范君 韩学洲 季莉

摘要：IPS部署和实施是网络安全设计中的重要环节之一，是计算机网络专业安全课程实验中的重要组成部分。以组建IPS分布式虚拟环境为目标，构建实验环境，设计实验拓扑与参数，给出完整的实验设计与配置流程，并对实验结果进行验证与分析。

关键词：分布式虚拟环境;IPS;实验平台设计

中图分类号：了P393.0 文献标识码：A

文章编号：1009-3044（2019）33-0017-04

1概述

随着网络的应用与普及，网络安全在网络工程技术实施中所占比重日益加大，入侵检测系统在企业网络中已经成为不可或缺的关键设备。入侵检测产品一般部署在各业务网段，实现对网段内所有设备访问的流量进行监控和保护。常规的IDS（入侵检测）平台能够在网络攻击过程中对在线的攻击行为进行识别和报警但缺乏主动防御功能，且IDS对DoS一类攻击缺乏相应防范机制，因此目前企业实际环境中所部署的产品均以主动防御类的IPS（入侵防御）平台为主。

目前国内计算机网络工程专业人才培养的课程体系中均包含有网络安全的类课程并建有相关的安全实验室，而高校现有网络安全实验室中的入侵检测实验平台大多以Snort的开源实验平台为基础构，部分高校的安全实验室虽购置一定数量的IDS/IPS物理设备，但人手一台设备规模的实验教学开展往往因为设备数量不足而受限制，同时网络攻击行为往往带有破坏性，单纯依赖物理设备的实验环境虽然可以縮小与商用产品实际应用环境间的差距，但网络数据环境的准备与恢复工作的烦琐使得实验中的准备与恢复工作占用过多的教学时间。

为解决上述问题，在实际课堂教学过程中，通过基于分布式虚拟化技术构建IPS实验平台，使学生在该平台中能够直观的理解入侵防御产品的工作枠陸和部署流程，观察基于网络环境下IPS的数据流量处理机制，进而在此基础上理解并掌握真实环境下IPS系统的规划与配置的方法。

2实验技术分析

2.1IPS技术

IPS支持Inline在线部署的方式串联于网络中，无须依赖交换机的SPAN端口对流量的镜像即可对进出网络的流量进行实时监控，将IDS的单纯检测功能提升为主动防御功能。IPS检测引擎采用多重检测机制，使其能对应用层、传输层、网络及数据链路层的数据流进行多层面攻击行为检测，对于DoS/DDoS、P2P等攻击行为可以实现精确检测并实时阻断，最终实现网络安全综合化深度防护。

2.2虚拟化技术

分布式IPS实验平台中的主机设备环境将攻击设备和目标服务器借助于WMWare环境实现，网络设备环境则借助QEMU平台的虚拟化技术实现IPS环境的仿真，使用Dynamips平台实现路由器IOS平台的仿真，最后运用GNS3平台进行的完整的拓扑设计，同时借助WinPCAP和Wireshark软件实现实验过程中数据包实时捕获和分析。依赖于虚拟化技术使得系统的攻击和破坏行为均限制于虚拟设备中，实现了IPS平台对物理环境下的设备依赖和影响的最小化。

3实验平台设计

3.1IPS企业部署

IPS在企业环境中部署一般根据数据区域的安全级别，对源自外网和内网的流量分别进行监控和防护。通过部署IPS在服务器、PC终端等不同的安全区域或网段，可以实现对网络数据访问行为进行控制，并对来自外部的攻击行为进行防范和监控以保护关键业务数据的访问。

3.2 IPS实验平台拓扑设计

1）物理拓扑设计

IPS实验平台以两台PC为验证工作平台，其中PC-01作为综合平台承载路由器、IPS、目标服务器等功能，PC-02作为攻击平台。

实验平台的物理拓扑通过交叉线互连两台PC的千兆网卡来实现。两台PC设备配置CPU均为Intel T6500Du02.10GHz，其中PC-01内存配置均为4G，实验中所涉及虚拟平台中的软硬件类型、版本信息如表1所示。其中Cisco IDS 4235其硬件平台虽标识为IDS，但该平台的内核是具备IPS功能的系统软件，故该平台实质为IPS。为能够观察攻击后产生的诸如SYN半连接等数据信息，在PC-01中以LinuxServerRedHat5.4为目标服务器平台。考虑到桌面级操作系统的连接数有限制，故在PC-02中以Windows 2003 Server为攻击平台。

