基于KFW系统网络安全管理的设计与实现

尹 青 海，　晚 春 东

( 1.大连工业大学 管理学院, 辽宁 大连　116034；2.绍兴文理学院 经济管理学院, 浙江 绍兴　312000 )

0　引　言

随着计算机网络行业的快速发展，互联网已经普及到社会各行各业，天猫、京东网络商城已经进入到百姓日常生活，消费者对网络的依赖程度正在逐步加强[1]。人们仅仅看到互联网给生活带来的方便性，却忽视了计算机网络安全。网络安全犹如一颗定时炸弹，随时都可能给网络消费者带来巨额经济损失。网络安全已经成为一个关系经济安全、国家安全、社会稳定的重大问题[2]。计算机病毒、网络攻击等涉及网络的传统型或新型的违法犯罪活动层出不穷，对社会的网络信息安全都构成极大威胁[3]。

对于防火墙系统的安全性问题，一些系统仅仅通过简单的硬件设备设置来实现，防火墙预防病毒攻击的应急处理较差，特别是CC防护表现更差，针对变种CC病毒基本无法防护[4]。部分设备只支持部分攻击类型防护，且不支持CC及变种攻击防护，仅在路由器设置方面通过一些设备在串联方式上增加一层障碍点防护，与此同时，网络结构增加了一个层次，增加了网络延时，这种办法较为被动[5]。在硬件出现故障时，通过手动模式断开连接，使下行流量不经过旁路设备进行直接转发，保证业务的不间断[8]。这种传统的防护手段较为复杂，透明模式不明显，操作困难，不利于管理人员操作。

在流量分析与监控方面，一些系统只支持逐个端口查看流量，并且需要手工切换，灵活性差，无法及时监控总流量，查看日志，监控单个IP流量。在设备受到大流量攻击期间，一些系统承载负荷较高，其主机服务器的CPU占用率高达70%，容易造成系统瘫痪，给攻击者造成可乘之机，防火墙安全失效[6]。一些防护系统后台管理界面的使用和配置较为复杂，后台管理图形混乱，一些系统通过设置超级管理员和口令来限制普通账户使用系统。在实际监控过程中，由于使用系统的身份不同，流量分析、监控非法IP用户登录等得不到及时解决。要实现灵活的系统监控除了对管理员进行权限设置灵活划分外，还要限制具有相同监控功能的管理员进行修改其他管理员设置流量监控的权限[7]。

KFW防火墙专注于抗拒绝服务式攻击的研究和防护[8]。能够检测网络协议中所有层的状态，有效阻止DoS、DDoS等各种攻击，保护服务器免受来自Internet上的黑客和入侵者的攻击、破坏[9-10]。

本文研究了KFW防火墙监控系统的特点、性能、监控流量配置、防护CC及变种攻击特征，并且基于管理员角色的管理模型和设置进行改进，并利用PHP语言设计了一套较为先进的KFW网络安全管理系统。

1　安全系统的设计与实现

目前，网络安全管理主要是在病毒爆发后，进行硬件设备升级和病毒查杀[11-12]，而不能进行提前预警与防护，具有严重的滞后性，给网络用户带来重大的财产损失。应保障安全系统设计时，有提前预警机制，自动锁定病毒端网络地址的功能。

在设计安全管理系统时应考虑超级管理员和普通网络监控管理人员对系统监控灵活性的需要，本文所设计的KFW网络安全管理系统如图1所示。

图1　网络安全管理系统

由图1可见，系统主要包括系统管理、防火墙模块管理、防火墙设置管理等功能，另外系统还应具备良好的在线帮助功能。在防火墙管理模块功能中，用户可以通过流量监控模块和链接模块实时发现网络异常、黑客攻击、DOS、CC攻击等安全隐患，然后通过监控日志模块发现CC攻击源，及时进行安全隐患排除，以保证远程网络访问顺畅，保证网络安全不被破坏。

