入侵防御系统与交换机设备联动方案的设计思考

李顺　张丽华　王斌　吴晓清

摘 要：入侵防御系统因设计及位置的特点，导致其安全入侵响应能力存在一定限制，为搭建更为严密、完善的网络安全防御系统，本文提出将入侵防御系统与交换机设备联动的防护方案，介绍联动技术特点，并给出联动方案的具体设计流程，以供借鉴参考。

关键词：联动技术;入侵防御系统;交换机

引言：

随着网络在生产、生活中的应用进一步加深，网络安全问题成为社会关注的重点。目前常见的计算机网络安全防护技术有入侵防御系统、防火墙、杀毒软件等。而网络技术、信息技术的升级也使得网络安全环境变得更为复杂，单一安全防御技术能够发挥的保护作用还远远不够，此时就需要借助联动技术，将多种安全防御技术相结合，各自发挥优势确保网络安全。

1联动技术

联动技术即将两种及以上网络安全防护设备或技术结合使用，使得各类安全设备和技术安全防御性能相互补充，形成安全防护网络，以更好应对各类网络入侵及攻击。从联动技术的实质上讲，安全设备及技术间的联动是一种信息交换机制，目前较常见的联动模式为入侵防御系统与防火墻的联动，可同时弥补防火墙入侵检测有效范围有限及入侵防御系统不具备处理和防御功能的不足。

基于以上联动模式，本文提出入侵防御系统与交换机设备的联动，以便在防火墙规则被禁用时，利用交换机ACL对服务器行为做有效约束，进而确保服务器及内网安全。

2入侵防御系统与交换机设备联动方案

2.1入侵检测模块

选用Snort轻量级入侵检测软件，该软件的优点为可适用于多种操作环境，提供跨平台开发功能，因此能够为后期安全防御系统拓展升级提供便利。注意该入侵检测软件需在嗅探工具的辅助下使用，如sniffer，使用嗅探工具顺利捕获网络中的数据包，对其进行分析验证，以检测是否存在网络攻击或其他异常。另外，Snort入侵检测软件配置功能强大的规则库，其中含有多种类型的入侵检测规则，能够确保入侵防御系统与交换机设备联动安全防护的主动性。

基于以上理论，入侵检测系统分为入侵检测、嗅探器和记录器三部分，由嗅探器完成网络数据包的捕获，然后在入侵检测单元进行数据包与规则库数据的对比，分析是否存在入侵风险。由于该入侵检测软件使用开源架构，因此可通过程序调整进行网络底层访问，捕获、分析数据包以得到最终的设置规则，对规则库中内容做动态化更新，以提高入侵检测的灵敏度和适用广度。

2.2交换机ACL配置

本文研究的联动方案使用S2928G-24P型号交换机，进行网络链接分析，完成交换机ACL配置，并命名为for_http，该ACL的内容有：（1）定义扩展访问控制列表，命名为for_http。（2）设置源地址：WWW_SERVER_IP，源端口：TCP80，目标地址：任意数据包转发，主要向开放服务器提供服务。（3）设置源地址：WWW_SERVER_IP，源端口：TCP 21，目标地址：管理主机的IP数据包转发，开启开放服务器FTP服务的命令通道。（4）设置源地址：WWW_SERVER_IP，源端口：TCP 20001-20010，目标地址：管理主机的IP数据包转发，以开启FTP服务的被动数据通道。（5）设置源地址：WWW_SERVER_IP，源端口：TCP 20，目标地址：管理主机IP数据包转发，以开启FTP服务的主动数据通道。（6）设置源地址：WWW_SERVER_IP，源端口：TCP 3389，目标地址：管理主机IP数据包转发，以搭建主机与服务器间的访问通道。（7）设置源地址：WWW_SERVER_IP，目标地址：病毒库的升级服务器IP，目标端口：TCP 80数据包转发，保证病毒库的实时更新。（8）设置源地址：WWW_SERVER_IP，目标地址：DMS_SERVER_IP，目标端口：UDP 53的数据包转发，确保服务器可完成域名解析。（9）设置源地址：WWW_SERVER_IP，目标地址：NTP_SERVER_IP，目标端口：UDP 123的数据包转发，使服务器进行定期更新。（10）禁止数据包转发行为，除以上提到的数据包外，丢弃其余IP数据包[1]。

完成交换机ACL配置后，将ACL访问控制列表与服务器的与交换机的IN接口连接，进入服务器的数据包首先需通过交换机的过滤。

2.3防火墙模块

在入侵防御系统与交换机联动中，防火墙发挥最终的安全防护功能，依照既定规则确保网络运行稳定及安全。在联动系统运行过程中，IPSec负责接收控制信息，自动形成新的过滤规则，然后以数据流向、IP地址、时间节点、端口等拦截异常数据，各策略存在相应时长后，则自动解除。防火墙框架设计为Netfilter/Iptables，该框架的优势为防御性能强、作用效果稳定、自定义程度高。防火墙模块分控制、规则和过滤三个部分，能够对入侵以异常数据做识别分析，以形成新的防御规则添加至规则库，并将该部分数据过滤。防火墙模块源IP、端口目标、IP目标、协议类型等均依靠BlockFilterPacket函数进行，利用DataFilte结构进行生存周期及筛选器命名，并将筛选器列表存放至IPSecFilterNode结构体当中[2]。

结论：

基于联动技术的入侵防御系统与交换机设备安全防护系统，具备防御性能稳定、适用范围广、防御灵敏度高等优势，可在提供可靠网络安全防御作用的同时，提高系统构建经济性，因此非常适用于中小型企业的网络安全防护中，值得推广。

参考文献：

[1]刘沛.网络安全现状及安全防护实施方案[J].信息与电脑（理论版），2019，31（24）：196-199.

[2]马崇瑞，张辉.基于云计算的网络入侵安全防御系统设计[J].电子元器件与信息技术，2019，3（10）：24-25+28.