摘 要:该文介绍基于Linux netfilter/iptables架构实现机制和扩展技术,在此基础上提出扩展匹配选项实现防火墙的入侵检测功能,扩充后的防火墙可以像Snort一样具有入侵检测功能,从而扩展了防火墙的安全控制功能,并且可将Snort规则转化为防火墙规则实现防火墙规则集的扩充。
关键词:防火墙 入侵检测 扩展
按照防火墙对内外来往的数据的处理方法,防火墙可以分为包过滤防火墙和应用层防火墙,包过滤防火墙工作在网络层,它只是检测包的协议头对数据包进行裁决,它运行速度快但无法对高层的协议内容进行检查,应用层防火墙则可以对高层数据进行转发和过滤并强制身份验证,但对不同的服务需要提供代理应用程序并且建立了网络瓶颈;并且将包过滤技术和多种应用技术融合到一起,构成复合型防火墙是目前国内防火墙产品的一个特点,也是防火墙今后发展的主流技术。鉴于在防火墙中整合数据包检测功能是一种良好的解决方法,它可以弥补现有防火墙的缺点并且具有像入侵检测系统一样的检测功能,本文将介绍基于Linux netfilter/iptables架构实现机制和扩展技术,在此基础上提出了扩展匹配选项实现防火墙的入侵检测功能,扩充后的防火墙可以像Snort一样具有入侵检测功能,并且可将Snort规则转化为防火墙规则实现规则集的扩充。
1 Linux防火墙的扩展netfilter/iptables的技术
Linux中防火墙Netfilter/Iptables系统主要包括两个基本组件 :定义在内核空间中的通用框架Net filter和数据包选择系统(Packet Selection).其中后者又由两部分构成:在Net filter框架上定义的数据结构“IP表”(IP Tables)和在用户空间实现的应用程序iptables.具体防火墙工作流程见[1][2]。
由于Net filter架构的加入,可以通过简单的内核模块化来实现新功能的扩展,在现有的Netfilter/Iptables中可以通过两种方式对现有的防火墙进行扩充,一种是扩展Net filter通过编写相关内核模块调用nf_register_hook()直接在相关的钩子上注册从而获得新特性,一种是扩展IP表通过编写相关的匹配标准和目标来实现新特性;扩展IP表方式是对现有表的匹配规则的扩充与具体表无关。扩展IP表需要编写内核和用户两方的代码,内核模块提供了实际的数据包匹配规则代码,用户方代码提供了IPTABLE 新的命令行选项的共享库。
2 Linux防火墙入侵检测扩展匹配设计
目前入侵检测系统普遍采用精确的模式匹配算法,如Snort采用基于规则的方式对数据包进行规则匹配来检测多种不同的入侵行为和探测活动,这种方式简单而有效,因此可以借鉴这种思想在防火墙的匹配选项中加入匹配选项来检测数据包中的内容,由于扩展IP表具有很好地灵活性,为此可以选用这种方式扩充匹配标准来实现入侵检测模块。这种方式需要编写内核和用户空间代码,Netfilter/Iptables的标准化提供了两方使用的重要数据结构,在实现这两部分代码时主要是填充相应的数据结构内容然后将它们注册从而扩展功能。
2.1 内核模块数据结构
新的MATCH功能可作为一个独立的模块,为了能使新模块能被别的模块使用,可以使用iptable提供的ipt-register-match()将该模块进行注册,新的MATCH模块的核心是ipt-match结构,它将作为ipt-register-match()的参数注册到MATCH链表中备用从而增加新的规则匹配选项。
Struct ipt_match
{struct list_head list;一般设定为{NULL,NULL},由核心使用
const char name[];MTACH功能的名称,该名称必须与模块名相匹配
int (*match)();一个指向MTACH功能函数的指针,返回非0表示匹配
int (*check entry)();一个指向检查规则规范的指针,如果返回0,规则不会加入iptables
void (*destroy)(); 当一个使用该MATCH的入口被删除时,该函数调用以释放所占资源
struct module me 是否是模块的定义,是模块设置为THIS_MODULE 否则NULL}
在该数据结构中重要的是match ,check entry 函数,MATCH函数将实现接收从底层传来的数据包,检查数据包实现匹配功能,如果数据包与所定义的规则相同那么返回TRUE,如果不成功返回FALSE并且可以设置参数表示数据包可以被立即被丢弃。Check entry函数指向一个检查规则规范的指针,如果返回0表明这条规则不能从用户空间接受。