1.1　用户角色分配设计

为了实现系统灵活的安全性，针对用户身份的不同把用户分为三种角色[13]：超级管理员、系统管理员、网络安全管理员。基于使用者可能具有多种管理身份的考虑，允许使用者同时承担多个角色。

超级管理员具备系统最高权限，管理该系统的系统管理、防火墙模块管理、防火墙设置管理，管理用户的添加、删除，修改其他用户权限。

系统管理员负责系统参数设置、用户管理、密码修改、分配管理员各种权限分配。具备防火墙模块管理和防火墙设置管理权限。不允许网络安全管理员随意修改用户权限、角色分配权利。

网络安全管理员具备防火墙模块管理和防火墙设置管理权限，实时关注流量监控模块、连接监控模块、监控日志安全查询，发现网络异常及时处理；对于防火墙接口设置模块、防火墙设置、DOS、CC攻击设置进行监控；防火墙对外IP网络连接管理权限。

对于系统管理员或者网络安全管理员角色的用户，在未经超级管理员允许的情况下，只能访问和修改自己所具备的权限，不能修改、删除其他系统管理员、网络安全员所具备的权限。提高了系统的安全性，其他管理员想获得系统管理员的访问和设置权限，可以由超级管理员在系统用户设置里面进行重新权限设置，对访问权限进行重新分配。系统具有良好的机动性和灵活性。

1.2　模块管理性能

防火墙模块管理设计主要是针对防火墙流量监控的模块、连接接口模块、监控安全日志模块进行系统设计和应用实现。

1.2.1防火墙流量监控模块

由于防火墙流量监控可以分别以曲线和条的形式显示发送包数量、接受包的数量、发送字节数量、接受字节数量、发送拦截包数量、接受拦截包的数量、当前的所有连接数、防火墙CPU和内存状态。这就要求KFW防火墙系统具有强大的流量监控显示功能，监控网络访问客户身份、在线人数，分别以不同的颜色显示不同的监控状态输出功能，以显示访问攻击者的在线状态。系统对于线形和条形显示模块，通过计算机程序进行设计，加入显示系统界面如表1所示。

表1　防火墙流量监控Tab.1　Firewall traffic monitoring

表1的程序设计主要显示当网络受到攻击时，防火墙以不同的条形图显示不同的遭受攻击状态，并以不同颜色表示当前系统正在遭受不同的攻击状态图形，当拦截包的数量为防火墙处理流程中防火墙规则处理之前拦截的包数时，有效连接数、CPU和内存这3个设备状态将用红色表示，防火墙流量监控还可以进行累加包数的统计，平均包数图表的统计、累加字节图表的统计等功能。流量监控可以实现实时报警系统显示图形为红色，可以根据管理员的需求对每秒发送包数、每秒接收包数、每秒发送字节数、每秒接收字节数和总连接数进行阀值的设定进行预判。当流量超过所设定的阀值数值时，系统开始自动声音报警，系统自动亮黄色，使管理官员做到提前预知。由红色到黄色的色彩变化，方便管理员进行安全管理。

1.2.2连接监控模块

传统的连接监控设计主要由快速视图和查询视图组成。快速视图的信息比较简单，当有大量连接异常出现时，快速视图可以很快列出相关信息。查询视图的信息呈现的较为详细，功能比较强大，方便用户使用。用户可以根据IP和端口号、目的IP和端口号、接收包数和字节数来进行预判，进行较为简单的防护。但是，当CC攻击时，列表里的连接数会比平时连接数多，容易造成网页打开缓慢，系统死机的现象，致使用户无法使用网络。系统针对CC病毒泛滥时借助PHP工具进行新的设计如表2所示。

表2　利用PHP防止CC病毒攻击Tab.2　Using PHP to prevent CC virus attack

由于CC攻击利用网络链接模块的服务器生成一个病毒反复向合法服务器发起持续攻击访问，模拟多种用户不间断的访问用户服务器，最终导致服务器CPU瘫痪，以致网络堵塞。系统通过PHP语言设计访问程序监控。通过检索访问端口COOKIE进行访问拦截，如果CC持续访问服务器，则进行拦截或者阻止用户访问，当访问持续时间超过5 s，程序最终拒绝客户访问该网站。

