[摘 要] 防火墻和入侵檢測系統(tǒng)的聯(lián)動實現(xiàn)方式通常包括以下兩種:一是通過開放接口實現(xiàn)聯(lián)動，即防火墻或入侵檢測系統(tǒng)產(chǎn)品開放一個接口供對方調(diào)用，按照一定的協(xié)議進行通信、傳輸警報。由于是兩個系統(tǒng)的配合運作，所以重點考慮防火墻和入侵檢測系統(tǒng)聯(lián)動通信的安全性。二是緊密集成實現(xiàn)聯(lián)動，即把入侵檢測系統(tǒng)嵌入到防火墻中。但是，由于IDS本身非常龐大，所以無論是從實施過程還是合成后的整體性能上都有很大的難度。在防火墻和入侵檢測系統(tǒng)所構(gòu)筑的安全體系中，當(dāng)入侵檢測系統(tǒng)檢測到入侵行為時，迅速啟動聯(lián)動機制，產(chǎn)生入侵報告，經(jīng)過聯(lián)動代理封裝和加密發(fā)送給聯(lián)動控制模塊，從而達到抵御入侵的目的。

[關(guān)鍵詞] 防火墻技術(shù) 入侵檢測技術(shù) 系統(tǒng)聯(lián)動 加密技術(shù)

一、防火墻和IDS聯(lián)動的接口技術(shù)

本文設(shè)計了一個通用加密的平臺模型，來進行防火墻和入侵檢測系統(tǒng)的通信，在這個平臺上可以實現(xiàn)整個入侵防護系統(tǒng)的加密通信。如下圖：

其實現(xiàn)的技術(shù)原理:

1.基于ACE和SSL的可移植安全通信平臺。

基于ACE(Access Control Element)和SSL(Secure Socket Layer)構(gòu)建的通信平臺不僅保證了通信的安全性，還具有高效率和可移植性強的特點，可以應(yīng)用到多種網(wǎng)絡(luò)安全技術(shù)和設(shè)備的相互通信中。

2.聯(lián)動代理在啟動和關(guān)閉時分別向聯(lián)動控制模塊進行注冊和注銷，負(fù)責(zé)聯(lián)動信息的交換，并對所代理的安全產(chǎn)品實施策略設(shè)置。

二、接口通信的技術(shù)研究

1.基于ACE和SSL的網(wǎng)絡(luò)通信平臺

由于ACE具有高可移植性和較強的軟件質(zhì)量的優(yōu)點，使得基于它開發(fā)的通信平臺和聯(lián)動代理等網(wǎng)絡(luò)模塊能方便地在常用系統(tǒng)進行移植，并保持良好的效率。

SSL安全協(xié)議為網(wǎng)絡(luò)應(yīng)用層通信提供了認(rèn)證、數(shù)據(jù)保密和數(shù)據(jù)完整性的服務(wù)，較好地解決了Internet上數(shù)據(jù)傳輸?shù)陌踩珕栴}。聯(lián)動系統(tǒng)中SSL的實現(xiàn)是利用了OpenSSL提供的開發(fā)庫，其通信過程和HTTP協(xié)議類似，在客戶端和服務(wù)器建立TCP連接(connect and accept)成功之后，SSL開始運行。

在聯(lián)動系統(tǒng)中聯(lián)動控制模塊作為服務(wù)器運行，并開放事先約定的通信端口，當(dāng)防火墻和IDS啟動時，其聯(lián)動代理作為客戶端向服務(wù)器發(fā)送連接，只有通過服務(wù)器認(rèn)證，連接才能建立，SSL會話建立后，聯(lián)動系統(tǒng)就可以安全穩(wěn)定地進行通信了。

2.基于XML的數(shù)據(jù)封裝

XML(eXtensible Markup Language)是 一種數(shù)據(jù)交換格式，允許在不同的系統(tǒng)或應(yīng)用程序之間交換數(shù)據(jù)。XML為數(shù)據(jù)交換提供了一種新的信息傳輸和信息表達方法，其特點在于它的簡單性、靈活性和可擴展性。

三、結(jié)語

本文通過對防火墻與IDS聯(lián)動系統(tǒng)中的重點關(guān)鍵性技術(shù)進行研究，設(shè)計了基于ACE和SSL技術(shù)的加密通訊平臺，解決了防火墻與IDS聯(lián)動系統(tǒng)的接口通信問題，這樣，就為設(shè)計和實現(xiàn)防火墻與IDS聯(lián)動系統(tǒng)提供了較好的解決方案。

參考文獻:

[1]范 濤:網(wǎng)絡(luò)安全與防火墻.中國科技信息，2008年7期

[2]杜淑穎:防火墻技術(shù)在網(wǎng)絡(luò)安全中的實際應(yīng)用.科技創(chuàng)新導(dǎo)報，2008年5期

[3]宋真君:網(wǎng)絡(luò)安全與防火墻技術(shù)發(fā)展探究.網(wǎng)絡(luò)與信息，2008年3期