田聰

貴州大學(xué)明德學(xué)院，貴州貴陽 550004

摘要 本文主要針對防火墻的網(wǎng)絡(luò)入侵檢測問題進(jìn)行了探討。首先對防火墻技術(shù)和入侵檢測技術(shù)進(jìn)行了簡單的概述，接著對防火墻跟IDS系統(tǒng)相融合的主要優(yōu)勢進(jìn)行了概括，最后對融合入防火墻完全技術(shù)的入侵網(wǎng)絡(luò)檢測系統(tǒng)進(jìn)行了探討。本文的研究對于對防火墻的網(wǎng)絡(luò)入侵檢測系統(tǒng)的開發(fā)具有重要的意義。

關(guān)鍵詞 防火墻；網(wǎng)絡(luò)入侵檢測；系統(tǒng)研究

中圖分類號TP39 文獻(xiàn)標(biāo)識碼A 文章編號 1674-6708（2012）61-0191-01

現(xiàn)階段，網(wǎng)絡(luò)技術(shù)發(fā)展趨勢異常猛烈，使得網(wǎng)絡(luò)安全也變成急需解決的難題。如果想要保障網(wǎng)絡(luò)技術(shù)的安全性，人們研究了數(shù)不勝數(shù)的防護(hù)策略，而在這些防護(hù)策略里面，防火墻跟入侵檢測作為最普遍運用的安全性網(wǎng)絡(luò)技術(shù)系統(tǒng)。

這里講到的防火墻其實是一種較為被動性的控制訪問安全技術(shù)，通常情況下，是裝在Internet跟所保護(hù)的子網(wǎng)兩者內(nèi)。防火墻的種類分成包過濾式的防火墻跟屏蔽主機(jī)式的防火墻、應(yīng)用代理式的防火墻，一般它都得提前設(shè)計好一定的規(guī)則，進(jìn)而對所輸送的數(shù)據(jù)信息加以緊密監(jiān)控，從而使得保護(hù)子網(wǎng)最大可能地不被威脅到。如果在網(wǎng)絡(luò)中光用防火墻技術(shù)的化，就會存在很多內(nèi)部危害，同樣地，因為入侵技術(shù)隨社會網(wǎng)絡(luò)科技的發(fā)展而不斷更新，就導(dǎo)致防火墻安全規(guī)則跟不上入侵技術(shù)的步伐。

而所謂的“入侵檢測系統(tǒng)”技術(shù)（IDS）則是一種可以主動積極地將自己保護(hù)起來，而不受到外界任何攻擊的最新安全性網(wǎng)絡(luò)技術(shù)，它通常是從計算機(jī)內(nèi)部網(wǎng)絡(luò)中的關(guān)鍵處選擇性地收集并深入剖析數(shù)據(jù)信息，逐步找到危害網(wǎng)絡(luò)安全問題的行為。一般情況下，按照將所收集到的信息來源IDS分類：基于主機(jī)模式的IDS跟基于網(wǎng)絡(luò)模式的NIDS，這里提到的NIDS是重點收集并剖析網(wǎng)絡(luò)內(nèi)部輸送的數(shù)據(jù)信息。由此可知，當(dāng)危險的攻擊者輸送大量信息到計算機(jī)網(wǎng)絡(luò)時，NIDS就會很容易被拒絕服務(wù)系統(tǒng)（DoS）破壞，再加上，NIDS它實際上就一直暴露于Internet 主要的攻擊范圍中，它所需要的就是一個安全、可靠的操作空間。

1 論述防火墻跟IDS系統(tǒng)相融合的主要優(yōu)勢

其實，防火墻是一種靜式的控制訪問型的技術(shù)產(chǎn)品，一般都是用來隔離網(wǎng)絡(luò)的?？蛇z憾的是，它光做到了把非預(yù)期的一些訪問請求阻擋在外面，卻根本不能查看經(jīng)過網(wǎng)絡(luò)的流量里面是否存有惡意的入侵點。這樣的話，用戶應(yīng)要有一種動式的并且主動化的保護(hù)網(wǎng)絡(luò)機(jī)制，定期檢查并剖析每一個訪問的主要內(nèi)容，只要發(fā)現(xiàn)有一點點的可疑行為，就可以最快速地做出正確響應(yīng)，提及的IDS就可以提供像上述描繪的這種動式保護(hù)安全機(jī)制。

將防火墻跟IDS進(jìn)行比較，雖然在它們的原理方法這一點上是各不相同的，可它們卻有著共同的目的——就是要保護(hù)網(wǎng)絡(luò)信息的最大安全。慢慢地經(jīng)由細(xì)節(jié)性的分析之后，我們很容易就能把二者進(jìn)行結(jié)合所用到的理論根據(jù)找出來。以一安全機(jī)制來講，防火墻技術(shù)其實是不能監(jiān)控網(wǎng)絡(luò)內(nèi)部的，只能局限于監(jiān)控應(yīng)用層跟網(wǎng)絡(luò)層而已，部分安全威脅根本是防火墻防范不到的，由此可知，想要僅僅依賴防火墻對網(wǎng)絡(luò)進(jìn)行防護(hù)是根本不切實際的。

