防火墻與入侵檢測系統聯動的網絡安全體系分析

摘要：該文在對防火墻和入侵檢測技術原理進行探討的基礎上，重點分析了防火墻與入侵檢測系統聯動的內在原因、功能特點和實現方式。分析結果表明，二者聯動所構筑的網絡安全體系既提升了防火墻的機動性和實時反應能力，又增強了入侵檢測系統的阻斷功能，從而全面提高網絡系統的整體安全防護能力。

關鍵詞：防火墻；入侵檢測系統；聯動；網絡安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)34-1879-02

Analysis of Network Security System of Linkage between Firewall and Intrusion Detection System

LI An-ning

(Party School of Zhumadian， Zhumadian 463000， China)

Abstract: Based on the discussion on firewall and intrusion detection technology principles， this paper analysizes mainly the inner causes， the characteristics of function and the ways of realization of linkage between firewall and Intrusion Detection System. The analysis results indicate that the network security system of linkage between firewall and IDS is to enhance the mobility and real-time response capability of firewall， also to strengthen blocking function of IDS， so as to comprehensively increase security ability of overall network security.

Key words: FireWall; Intrusion Detection System; Linkage; Network Security

1 引言

隨著網絡技術和應用的快速發展，網絡安全問題日益成為人們關注的焦點。近年來，針對網絡攻擊、網絡入侵等安全問題產生了防火墻、入侵檢測等多種網絡安全技術。然而，網絡安全是一個系統工程，一種安全產品并不能完全確保網絡的安全，只有將多種安全產品聯合起來，互相彌補自身的不足，才能最大程度地保障網絡運行的安全。因此，以被動防御為主的防火墻技術與以主動防護為主的入侵檢測技術之間的聯動，已成為當前構筑積極、動態網絡安全體系的必然要求。

2 防火墻技術

防火墻（FireWall）是建立在現代通信網絡技術和信息安全技術基礎上的一種被動式防御的訪問控制技術，是設置在不同網絡（如可信任的內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合，它能根據網絡的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。通常，防火墻被設計成通過預先設定好的規則對所有出入報文進行控制，從而達到邏輯上隔離內外網的作用，以此來保護內部網免遭外部不信任網絡的侵害，實現對網絡的安全保護。

目前，防火墻已經成為網絡安全的第一道屏障，其在網絡中主要有以下幾種作用：一是通過過濾不安全的服務，提高網絡安全和減少子網中主機的風險。例如，防火墻可以禁止NIS、NFS服務通過，同時也可以拒絕源路由和ICMP重定向封包；二是提供對系統的訪問控制，允許從外部訪問某些主機，同時也可以禁止訪問另外的主機；三是對內部網實現集中的安全管理，如在防火墻定義的安全規則可以運行于整個內部網絡系統，而無需在內部網每臺機器上分別設立安全策略；四是阻止攻擊者獲取攻擊網絡系統的有用信息，增強網絡的保密性，如Figer、DNS等；五是記錄和統計通過防火墻的網絡通訊，提供關于網絡使用的統計數據，以此來判斷可能的攻擊和探測；六是提供制定和執行網絡安全策略的手段。

現有的防火墻主要有包過濾型、代理服務器型、復合型和其他類型防火墻。包過濾型防火墻通常被安裝在路由器上，而且大多數商用路由器都提供了包過濾的功能；代理服務器型防火墻通常由服務器端程序和客戶端程序兩部分構成；復合型防火墻將包過濾和代理服務兩種方法結合起來形成新的防火墻，由堡壘主機提供代理服務；各類防火墻路由器和各種主機按其配置和功能可組成各種類型的防火墻，比如雙宿主主機防火墻（由堡壘主機充當網關，并在其上運行防火墻軟件，內外網之間的通信必須經過堡壘主機）、主機過濾防火墻（一個包過濾路由器與外部網相連，同時一個堡壘主機被安裝在內部網上，使堡壘主機成為外部網所能到達的唯一節點）和加密路由器（對通過路由器的信息流進行加密和壓縮，然后通過外部網絡傳輸到目的端進行解壓縮和解密）。

