基于LINUX防火墙的入侵检测技术研究
|
摘要
信息化和网络化是当今社会发展的大趋势,信息资源的深入开发利用和共享已得到迅速发展。但是,如何防止网络系统遭到未授权的非法入侵和破坏,如何保护机要、敏感数据不被窃取或非法复制,仍是网络安全中的重要问题。解决这类问题最重要的技术就是防火墙技术。
但是仅仅采用防火墙,并不能保证整个内部网络的安全,要想实现一个较为完整的网络安全方案,必须将入侵检测技术和防火墙技术相结合。本文重点阐述了入侵检测技术和防火墙技术,并以Linux防火墙为例,对Linux防火墙底层结构--Netfilter进行了详细分析。
目前,基于开放源代码的二次开发是计算机应用领域的热点之一,而除了企业级的防火墙产品外,有些用户使用的仍是自制或免费的防火墙。本论文在Linux防火墙的基础上,进行二次开发,提出了针对中小型用户的网络安全方案,其目的在于以保障网络的安全为前提,尽可能地降低各种费用。具体的研究内容包括:
(1)深入研究了Netfilter结构,并利用iptables构建了具有DMZ的Linux防火墙。该防火墙具有包过滤和网络地址转换功能。
(2)实现了基于Linux防火墙的日志检测,具有常规检查和实时监测两种功能。
(3)实现了基于Web的防火墙配置与管理,便于远程操作,也使其更加适合中小型用户的管理员。
(4)设计和实现了基于Web的日志管理。
As informationlization and networklization become general tendency of current society, information share has been spread quickly. For the moment, how to prevent network system from illegal attack and destruction, how to protect confidential data from been filched-network security-is becoming more and more important. The firewall is regarded as important technology for protecting network's security.
It is not enough to ensure the network's security if only firewall used. A integrated network security scheme should integrate firewall with intrusion detection. This paper puts emphasis on intrusion detection technology and firewall technology, then analyses the architecture of Linux - Netfilter - in details.
At the present time, secondary development based on open source is one of the hotspots of computer applications. Except of mature enterprise-level firewall products, most used are cost-free. So, this paper put forwards the network security project which aim at medium or diminutive customers. Its purpose is reducing various costs on the basis of insure the security of network. The research works mentioned in this paper are:
(1) It studies the structure of Netfilter. It implements the DMZ firewall with iptables on Linux.
(2)It implements log detection - routine inspection and real-time surveillance -bases on Linux firewall.
(3)It implements firewall configuration and administration interface, being convenient for long-range operation.
(4)It designs and implements log administration interface.
但是仅仅采用防火墙,并不能保证整个内部网络的安全,要想实现一个较为完整的网络安全方案,必须将入侵检测技术和防火墙技术相结合。本文重点阐述了入侵检测技术和防火墙技术,并以Linux防火墙为例,对Linux防火墙底层结构--Netfilter进行了详细分析。
目前,基于开放源代码的二次开发是计算机应用领域的热点之一,而除了企业级的防火墙产品外,有些用户使用的仍是自制或免费的防火墙。本论文在Linux防火墙的基础上,进行二次开发,提出了针对中小型用户的网络安全方案,其目的在于以保障网络的安全为前提,尽可能地降低各种费用。具体的研究内容包括:
(1)深入研究了Netfilter结构,并利用iptables构建了具有DMZ的Linux防火墙。该防火墙具有包过滤和网络地址转换功能。
(2)实现了基于Linux防火墙的日志检测,具有常规检查和实时监测两种功能。
(3)实现了基于Web的防火墙配置与管理,便于远程操作,也使其更加适合中小型用户的管理员。
(4)设计和实现了基于Web的日志管理。
As informationlization and networklization become general tendency of current society, information share has been spread quickly. For the moment, how to prevent network system from illegal attack and destruction, how to protect confidential data from been filched-network security-is becoming more and more important. The firewall is regarded as important technology for protecting network's security.
It is not enough to ensure the network's security if only firewall used. A integrated network security scheme should integrate firewall with intrusion detection. This paper puts emphasis on intrusion detection technology and firewall technology, then analyses the architecture of Linux - Netfilter - in details.
At the present time, secondary development based on open source is one of the hotspots of computer applications. Except of mature enterprise-level firewall products, most used are cost-free. So, this paper put forwards the network security project which aim at medium or diminutive customers. Its purpose is reducing various costs on the basis of insure the security of network. The research works mentioned in this paper are:
(1) It studies the structure of Netfilter. It implements the DMZ firewall with iptables on Linux.
