基于IDS與防火墻聯(lián)動(dòng)的網(wǎng)絡(luò)安全模式研究

◆何偉明

（惠州市技師學(xué)院 廣東 516003）

基于IDS與防火墻聯(lián)動(dòng)的網(wǎng)絡(luò)安全模式研究

◆何偉明

（惠州市技師學(xué)院 廣東 516003）

防火墻和IDS是常用的網(wǎng)絡(luò)安全技術(shù)，本文根據(jù)兩者的特點(diǎn)以及存在的局限性提出了防火墻和IDS聯(lián)動(dòng)策略，并對(duì)防火墻和IDS聯(lián)動(dòng)技術(shù)的實(shí)現(xiàn)以及在校園網(wǎng)絡(luò)安全技術(shù)中的應(yīng)用進(jìn)行了探討。

防火墻；入侵檢測(cè)；網(wǎng)絡(luò)安全

0 引言

在信息化時(shí)代環(huán)境下，網(wǎng)絡(luò)技術(shù)已經(jīng)滲透到人們的生產(chǎn)、生活當(dāng)中，改變了人們的思維方式和行為習(xí)慣，成為現(xiàn)代化社會(huì)建設(shè)和發(fā)展不可或缺的重要部分。然而在互聯(lián)網(wǎng)技術(shù)迅速發(fā)展的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也日益突出。校園網(wǎng)站作為一個(gè)開(kāi)放性網(wǎng)站，在學(xué)校教學(xué)、科研、日常管理中發(fā)揮著重要作用。如今隨著網(wǎng)站規(guī)模的不斷擴(kuò)大，網(wǎng)站遭受的危險(xiǎn)攻擊也急劇增加，所以如何加強(qiáng)校園網(wǎng)站安全防范措施，提高網(wǎng)站安全性是目前面臨的重要問(wèn)題。

1 校園網(wǎng)站的安全風(fēng)險(xiǎn)

在學(xué)校的教務(wù)管理中，校園網(wǎng)站對(duì)促進(jìn)學(xué)校教育事業(yè)發(fā)展有著重要意義。如今隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，各學(xué)校的校園網(wǎng)建設(shè)也進(jìn)入了比較成熟的階段，但隨之而來(lái)的安全問(wèn)題也越來(lái)越突出，對(duì)校園網(wǎng)的信息安全帶來(lái)極大的威脅。校園網(wǎng)站面臨的威脅主要包括以下幾個(gè)方面：（1）人為的惡意攻擊，通過(guò)非法手段獲取非法利益，這種惡性行為一部分來(lái)自校園網(wǎng)外部，一部分來(lái)自校園網(wǎng)內(nèi)部學(xué)生出于好奇而進(jìn)行的黑客程序運(yùn)行活動(dòng)，這些都對(duì)校園網(wǎng)站的安全造成巨大的威脅；（2）網(wǎng)絡(luò)病毒對(duì)入侵，隨學(xué)計(jì)算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)病毒的攻擊性和危害性也越來(lái)越大，一旦入侵網(wǎng)站就可能導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓；（3）校園網(wǎng)站系統(tǒng)的安全漏洞越來(lái)越多，安全漏洞是系統(tǒng)遭受惡意攻擊的重要原因，學(xué)校網(wǎng)站服務(wù)器以及其他設(shè)備的多樣化發(fā)展，同時(shí)也為網(wǎng)絡(luò)系統(tǒng)帶來(lái)了更多的安全漏洞，給那些黑客的攻擊、病毒的入侵創(chuàng)造了機(jī)會(huì)[1-2]。

校園網(wǎng)站面臨安全風(fēng)險(xiǎn)的原因主要是因?yàn)樾@網(wǎng)站是一個(gè)開(kāi)放式環(huán)境，這是實(shí)現(xiàn)網(wǎng)站資源共享的必然要求。而且高校學(xué)生是一個(gè)特殊的網(wǎng)絡(luò)用戶群體，是具有高學(xué)歷、高知識(shí)水平以及充滿好奇心的群體，在法律安全意識(shí)淡薄的情況下很容易誤入歧途。另外，學(xué)校對(duì)校園網(wǎng)站的建設(shè)和管理維護(hù)方面投入較少，設(shè)備和人才配置方面不足。

