摘 要：数据控制主要是对于流经系统的数据包进行控制，这一蜜网系统的第一核心功能是由蜜网网关Honeywall实现的。数据控制的策略是对于流入系统的数据不做任何限制，使得非法入侵者能够顺利攻入系统，非法入侵者的任何的扫描、探测、连接对于Honeynet来说都是受欢迎的，它们正是我们蜜网系统需要捕获的对象。对于流出系统的数据则要进行严格的控制，防止非法入侵者攻入系统后把系统作为跳板发送非法信息或者入侵其他的机器，同时我们还要尽可能的做到让非法入侵者不会察觉自己已经被监控。
　　关键词：数据控制；入侵包抑制
　　我们采用入侵包抑制和连接数限制两种方式进行严格控制。这样数据控制其实是解决两个方面的问题，一是对外连接数限制，一是入侵包抑制。只有连接数限制是不够的，因为在连接数所允许的范围内放行的少量数据包有可能是有害的入侵数据包，一旦这些数据包通过网关流出到校园网络中，我们的安全系统也便成为了入侵源，会对整个校园网络造成威胁甚至是很大的破坏，因此对这些数据包内容要进行检测，即不仅要使用对外连接数限制还要使用入侵包抑制手段来进行数据控制。
　　1 对外连接数限制
　　对外连接数限制我们是通过Honeywall的防火墙Iptables来实现的，主要是针对网络扫描和Ddos入侵等入侵活动。部署者事先设置防火墙，设定蜜罐主机在单位时间内可允许向外发起的连接数，如果非法入侵者利用攻破的蜜罐向外发起扫描及Ddos入侵等，这时Iptables将按照事先设置的规则对超出连接数限制上限的数据包进行丢弃或修改，将其记录在防火墙日志上，中断其以后的连接，另外还可以通过响应模块进行报警来通知和提醒安全人员，从而避免对其他网络造成危害。
　　具体的做法是利用Iptables的-mlimit-limit来实现外出连接数限制功能，通过limit我们可以事先设置各种类型协议的连接数据限制规则，来限制外出连接数的上限，指定单位时间内所允许的最大连接数，单位时间可以使秒、分钟、小时等，单位时间内（周期），外出连接数超出限制最大值则把相关信息记录在防火墙日志文件中，并发出警告通知安全人员，Iptables则可以根据事先定制的规则选择丢弃或修改这些数据包。通过limit可以控制各种类型协议的数据包发送，如常见的TCP，UDP，ICMP包。外出连接数的限制规则通过c.firewall脚本文件实现，如下图所示规则：
　　通过设置这样的连接数限制规则，就可以很好地限制对外连接数量。
　　通过Honeywall的字符界面直接使用命令行来实现这一功能，如我们可以通过限制TCP包的连接，UDP、ICMP等数据包也一样。通过管理机Web管理界面远程设置，这种方法相对前两种较为简单。
　　2 入侵包抑制
　　入侵包抑制主要针对那些没超出外出连接数限制最大值的数据包，按照数据控制规则，这也数据包符合放行條件，但是它们却有可能是有害的恶意入侵包，有些入侵方法使用很少的连接便可以发起入侵，如权限提升入侵等，之所以这样是因为这些数据在通过防火墙时只是进行了连接数的限制，并没有检测数据包的内容，无法辨别数据包是否有害。
　　在Honeywall中使用入侵检测snort-inline工具作为入侵包抑制器，利用特征检测来检测现有的已知的恶意数据包。从系统出境的数据一般都要通过snort-inline的检测无异常后才能放行，当然这也不能完全杜绝恶意数据包通过，因为不包含在snort-inline规则库里的任何数据包依然是能够通过的。值得一提的是，Snort_inline并不知道如何充当路由器的功能，必需借助于和IPTables的交互才能完成，通过IPTables的QUEUE选项把数据包发送给Snort_inline进行检测。入侵包抑制策略能最大限度的提高校园网络的安全性，降低部署蜜网系统的安全风险，当然也并不能够完全消除，某些特殊情况还是需要人工干预。整个数据控制策略如下图所示。
　　参考文献
　　[1]刘松.基于蜜网技术的校园网络安全防御研究[J].科技与创新，2016，（16）：92-93.
　　[2]王龙江.基于蜜网技术的校园网安全系统的研究与实现[D].安徽大学，2011.
　　（作者单位：宿州职业技术学院）