防火墻與入侵檢測聯動在網絡中的應用研究

朱俊

湖南常德職業技術學院現代教育技術中心 湖南 415000

0 前言

防火墻位于內部網絡與外部網絡之間，通過預先設置好的安全策略，對進入內部網絡的數據包進行逐個排查過濾，濾掉入侵攻擊行為。而入侵檢測系統則設置在內部網絡的邊界上，時刻監視內部網絡狀態，一旦發現網絡中有非法操作或攻擊行為，及時的發送信息給防火墻，防火墻接受安全報警之后，立即采取阻斷接應措施，阻止當前的攻擊，并根據報警的相關內容及時調整安全策略，以防類似入侵事件再一次發生，這樣保護了內部網絡。

綜合上述討論，防火墻系統與入侵檢測系統各有優勢和不足之處。防火墻是一種被動防御手段，只能過濾入侵攻擊行為，由于本身的缺陷，有些入侵行為繞過防火墻系統進入內部網絡，此時防火墻將失去作用，同時，防火墻無法發現黑客的攻擊行為。因此，僅僅依靠防火墻系統來維護網絡信息安全是遠遠不夠的；而入侵檢測系統是一種動態網絡安全防御措施，假設把內部網絡看作是一個小區，那么入侵檢測系統就像小區內的保安，時刻對網絡進行監測而不影響網絡性能。因此，只有將防火墻系統與入侵檢測系統兩者相結合，協同工作，相互補充，充分發揮各自的優勢，彌補各自的不足，才能為網絡提供充實、可靠的安全保障。見，一般在Internet與Intranet之間放入一個中間介質，這個中間介質在內部網絡、外部網絡之間形成一個通道，內部網絡與外部網絡交換的所有信息都要經過這個通道，在通道內過濾掉外部網絡的非法用戶、黑客的入侵攻擊行為，同時也可以阻止內部網絡用戶非法向外部網絡傳遞信息，這個中間介質就叫做“防火墻”(如圖1)。

圖1 防火墻系統

1 防火墻系統

一個內部網絡連接上了Internet，用戶就可以同外部網絡通信，外部網絡也可以訪問內部網絡并與之交互。為安全起

防火墻是實現網絡信息安全的基礎設施，是保護網絡信息安全最重要的手段之一，也是目前世界范圍內用得最多的網絡安全產品之一。在構建安全網絡環境結構中，防火墻作為第一道安全防線，它是由軟件或軟硬件結合的一種安全措施的總稱，防火墻通過對兩個網絡之間的通道實施強制統一的安全策略，監控進出網絡之間的通信，從而達到保護可信網絡安全的目的。防火墻具有五個基本功能：①過濾掉黑客的攻擊和非法用戶；②控制對特殊站點的訪問、③防火墻可以強化網絡安全策略、④防火墻防止內部網絡信息的外泄、⑤防火墻本身具有較強地抗攻擊能力。

根據防火墻采用的技術不同，防火墻可分為：①包過濾防火墻：通過攔截數據包，把入侵攻擊過濾掉；②代理服務器防火墻：利用代理服務器主機，將外部網絡與內部網絡隔開；③監測型防火墻：是一種動態包過濾，可以動態地根據請求自動生成或刪除安全過濾規則；④復合型防火墻：將幾種防火墻技術結合起來使用，如在代理服務器防火墻上增加包過濾功能構成復合型防火墻系統。

防火墻系統也存在缺陷：①防火墻不能防止來自網絡內部的攻擊或授權訪問者的攻擊；②內部網絡存在后門時防火墻將失效；③入侵攻擊者隨著數據包不流經防火墻而直接進入內部網絡，防火墻無法阻止入侵攻擊者的攻擊；④防火墻不能防御數據驅動式的入侵；⑤防火墻無法修正與補充安全策略上存在的漏洞，同時也無法事先預見安全策略在設置上的漏洞；⑥防火墻對于未知的病毒攻擊缺乏靈活性，一旦被攻擊，就很難做出響應，從而導致防火墻的失效。

2 入侵檢測系統

入侵檢測系統是一個從計算機網絡信息、服務器、計算機日志中的若干關鍵點收集信息，并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的一種安全技術。入侵檢測系統以旁路監聽的方式，不間斷地從網絡中的若干關鍵點收集信息，并分析這些信息，看這些信息中是否有違反安全策略的行為、遭受到內部攻擊、外部攻擊和誤操作的跡象，從而提供對內部網絡的安全保護。所以說入侵檢測系統是網絡安全的第二道防線，是防火墻的合理補充。