防火墻將內部可信區域與外部危險區域有效地進行隔離，將網絡的安全策略制定和信息流動集中管理控制，為網絡邊界提供保護，確保了內部網絡的安全，從而大大減輕了網絡和系統被用于非法和惡意目的的風險。

3 入侵檢測系統

入侵檢測（Intrusion Detection）不同于防火墻，它采用的是一種動態的安全防護技術，不對通信流量做任何限制，通過監視網絡資源（網絡數據包、系統日志、文件和用戶活動的狀態行為），主動尋找、分析入侵行為的跡象，一旦發現入侵，立即進行日志記錄、告警和安全控制操作，以保證系統資源的機密性、完整性和可用性。

作為網絡安全防護體系的重要組成部分，入侵檢測系統（Intrusion Detection System，IDS）提供了對內部攻擊、外部攻擊和誤操作的實時保護，其主要通過以下幾種活動來完成任務：監視分析用戶及系統活動；對系統配置和弱點進行審計；識別與已知攻擊模式匹配的活動；對異?；顒幽Ｊ竭M行統計分析；評估重要系統和數據文件的完整性；對操作系統進行審計跟蹤管理，并識別用戶違反安全策略的行為。

一般地，IDS由數據提取、數據分析和結果處理三個功能模塊組成，數據提取模塊為系統提供數據，數據的來源可以是主機上的日志信息、變動信息，也可以是網絡上的數據信息，甚至可以是流量變化等等；數據分析模塊對數據進行深入分析，發現攻擊并根據分析的結果產生事件，傳遞給結果處理模塊；結果處理模塊的作用在于IDS發現入侵后根據預定的策略及時地作出響應，包括切斷網絡連接、記錄事件和報警等。因此，IDS作為一種積極主動的安全防護技術，有以下幾個基本功能：從系統的不同環節收集信息；分析該信息，試圖尋找入侵活動的特征；自動對檢測到的行為作出響應；紀錄并報告檢測過程結果。

IDS從本質上可以分成兩類：網絡入侵檢測系統（NIDS）和主機入侵檢測系統（HIDS）。NIDS放置在網絡基礎設施的關鍵區域，監控流向其它主機的流量。通過NIDS，入侵分析員可以對網絡內部及其周圍發生的情況有全方位的認識，對特殊主機或攻擊者的監控力度可以相對容易地加強或是減弱；HIDS在操作系統、應用程序或內核層次上對攻擊進行監控。HIDS有權檢查日志、錯誤消息、服務和應用程序、以及受監控主機的任何可用資源。

IDS的應用，使系統在入侵攻擊發生危害之前檢測到入侵攻擊，并利用報警與防護系統驅逐入侵攻擊；在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，能收集入侵攻擊的相關信息，作為系統的防范知識，添加入知識庫內，以增強系統的防范能力。

4 防火墻與入侵檢測系統聯動的網絡安全體系

隨著新的網絡攻擊方式不斷出現，防火墻也日益顯現出自身的局限性，比如，不能防范來自內部的入侵，無法檢測加密后的Web數據流和應用程序，不能完全防止傳送已感染病毒的軟件和文件等等。更為重要的是，防火墻不識別網絡流量，只要是經過合法通道的網絡攻擊，防火墻根本無能為力。例如很多來自ACTIVEX和JAVA APPLET的惡意代碼，通過合法的WEB訪問渠道，對系統形成威脅。雖然現在的開發商對防火墻進行了許多功能擴展，甚至有些還具備了初步的入侵檢測功能，但防火墻作為網關，極易成為網絡的瓶頸，并不宜做太多的擴展。

同樣，IDS也有自己的弱點，比如，IDS主要以審計追蹤為主，缺乏訪問控制能力和主動有效的響應能力。雖然目前的一些主動響應IDS能夠通過發送TCP的Reset包的方式自動阻斷危險的連接，但是對基于諸如ICMP等協議的攻擊包卻無法阻斷，這種方式的可靠性差，很難滿足實際的安全需要。