從以上安全隱患分析可知，要維護(hù)校園網(wǎng)站的安全運(yùn)行，必須要利用有效安全技術(shù)加強(qiáng)網(wǎng)絡(luò)安全管理。當(dāng)前使用較廣泛的網(wǎng)絡(luò)安全技術(shù)有防火墻技術(shù)、入侵檢測(cè)技術(shù)（IDS）、病毒防護(hù)技術(shù)、數(shù)據(jù)加密技術(shù)、訪問(wèn)控制技術(shù)等。防火墻技術(shù)、入侵檢測(cè)技術(shù)用于網(wǎng)絡(luò)安全維護(hù)的常用技術(shù)，在維護(hù)網(wǎng)絡(luò)系統(tǒng)安全中發(fā)揮著重要作用，但各種安全技術(shù)在單獨(dú)的實(shí)踐應(yīng)用當(dāng)中都存在一定局限性，無(wú)法有效保證校園網(wǎng)站的安全運(yùn)行，而將防火墻技術(shù)和入侵檢測(cè)技術(shù)聯(lián)合應(yīng)用卻能夠獲得優(yōu)勢(shì)互補(bǔ)的效果，極大地提高網(wǎng)絡(luò)安全防護(hù)功能。

2 防火墻技術(shù)與入侵檢測(cè)技術(shù)

防火墻技術(shù)涉及到數(shù)據(jù)加密、網(wǎng)絡(luò)通信、信息安全、安全決策等多個(gè)方面，是一種綜合性的科學(xué)技術(shù)。隨著網(wǎng)絡(luò)安全形勢(shì)的日益嚴(yán)峻，防火墻技術(shù)近年來(lái)發(fā)展迅速。簡(jiǎn)單來(lái)講，防火墻就是一道位于目標(biāo)保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的屏障，通過(guò)部署多個(gè)網(wǎng)絡(luò)安全設(shè)備將內(nèi)外網(wǎng)隔離開(kāi)來(lái)，阻擋非法訪問(wèn)，保護(hù)網(wǎng)絡(luò)安全，以防止發(fā)生不可預(yù)測(cè)的、潛在的惡性入侵和破壞。防火墻自身有很強(qiáng)的抗攻擊能力，是一種有效的安全技術(shù)，常用的防火墻有過(guò)濾防火墻、內(nèi)容過(guò)濾防火墻等。然而，防火墻技術(shù)自身也存在多方面局限性，（1）防火墻只能對(duì)外網(wǎng)的威脅發(fā)揮預(yù)防作用，但無(wú)法防止網(wǎng)絡(luò)內(nèi)部的攻擊，這是防火墻技術(shù)的一大缺陷；（2）防火墻只能用于阻斷危險(xiǎn)，但無(wú)法消滅威脅，這樣就導(dǎo)致防火墻要阻擋源源不斷的攻擊，卻始終無(wú)法消滅攻擊源；（3）防火墻的設(shè)置無(wú)法保持更新，對(duì)新的、未經(jīng)設(shè)置的攻擊無(wú)法發(fā)揮作用。

入侵檢測(cè)技術(shù)是一種新型的、動(dòng)態(tài)的網(wǎng)絡(luò)安全技術(shù)，其主要功能是主動(dòng)檢測(cè)網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，探測(cè)可能發(fā)生的網(wǎng)絡(luò)危險(xiǎn)行為，檢測(cè)入侵者的攻擊行為和目標(biāo)，并在檢測(cè)到安全威脅后及時(shí)發(fā)出報(bào)警信息，將危險(xiǎn)消除在網(wǎng)絡(luò)遭受侵犯之前。入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)如下圖1所示。入侵檢測(cè)技術(shù)可以對(duì)網(wǎng)絡(luò)系統(tǒng)的各種活動(dòng)進(jìn)行掃描，對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，進(jìn)而收集重要的網(wǎng)絡(luò)信息，查找網(wǎng)絡(luò)中潛在的安全風(fēng)險(xiǎn)，并執(zhí)行實(shí)時(shí)報(bào)警。入侵檢測(cè)技術(shù)的功能核心在于檢測(cè)入侵行為是否發(fā)生，而不能立即阻止入侵行為的發(fā)生。而且目前入侵檢測(cè)技術(shù)有很多的局限性，存在評(píng)價(jià)標(biāo)準(zhǔn)不統(tǒng)一、誤報(bào)率高、漏報(bào)率高、缺乏規(guī)范的響應(yīng)措施等問(wèn)題。

