基于Agent的分布式防火墙设计及在校园网中的应用

(安徽财经大学 信息工程学院,安徽 蚌埠 233041)

摘要:分析了传统防火墙和分布式防火墙在校园网应用中的局限性。引入Agent技术,利用Agent的特性对分布式防火墙重新规范、设计,并且在校园网中增加了中心服务器和域服务器的备份,更好地提高了校园网的稳定性、安全性。

关键词:Agent;校园网;分布式防火墙;入侵检测

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)28-7875-02

Design of Agent-based Distributed Firewall System and its Implement in Campus Network

WANG Hao

(The College of Information Engineering, Anhui University of Finance & Economics, Bengbu 233041, China)

Abstract: Analysis of the traditional firewall and distributed firewall application shortcoming in campus network. Then the Agent and its characteristics are introduced. By using these, it redefines distributed firewall. And, increased the central server and domain server backup in campus network, so the campus network to better improve the stability, security.

Key words: agent; campus network; distributed firewall; IDS

在众多网络安全技术中,防火墙技术作为保护局域网的第一道屏障,研究较为深入,应用的最为广泛的一项安全技术。目前较为传统的防火墙体系结构有:屏蔽路由器、双宿主机网关、被屏蔽主机网关、被屏蔽子网。这四种体系结构都被普遍地运用到校园网安全建设中,但随着校园网规模不断扩大,传统防火墙的弊端也暴露出来。具体如下:

1) 无法阻止内部攻击:传统防火墙对内部数据流无法进行监控,据统计显示,80%的攻击源于局域网内部,攻击者可通过向内部主机发送带病毒的电子邮件或通过即时通信软件传送带病毒的文件,然后内部主机主动与攻击者联系,使得防火墙失去作用,或者内部主机之间的相互攻击,防火墙也无法发挥功效。

2) “瓶颈”问题:防火墙的功能日益强大,能防范的攻击也逐渐增多,随之处理速度也逐渐下降。传统的防火墙很难在效率与功能之间做到平衡。

3) “单点失效”问题:校园网的安全工作完全集中于防火墙一处,一旦防火墙被攻破或绕过,整个校园网中的信息将不在安全。

4) 策略单一:传统防火墙的安全策略是针对整个局域网制订的,随着校园网规模增大,策略也随之增多,影响防火墙的性能,并且局域网内所有主机都遵从单一的策略,缺乏针对性。

由于传统防火墙存在的这些弊端,在 1999 年美国 AT&T 实验室研究员 Steven M.Bellovin 提出了分布式防火墙概念。分布式防火墙改变了原先防火墙的拓扑结构,内部网络仅仅是形式,分布式防火墙认为外网和内网均为不可信任的。分布式防火墙是由一个中心来制订策略,并将策略分发到主机上执行。它使用一种策略语言(如 KEYNOTE)来制订策略,并被编译成内部形式存储于策略数据库中,系统管理软件将策略分发到被保护的主机上,而主机根据这些安全策略和加密的证书来决定是接受还是丢弃数据包,从而对不同的主机,采用不同的策略实施保护。但是,这种分布式防火墙采用的是C/S结构,随着校园网规模扩大或者有多个校区时,当分布式防火墙进行策略分发、监控等工作时,将占用很多网络资源。因此,为了使分布式防火墙更好的适应校园网,我们将Agent的自主性、交互性、反应性和通信能力等特性引入到分布式防火墙体系结构设计当中,提出了一种新型的防火墙体系结构,能够弥补现有分布式防火墙的中心管理主机的“瓶颈”问题,并且通过通信机制实现Agent之间的交互,提高系统的稳定性。本文重点研究的是基于Agent的分布式防火墙体系结构设计、多间的通信及在校园网中的应用。

1 基于Agent的分布式防火墙的设计

我们用基于事件的运行模式来设计Agent的活动。一个事件被Agent接收后,将发出一个反应,并且自己也可能发出一个新的事件。一个完整的执行过程是:。

1.1 分布式防火墙总体设计

我们将分布式防火墙分为三个部分(如图1所示),分别由中心服务器、域服务器和子系统组成。中心服务器负责制定整个校园网的全局安全策略,为域服务器提供全局的入侵响应和策略更新服务。其中,中心服务器包含:系统策略管理员(SPA)、系统入侵响应(SIRA)和服务器(AS)。域服务器是为本域内的子系统提供域的入侵响应和策略下载服务。其中,域服务器包括:域策略管理员(DPA)、域入侵响应(DIRA)和服务器(AS),并且子系统不受物理位置限定,只要具有域的访问权限,就是该域中的一个子系统,这样可以实现同一个部门,却不在同一校区或地理位置不同,同样可以制定统一的安全策略。同时,为了防止中心服务器和域服务器被破坏或者所在的网络无法使用,导致服务器无法正常工作,我们在校园网中和所有的区域网络中都配备了备份的中心服务器和域服务器,所有的策略、事件、日志等数据都备份在相应的服务器中,一旦服务器无法工作,这些备用服务器将转换成服务器角色开始工作。我们在子系统中部署入侵检测(IDA)、入侵响应(IRA)和个体防火墙(Firewall)。其中, Firewall根据ACL(访问控制列表)决定数据包的丢弃或转发,IDA用于分析网络数据包,并且能对本地活动监控,对可能的异常行为报警和响应。

