如何構建一個基于入侵檢測技術和防火墻技術的聯動安全系統

入侵檢測系統與防火墻的聯動是將防火墻置于外網與內網的通道上，入侵檢測系統再防火墻之后，對通過防火墻的數據包做深度檢測。由如下功能模塊組成：

• IDS子系統：IDS子系統采用開放源代碼的Snort軟件。Snort由數據包解碼器、檢測引警和輸出插件組成。數據包解碼器主要是對各種協議棧上的數據包進行解析、預處理，以便提交給檢測引警進行規則匹配。檢測引警采用二維鏈表的形式進行檢測，其中一維稱為規則頭，另一維稱為規則選項。通常把最常用的源/目的IP地址和端口信息放在規則頭鏈表中，而把一些獨特的檢測標志放在規則選項鏈表中。輸出插件可以把數據包以解碼后的文本形式或者tpdump的二進制形式進行記錄。當Snort檢測到入侵時，則輸出信息到IDS接口組件。

• IDS接口組件：IDS接口組件主要用于統一IDS報警格式。它負責將不同的報警格式翻譯為聯動系統所能理解的統一格式，使系統具有良好的擴展性。本系統采用XML語言描述安全事件。

• 聯動控制模塊：該模塊是聯動系統的核心，由分析組件、策略日志、策略響應組件和策略響應信息庫組成。當IDS接口組件把轉換為統一格式的入侵信息傳遞到分析組件后，該組件調用策略日志的IDS可信性數據，包括IDS的誤報/漏報率等信息，根據這些信息生成IDS的可信性矩陣，判斷是否需要聯動。若需要，則提交給策略響應組件，此組件從策略響應信息庫中選擇具體響應策略并將其傳給防火墻接口組件。在此過程中，首先制定一個初步的響應策略并執行實現聯動。但是開始時的響應策略未必是最優響應，通過評估響應策略，并把響應策略的不同響應效果存儲于響應策略信息庫中，當系統遇到相同類型入侵時就可以調用具有最佳響應效果的策略并執行，使系統能夠隨著運行時間的增長而逐漸提高抗入侵能力，實現系統的自適應性。

• 防火墻接口組件：防火墻接口組件主要負貴接收策略響應組件發來的信息，生成新的防火墻規則，引起防火墻動作。其設計重點是正確修改防火墻規則集，防止防火墻規則集自身產生異常或隱患。防火墻技術的基礎是包過濾技術，其依據就是一條條的防火墻規則，將通過防火墻的數據包與防火墻規則集中的規則逐條比較，遇到匹配規則就按規則中定義的動作處理，若沒有匹配規則則按防火墻缺省策略處理。

• 防火墻子系統：防火墻子系統采用Linux環境下的Nfierplabls框架，井對其進行適當修改以適應聯動系統的需要。Linux環境下防火墻系統的實現包括兩個方面，Netfilter提供可擴展的結構化底層框架，在此框架之上實現的數據包選擇工具Iptables負責對輸入、輸出的數據包進行過濾和管理等工作

入侵檢測系統與防火墻聯動系統由入侵檢測、聯動控制和防火墻三個模塊組成。當外來數據流經防火墻過濾后，進入內網，入侵檢測系統將其捕獲，然后經過解碼、預處理，再交由檢測引擎進行檢測。檢測引擎將當前數據與已初始化的規則鏈進行匹配，當檢測到有匹配數據時，即檢測到攻擊行為，交給聯動控制模塊。聯動控制模塊判斷是否需要聯動，若需要，則啟動防火墻接口組件改變防火墻過濾規則，進行實時阻斷。

回答所涉及的環境：聯想天逸510S、Windows 10。