同時彌補防火墻入侵檢測有效范圍有限及入侵防御系統不具備處理和防御功能的不足。

基于以上聯動模式，本文提出入侵防御系統與交換機設備的聯動，以便在防火墻規則被禁用時，利用交換機ACL對服務器行為做有效約束，進而確保服務器及內網安全。

2入侵防御系統與交換機設備聯動方案

2.1入侵檢測模塊

選用Snort輕量級入侵檢測軟件，該軟件的優點為可適用于多種操作環境，提供跨平臺開發功能，因此能夠為后期安全防御系統拓展升級提供便利。注意該入侵檢測軟件需在嗅探工具的輔助下使用，如sniffer，使用嗅探工具順利捕獲網絡中的數據包，對其進行分析驗證，以檢測是否存在網絡攻擊或其他異常。另外，Snort入侵檢測軟件配置功能強大的規則庫，其中含有多種類型的入侵檢測規則，能夠確保入侵防御系統與交換機設備聯動安全防護的主動性。

基于以上理論，入侵檢測系統分為入侵檢測、嗅探器和記錄器三部分，由嗅探器完成網絡數據包的捕獲，然后在入侵檢測單元進行數據包與規則庫數據的對比，分析是否存在入侵風險。由于該入侵檢測軟件使用開源架構，因此可通過程序調整進行網絡底層訪問，捕獲、分析數據包以得到最終的設置規則，對規則庫中內容做動態化更新，以提高入侵檢測的靈敏度和適用廣度。

2.2交換機ACL配置

本文研究的聯動方案使用S2928G-24P型號交換機，進行網絡鏈接分析，完成交換機ACL配置，并命名為for_http，該ACL的內容有：（1）定義擴展訪問控制列表，命名為for_http。（2）設置源地址：WWW_SERVER_IP，源端口：TCP80，目標地址：任意數據包轉發，主要向開放服務器提供服務。（3）設置源地址：WWW_SERVER_IP，源端口：TCP 21，目標地址：管理主機的IP數據包轉發，開啟開放服務器FTP服務的命令通道。（4）設置源地址：WWW_SERVER_IP，源端口：TCP 20001-20010，目標地址：管理主機的IP數據包轉發，以開啟FTP服務的被動數據通道。（5）設置源地址：WWW_SERVER_IP，源端口：TCP 20，目標地址：管理主機IP數據包轉發，以開啟FTP服務的主動數據通道。（6）設置源地址：WWW_SERVER_IP，源端口：TCP 3389，目標地址：管理主機IP數據包轉發，以搭建主機與服務器間的訪問通道。（7）設置源地址：WWW_SERVER_IP，目標地址：病毒庫的升級服務器IP，目標端口：TCP 80數據包轉發，保證病毒庫的實時更新。（8）設置源地址：WWW_SERVER_IP，目標地址：DMS_SERVER_IP，目標端口：UDP 53的數據包轉發，確保服務器可完成域名解析。（9）設置源地址：WWW_SERVER_IP，目標地址：NTP_SERVER_IP，目標端口：UDP 123的數據包轉發，使服務器進行定期更新。（10）禁止數據包轉發行為，除以上提到的數據包外，丟棄其余IP數據包[1]。

完成交換機ACL配置后，將ACL訪問控制列表與服務器的與交換機的IN接口連接，進入服務器的數據包首先需通過交換機的過濾。

2.3防火墻模塊

在入侵防御系統與交換機聯動中，防火墻發揮最終的安全防護功能，依照既定規則確保網絡運行穩定及安全。在聯動系統運行過程中，IPSec負責接收控制信息，自動形成新的過濾規則，然后以數據流向、IP地址、時間節點、端口等攔截異常數據，各策略存在相應時長后，則自動解除。防火墻框架設計為Netfilter/Iptables，該框架的優勢為防御性能強、作用效果穩定、自定義程度高。防火墻模塊分控制、規則和過濾三個部分，能夠對入侵以異常數據做識別分析，以形成新的防御規則添加至規則庫，并將該部分數據過濾。防火墻模塊源IP、端口目標、IP目標、協議類型等均依靠BlockFilterPacket函數進行，利用DataFilte結構進行生存周期及篩選器命名，并將篩選器列表存放至IPSecFilterNode結構體當中[2]。

結論：

基于聯動技術的入侵防御系統與交換機設備安全防護系統，具備防御性能穩定、適用范圍廣、防御靈敏度高等優勢，可在提供可靠網絡安全防御作用的同時，提高系統構建經濟性，因此非常適用于中小型企業的網絡安全防護中，值得推廣。

參考文獻：

[1]劉沛.網絡安全現狀及安全防護實施方案[J].信息與電腦（理論版），2019，31（24）：196-199.

[2]馬崇瑞，張輝.基于云計算的網絡入侵安全防御系統設計[J].電子元器件與信息技術，2019，3（10）：24-25+28.