1、當(dāng)越來(lái)越多的公司及政府部門(mén)將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移的時(shí)候，網(wǎng)絡(luò)安全作為一個(gè)無(wú)法回避的問(wèn)題呈現(xiàn)在人們面前。傳統(tǒng)上，公司及政府部門(mén)一般采用防火墻作為其安全防線，而隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)安全高度敏感的部門(mén)的需要。致命的原因就是防火墻不是“智能”的。防火墻只能做到允許或者阻止某地址向某地址的特定端口，但是對(duì)于針對(duì)開(kāi)放端口的攻擊，防火墻就鞭長(zhǎng)莫及了。其次，防火墻完全不能阻止來(lái)自內(nèi)部的

2、襲擊。而通過(guò)調(diào)查發(fā)現(xiàn)，50％的攻擊都來(lái)自于內(nèi)部，對(duì)于公司及政府部門(mén)內(nèi)部心懷不滿的員工來(lái)說(shuō)，防火墻形同虛設(shè)。再者，由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力，對(duì)于現(xiàn)在層出不窮的攻擊技術(shù)來(lái)說(shuō)，這顯然是致命的弱點(diǎn)。第四，防火墻對(duì)于病毒也束手無(wú)策。因此，以為在Internet入口處部署防火墻系統(tǒng)就足夠安全的想法是不切實(shí)際的。 網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深、多樣的手段，在這種環(huán)境下，入侵檢測(cè)系統(tǒng)成為了安全市場(chǎng)上新的熱點(diǎn)，不僅愈來(lái)愈

3、多的受到人們的關(guān)注，而且已經(jīng)開(kāi)始在各種不同的環(huán)境中發(fā)揮其關(guān)鍵作用。入侵檢測(cè)意味著檢測(cè)未經(jīng)許可的訪問(wèn)和對(duì)一個(gè)系統(tǒng)或網(wǎng)絡(luò)的攻擊，它既能發(fā)現(xiàn)并且處理外部攻擊，又能發(fā)現(xiàn)并處理來(lái)自內(nèi)部的攻擊，在發(fā)現(xiàn)入侵后，會(huì)及時(shí)做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和告警等。在個(gè)人防火墻中將防火墻與入侵檢測(cè)技術(shù)結(jié)合起來(lái)，將更好的為用戶提供安全保護(hù)。 《帶入侵檢測(cè)的Linux個(gè)人防火墻的研究與實(shí)現(xiàn)》即以此背景立題開(kāi)發(fā)研究。 本文對(duì)防火墻技術(shù)以及入侵檢

4、測(cè)技術(shù)進(jìn)行了概述，重點(diǎn)討論了Linux下的防火墻及入侵檢測(cè)技術(shù)，包括其基本原理、體系結(jié)構(gòu)、網(wǎng)絡(luò)數(shù)據(jù)包的攔截、檢測(cè)引擎如何對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè)，防火墻與入侵檢測(cè)的聯(lián)動(dòng)。結(jié)合桌面操作系統(tǒng)用戶的需求，利用這兩項(xiàng)技術(shù)開(kāi)發(fā)了Linux桌面系統(tǒng)的個(gè)人防火墻。 本文研究的關(guān)鍵技術(shù)、創(chuàng)新點(diǎn)和所做的工作如下： ●Netfilter是Linux內(nèi)核實(shí)現(xiàn)數(shù)據(jù)包過(guò)濾/數(shù)據(jù)包處理/NAT等的功能框架，本文討論了在此框架上如何實(shí)現(xiàn)防火墻，以及如何將

5、入侵檢測(cè)的功能融合進(jìn)防火墻中。 ●使用iptables及Netfilter可進(jìn)行數(shù)據(jù)包過(guò)濾，但在現(xiàn)實(shí)中由于其配置較復(fù)雜，iptables經(jīng)常被束之高閣。本文將介紹iptables防火墻規(guī)則以及通過(guò)工具配置規(guī)則，以幫助用戶高效的使用防火墻。 ●對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)檢測(cè)到攻擊信息時(shí)及時(shí)通知用戶。攻擊信息會(huì)顯示在各列表中，同時(shí)還能將這些信息導(dǎo)出保存以作為證據(jù)提交給用戶的ISP。 ●檢測(cè)引擎是入侵檢測(cè)實(shí)現(xiàn)的

6、核心，準(zhǔn)確性和快速性是衡量其性能的重要指標(biāo)，前者主要取決于對(duì)入侵行為特征碼提煉的精確性和規(guī)則撰寫(xiě)的簡(jiǎn)潔實(shí)用性，后者主要取決于引擎的組織結(jié)構(gòu)，是否能夠快速地進(jìn)行規(guī)則匹配。到目前為止共有3066個(gè)可用的規(guī)則，并且還在不斷加入更多規(guī)則，同時(shí)提供規(guī)則描述語(yǔ)言，這種語(yǔ)言靈活而強(qiáng)大，以便用戶可以添加自己的檢測(cè)規(guī)則。 ●入侵檢測(cè)中所用到的檢測(cè)分析方法屬于誤用檢測(cè)(MisuseDetection)，該方法對(duì)已知攻擊的特征模式進(jìn)行匹配，包括進(jìn)行協(xié)

7、議分析，以及對(duì)一系列數(shù)據(jù)包解釋分析特征。 ●入侵檢測(cè)能夠進(jìn)行協(xié)議分析，內(nèi)容的搜索/匹配。現(xiàn)在能夠分析的協(xié)議有TCP、UDP、ICMP、IP和ARP。能夠檢測(cè)多種方式的攻擊和探測(cè)，例如：緩沖區(qū)溢出、秘密端口掃描、CGI攻擊、SMB探測(cè)、探測(cè)操作系統(tǒng)指紋特征的企圖等等。 ●對(duì)于TCP攻擊，如果攻擊者使用一個(gè)程序每次發(fā)送只有一個(gè)字節(jié)的TCP包，完全可以繞過(guò)IDS檢測(cè)方法，可以對(duì)TCP包進(jìn)行重組然后進(jìn)行匹配，使得具備了對(duì)付上面這

8、種攻擊的能力。 ●入侵檢測(cè)構(gòu)件支持各種形式的插件、擴(kuò)充和定制。目前有三類(lèi)插件：預(yù)處理插件、檢測(cè)插件和輸出插件，它們包括數(shù)據(jù)庫(kù)日志輸出插件、破碎數(shù)據(jù)包檢測(cè)插件、端口掃描檢測(cè)插件、HTTPURInormalization插件、XML插件等。 ●整個(gè)應(yīng)用程序?qū)崿F(xiàn)了對(duì)GNOME-SESSION及國(guó)際化的支持。 該軟件的目標(biāo)就是為L(zhǎng)inux桌面用戶提供一個(gè)簡(jiǎn)沽實(shí)用，操作簡(jiǎn)便界面友善的個(gè)人防火墻。具備通用防火墻的常規(guī)功能，并