1.2.3防火墙监控日志模块

监控日志模块设计主要分为流量日志和系统日志子模块。流量日志记录经过防火墙每个时刻的流量统计。用户可以根据月份和日期进行查看统计，统计内容分为发送包数、接收包数、发送字节数、接收字节数、拦截发送包数、拦截接收包数、所有连接数、防火墙CPU、防火墙内等。

1.3　防火墙设置管理

针对互联网安全设置需要实现保护局域网安全的要求。防火墙设置管理主要是针对防火墙界面的管理进行设计，主要包括防火墙接口设置、防火墙设置、DOS攻击保护模块设置。

1.3.1接口模块设置

防火墙接口运行模式主要分为网关路由模式、透明防火墙模式和透明防火墙+网关路由模式。系统设计时默认的运行模式为透明防火墙模式，方便用户进行操作。

用户在使用系统时不需做任何设置修改即可实现内网、外网数据传输的功能。所有的网络网口列表会记载所有网络网口的名称和MAC地址。用户需要将相应的网络网口分别添加到“外部网络网口列表”和“内部网络网口列表”。在通常情况下adeth0、adeth2、adeth4、adeth6为外网口，adeth1、adeth3、adeth5、adeth7为内网口，adeth8为防火墙的系统同步口，adeth9为防火墙的外网管理口。系统的外部网络网口是用来连接外部网络的网络接口，内部网络网口是用来连接内部网络的网络接口，防火墙同步网口是用来连接防火墙集群的网络接口，管理网络网口是用来连接双网卡服务器通过外网远程桌面访问实现内网管理防火墙的网络接口。

系统通过接口设置及时发现外网IP，内网IP，系统异常情况，与此同时系统给出外网异常报告、攻击源、内网流量监控等，方便管理员及时监控网络安全。

1.3.2IP流量设置

系统主要针对IP流量进行设置，用户通过该系统可限制IP上载或者下载的流量，限制IIS下载。通过和IP连接数限制一起使用IIS下载就可以和ftp 下载一样限制流量、IP同时连接数，具有极大的方便性与快捷性。针对CC防护、DOS攻击防护，访问限制模块可以针对服务器访问请求连接数进行限制，如果超出访问的限制次数则加入防火墙规则被封IP列表中，还可以对被封IP在多长时间后释放并在释放后允许多少次访问服务器进行设置。系统防火模块根据每个访问IP打开服务器页面时所需要下载的图片、flash等计算访问服务器次数。增加允许访问的次数。

1.3.3DOS防护攻击设置

DOS攻击防护模块系统设计主要是针对防火墙的接收包流量防护模块进行设置和屏蔽指定服务器的MAC地址、IP地址。通过接收包流量限制，用户可以根据防火墙接收包流量限制界面显示出规则的编号、描述、协议类型、设置的源IP地址和端口、设置的目的IP地址和端口、限制的描述、突发包数、修改人以及修改时间等信息。通过攻击源IP地址和目的IP地址以及端口类型，输入适当的拦截参数，每秒通过的包可以根据服务器情况设定。例如：平常的UDP包是200个，那么可以设定成每秒可以通过100个包，多余的包拦截。限制每秒通过UDP包数量，若UDP包为200个，则拦截到每秒100个包。

2　仿真实验

为了验证系统的安全性能，模拟了DOS病毒攻击仿真实验。在攻击过程中，通过系统网络监控模块发现62.190.206.210服务器的外网异常，每秒连接数值远远大于正常连接数，如表3所示，可以判断此服务器可能正在遭受攻击。