IDS可以對網(wǎng)絡(luò)外部跟內(nèi)部所顯示的數(shù)據(jù)信息加以實時分析，判別各個入侵檢測系統(tǒng)的主要企圖，一旦感到有危害入侵前，就發(fā)出各種形式的警報音，再及時地解決各種入侵危害難題，從而保護(hù)整個網(wǎng)絡(luò)的安全?？上нz憾的是，入侵檢測這一技術(shù)系統(tǒng)，僅僅可以發(fā)現(xiàn)有被攻擊的行為而已，根本不能阻止威脅。

綜上所述，只要將IDS跟防火墻安全技術(shù)相互結(jié)合運行，就能讓防火墻在IDS的幫助下及時發(fā)現(xiàn)各種危害之處，而IDS也可以在防火墻技術(shù)的幫助下阻斷外部網(wǎng)絡(luò)所帶來的威脅。結(jié)合的主要的好處包括：

1）只要可以快速地監(jiān)控到入侵危害，那么就可以綁定到切實的入侵者，就可以在被威脅前將入侵者阻隔在系統(tǒng)之外；

2）功效極佳的檢測系統(tǒng)可以威懾入侵；

3）入侵檢測網(wǎng)絡(luò)系統(tǒng)在一定程度上可以收集到很多和入侵技術(shù)相關(guān)的信息數(shù)據(jù)。就能更加強化入侵阻止設(shè)施運作力度。

2 融合入防火墻完全技術(shù)的入侵網(wǎng)絡(luò)檢測系統(tǒng)

2.1此系統(tǒng)的基本結(jié)構(gòu)

上述系統(tǒng)主要分成兩部分：包過濾式的防火墻安全技術(shù)跟入侵網(wǎng)絡(luò)檢測技術(shù)系統(tǒng)，為了全面考慮到各大網(wǎng)絡(luò)的監(jiān)控布局跟實際效率，通常應(yīng)由兩臺主機(jī)分別運作，兩者間用快速性質(zhì)的網(wǎng)絡(luò)通道--以太網(wǎng)連接。在包過濾式的防火墻計算機(jī)主機(jī)上多插了幾張網(wǎng)卡，且兩塊工作是以在橋的方式運行，也用不到任何的I P 計算機(jī)地址，這樣一種設(shè)計規(guī)劃不僅僅可以強化防火墻技術(shù)內(nèi)在的透明化、隱蔽化和安全化力度，并且在應(yīng)用的同時，也用不著改變其網(wǎng)絡(luò)的一種拓?fù)浣Y(jié)構(gòu)；再加上另一塊實現(xiàn)了跟入侵檢測計算機(jī)主機(jī)的通信任務(wù)。

2.2此系統(tǒng)的主要模型

將入侵檢測作為最核心框架構(gòu)成計算機(jī)網(wǎng)絡(luò)安全技術(shù)系統(tǒng)，一般情況下，計算機(jī)的安全性能是由安全策略呈現(xiàn)出來的，而安全措施依據(jù)則是按照用戶的基本需求以及從入侵檢測網(wǎng)絡(luò)系統(tǒng)中獲取到的信息數(shù)據(jù)來制定的。由事件發(fā)生器分析、挑選來源于防火墻安全技術(shù)的IP數(shù)據(jù)信息之后，將其轉(zhuǎn)換為最有用的事件進(jìn)行入侵檢測系統(tǒng)模塊，從而讓數(shù)據(jù)進(jìn)一步減少。入侵檢測系統(tǒng)模塊只要檢測到有任何的入侵情況，它就會主動性地經(jīng)由安全策略的變更來更換防火墻的安全行為，進(jìn)而做出最為快速、最為可靠的反應(yīng)；并可以把檢測結(jié)果上報給系統(tǒng)管理工作者，讓系統(tǒng)管理工作者做出手動篩選。

3 結(jié)論

把防火墻安全技術(shù)跟入侵檢測系統(tǒng)結(jié)合起來，實行防火墻安全技術(shù)不但能獲取入侵檢測系統(tǒng)反應(yīng)出的網(wǎng)絡(luò)安全數(shù)據(jù)，還可以將傳統(tǒng)入侵系統(tǒng)檢測不可以自主控制的難題給完美解決掉；再加上網(wǎng)絡(luò)入侵系統(tǒng)所檢測的結(jié)果在一定程度上為防火墻技術(shù)的安全管理作業(yè)提供了最可靠的依據(jù)，從而將防火墻技術(shù)的智能控制訪問能力得到大幅度的提升。

參考文獻(xiàn)

[1]博嘉科技主編.Linux防火墻技術(shù)探秘[M].國防工業(yè)出版社，2002.

[2]韓東海等編著.入侵檢測系統(tǒng)及實例剖析[M].清華大學(xué)出版社，2002.

[3]唐正軍等編著.網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)[M].電子工業(yè)出版社，2002.