1.2 系统各部件的设计

1.2.1 子系统设计

根据功能需求,从系统结构角度分析,将子系统分为IDA 、IRA、Firewall、本地数据库和通信Agent五大部分(如图2所示)。IDA负责本机系统和网络的安全检测,Firewall根据设定的访问控制列表对数据进行过滤。IDA使用本机数据库中的参数,对数据进行分析,实时检测是否有入侵,一旦检测到入侵行为,则动态地改变防火墙的策略以阻止当前的攻击。通过IDA与Firewall密切协同工作,实现保护各子系统的目的。

为了能更全面地检测系统安全,在IDA中分出若干子Agent,对数据进行分布式处理。IRA负责监听IDA发来的入侵警告,并把信息存储到本地数据库中,同时向域服务器发送该事件信息。

子系统的工作流程为:在每个子系统刚创建时,利用通信Agent将域服务器为该子系统设定好的数据下载到本地数据库中。此时,Firewall则根据下载来的访问控制列表对数据包的包头进行过滤,满足过滤条件则丢弃,否则数据包被提交给IDA,IDA分析该数据包的内容,如果有一种模式与本地数据库的某一条记录匹配,IDA会选择出一种最优的响应动作,但是如果本地数据库中没有针对这种模式的响应动作,该子系统将通过通信Agent与域服务器联系,从域服务器的数据库中下载相应安全策略。如果在域服务器中仍未找到相应的安全策略,则域服务器会通过通信Agent向中心服务器提出下载安全策略的请求。

1.2.2 分布式系统部件的设计

在上文中,已经描述了中心服务器与域服务器的各个组成部件,下面将重点设计各部件之间如何协调工作。在子系统的设计中,子系统从域服务器上下载策略在本地运行,防御非法入侵或攻击等行为。在防御的同时,IDA会生成审计记录通过通信传递给上层的域服务器中的DIRA。DIRA根据审计记录信息生成新的安全策略,并下发给该子系统。随后,DIRA会对下面各子系统传来的记录综合分析,如果确认并没受到攻击,则撤销下发的安全策略;如果确定受到非法攻击,则重新定义该域内的安全策略,并通过通信更新域内的每一个子系统;如果分析出受到了潜在的分布式攻击,该域服务器会立即通过通信向中心服务器报告审计结果。中心服务器中的SIRA对整个校园网内的域服务器传送来的审计结果进行系统层次的分析,根据分析结果采取系统级的响应策略,从而对整个校园网的安全策略重新定义,更新和配置。

2 通信机制设计

我们设计的分布式防火墙是一个多Agent系统。Agent之间的交互是通过“通信”实现的。我们将设计一个“消息队列”作为通信基础,用事件推动执行(如图3所示)。如:当一个事件发生时,一个Agent就会向消息队列发送消息,再由消息队列负责转发,当目的消息队列收到消息时,利用Engine激活Agent接收。

为了减少对校园网络资源的消耗,各个子系统,不可与其他子系统通信,只能与域服务器进行通信,同样,域服务器也只能与中心服务器进行通信。子系统、域服务器和中心服务器之间通过各自的消息队列进行通信,子系统的入侵检测检测到某种潜在的攻击时,它立即向域服务器发出一个事件消息,域服务器通过分类引擎将消息定位到相应的审计中,审计将审计的代号传送给发送事件消息的子系统的代码装载器中。代码装载器检测规则执行器是否已经加载了相应的代码,如果没有加载,则向代码装载器提出加载代码请求,码装载器搜索代码位置信息。如果本地子系统有代码,则把代码交给规则执行器执行;如果本地没有,则向域服务器发出申请消息,下载代码保存在本地子系统,并装载此代码;如果域服务器也无此代码,则向中心服务器下载代码,保存在域服务器和子系统中,并在子系统中装载此代码。

3 结论

该分布式防火墙采用了分布式的设计,提高了系统的可伸缩性和开放性。同时,将Agent的自主性、交互性、反应性和通信能力等特性引入到分布式防火墙体系结构设计当中,提出了一种新型的防火墙体系结构,能够弥补现有分布式防火墙的中心管理主机的“瓶颈”问题,制定了上下级的通信规则,有效地节约了网络带宽,并且通过通信机制实现Agent之间的交互,提高系统的稳定性。该分布式防火墙为校园网提供一个立体的保护体系,能够动态地适应网络环境的变化,采用分级管理办法,针对校园网,内部部门或区域不同,安全要求不同的需求,制定具有针对性的策略,建设安全性更高,适应性更强的校园网。

参考文献:

[1] Paolo Ciancarini.Agent-oriented software engineering[M].湖南:湖南文艺出版社,2001.

[2] Michal Pechoucek.Multi-Agent Systems and Applications IV.[M].北京:北京燕山出版社,2005.

[3] Ioannidis S, Keromytis A D, Bellovin S M, et al. Implementing a Distributed Firewall. In: 7th ACM Conference on Computer and Communications Security, Athens, Greece, 2000-11: 190-199

[4] 赵戈,钱德沛,范晖.用分布式防火墙构造网络安全体系[J].计算机应用研究,2004,(2):106-107.

[5] 魏衍君.基于移动的分布式入侵检测系统设计与实现[J].微计算机信息,2006,10(3):43-44.