因此，防火墻和IDS的功能特點和局限性決定了它們彼此非常需要對方，且不能相互取代，原因在于防火墻側重于控制，而IDS側重于主動發現入侵信號。例如，IDS檢測到一種攻擊行為時，如不能及時有效地阻斷或者過濾，這種攻擊行為仍將對網絡應用造成損害；沒有IDS，一些攻擊會利用防火墻合法的通道進入網絡。所以IDS應該通過與防火墻的聯動，動態地改變防火墻的策略，通過防火墻從源頭上徹底切斷入侵行為。

防火墻和IDS之間十分合適建立緊密的聯動關系，以將兩者的功能特點充分發揮出來，相互彌補不足、提供安全保護。從網絡安全整體防御的角度出發，這種聯動是十分必要的，主要原因如下：（1）IDS可以從防火墻處得到被防火墻屏蔽掉的外網信息，例如通過對防火墻的日志進行分析可以檢測出已被防火墻過濾掉的來自外部網絡的攻擊；（2）IDS通過復用防火墻截取的報文信息，從而省去了取包模塊、配置模塊，既節約了資源，又實現了集中管理；（3）IDS需要從防火墻處收集信息以提高性能。例如，IDS在網絡負載過重的時候，以可疑地址列表信息為依據有選擇性地拋棄一些報文不予處理；（4）防火墻需要根據入侵情況動態調整控制規則以便更好地實現內外網的隔離。

目前，實現防火墻和IDS之間的聯動有兩種方式：一種是實現緊密結合，把IDS嵌入到防火墻中，即IDS的數據來源不再來源于抓包，而是流經防火墻的數據流。所有通過的數據包不僅要接受防火墻檢測規則的驗證，還需要經過IDS的檢測，判斷是否具有攻擊性，以達到真正的實時阻斷，這實際上是把兩個產品合成一體。由于IDS本身也是一個很龐大的系統，無論從實施難度、合成后的性能等方面都會受到很大影響，因此這種方式仍處于理論研究階段。第二種方式是通過開放接口來實現聯動，即防火墻或者IDS均開放一個接口供對方調用，按照一定的協議進行通信、報警和傳輸。目前常見的形式是安全廠家提供IDS的開放接口，供各個防火墻廠商使用，以實現互動。這種方式比較靈活，不影響防火墻和IDS的性能，系統部署方案如圖1所示。

如圖1所示，防火墻中內嵌IDS Agent，接收來自IDS的控制消息，發現入侵后迅速啟動聯動機制，增加防火墻的過濾規則，并通知防火墻對攻擊源進行封堵，二者相互彌補，達到整體安全控制的效果。這種互補體現在靜態和動態兩個層面上，靜態層面是指IDS可以通過了解防火墻的策略，對網絡上的安全事件進行更為有效的分析，從而實現準確報警，降低系統誤警率；動態層面是指當IDS發現攻擊行為時，可以通知防火墻對已經建立的連接進行有效的阻斷，同時通知防火墻修改策略，防止潛在的進一步攻擊的可能性。

通過防火墻與IDS的聯動，可以將IDS的監控、管理功能和防火墻的防御、信息過濾功能有機地結合起來，使二者的功能得到最大程度的發揮，彌補它們自身的不足，一方面提升了防火墻的機動性和實時反應能力，另一方面又增強了IDS的阻斷功能，使網絡安全防護體系由靜態到動態，由平面到立體。

5 結束語

網絡安全是一個動態的系統工程，安全產品的融合、協同、集中管理是網絡安全整體化、立體化的迫切要求和必然趨勢。聯動是今后網絡安全技術的一個發展方向，各種安全技術之間的聯動能夠彌補各自的缺陷，實現優勢互補，從而構筑一個全方位的安全防御體系。防火墻與入侵檢測系統的聯動，既可以對網絡進行動靜結合的保護，對網絡行為進行細顆粒的檢查，又可以對網絡內外兩個部分進行可靠的管理，從而全面提升網絡系統的整體安全防護能力。

參考文獻：

[1] 黃允聰.防火墻的選型、配置、安裝和維護[M].北京:清華大學出版社，2004.

[2] 姚蘭，王新梅.防火墻與入侵檢測系統的聯動分析[J].信息安全與通信保密，2002(6).

[3] 戴新宇，陳波.防火墻和入侵檢測系統聯動[J].河北理工學院學報，2005(3).