表3　DOS攻击测试参数Tab.3　DOS attack test parameters

通过防火墙规则设计模块的抓包规则对攻击服务器的数据包进行分析，在监控系统中输入被攻击的服务器地址62.190.206.210。数据包分析模块中选择捕捉类型为防火墙规则定义的捕捉，开始抓取数据包并显示抓取的数据包，发现80端口数据包大部分都刷GET 30//HTTP 1.1，可以判断GET 30//HTTP 1.1正是攻击数据包的特征，通过DOS防护系统添加一条针对该攻击特征的漏洞特征规则，输入62.190.206.210，按每IP匹配为20 s，选择保存的攻击数据包在数据包选中攻击包的特征GET 30//HTTP 1.1，发现攻击特征会自动以16进制的形式添加到逻辑关系值中。通过接收数据设置，选择16进制，在搜索防火墙核心搜索每个数据包的范围选择，即从TCP数据开始搜索，这样防火墙就会直接从TCP数据包开始搜索攻击特征，防火墙搜索数据包发现有GET 30//HTTP 1.1攻击特征值的时候会自动为62.190.206.210 IP进行自动拦截。通过加入黑名单选项并输入一个在黑名单内的时间6 000 s 加入外网监控端口，这样就完成了一条漏洞特征规则。系统在20 s内通过防火墙搜索数据包发现有GET 30//HTTP 1.1攻击特征值时，系统就会自动为这个IP添加一个累加器，累加器计数增加1。当累加器计数到6时，防火墙就会发送此攻击包的IP进行拦截并加入黑名单6 000 s，系统自动拦截62.190.206.210攻击端口，同时发出警报预警，如图2所示。

图2　仿真实验拦截图

当攻击节点47、45、54、20、33第1次变绿时，系统发出防护预警，提醒用户并注意防范；当0、48、54、50、2F、31同时变绿，系统自动锁定攻击宽口IP：62.190.206.210，同时锁定网址：GET 30//HTTP 1.1。

经过反复测试该系统，发现该系统具备良好的拦截功能。

3　结束语

所设计的安全架构与其他网络防护系统相比较，在安全性和拦截技术上都有极大提高。

实验证明，通过本文的设计模式，完善了网络自动监控、自动报警，提高了现场应急画面拦截与防护功能。

参考文献:

[1] ZENG F Z, LI J S, XU J, et al. A trust-based cooperative spectrum sensing scheme against SSDF attack in CRNs[C]//2016 IEEE Trustcom/BigDataSE/ISPA. Tianjin: IEEE, 2016: 1167-1173.

[2] HENRY C H, PATRICK P C. Enabling data integrity protection in regenerating coding-based cloud storage: theory and implementation[J]. IEEE Trans on Parallel and Distributed System, 2014, 25(2): 407-416.

[3] KEN J I, DO Y A, WANG D L. Promoting further developments of neural networks[J]. Neural Networks, 2017, 85(5): 101-106.

[4] BOWERS K D, VAN DIJK M, GRIFFIN R, et al. Defending against the unknown enemy: applying fliplt to system security[C]//Decision and Game Theory for Security. Budapest: Springer, 2012: 248-263.

[5] MOHA M M, HAV A E. Brain tumor segmentation with deep neural networks[J]. Medical Image Analysis, 2017, 35(3): 18-31.

[6] 刘伊玲.基于“云计算”环境下的网络安全策略初探[J].科技创新与应用,2012,27(2):26-31.

[7] 刘建波.“云计算”环境中的网络安全策略分析[J].中国科技投资,2012,21(3):170-182.

[8] 冯登国,张敏,张妍,等.云计算安全研究[J].软件学报,2011,12(1):26-31.

[9] 贺惠萍,荣彦,张兰.虚拟机软件在网络安全教学中的应用[J].实验技术与管理,2011,28(12):112-115.

[10] 邹航,李梁,王柯柯,等.整合ACL和NAT的网络安全实验设计[J].实验室研究与探索,2011,30(4):61-65.

[11] 林玉梅.防火墙技术及其研究[J].软件导刊,2012,6(9):160-163.

[12] 李海峰.基于FPGA的单探测器偏振OCT信号调节系统设计[J].现代科学仪器,2017,15(4):15-17.

[13] 潘文婵.通过访问控制列表分析网络病毒入侵和恶意攻击[J].信息网络安全,2010,23(4):59-60.