图片48

结合防火墙、IDS、二层网关、Honeynet等技术，可设计了一套Honeynet原型系统。

外置防火墙与系统原有的安全措施相兼容，只需调整其安全策略，以适应已加入的网络诱骗系统。系统实现了Honeynet入侵检测子系统和入侵行为重定向子系统。

Honeynet技术是指二级网关(又称网桥)。因为网桥没有IP协议栈，也就没有IP地址，路由通信量和TTL缩减等特点，所以入侵者很难发现网桥的存在，也不知道自己正处于被分析和监视中。此外，从Honeynet进入的所有流量都必须通过网桥，这意味着单台网桥设备上就能实现对所有进出流量的数据控制和捕捉。配置如rc.firewall和snort.sh之类的脚本，就可以在Honeynet、防火墙日志、入侵检测系统等方面实现智能连接控制Honeynet防火墙和入侵检测系统日志功能。

它有三个网络接口：A,B,C。界面是用来与一个外部防火墙连接的，接收怀疑的或实际入侵的网络连接；Honeynet内部管理和远程日志等功能的B接口；使用C接口连接Honeypot主机，对Honeynet系统进行入侵检测，实时记录入侵行为。按照需要，网桥上可以运行网络流量模拟软件，对入侵者进行模拟。路由，外部防火墙，网桥，为Honeynet提供了高安全性。

Honeypot两台主机分别虚拟两个客户端操作系统，4个用户操作系统分别具有各自的网络接口，根据DMA区域的应用服务模拟出脆弱服务的部署，同时，利用IP空间欺骗技术扩大了入侵者的搜索空间，利用网络流量模拟、网络动态配置以及组织信息欺骗等多种网络攻击诱骗技术，提高了入侵用户的搜索质量。该仿真系统是一种虚拟的Honeynet漏洞仿真子系统，它可以与入侵者互动。

在Honeypot主机的主机操作系统、网桥和远程日志服务器上分别添加网卡，以实现隐藏的远程日志和Honeynet管理工作，使得它们相互连接为一个对入侵者透明的私有网络。远端日志服务器除执行远程发送的防火墙日志、入侵检测系统日志和Honeypot三重日志的数据融合工作外，同时也是Honeynet的入侵行为控制中心，负责协调、控制和管理Honeynet各子系统。具有最高级别的安全级别的远程日志服务器可以关闭所有不需要的服务。