唐曉東++唐偉

摘要：雖然防火墻和入侵檢測技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中占著舉足輕重的地位，但由于它們自身存在的一些不足，導(dǎo)致其無法滿足網(wǎng)絡(luò)安全整體化的需求。通過分析比較兩者的優(yōu)缺點，提出將入侵檢測技術(shù)與防火墻緊密結(jié)合，二者之間進行聯(lián)動，從而實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的即時保護。

關(guān)鍵詞：防火墻；入侵檢測；聯(lián)動；網(wǎng)絡(luò)安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）33-0023-02

Based on the Network Security for Research of Linkage between the Intrusion Detection Technology and Firewall

TANG Xiao-dong1， TANG Wei2

（1.Unit 95007 of PLA， Guangzhou 510070， China； 2.China Southern TIANHE Information Technology Company， Guangzhou 510070， China）

Abstract： Although the firewall and intrusion detection technology occupy a pivotal position in the field of network security， but because of their some defects can not satisfied needs of network security integration. Through comparative analysis the firewall and intrusion detection technology advantages and disadvantage， combined with firewall and intrusion detection technology and propose linkage between the two to realize the real-time protection of network system.

Key words： Firewall； intrusion detection； linkage； network security

隨著互聯(lián)網(wǎng)的深入發(fā)展，網(wǎng)絡(luò)攻擊方式層出不窮，令人防不勝防；而防火墻和入侵檢測作為防護網(wǎng)絡(luò)安全的兩種重要技術(shù)手段，雖被廣泛采用，但由于自身缺陷，使得兩者的防范內(nèi)容不盡相同。比如防火墻只能防范來自外部的攻擊而無法解決來自網(wǎng)絡(luò)內(nèi)部的攻擊；入侵檢測只能識別攻擊發(fā)出報警卻不能自動產(chǎn)生適當?shù)捻憫?yīng)去阻止攻擊等等，為了滿足網(wǎng)絡(luò)安全整體化的要求，提出將防火墻和入侵檢測這兩種具有較強互補性的技術(shù)整合在一起進行聯(lián)動，揚長避短，充分發(fā)揮各自的優(yōu)勢，提高網(wǎng)絡(luò)安全防護水平，最大程度的保障網(wǎng)絡(luò)及信息的安全。

1 防火墻技術(shù)

防火墻[1]指的是一個由軟件和硬件組合而成的高級訪問控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間執(zhí)行訪問控制策略的一種或一系列部件的組合。防火墻位于網(wǎng)絡(luò)安全防護體系的最外一層，通常會被放置在外網(wǎng)與內(nèi)網(wǎng)之間的出入口處。作為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，它為實現(xiàn)網(wǎng)絡(luò)安全起到了把關(guān)的作用。防火墻技術(shù)實際上是一種隔離技術(shù)，通過制訂安全策略（允許、拒絕、監(jiān)視、記錄），將內(nèi)部信任區(qū)域與外部不安全區(qū)域（如因特網(wǎng)）或內(nèi)部網(wǎng)不同可信區(qū)域有效隔離，最大限度的對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全防護。雖然防火墻能在網(wǎng)關(guān)級進行保護，但只提供靜態(tài)防御，防御規(guī)則事先就已經(jīng)設(shè)置完畢，一旦規(guī)則設(shè)置有誤或者安全形勢發(fā)生變化，防火墻就失去了即時應(yīng)變的能力，因此它是一種被動的安全防護技術(shù)，存在一定的局限性，主要表現(xiàn)為：

1）防火墻默認內(nèi)部網(wǎng)絡(luò)都是可信的，如果內(nèi)部網(wǎng)絡(luò)中存在后門，那些不經(jīng)過防火墻的攻擊數(shù)據(jù)包進入到內(nèi)網(wǎng)時防火墻無法防范和響應(yīng)。

2）防火墻的訪問控制策略需事先設(shè)置，不能實時調(diào)整策略規(guī)則來阻止正在進行的攻擊，缺少應(yīng)變性無法主動防范新的安全威脅。

3）防火墻既不能防止受病毒感染的文件或程序的傳輸也不能防止基于某些標準網(wǎng)絡(luò)協(xié)議的攻擊。

2入侵檢測技術(shù)

入侵檢測[2]是對計算機網(wǎng)絡(luò)系統(tǒng)中入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、日志數(shù)據(jù)以及網(wǎng)絡(luò)系統(tǒng)中若干關(guān)鍵點信息，檢查網(wǎng)絡(luò)系統(tǒng)中是否存在入侵或違反規(guī)則的行為并及時做出響應(yīng)，例如斷網(wǎng)、報警、記錄事件信息等。入侵檢測系統(tǒng)簡稱IDS（Intrusion Detective System）由進行入侵檢測的軟件和硬件所構(gòu)成。與防火墻的被動防御不同，入侵檢測采取的是一種積極主動地安全防護手段，能在不影響網(wǎng)絡(luò)性能的前提下通過旁路監(jiān)聽方式不間斷地收取網(wǎng)絡(luò)數(shù)據(jù)，主動尋找入侵信號，對系統(tǒng)中的異?，F(xiàn)象或未授權(quán)的訪問、活動等事件進行審計、追蹤、識別和檢測。入侵檢測不僅能察覺到來自系統(tǒng)外部的入侵，同時也能發(fā)現(xiàn)系統(tǒng)內(nèi)部用戶未經(jīng)授權(quán)的活動，主動保護自己免受網(wǎng)絡(luò)攻擊，因此被認為是防火墻之后的第二道安全閘門。盡管如此，入侵檢測技術(shù)還是存在一些局限性：