(2)It implements log detection - routine inspection and real-time surveillance -bases on Linux firewall.
(3)It implements firewall configuration and administration interface, being convenient for long-range operation.
(4)It designs and implements log administration interface.
引文
[1] 李晓莉,计算机网络安全的研究,郑州大学硕士学位论文,2002年
[2] Derek Atkins等著,严伟等译,Internet网络安全专业参考手册,机械工业出版社,1998年
[3] Michael Wenstrom著,李逢天等译,管理CISCO网络安全,人民邮电出版社,2001年
[4] Terry Ogletree著,袁静,梁进君,吕根立译,网络技术金典(第2版),电子工业出版社,2001年
[5] 张千里,陈光英,网络安全新技术,人民邮电出版社,2003年
[6] Stuart McClure,Joel Scambray,George Kurtz著,刘江,杨继张,钟向群译,黑客大曝光—网络安全的机密与解决方案(第3版),清华大学出版社,2003年
[7] Lars Klander著,陈永剑等译,挑战黑客——网络安全的最终解决方案,电子工业出版社,2000年
[8] 杨义先著,网络信息安全与保密,北京邮电大学出版社,2000年
[9] 冯岩,网络安全检测技术研究,哈尔滨工程大学硕士学位论文,2002年
[10] 戴云,范平志,入侵检测系统研究综述,计算机工程与应用,2002年第4期17~19
[11] 刘娜,王巍,李可,闫镔,入侵检测技术概论,中国数据通信,2004年第1期25~28
[12] James P. Anderson, Computer security threat monitoring and surveillance, 1980
[13] D. E. Dening, P. G. Neuman, Requirements and model for IDES-a real time intrusion detection expert system, 1985
[14] Dorothy E. Denning, An intrusion-detection model, 1987
[15] Teresa F. Lunt, R. Jagannathan, IDES: The enhanced prototype a real-time intrusion-detection expert system, 1988
[16] Todd Heberlein L., Gihan Dias V., KarlLevitt N., A network security monitor, 1991
[17] Kahn C., Porras P., Staniford-Chen S., Tung B., A common intrusion detection framework, 2001
[18] 刘杰,方勇,李哲,高一军,基于主机的入侵检测系统分析,网络信息安全,2002年第9期30~31
[19] 陈莉,熊文龙,基于Linux的网络入侵检测系统,华中理工大学学报,2004年第28卷第1期137~140
[20] William等著,戴宗坤等译,防火墙与因特网安全,机械工业出版社,2000年
[21] 刘宗田等编著,Web站点安全与防火墙技术,机械工业出版社,1998年
[22] Keith E.Strassberg等著,李昂等译,防火墙技术大全,机械工业出版社,2003年
[23] 郭继坤,郝维来,董军,防火墙与入侵检测技术,信息技术,2003年第27卷第3期10~12
[24] 赵萍,殷肖川,刘旭辉,防火墙和入侵检测技术分析,计算机测量与控制,2002年第10卷第5期335~338
[25] 王先培,熊平,李文武,防火墙和入侵检测系统在电力企业信息网络中的应用,电力系统自动化,2002年第3期60~63
[26] 薛立,防火墙和入侵检测系统在服装企业信息网络中的应用,中原工学院学报,2003年第14卷第3期67~69
[27] 路璐,马先立,利用网络入侵检测系统与防火墙的功能结合构建安全网络模型,计算机应用研究,2002年第10期93~95
[28] 丁常福,方敏,入侵检测技术与防火墙相结合的网络安全系统设计,航空计算技术,2003年第33卷第3期124~128
[29] 韩鸿哲,王志良,费爱国,刘冀伟,贾文晋,内置入侵检测功能的防火墙设计,计算机工程与应用,2003年第25期151~152
[30] http://www.chinaitlab.com/www/news/article_show.asp?id=5819
[31] http://www.symantec.com/region/cn/index.html
[32] http://server.zol.com.cn/2004/0407/92586.shtml
[33] 黄敏,入侵检测技术的研究与应用,哈尔滨工程大学硕士学位论文,2002年
[34] 李恒华,田捷,常(王争),杨鑫,基于滥用检测和异常检测的入侵检测系统,计算机工程,2003年第10期
[35] Earl Carter著,李逢天等译,Cisco安全入侵检测系统,人民邮电出版社,2003年
[36] 吴海涛,李家欣,王乘,实时入侵检测系统的研究,计算机应用研究,2003年第1期43~45
[37] 姚兰,王新梅,入侵检测系统的现状与发展趋势,电信科学,2002年第12期50~55
[38] Utimaco Safeware AG, Firewall-Technology,http://www.reycoa.com/utimaco/info/firewall/firewall.htm, 2001
