一防火墻和IDS聯(lián)動(dòng)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

葉茂華

?

一防火墻和IDS聯(lián)動(dòng)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

葉茂華

東莞市大朗鎮(zhèn)計(jì)生衛(wèi)生局，廣東 東莞 523779

研究通過(guò)對(duì)防火墻和IDS聯(lián)動(dòng)技術(shù)的相關(guān)探討，發(fā)現(xiàn)防火墻和IDS的結(jié)合應(yīng)用可發(fā)揮優(yōu)勢(shì)互補(bǔ)的效果，能夠顯著提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防御能力。

防火墻；IDS；計(jì)算機(jī)；網(wǎng)絡(luò)安全

在信息化時(shí)代環(huán)境下，網(wǎng)絡(luò)技術(shù)已經(jīng)滲透到人們的生產(chǎn)、生活當(dāng)中，改變了人們的思維方式和行為習(xí)慣，成為現(xiàn)代化社會(huì)建設(shè)和發(fā)展不可獲取的重要部分。然而在互聯(lián)網(wǎng)技術(shù)迅速發(fā)展的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也日益突出。校園網(wǎng)站作為一個(gè)開(kāi)放性網(wǎng)站，在學(xué)校教學(xué)、科研、日常管理中發(fā)揮著重要作用。如今隨著網(wǎng)站規(guī)模的不斷擴(kuò)大，網(wǎng)站遭受的危險(xiǎn)攻擊也急劇增加，所以如何加強(qiáng)校園網(wǎng)站安全防范措施，提高網(wǎng)站安全性是目前面臨的重要問(wèn)題。

1 當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

如今隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，各單位的網(wǎng)絡(luò)建設(shè)也進(jìn)入了比較成熟的階段，但隨著而來(lái)的安全問(wèn)題也越來(lái)越突出，對(duì)網(wǎng)絡(luò)的信息安全帶來(lái)極大的威脅。網(wǎng)絡(luò)面臨的威脅主要包括以下幾個(gè)方面：一是人為的惡意攻擊，通過(guò)非法手段獲取非法利益，這種惡性行為一部分來(lái)自網(wǎng)絡(luò)外部，一部分來(lái)自網(wǎng)絡(luò)內(nèi)部員工出于好奇而進(jìn)行的黑客程序運(yùn)行活動(dòng)，這些都對(duì)網(wǎng)絡(luò)的安全造成巨大的威脅；二是網(wǎng)絡(luò)病毒對(duì)入侵，隨著計(jì)算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)病毒的攻擊性和危害性也越來(lái)越大，一旦入侵網(wǎng)站就可能導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓；三是網(wǎng)絡(luò)站系統(tǒng)的安全漏洞越來(lái)越多，安全漏洞是系統(tǒng)遭受惡意攻擊的重要原因，而網(wǎng)站服務(wù)器以及其他設(shè)備的多樣化發(fā)展個(gè)應(yīng)用，同時(shí)也為網(wǎng)絡(luò)系統(tǒng)帶來(lái)了更多的安全漏洞，給那些黑客的攻擊、病毒的入侵創(chuàng)造了機(jī)會(huì)[1]。網(wǎng)絡(luò)面臨安全風(fēng)險(xiǎn)的原因主要是因?yàn)榫W(wǎng)絡(luò)是一個(gè)開(kāi)放式環(huán)境，這是實(shí)現(xiàn)網(wǎng)站資源共享的必然要求。另外，單位對(duì)網(wǎng)絡(luò)的建設(shè)和管理維護(hù)方面投入較少，設(shè)備和人才配置方面不足。

2 防火墻技術(shù)和IDS技術(shù)

防火墻技術(shù)涉及到數(shù)據(jù)加密、網(wǎng)絡(luò)通信、信息安全、安全決策等多個(gè)方面，是一種綜合性的科學(xué)技術(shù)，隨著網(wǎng)絡(luò)安全形勢(shì)的日益嚴(yán)峻，防火墻技術(shù)近年來(lái)發(fā)展迅速。簡(jiǎn)單來(lái)講，防火墻就是一道位于目標(biāo)保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的屏障，通過(guò)部署多個(gè)網(wǎng)絡(luò)安全設(shè)備將內(nèi)外網(wǎng)隔離來(lái)看，阻擋非法訪問(wèn)，保護(hù)網(wǎng)絡(luò)安全，以防止發(fā)生不可預(yù)測(cè)的、潛在的惡性入侵和破壞。防火墻自身有很強(qiáng)的抗攻擊能力，是一種有效的安全技術(shù)，常用的防火墻有過(guò)濾防火墻、內(nèi)容過(guò)濾防火墻等。

入侵檢測(cè)技術(shù)是一種新型的、動(dòng)態(tài)的網(wǎng)絡(luò)安全技術(shù)，其主要功能是主動(dòng)檢測(cè)網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，探測(cè)可能發(fā)生的網(wǎng)絡(luò)危險(xiǎn)行為，檢測(cè)入侵者的攻擊行為和目標(biāo)，并在檢測(cè)到安全威脅后及時(shí)發(fā)出報(bào)警信息，將危險(xiǎn)消除在網(wǎng)絡(luò)遭受侵犯之前。入侵檢測(cè)技術(shù)可以對(duì)網(wǎng)絡(luò)系統(tǒng)的各種活動(dòng)進(jìn)行掃描，對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，進(jìn)而收集重要的網(wǎng)絡(luò)信息，查找網(wǎng)絡(luò)中潛在的安全風(fēng)險(xiǎn)，并執(zhí)行實(shí)時(shí)報(bào)警。入侵檢測(cè)技術(shù)的功能核心在于檢測(cè)入侵行為是否發(fā)生，而不能立即阻止入侵行為的發(fā)生。而且目前入侵檢測(cè)技術(shù)有很多的局限性，存在評(píng)價(jià)標(biāo)準(zhǔn)不統(tǒng)一、誤報(bào)率高、漏報(bào)率高、缺乏規(guī)范的響應(yīng)措施等問(wèn)題。