圖1 入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)圖

3 防火墻和IDS聯(lián)動(dòng)技術(shù)的實(shí)現(xiàn)和應(yīng)用

在網(wǎng)絡(luò)系統(tǒng)安全形勢(shì)的日益嚴(yán)峻的形勢(shì)下，現(xiàn)有的安全防護(hù)技術(shù)已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足網(wǎng)絡(luò)安全的實(shí)際需要。鑒于各種安全防護(hù)技術(shù)存在的局限性，單單依靠防火墻和入侵檢測(cè)技術(shù)是無(wú)法有效保證網(wǎng)絡(luò)的安全性的。因此可以根據(jù)防火墻技術(shù)和入侵檢測(cè)技術(shù)各自的特點(diǎn)進(jìn)行聯(lián)動(dòng)系統(tǒng)設(shè)計(jì)，實(shí)現(xiàn)兩組安全技術(shù)的優(yōu)勢(shì)互補(bǔ)。防火墻技術(shù)和入侵檢測(cè)技術(shù)的結(jié)合運(yùn)行過(guò)程中，防火墻第一層可發(fā)揮訪問(wèn)控制職能，入侵檢測(cè)技術(shù)可以發(fā)揮第二層保護(hù)功能，可以通過(guò)入侵檢測(cè)技術(shù)及時(shí)發(fā)現(xiàn)防火墻以外的危險(xiǎn)攻擊，進(jìn)而提高網(wǎng)絡(luò)系統(tǒng)的防御能力。防火墻與入侵檢測(cè)技術(shù)聯(lián)動(dòng)技術(shù)的原理如下圖2所示。

圖2 防火墻和入侵檢測(cè)聯(lián)動(dòng)原理圖

防火墻與入侵檢測(cè)聯(lián)動(dòng)系統(tǒng)的實(shí)現(xiàn)需要多個(gè)功能模塊，如下圖3所示。其中入侵檢測(cè)控制信息生成模塊的主要功能是接受探測(cè)器發(fā)出的危險(xiǎn)信號(hào)，并進(jìn)行分析、整理，從中提取相關(guān)信息，轉(zhuǎn)化成控制信息，對(duì)信息進(jìn)行加密處理后發(fā)送信息。系統(tǒng)的通訊模塊在網(wǎng)絡(luò)安全策略配置基礎(chǔ)上指定防火墻地址和認(rèn)證密碼，實(shí)現(xiàn)與防火墻之間的數(shù)據(jù)傳遞。動(dòng)態(tài)規(guī)則處理模塊主要功能是通過(guò)安全策略驗(yàn)證信息身份，然后進(jìn)行確認(rèn)、處理。審計(jì)分析模塊的功能主要是分析防火墻的動(dòng)態(tài)規(guī)則，為以后的日志分析提供有利依據(jù)。防火墻與入侵檢測(cè)聯(lián)動(dòng)系統(tǒng)中，防火墻就相當(dāng)于網(wǎng)絡(luò)安全的第一道屏障，入侵檢測(cè)技術(shù)就是第二道屏障，防火墻技術(shù)不能阻擋來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊，而入侵檢測(cè)的結(jié)合應(yīng)用可以有效解決這一問(wèn)題，實(shí)現(xiàn)對(duì)內(nèi)、外網(wǎng)操作以及誤操作的實(shí)時(shí)保護(hù)，在入侵行為發(fā)生之前進(jìn)行攔截，在不影響網(wǎng)絡(luò)性能的情況下對(duì)系統(tǒng)的安全進(jìn)行實(shí)時(shí)監(jiān)控[3-4]。