1）由于入侵檢測通常依賴特征匹配，每截獲一個數(shù)據(jù)包都要分析和匹配，檢測其中的數(shù)據(jù)是否具備攻擊特征，因此會耗費大量的時間和系統(tǒng)資源，使得入侵檢測的檢測速度跟不上網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度，通常在數(shù)據(jù)包巨多的流量面前它會迅速失效。

2）入侵檢測的漏報率和誤報率都比較高，產(chǎn)生漏報的一大原因是攻擊特征數(shù)據(jù)庫不能及時更新；另外一些舊式的攻擊對已更新的操作系統(tǒng)不起作用，如果模式庫中還存有這些攻擊特征，就會導(dǎo)致入侵檢測頻繁報警，這些無效報警很大程度上無疑加大了入侵檢測的誤報率。

3）入侵檢測往往重點都放在對網(wǎng)絡(luò)中入侵攻擊行為的識別上，所以即使檢測到攻擊也很難采取有效的保護措施去阻止攻擊。

3防火墻與入侵檢測的聯(lián)動

通過以上的分析對比可以看出兩者在網(wǎng)絡(luò)安全防護方面都存在一定的缺陷，防火墻側(cè)重于提供靜態(tài)訪問控制、入侵檢測側(cè)重于主動發(fā)現(xiàn)入侵。如果把這兩種技術(shù)結(jié)合在一起，集中二者的長處，形成互補，建立緊密的聯(lián)動關(guān)系，相互提供保護屏障，既可以提升防火墻的機動性也能增強入侵檢測系統(tǒng)的阻斷能力。

所謂聯(lián)動[3]是指通過一種組合的方式，將不同的安全技術(shù)進行整合，由其他安全技術(shù)彌補某一安全技術(shù)自身功能和性能的缺陷，以適應(yīng)網(wǎng)絡(luò)安全立體化、整體化的要求。本文提出的防火墻與入侵檢測系統(tǒng)聯(lián)動的方式是指將防火墻和入侵檢測劃分為兩個獨立的子系統(tǒng)，單獨完成各自的任務(wù)，兩者之間通過相應(yīng)的通信接口和協(xié)議進行信息共享和互動，實現(xiàn)一體化的主動防御；同時為了防止交互信息被黑客竊取和攻擊，相互間的通信需要進行認證和加密。防火墻與入侵檢測系統(tǒng)之間的聯(lián)動協(xié)作流程如圖1所示。

聯(lián)動實現(xiàn)過程如下：

1） 首先防火墻安置于Internet與內(nèi)部網(wǎng)絡(luò)的連接處，這樣當外網(wǎng)中的數(shù)據(jù)包要進入內(nèi)網(wǎng)時就需經(jīng)過它預(yù)先設(shè)定的訪問規(guī)則控制鏈表，通過篩選過濾數(shù)據(jù)包可以阻擋一部分攻擊。

2） 經(jīng)過防火墻篩選過濾后的數(shù)據(jù)包以及繞過防火墻沒有經(jīng)過篩選的數(shù)據(jù)包都進入到內(nèi)網(wǎng)中，這時部署在內(nèi)網(wǎng)中的入侵檢測系統(tǒng)不間斷的提取這些數(shù)據(jù)包依據(jù)自身的規(guī)則庫對它們進行分析比對，一旦發(fā)現(xiàn)入侵企圖立即報警并將報警信息[4]（包括事件入侵類型，源地址，目的地址，源端口，目的端口及阻斷時間等）轉(zhuǎn)換成統(tǒng)一的報警格式，通過加密、認證后發(fā)送給防火墻。

3） 防火墻收到入侵檢測的通知后立刻做出針對性的改進，動態(tài)修改相應(yīng)的安全策略完善其訪問控制規(guī)則，從而避免該攻擊行為的再次發(fā)生。

4） 入侵檢測系統(tǒng)每隔一段時間自動升級入侵特征庫防止當新的攻擊類型出現(xiàn)時，不能及時做出響應(yīng)。

4 結(jié)束語

本文根據(jù)防火墻和入侵檢測的特點，提出建立防火墻與入侵檢測系統(tǒng)的聯(lián)動，這是目前網(wǎng)絡(luò)安全產(chǎn)品的發(fā)展趨勢；但由于防火墻和入侵檢測本身都是比較復(fù)雜的系統(tǒng)，若將兩者結(jié)合勢必要對各自的硬件進行升級同時聯(lián)動中多了認證和加密，如果在數(shù)據(jù)傳輸中被假冒和竊聽則防火墻和入侵檢測的性能都會受到影響，今后還需在這方面展開研究，力爭創(chuàng)造一個更加智能、穩(wěn)固的安全防護系統(tǒng)。

參考文獻：

[1] 曲朝陽，崔洪杰，王敬東，等.防火墻與入侵檢測系統(tǒng)聯(lián)動的研究與設(shè)計[J].微型機與應(yīng)用，2012（5）：48-50.

[2] 江保利.防火墻與入侵檢測聯(lián)動防御系統(tǒng)研究[J].信息技術(shù)，2013（10）：28-29.

[3] 桂春梅，鐘求喜，王懷民.基于UML的防火墻和入侵檢測聯(lián)動模型的研究[J].計算機工程與科學(xué)，2004，26（11）：25-26.

[4] 瞿江.基于SNMP的校園Web網(wǎng)絡(luò)安全的研究[J].計算機安全，2009（7）：85-87.