基于Snort的入侵檢測系統與防火墻聯動機制研究

0 引言

隨著當今世界計算機普及應用程度的越來越高，互聯網也得到了非常廣泛的使用，而且對人們的工作生活方式產生了深遠的影響。在方便我們日常工作、學習和生活的同時，隨之也出現了一些網絡安全情況。網絡信息的流失和網絡入侵問題時有發生，甚至很多軍工單位和政府部門的專業網站也經常會遭遇到網絡攻擊。

1 Snort入侵檢測系統與防火墻聯動防御機制的研究

近年來，在網絡安全防護上逐漸探索應用了防火墻技術，對網絡設備的安全訪問進行科學有效地防御控制。但是由于目前計算機應用的日益普及，很多網絡攻擊的手段都具有很大的隱蔽性和欺騙性，而且很多計算機軟件和網絡信息系統通常都帶有一定的安全隱患問題，單純依賴以往的防火墻技術，對網絡運行系統進行被動的靜態防護，已經越來越難以適應計算機網絡和信息技術發展的客觀實際，越來越難以滿足客戶的實際需求，更何況防火墻技術也難以及時發現網絡系統內部所遭遇的各種入侵問題，無法實現網絡系統的及時精確檢測。而入侵檢測系統，剛好能夠彌補這一不足，對可能會發生的網絡入侵行為能及時檢測預警，實現在防火墻技術身后的再次加固網絡安全防線，但是這種安全防御系統存在著一定的失誤或者漏報的情況，對一些網絡攻擊的行為也無法實時地反饋，所以在實際應用中也制約了網絡安全防御性能。

因此，在實際網絡安全防護中，將Snort入侵檢測系統同防火墻技術實現聯動預警防護，便成為了一種科學有效的網絡入侵防御手段。筆者試就Snort入侵檢測系統與防火墻聯動防御機制的實現和創新，談些粗淺的認識。

2 Snort入侵檢測系統和防火墻技術的實現

2.1 Snort入侵檢測系統

Snort入侵檢測系統本身屬于輕量級檢測工具，規則語言不是特別復雜，并且在網絡安全預警以及圖表形式的反應界面中存在著一定的缺點，不過這種檢測系統的整體布局非常清楚，而且由于規則語言不復雜，應用起來也非常簡便易行，并且具有良好的插件支撐作用，如果用戶需要增加檢測要求或者需要對一些數據信息進行處理，利用起來也非常便捷，利于更新規則數據。因此，通常來說，Snort入侵檢測系統檢測發現網絡入侵具有便捷快速高效的特征，而且對于規則語言數據更新也非常及時準確。

2.2 防火墻技術

傳統的概念表述上，防火墻通常是對火災事故蔓延情況的阻止，主要承擔的是防護隔離墻的作用。但是應用到計算機運行系統中，防火墻技術一般安裝設計到計算機網絡系統，通過一些軟硬件設施對內、外部的安全設備進行防護，確保網絡信息系統運行安全。所以，防火墻技術通常是統稱的安全防御設施，基于對網絡訪問行為進行防范、檢測，并且對相應的數據信息進行改變，以達到網絡信息運行的安全管理，防止非法用戶對網絡運行設備入侵或者篡改相關信息數據。

雖然防火墻技術對于防范網絡內、外部安全，加強非法訪問行為控制，具有良好作用，但是也存在著一定缺陷，比如，對于網絡外來攻擊的防范非常及時，但是卻無法防御網絡內部入侵行為，防火墻技術的規則語言比較粗略，不能充分地解析出足夠的協議細節，而且通常事先已經設計好，仍然處于靜態的防范，一旦遇到反常的網絡攻擊，這種防火墻技術無法及時檢測反饋。

3 Snort入侵檢測系統與防火墻聯動機制的創新分析

基于Snort的入侵檢測系統融合了入侵檢測和防火墻這兩種方法的共同優勢，通常是運用串聯的方法，將其與網絡進行連通，有效地防范監聽或者監視入侵網絡系統造成信息安全問題或者漏報情況，實現網絡安全防范的有機聯動。