[39] 高健智,赖阿福编著,Linux网络实际操作经典,科学出版社,2002年
[40] 陈万志,基于Linux防火墙技术的应用研究,硕士学位论文,2003年
[41] Rusty Russell, Linux 2.4 Packet Filtering HOWTO,http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO.html,2002
[42] 谢维果,顾其威,构建结合入侵检测的桌面防御系统,计算机应用研究,2002年第7期54~56
[43] 李晓峰,张玉清,李星著,Linux 2.4内核防火墙底层结构分析,计算机工程与应用,2002年第14期138~140
[44] 陈果,尹治本,Linux防火墙的研究与设计,成都信息工程学院学报,2003年第18卷第2期125~131
[45] Harald Welte, The netfilter framework in hinux 2.4,http://gnumonks.org/papers/netfilter-lk2000/presentation.html,2000
[46] Rusty Russell, Harald Welte, Linux netfilter Hacking HOWTO,http://www.netfilter.org/documentation/HOWTO/netfilter-hacking-
HOWTO.html,2002
[47] 徐辉,潘爱民,阳振坤,Linux防火墙的原理与实现,计算机应用,2002年第22卷第1期20~23
[48] Oskar Andreasson, Iptables Tutorial 1.1.19, http://iptables-tutorial.frozentux.net/iptables-tutorial.html,2003
[49] Rusty Russell, Linux 2.4 NAT HOWTO,http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO.html,2002
[50] 项巧莲,李之棠,日志分析及其在入侵检测系统中的应用,中国民族大学学报,2003年第22卷第3期54~56
[51] Richard Petersen著,陶华敏等译,Linux技术大全,机械工业出版社,2002年
[52] Sriram Srinivasan著,Perlish译,高级Perl编程,中国电力出版社,2001年
[53] Martin C.Brown著,顾凯等译,Perl参考大全,人民邮电出版社,2002年
[54] George Reese,Randy Jay Yarger等著,林琪,朱涛江译,MySQL权威指南,中国电力出版社,2003年
[55] Mandy Andress, Building a Firewall: What you need to know beforesetting up a firewall, Part 2,http://www-106.ibm.com/developerworks/security/library/s-fire2.html,2001
[2] Derek Atkins等著,严伟等译,Internet网络安全专业参考手册,机械工业出版社,1998年
[3] Michael Wenstrom著,李逢天等译,管理CISCO网络安全,人民邮电出版社,2001年
[4] Terry Ogletree著,袁静,梁进君,吕根立译,网络技术金典(第2版),电子工业出版社,2001年
[5] 张千里,陈光英,网络安全新技术,人民邮电出版社,2003年
[6] Stuart McClure,Joel Scambray,George Kurtz著,刘江,杨继张,钟向群译,黑客大曝光—网络安全的机密与解决方案(第3版),清华大学出版社,2003年
[7] Lars Klander著,陈永剑等译,挑战黑客——网络安全的最终解决方案,电子工业出版社,2000年
[8] 杨义先著,网络信息安全与保密,北京邮电大学出版社,2000年
[9] 冯岩,网络安全检测技术研究,哈尔滨工程大学硕士学位论文,2002年
[10] 戴云,范平志,入侵检测系统研究综述,计算机工程与应用,2002年第4期17~19
[11] 刘娜,王巍,李可,闫镔,入侵检测技术概论,中国数据通信,2004年第1期25~28
[12] James P. Anderson, Computer security threat monitoring and surveillance, 1980
[13] D. E. Dening, P. G. Neuman, Requirements and model for IDES-a real time intrusion detection expert system, 1985
[14] Dorothy E. Denning, An intrusion-detection model, 1987
[15] Teresa F. Lunt, R. Jagannathan, IDES: The enhanced prototype a real-time intrusion-detection expert system, 1988
[16] Todd Heberlein L., Gihan Dias V., KarlLevitt N., A network security monitor, 1991
[17] Kahn C., Porras P., Staniford-Chen S., Tung B., A common intrusion detection framework, 2001
[18] 刘杰,方勇,李哲,高一军,基于主机的入侵检测系统分析,网络信息安全,2002年第9期30~31
