入侵檢測技術與防火墻技術的聯動研究

摘要：通過對防火墻技術以及入侵檢測技術的介紹，分析了各自的不足，提出把入侵檢測技術與防火墻技術相結合來提供一個更加安全的防護措施。通過對它的研究與實現，可以極大提高網絡的防御能力。

關鍵詞：防火墻；入侵檢測；網絡安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)31-0807-02

The Linking Research Between the Intrusion Detection Technology and the Firewall Technology

LI Wei1，HE Xiao-kun2，JIANG Yun2

(1.Taiyuan University of Science and Technology，Taiyuan 030000，China;2.CETC NO.33 Research Institute，Taiyuan 030000，China)

Abstract: Through the introduction of firewall technology and intrusion detection technology， the essay analyses their own deficiencies， and proposes that intrusion detection technology is combined with firewall technology to provide a more secure protective measure. Through its research and implementation， the network's defensive capability can be greatly improved.

Key words: firewall; intrusion detection; network security

1 引言

在全球信息技術高度發達的今天，隨著互聯網的日益普及，網絡對我們來說已經成為工作和生活中必不可少的一部分。但網絡在帶給人們極大便利的同時，也帶來了一個棘手的問題，就是網絡安全問題。

為實現網絡安全，防范網絡攻擊，最常用的對策就是構建防火墻。防火墻是指在內部網和互聯網之間或者其他外部網之間插入一個中介系統，阻斷來自外部通過網絡對內部網的威脅和入侵。雖然防火墻是保護網絡免遭黑客襲擊的有效手段，但是防火墻也有一些缺陷和不足，如防火墻不能防備新的網絡安全問題，它也無法防護內部網絡用戶的攻擊等等，所以僅僅使用防火墻技術來保障網絡安全是遠遠不夠的，必須尋找新的解決方法來彌補防火墻的不足，本文提出將入侵檢測技術與防火墻技術相結合提供一個更加安全的解決方案。

2 現有入侵檢測系統與防火墻的不足

入侵檢測系統(Intrusion Delection System)簡稱IDS可以定義為對計算機和網絡資源上的惡意使用行為進行識別和響應的處理系統。它通過對計算機系統進行監視，提供實時的人侵檢測并采取相應的防護手段。人侵檢測系統的目的在于檢測可能存在的攻擊行為。它不僅能檢測來自外部的入侵行為，還可以檢測內部用戶的未授權行為。是一種積極主動的安全防卸技術。目前就檢測的數據來源IDS可分為基于主機的IDS(Host-Based IDS)和基于網絡的IDS(Network- Based IDS) 基于主機IDS主要根據系統的審計記錄，用戶的位置和命令，CPU和I/O及內存的使用情況文件系統的變化因素等來進行檢測； 基于網絡的IDS系統通過獲取網絡上傳送的IP包來進行安全檢測分析，對IP包的獲取一般采用被動的基于包偵聽的方式，如采用Sniffer或Tcpdump等工具來實現。入侵檢測系統的主要不足如下：

1) 采用偵聽方式的網絡IDS只能實現被動的偵聽即使檢測到攻擊，也很難實施有效的阻止或有效控制。

2) 易受拒絕服務攻擊(Denial Of Server簡稱DOS)，NIDS為了不漏掉攻擊，需要近可能對每一個包進行檢測，而不相防火墻在處理不過來的時候可以丟掉包而不威脅系統安全。這樣當攻擊者向內部網發送大量的NIDS需要處理時，便造成NIDS拒絕服務。

3) 沒有控制外部網對內部網訪問的能力。

防火墻是一種用來加強網絡之間訪問控制的特出網絡互聯設備它對網絡之間傳輸的數據包依照一定的安全策略進行檢查，以決定通信是不是被允許，從而達到保護內部網絡的信息不被外部網絡的非法用戶訪問，防火墻系統本質上是一種訪問控制系統，它存在以下不足：

1) 防火墻規則的制定，更多的是一種粗粒度的檢查，對一些協議細節無法做到完全的解釋。

2) 防火墻提供的是靜態防卸，它的規則都是事先設置的，需要人工來維護對于實施的攻擊或異常的行為不能做出實時反應，不能主動跟蹤入侵者。

3) 防火墻無法自動調整策略來阻斷正在進行的攻擊。

4) 防火墻具有防外不防內的局限性，對于內部用戶的非法行為或已經滲透的攻擊無法檢查和響應。

通過以上分析我們集兩種技術之所長提出了一種將網絡入侵檢測技術與放火墻技術相接合的體系結構。防火墻與入侵檢測是一套完整的網絡安全解決方案的兩個重要部分，二者各有所長，行成互補，但同時部署防火墻和入侵檢測將是一筆較大的資金投入。所以可以采用在防火墻中嵌入入侵檢測功能的方法來將防火墻與入侵檢測系統的功能有機地結合到一起，共同提供一個安全防御系統。