2）逻辑拓扑设计

IPS实验平台逻辑设计包含拓扑图规划、IP规划、设备接口互连规划等几个部分组成。

（1）逻辑拓扑图规划

逻辑拓扑规划设计如图1所示，网络整体分为内网、外网两个部分，其中目标机位于内网，IPS6.0系统以Inline方式位于目标机和路由器之间，实现对来自内外网的流量进行实时监控171，位于外网攻击设备则处于路由器的另一侧。

实验具体规划如图2所示，PC-01机器内部的Cisco 4235IDS设备运行于QEMU环境中，Cisco 3725路由器运行于Dy-namips环境中，上述两个环境均在GNS3平台下借助PC-01的Loopback软环回接口实现互联。

IPS的流量监控接口及管理端口均需要先行连到GNS3系统自带的非网管型交换机后方可实现与其他设备间的数据传输，PC-01的GNS3平台使用了SW1、SW2、SW3三台非网管设备连接IPS与其他设备，具体搭建的拓扑图如图3所示。

（2）网卡IP地址规划

IPS平台中所涉及的各个网卡、接口地址及用途说明信息见表2。

（3）IPS端口互联与IP规划

基于Cisco IDS 4235平台的IPS设备端口、IP地址及互联对端设备的规划如表3所示。

在设备互联中，Cisco IDS 4235的Managemento/o端口通过SWl交换机与PC-01的软件环回接口Loopbackl互联，该端口提供以GUI界面方式实现IPS设备配置、验证及监控;Gigo/o端口则直接连接到SW3并与3725路由器的Fao/1接口互联以接受外网流量;Gigo/1端口与PC-01的软件环回接口Loopback2均接人SW2交换机实现将流量转发至内网目标机服务器Red-Hat5.4。

（4）路由器端口互联与IP规划

路由器基于Cisc03725平台，其端口、IP及互联对端设备的规划如表4所示。

3.3IPS实验平台配置步骤

1）IPS平台初始化配置

步骤1：IPS初始化配置

IPS平台进行配置前需要进行必要的初始化设置，以实现IPS的进一步配置和管理工作，初始化配置工作如图4所示。IPS中管理IP地址的配置对应图4中命令（1），其中194.0.1.11为管理端口登录IP，194.0.1.1为网段的网关地址，开启telnet功能对应命令（2）。IPS登录访问前需要通过ACL设定允许能够登录地址范围，此部分的地址可以是多组地址网段，具体配置见命令（3）。

步骤2：IPS接口配置

IPS设备的物理端口默认情况下是未启用状态，需要激活后方可启用。平台中端口配置为全双工，速率1000Mbps。平台中默认所有端口均为杂凑模式（promiscuous），该模式仅仅监控实际流量的镜像，并不能实时阻止攻击。为能实现对攻击流量实时阻止，需将实验中的IPS平台将端口设置为在线模式（In-line），图5中定义了接口名称为pair-01的逻辑接口并根据规划将物理接口Gigo/o和Gigo/1关联到pair-01实现在线模式。

步骤3：IPS策略配置

IPS使用前需要定义相关的策略，新定义的策略中应该包含签名（signatures）、事件响应规则和异常检测三个功能模块的配置。

以异常检测配置为参照，思科IPS将网络区域划分为外部、内部和非法三个不同类型，每个区域可针对了CP或UDP特定端口类型的数据单独设置扫描阈值。以来自外部区域了CP流量的80端口检测配置为例，图6中的命令（1）设定的是外部区域中IP地址范围，命令（3）设定了对源IP地址启用扫描器（scanner）的参数阈值为150。