3 防火墻和IDS聯(lián)動(dòng)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

在網(wǎng)絡(luò)系統(tǒng)安全形勢(shì)的日益嚴(yán)峻的形勢(shì)下，現(xiàn)有的安全防護(hù)技術(shù)以及遠(yuǎn)遠(yuǎn)不能滿足網(wǎng)絡(luò)安全的實(shí)際需要，鑒于各種安全防護(hù)技術(shù)存在的局限性，單單依靠防火墻和入侵檢測(cè)技術(shù)是無(wú)法有效保證網(wǎng)絡(luò)的安全性的。因此可以根據(jù)防火墻技術(shù)和入侵檢測(cè)技術(shù)各種的特點(diǎn)進(jìn)行聯(lián)動(dòng)系統(tǒng)設(shè)計(jì)，實(shí)現(xiàn)兩組安全技術(shù)的優(yōu)勢(shì)互補(bǔ)。防火墻技術(shù)和入侵檢測(cè)技術(shù)的結(jié)合運(yùn)行過(guò)程中，防火墻第一層可發(fā)揮訪問(wèn)控制職能，入侵檢測(cè)技術(shù)可以發(fā)揮第二層保護(hù)功能，可以通過(guò)入侵檢測(cè)技術(shù)及時(shí)發(fā)現(xiàn)防火墻以外的危險(xiǎn)攻擊，進(jìn)而提高網(wǎng)絡(luò)系統(tǒng)的防御能力。防火墻與入侵檢測(cè)技術(shù)聯(lián)動(dòng)技術(shù)的原理如下圖1所示。

圖1 防火墻和入侵檢測(cè)聯(lián)動(dòng)原理圖

防火墻與入侵檢測(cè)聯(lián)動(dòng)系統(tǒng)的實(shí)現(xiàn)需要多個(gè)功能模塊，如下圖2所示。其中入侵檢測(cè)控制信息生成模塊的主要功能是接受探測(cè)器發(fā)出的危險(xiǎn)信號(hào)，并進(jìn)行分析、整理，從中提取相關(guān)信息，轉(zhuǎn)化成控制信息，對(duì)信息進(jìn)行加密處理后發(fā)送信息。系統(tǒng)的通訊模塊在網(wǎng)絡(luò)安全策略配置基礎(chǔ)上指定防火墻地址和認(rèn)證密碼，實(shí)現(xiàn)與防火墻之間的數(shù)據(jù)傳遞。動(dòng)態(tài)規(guī)則處理模塊主要功能是通過(guò)安全策略驗(yàn)證信息身份，然后進(jìn)行確認(rèn)、處理[2]。審計(jì)分析模塊的功能主要是分析防火墻的動(dòng)態(tài)規(guī)則，為以后的日志分析提供有利依據(jù)。防火墻與入侵檢測(cè)聯(lián)動(dòng)系統(tǒng)中，防火墻就相當(dāng)于網(wǎng)絡(luò)安全的第一道屏障，入侵檢測(cè)技術(shù)就是第二道屏障，防火墻技術(shù)不能阻擋來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊，而入侵檢測(cè)的結(jié)合應(yīng)用可以有效解決這一問(wèn)題，實(shí)現(xiàn)對(duì)內(nèi)、外網(wǎng)操作以及誤操作的實(shí)時(shí)保護(hù)，在入侵行為發(fā)生之前進(jìn)行攔截，在不影響網(wǎng)絡(luò)性能的情況對(duì)系統(tǒng)安全進(jìn)行實(shí)時(shí)監(jiān)控[3]。

圖2 防火墻和入侵檢測(cè)聯(lián)動(dòng)系統(tǒng)功能結(jié)構(gòu)圖

4 結(jié)語(yǔ)

隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展，人們逐漸對(duì)網(wǎng)絡(luò)安全問(wèn)題引起關(guān)注。在網(wǎng)絡(luò)的安全管理方面，沒(méi)有絕對(duì)的安全技術(shù)，只有不斷地提高安全防護(hù)意識(shí)，優(yōu)化網(wǎng)絡(luò)安全技術(shù)性能，從病毒防范、安全隔離、安全監(jiān)控、修補(bǔ)漏洞、數(shù)據(jù)備份等等方面加強(qiáng)安全保護(hù)措施，以降低網(wǎng)絡(luò)系統(tǒng)面臨的安全風(fēng)險(xiǎn)，為計(jì)算機(jī)網(wǎng)絡(luò)提供一個(gè)安全的運(yùn)行環(huán)境。

[1]甘宏，潘丹.基于網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)與防火墻結(jié)合的應(yīng)用研究[J].科技廣場(chǎng)，2011（1）：45-47.

[2]賈巖.一種IDS與防火墻聯(lián)動(dòng)系統(tǒng)中通信機(jī)制的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京大學(xué)，2009.

[3]陳潔，連曉東.IDS在鐵路計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用與研究[J].南陽(yáng)理工學(xué)院學(xué)報(bào)，2009（6）：19-21.

Application of a Firewall and IDS Linkage in Computer Network Security

Ye Maohua

Dalang Town，Dongguan City Health Bureau，Dongguan，Guangdong 523779

In this paper，through discussion of firewall and IDS technology，firewall and IDS （Intrusion Detection System）combined application can play a complementary effect，can significantly improve the security and defense capability of computer network system.

firewall；IDS；computer；network security

TP393.08

A

1009-6434(2016)6-0160-02