3 結合方法

防火墻與入侵檢測是一套完整的網絡安全解決方案的兩個重要部分，二者各有所長，形成互補，但同時部署防火墻和入侵檢測將是一筆較大的資金投入。所以可以采用在防火墻中嵌入入侵檢測功能的方法來將防火墻與入侵檢測系統的功能有機地結合到一起，共同提供一個安全防御系統。

在國外，軟件形式的產品已經開始成為低端網絡安全市場中非常重要的一部分。針對個人來講，無論防火墻還是入侵檢測都可以采用公開源代碼的軟件。選擇公開源代碼軟件的原因是：公開源軟件不僅是免費的，而且隨著不斷的發展，正變得高效和穩定。如防火墻可以選用Ipfilter，入侵檢測系統可以選用Snort，并將Snort嵌入在Ipfilter中，讓其運行Openbsd上。本文以防火墻選用Ipfilter，入侵檢測系統選用Snort，將二者進行聯動研究：Snort是一種基于誤用檢測模型的網絡入侵檢測系統，對每一種入侵行為，提煉出其特征值，按照Snort的規范寫成檢測規范，形成一個規則數據庫。檢查時，Snort收到的數據包在規則庫中逐一匹配，如果匹配成功，則認為發生入侵。

Netfilter/Iptables是Linux內核(2.4.x)集成的IP信息包過濾系統，由兩個組件Netfilter和Iptables組成。Netfilter組件稱為內核空間，提供了一個對IP包進行操作的框架Iptables組件稱為用戶空間，它是用戶插入，刪除和修改保存在Netfilter組件中的包過濾規則的工具。

網絡環境：圖1是Netfilter/Iptables和Snort聯動應用的網絡環境。內部網絡一以太網，取C類地址 192.168. *.*通過防火墻以IP偽裝方式訪問Internet 。 防火墻硬件是一臺安裝有eth1和eth2兩快網卡的主機，eth1連接外部網絡，eth2連接內部網絡；軟件采用Netfilter/Iptables，提供網絡地址轉換，在內部網絡的每個子網中，有一臺運行的Snort主機。

■

圖1 網絡拓撲結構

安全聯動設計：為了克服防火墻和入侵檢測系統各自的缺點采用NetfilterIptables和Snort聯動的安全方式，聯動具有以下兩種功能：

1) Snort檢測自身的丟包率并與用戶在規則中指定的丟包率做比較，如果大于用戶的設定值，設置遠程NetfilterIptables規則，減少流入Snort所在子網的流量，以避免對Snort的拒絕服務攻擊。

2) Snort檢測到攻擊后，設置遠程Netfilter/Iptables的規則，抵御來自外部網絡的攻擊。對于內部網絡的攻擊，可以在規則選項中指定關鍵字Flexresp來抵御這類攻擊。

通過以上分析我們可以看出NetfilterIptables和Snort聯動應用大大提高了網絡的安全性。

4 結束語

安全是相對的，不安全才是絕對的。防火墻和IDS技術，只是網絡安全環節中一個防御步驟。在網絡內進行防火墻與IDS的設置，并不能保證網絡絕對安全了，但是設置得當的防火墻及入侵檢測技術，至少能使網絡相對安全一些，并且能提供更多的攻擊信息來進行分析。

目前國際上圍繞信息的獲取、使用和控制的競爭愈演愈烈，網絡信息安全在維護國家安全、保持社會穩定、保障經濟發展、保護個人隱私方面起的作用日益突顯，網絡信息安全保障能力已經成為21世紀綜合國力、經濟競爭實力和生存與發展能力的重要標志，同時，網絡信息安全技術也已成為新世紀世界各國爭相攀登的制高點。我們必須為此付出努力。

參考文獻：

[1] 宋勁松.Snort2.0入侵檢測[M].北京:國防工業出版社，2004.

[2] 曹漢平.linux防火墻技術研究[J].武漢理工大學學報(交通科學與工程版)，2002，26(1):120-12.

[3] 朱建剛，劉乃崎.入侵檢測系統:分析方法的設計[J].福建電腦，2004(4):10-12.

[4] 胡文生.帶入侵檢測的防火墻的研究與實現[J].貴州商業高等專科學校學報，2007(4):64-67.