步骤4：IPS分析引擎配置

思科IPS分析引擎用于对流经监控端口的数据流量执行数据包的分析和报警监测工作，Cisco IPS6.0借助其系统软件中传感器虚拟化的功能可以实现多个虚拟化的IPS，每个虚拟化的IPS可独立监控分析不同网段的流量。如图7命令（1）所示分析引擎中所引用的虚拟化感应器为平台自定义的虚拟传感器vs-01，该引擎默认为非激活状态需要通过配置命令（2）激活后启用。传感器vs-01中所關联的异常检测策略ad-01为步骤3中定义，异常检测操作状态模式定义如命令（3）所示。完成上述配置工作后，需将策略先前定义中的规则rule-01和签名sig-01关联到vs-01中，最后如图7命令（4）所示将虚拟传感器与逻辑接口pair-01进行关联。

2）路由器及平台路由配置

路由器配置根据表3进行常规配置即可，因攻击平台与路由器外网口处于同一网段故无须配置静态路由。攻击设备网段为192.168.1.0/24，为访问目标机的所在172.16.1.0/24网段需要在PC-02中配置静态路由指向路由器外网口，Windows环境下配置命令如图9所示，参数-p是使所配置的静态路由为永久性路由条目，以满足教学实验过程中设备重新启动后路由条目不会丢失需求。

3）攻击与目标服务器平台初始化配置

攻击平台因安装有各类攻击软件故需要保持Win-dows2003 Server服务器中防火墙默认的关闭状态，而对于目标服务器的Linux操作系统则需要在iptables防火墙中添加acl命令以放行ICMP及80端口的tcp和udp数据包叫。

4实验平台验证

IPS平台设计构建后，需要对平台进行防御功能的测试和验证工作。这里以基本安全加固和DoS攻击测试用例对平台的防御功能进行验证。

4.1基本安全防护加固验证

安全加固验证以拒绝外网以ICMP数据包访问目标服务器作为测试用例，通过CLI命令行中启用签名ID号为2004的签名，开启ICMPEchoRequest阻拦功能，具体命令如图9所示。

从图10中可看出，2004的签名设置后，访问目标服务器的ICMP均被IPS阻止，在IPS中实现了对内网的设备提供必要的防护功能。

4.2 DoS入侵攻击验证

攻击前需将IPS中基于UDP协议且ID为4608的DoS相关签名全部激活，激活配置命令参考图9的配置思路，攻击平台使用UDP Flood泛洪工具向目标机发包。从图11中的IPS监控界面可以看到，攻击数据包逐步增加。当警告（Alert）基本信息达到64次时，UDP攻击行为达到防御开启的阈值，此时IPS识别攻击并自动激活防御功能阻塞攻击者数据包。阻塞记录中的攻击源IP、目标IP及端口号的信息如图12所示。同时实验平台也支持从IPS监控界面下载捕获的攻击包以进一步分析攻击包中的数据信息。

5结束语

借助分布式虚拟环境的IPS平台，并通过设计合理的实验流程与步骤，可以有效促进学生对IPS设备工作原理的理解，增强实验兴趣，提升IPS实际设备的设计、实施部署和监控管理能力。思科IPS基于命令行的配置工作大多基本都能在GUI界面下完成，在实际教学中我们发现GUI界面的配置工作虽然直观、简洁，但学生初次接触IPS配置时往往只记住界面的内容忽略了各个配置内容内在逻辑关联性，从而导致配置时没有整体概念，故在教学中以命令行配置为先导，让学生对IPS配置流程有整体印象并理解配置内在的逻辑性后再介绍GUI界面配置的教学效果会更好。

目前IPS实验平台硬件环境是基于两台联想PC来实现，该平台环境亦能够适应其他硬件平台且有着较高的可移植性，同时此平台也有着极大的可扩展性，即在实验室条件满足的情况下，可以将路由器、IPS、目标服务器各自放置到独立的硬件设备中，以实现更大范围的分布式虚拟环境的构建，这样实验的效果将更加逼近企业实际环境中的部署。平台中的IPS以混杂模式部署可以完全实现以往安全实验室中的IDS所有功能，对现有的高校IDS实验项目有着良好的衔換陸。