[19] 陈莉,熊文龙,基于Linux的网络入侵检测系统,华中理工大学学报,2004年第28卷第1期137~140
[20] William等著,戴宗坤等译,防火墙与因特网安全,机械工业出版社,2000年
[21] 刘宗田等编著,Web站点安全与防火墙技术,机械工业出版社,1998年
[22] Keith E.Strassberg等著,李昂等译,防火墙技术大全,机械工业出版社,2003年
[23] 郭继坤,郝维来,董军,防火墙与入侵检测技术,信息技术,2003年第27卷第3期10~12
[24] 赵萍,殷肖川,刘旭辉,防火墙和入侵检测技术分析,计算机测量与控制,2002年第10卷第5期335~338
[25] 王先培,熊平,李文武,防火墙和入侵检测系统在电力企业信息网络中的应用,电力系统自动化,2002年第3期60~63
[26] 薛立,防火墙和入侵检测系统在服装企业信息网络中的应用,中原工学院学报,2003年第14卷第3期67~69
[27] 路璐,马先立,利用网络入侵检测系统与防火墙的功能结合构建安全网络模型,计算机应用研究,2002年第10期93~95
[28] 丁常福,方敏,入侵检测技术与防火墙相结合的网络安全系统设计,航空计算技术,2003年第33卷第3期124~128
[29] 韩鸿哲,王志良,费爱国,刘冀伟,贾文晋,内置入侵检测功能的防火墙设计,计算机工程与应用,2003年第25期151~152
[30] http://www.chinaitlab.com/www/news/article_show.asp?id=5819
[31] http://www.symantec.com/region/cn/index.html
[32] http://server.zol.com.cn/2004/0407/92586.shtml
[33] 黄敏,入侵检测技术的研究与应用,哈尔滨工程大学硕士学位论文,2002年
[34] 李恒华,田捷,常(王争),杨鑫,基于滥用检测和异常检测的入侵检测系统,计算机工程,2003年第10期
[35] Earl Carter著,李逢天等译,Cisco安全入侵检测系统,人民邮电出版社,2003年
[36] 吴海涛,李家欣,王乘,实时入侵检测系统的研究,计算机应用研究,2003年第1期43~45
[37] 姚兰,王新梅,入侵检测系统的现状与发展趋势,电信科学,2002年第12期50~55
[38] Utimaco Safeware AG, Firewall-Technology,http://www.reycoa.com/utimaco/info/firewall/firewall.htm, 2001
[39] 高健智,赖阿福编著,Linux网络实际操作经典,科学出版社,2002年
[40] 陈万志,基于Linux防火墙技术的应用研究,硕士学位论文,2003年
[41] Rusty Russell, Linux 2.4 Packet Filtering HOWTO,http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO.html,2002
[42] 谢维果,顾其威,构建结合入侵检测的桌面防御系统,计算机应用研究,2002年第7期54~56
[43] 李晓峰,张玉清,李星著,Linux 2.4内核防火墙底层结构分析,计算机工程与应用,2002年第14期138~140
[44] 陈果,尹治本,Linux防火墙的研究与设计,成都信息工程学院学报,2003年第18卷第2期125~131
[45] Harald Welte, The netfilter framework in hinux 2.4,http://gnumonks.org/papers/netfilter-lk2000/presentation.html,2000
[46] Rusty Russell, Harald Welte, Linux netfilter Hacking HOWTO,http://www.netfilter.org/documentation/HOWTO/netfilter-hacking-
HOWTO.html,2002
[47] 徐辉,潘爱民,阳振坤,Linux防火墙的原理与实现,计算机应用,2002年第22卷第1期20~23
[48] Oskar Andreasson, Iptables Tutorial 1.1.19, http://iptables-tutorial.frozentux.net/iptables-tutorial.html,2003
[49] Rusty Russell, Linux 2.4 NAT HOWTO,http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO.html,2002
[50] 项巧莲,李之棠,日志分析及其在入侵检测系统中的应用,中国民族大学学报,2003年第22卷第3期54~56
[51] Richard Petersen著,陶华敏等译,Linux技术大全,机械工业出版社,2002年
[52] Sriram Srinivasan著,Perlish译,高级Perl编程,中国电力出版社,2001年
[53] Martin C.Brown著,顾凯等译,Perl参考大全,人民邮电出版社,2002年
[54] George Reese,Randy Jay Yarger等著,林琪,朱涛江译,MySQL权威指南,中国电力出版社,2003年
[55] Mandy Andress, Building a Firewall: What you need to know beforesetting up a firewall, Part 2,http://www-106.ibm.com/developerworks/security/library/s-fire2.html,2001