3.1 Snort入侵檢測系統與防火墻聯動機制

（1）Snort入侵系統工作模式

Snort入侵檢測系統與防火墻聯動形式，通常包括系統嵌入和開放接口兩種形式。系統嵌入形式的網絡安全防范聯動，主要是在計算機網絡系統中事先安裝好入侵檢測和防火墻這兩個模塊軟件，對網絡可能會遭到的攻擊及時進行檢測，并且對非法訪問設定權限予以控制，而且在網絡安全防護上呈現交互使用的態勢。開放接口的聯動方式，通常是將入侵檢測和防火墻這兩個模塊獨立設置，使其能夠各自獨立地實現網絡系統的安全防護。另外也配置了一定的數據接口源，確保網絡信息數據能夠實現信息對稱和資源共享。

（2）Snort入侵檢測系統的運行環境

即Snort的工作模式有這樣三種，一是嗅探器，二是數據包記錄器，三是網絡入侵檢測系統，其中嗅探器主要是從網絡上讀取數據包，并在終端設備上顯示出來；而數據包記錄器的工作模式，主要是對讀取的數據進行記錄與保存；網絡入侵檢測系統的工作模則較為復雜，也是可以進行配置的。Snort的工作模式，需要平臺的支持，即其運行的環境，即可以在windows上應用，也可以在Linux環境中運行。

3.2 系統嵌入模式

通常來說，這種系統嵌入的基于Snort入侵檢測系統與防火墻聯動的方法，其基本宗旨就是利用防火墻，為入侵檢測結果的分析獲取非法用戶訪問系統進行科學有效控制的應對措施，這樣就使得Snort入侵檢測系統和防火墻技術有機融合，組成一個共同體，形成對未來安全的有效防御。這種聯動形式具有明顯的優勢：

（1）使得安全防范承載比較平均。如果網絡安全防御使用的是一種入侵檢測技術，異常數據包的處置數量相對就會比較多，這樣就會增加很多資源消耗。但是如果應用了這種嵌入式的聯動安全防御系統，就能夠通過訪問受限軟件系統強化異常數據信息的定期處置，會大大地降低檢測系統的引擎工作量，提高安全防范承載均衡化效果。

（2）可以形成良好的防御功能。比如，這種嵌入式的聯動防范系統，通過入侵檢測和防火墻的共同作用，在網絡尚未遭受攻擊的時候就能夠及時檢測和阻隔，實現攻擊檢測和訪問控制的有機統一，增強安全防御的性能。

但是這種嵌入式聯動方式由于無法及時分析檢測結果，通常會降低防火墻的安全防范效果。

3.3 開放接口模式

這種模式主要是利用相互分離使用的兩個子系統，實現Snort入侵檢測系統與防火墻的交叉應用，確保信息數據的充分共享，增強網絡安全的防范性能。比如，可以采用直接聯動的方法，利用一個共同的通信接口，不用借助輔助軟件，實現 Snort入侵檢測系統和防火墻的聯動防御功能，這種聯動方式反應非常靈敏，安全性能非常好，對于實現Snort入侵檢測系統與防火墻的創新聯動非常有效，應當作為網絡安全防御的一個重要方法。

4 結束語

目前很多用戶為了加強網絡信息系統防護，避免主機系統或者服務器設備出現各種網絡入侵事件，非常廣泛地應用了 Snort入侵檢測系統或者防火墻技術，有的還下載安裝了各種防病毒的軟件系統，對加強網絡信息的安全防御體系建設發揮了一定作用。但是由于Snort入侵檢測系統和防火墻技術各有優勢，也各有不足，特別是在當今網絡安全攻擊事故頻發，以及各種攻擊手段日益隱蔽和復雜的現實狀況下，給網絡安全防范帶來了很大的困難。本文對Snort入侵檢測系統與防火墻技術聯動運行進行了詳細的分析闡述，試圖探索了一種創新的網絡安全防護手段，對加強計算機網絡系統安全防范，實現安全運行的檢測防御雙重功能，提供了一定的參考借鑒。