基于思科路由器的IPS实现

任 毅

(四川交通职业技术学院 计算机工程系，成都 611130)

防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。入侵检测系统(IDS)［1－2］通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过，因此防火墙对于很多入侵攻击仍然无计可施。绝大多数IDS都是被动的，而不是主动的。也就是说，在攻击实际发生之前，它们往往无法预先发出警报。

入侵防护系统(IPS)［3］倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。

IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，会创建一个新的过滤器。IPS数据包处理引擎可以深层检查数据包的内容，如果有攻击者利用第2层至第7层的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。

针对不同的攻击行为，IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。

1 IPS的种类

1.1 基于主机的入侵防护系统(HIPS)［4］

HIPS通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龙渊服务器核心防护都属于这类产品。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。

由于HIPS工作在受保护的主机/服务器上，它不但能够利用特征和行为规则检测、阻止诸如缓冲区溢出之类的已知攻击，还能够防范未知攻击，防止针对Web页面、应用和资源的未授权的任何非法访问。HIPS与具体的主机/服务器操作系统平台紧密相关，不同的平台需要不同的软件代理程序。

1.2 基于网络的入侵防护系统(NIPS)［5］

NIPS通过检测流经的网络流量提供对网络系统的安全保护。由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以去除整个网络会话，而不仅仅是复位会话。同样由于实时在线，NIPS需要具备很高的性能，以免成为网络的瓶颈。因此，NIPS通常被设计成类似于交换机的网络设备，提供线速吞吐速率以及多个网络端口。

在技术上，NIPS吸取了目前网络入侵检测系统NIDS所有的成熟技术，包括特征匹配、协议分析和异常检测。特征匹配是最广泛应用的技术，具有准确率高、速度快的特点。基于状态的特征匹配不但检测攻击行为的特征，还要检查当前网络的会话状态，避免受到欺骗攻击。

Cisco公司实现入侵防御系统的产品主要是Cisco IPS，目前流行的是4200系列。另外，在思科路由器上也可以实现IPS功能，但必须将路由器IOS版本升级到12.4(11)以后。

2 在思科路由器上实现IPS

本文主要讨论如何在思科路由器上实现IPS，选用的路由器是思科3750，其IOS版本是12.4(25d)。其网络拓扑图1所示。

图1 网络拓扑结构

2.1 基本配置

在配置IPS之前，需要对路由器做一些初始配置，主要包括远程登录、用户、口令及权限等。代码如下:

enable

configure terminal

interface f0/0

ip address 172.16.1.1 255.255.255.0

no shutdown

exit

username admin privilege 15 password cisco

ip http server

ip http authentication local

line vty 0 4

privilege level 15

login local

trans input telnet ssh

exit

2.2 使用SDM配置IPS

SDM(Security Device Manager，SDM)是 Cisco公司提供的全新图形化路由器管理工具，该工具利用Web界面、Java技术和交互配置向导使用户无需了解命令行接口即可轻松地完成IOS路由器的状态监控、安全审计和功能配置。包括QoS、Easy VPN Server、IPS、DHCP Server、动态路由协议等配置任务也可以利用SDM轻松而快捷地完成。

启动SDM后，输入路由器管理地址172.16.1.1，输入用户名admin和密码cisco即可通过Web方式连接上路由器。

在SDM界面中，点击Configure即进入路由器配置界面;点击Intrusion Prevention按钮，再点击Launch IPSRule Wizard按钮，即可通过向导方式创建IPS规则。接下来进行端口选择，即IPS检测的端口，如图2所示。

图2 选择监控的端口

接下来选择特征库文件(Signature Definition File，SDF)。可以使用内置的攻击特征库和外置的攻击特征库去识别网络攻击流量，并阻止网络攻击;可以调用外部的特征库(SDF文件)，如图3所示。

图3 IPS特征库选择

完成创建IPS向导后，点击Edit IPS即可出现如图4所示的界面(选用的是IOS界面的特征库)。从该图中可以看出，该内置特征库定义了132种攻击，并能针对这些攻击进行防御。

图4 IOS内置的特征库

3 测试IPS

下面以常见的Ping为例进行测试。找到Sig ID号为2004，Name为ICMPEcho Req的特征，右击，再单击Action，定义针对该特征的行为，如图5所示。

图5 定义特征行为

特征行为的处理:alarm(产生一个报警信息)、denyAttackerInline(创建一个ACL以拒绝来自被IPS认为是攻击者的IP地址的流量)、denyFlow Inline(只会阻塞某个具体的攻击流)、drop(丢弃该数据包)、Reset(发送TDP重置包以终止TCP流)。

在配置该特征行为之前，可以从172.16.1.118上正常Ping这台路由器，如图6上部分所示。在配置特征行为为Alarm和drop，并应用该配置到路由器后，发现已经不能Ping通，路由器已经将Ping数据包丢弃了，如图6下部分所示。

图6 IPS测试

同时在路由器上检测到符合特征的攻击行为，如图7所示。

图7 检测到的特征行为

4 结束语

从以上测试可以看出，只要针对攻击配置了相应的特征行为，就能够有效防止攻击，大大减少由于网络攻击带来的损失。攻击特征行为可采用思科定义好的特征库(目前思科最新的特征库文件已经定义了5 000多种攻击行为，并且该特征库在不断增加)，也可以自行定义特征行为。IPS通过检测数据包判断其行为，可以有效检测并阻止攻击的发生。

［1］陈岳兵，冯超，张权.面向入侵检测的集成人工免疫系统［J］.通信学报，2012(2):125－131.

［2］周鸣争.基于核函数Fisher鉴别的异常入侵检测［J］.电子与信息学报，2006(9):1727－1730.

［3］吴海燕，蒋东兴，程志锐.入侵防御系统研究［J］.计算机工程与设计，2007(24):5844－5846.

［4］薛昱春.基本主机的入侵数据包检测系统设计与实现［D］.南京:东南大学，2006.

［5］张立秋，常会友，刘翔.基于网络的入侵防御系统［J］.计算机工程与设计，2005(4):976－977.