入侵檢測系統的基本模型可分為四個組件：即事件產生器、事件分析器、響應單元、事件數據庫。事件產生器的目的是從整個計算機環境、計算機網絡中獲得事件，并向事件分析器提供此事件；事件分析器分析由事件產生器發送來的數據，并產生分析結果；響應單元則是對分析結果做出報警、阻截等反應的功能單元，即它可以做出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警；事件數據庫是存放各種中間數據和最終數據的地方，它可以是復雜的數據庫，也可以是簡單的文本文件。在這個模型中，前三者是以程序的形式出現，最后者則往往是文件或數據庫，如圖2。

圖2 入侵檢測通用模型

入侵檢測系統按照其工作原理主要分為三種類型：基于主機的入侵檢測系統、基于網絡的入侵檢測系統和分布式入侵檢測系統。基于主機的入侵檢測系統的數據來源于系統日志、審計記錄，與受保護主機的操作系統等有關；基于網絡的入侵檢測系統使用原始的網絡分組數據包作為進行攻擊分析的數據源，一般利用一個網絡適配器來實時監視和分析所有通過網絡進行傳輸的通信。一旦檢測到攻擊，入侵檢測系統應答模塊通過通知、報警以及中斷連接等方式來對攻擊者做出反應；分布式入侵檢測系統，它檢測的數據也是來源于網絡中的數據包，不同的是，它采用分布式檢測、集中管理的方法。它的特點是對數據保護的范圍比較大，但對網絡流量有一定的影響。

常用入侵檢測方法有：①異常入侵檢測：異常入侵檢測是記錄用戶在系統上的活動，并且根據這些記錄創建活動的統計報告。如果報告表明它與正常用戶的使用有明顯的不同，那么檢測系統就會將這樣的活動視為入侵行為；②誤用入侵檢測：誤用入侵檢測是事先對已知的入侵方式進行定義，并且將這些方式寫進系統中，將網絡系統上檢測的攻擊與系統定義的已知入侵方式進行對比，如果兩者相同則為發生了入侵；③完整性入侵檢測：完整性入侵檢測是為系統的每個文件生存一個校驗和，然后定期地將這個校驗和與源文件比較，以確保文件是否被修改過，如果文件被未授權者修改過就會發生報警。

3 防火墻與入侵檢測的聯動

入侵檢測系統發現入侵事件后，自動將入侵事件發送給防火墻，防火墻加載動態規則攔截入侵，稱為防火墻系統與入侵檢測系統聯動。防火墻與入侵檢測雙方事先約定，并設置通信窗口，相互配置好對方正確的IP地址，防火墻系統與入侵檢測系統建立正常聯動之后，在內部網絡與外部網絡交換信息的過程中，入侵檢測系統中的事件生成器，積極主動地從網絡資源或主機系統中收集相關信息，并將這些信息轉換成相應的網絡事件發送到事件分析器，事件分析器通過異常入侵檢測或誤用入侵檢測等多種手段，對事件生成器傳來的網絡事件進行鑒別，如果發現當前鑒別的網絡事件是一個攻擊者，入侵檢測系統通過客戶端程序向防火墻系統服務器端程序發送控制信息，當防火墻系統服務器端程序接受到入侵檢測系統發來的控制信息后，對控制信息的身份進行驗證，當確認此數據是來自入侵檢測系統，就接受處理，否則放棄該數據。對接受處理的數據按照事先約定的規則，動態生成防火墻的過濾規則，對入侵者或攻擊行為實現控制和阻截而實現聯動，如圖3。

圖3 防火墻系統入侵檢測系統

4 結束語

由于防火墻技術與入侵檢測技術有較強的互補性，實現防火墻與入侵檢測的聯動是目前較理想的網絡安全防御措施。隨著黑客技術和手段不斷更新，網絡安全措施也必須要不斷更新，以解決新的安全問題，雖然防火墻與入侵檢測聯動，能在很大程序上提高網絡安全性能，但并不能完全保證網絡的絕對安全。因此，為了實現網絡的安全，建立一個高效、通用、完整的安全體系，需要將各種防火墻技術、入侵檢測技術、網絡安全技術相結合，并配合有效的管理和組織措施，提高網絡管理人員的安全意識，建立相應的法制法規，采取技術與立法等多種手段進行綜合治理，才能真正形成立體的、縱深有序的安全防御體系。

[1] 李明柱,五西平.Windows NT/2000中Intranet的組建和管理教程[M].北京航空航天大學出版社.2002.

[2] 張劍平.Internet 和 Intranet應用[M].中央廣播電視大學出版社.2002.

[3] 周捷.防火墻工作模式的研究及應用.計算機與網絡[J].2008.

[4] 黃小田.關于網絡安全及其技術的深入探討.計算機與網絡[J].2008.