朱俊

湖南常德職業(yè)技術(shù)學(xué)院現(xiàn)代教育技術(shù)中心 湖南 415000

0 前言

防火墻位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，通過預(yù)先設(shè)置好的安全策略，對(duì)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行逐個(gè)排查過濾，濾掉入侵攻擊行為。而入侵檢測(cè)系統(tǒng)則設(shè)置在內(nèi)部網(wǎng)絡(luò)的邊界上，時(shí)刻監(jiān)視內(nèi)部網(wǎng)絡(luò)狀態(tài)，一旦發(fā)現(xiàn)網(wǎng)絡(luò)中有非法操作或攻擊行為，及時(shí)的發(fā)送信息給防火墻，防火墻接受安全報(bào)警之后，立即采取阻斷接應(yīng)措施，阻止當(dāng)前的攻擊，并根據(jù)報(bào)警的相關(guān)內(nèi)容及時(shí)調(diào)整安全策略，以防類似入侵事件再一次發(fā)生，這樣保護(hù)了內(nèi)部網(wǎng)絡(luò)。

綜合上述討論，防火墻系統(tǒng)與入侵檢測(cè)系統(tǒng)各有優(yōu)勢(shì)和不足之處。防火墻是一種被動(dòng)防御手段，只能過濾入侵攻擊行為，由于本身的缺陷，有些入侵行為繞過防火墻系統(tǒng)進(jìn)入內(nèi)部網(wǎng)絡(luò)，此時(shí)防火墻將失去作用，同時(shí)，防火墻無法發(fā)現(xiàn)黑客的攻擊行為。因此，僅僅依靠防火墻系統(tǒng)來維護(hù)網(wǎng)絡(luò)信息安全是遠(yuǎn)遠(yuǎn)不夠的；而入侵檢測(cè)系統(tǒng)是一種動(dòng)態(tài)網(wǎng)絡(luò)安全防御措施，假設(shè)把內(nèi)部網(wǎng)絡(luò)看作是一個(gè)小區(qū)，那么入侵檢測(cè)系統(tǒng)就像小區(qū)內(nèi)的保安，時(shí)刻對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)而不影響網(wǎng)絡(luò)性能。因此，只有將防火墻系統(tǒng)與入侵檢測(cè)系統(tǒng)兩者相結(jié)合，協(xié)同工作，相互補(bǔ)充，充分發(fā)揮各自的優(yōu)勢(shì)，彌補(bǔ)各自的不足，才能為網(wǎng)絡(luò)提供充實(shí)、可靠的安全保障。見，一般在Internet與Intranet之間放入一個(gè)中間介質(zhì)，這個(gè)中間介質(zhì)在內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)之間形成一個(gè)通道，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)交換的所有信息都要經(jīng)過這個(gè)通道，在通道內(nèi)過濾掉外部網(wǎng)絡(luò)的非法用戶、黑客的入侵攻擊行為，同時(shí)也可以阻止內(nèi)部網(wǎng)絡(luò)用戶非法向外部網(wǎng)絡(luò)傳遞信息，這個(gè)中間介質(zhì)就叫做“防火墻”(如圖1)。

圖1 防火墻系統(tǒng)

1 防火墻系統(tǒng)

一個(gè)內(nèi)部網(wǎng)絡(luò)連接上了Internet，用戶就可以同外部網(wǎng)絡(luò)通信，外部網(wǎng)絡(luò)也可以訪問內(nèi)部網(wǎng)絡(luò)并與之交互。為安全起

防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)施，是保護(hù)網(wǎng)絡(luò)信息安全最重要的手段之一，也是目前世界范圍內(nèi)用得最多的網(wǎng)絡(luò)安全產(chǎn)品之一。在構(gòu)建安全網(wǎng)絡(luò)環(huán)境結(jié)構(gòu)中，防火墻作為第一道安全防線，它是由軟件或軟硬件結(jié)合的一種安全措施的總稱，防火墻通過對(duì)兩個(gè)網(wǎng)絡(luò)之間的通道實(shí)施強(qiáng)制統(tǒng)一的安全策略，監(jiān)控進(jìn)出網(wǎng)絡(luò)之間的通信，從而達(dá)到保護(hù)可信網(wǎng)絡(luò)安全的目的。防火墻具有五個(gè)基本功能：①過濾掉黑客的攻擊和非法用戶；②控制對(duì)特殊站點(diǎn)的訪問、③防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略、④防火墻防止內(nèi)部網(wǎng)絡(luò)信息的外泄、⑤防火墻本身具有較強(qiáng)地抗攻擊能力。

根據(jù)防火墻采用的技術(shù)不同，防火墻可分為：①包過濾防火墻：通過攔截?cái)?shù)據(jù)包，把入侵攻擊過濾掉；②代理服務(wù)器防火墻：利用代理服務(wù)器主機(jī)，將外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)隔開；③監(jiān)測(cè)型防火墻：是一種動(dòng)態(tài)包過濾，可以動(dòng)態(tài)地根據(jù)請(qǐng)求自動(dòng)生成或刪除安全過濾規(guī)則；④復(fù)合型防火墻：將幾種防火墻技術(shù)結(jié)合起來使用，如在代理服務(wù)器防火墻上增加包過濾功能構(gòu)成復(fù)合型防火墻系統(tǒng)。

防火墻系統(tǒng)也存在缺陷：①防火墻不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊或授權(quán)訪問者的攻擊；②內(nèi)部網(wǎng)絡(luò)存在后門時(shí)防火墻將失效；③入侵攻擊者隨著數(shù)據(jù)包不流經(jīng)防火墻而直接進(jìn)入內(nèi)部網(wǎng)絡(luò)，防火墻無法阻止入侵攻擊者的攻擊；④防火墻不能防御數(shù)據(jù)驅(qū)動(dòng)式的入侵；⑤防火墻無法修正與補(bǔ)充安全策略上存在的漏洞，同時(shí)也無法事先預(yù)見安全策略在設(shè)置上的漏洞；⑥防火墻對(duì)于未知的病毒攻擊缺乏靈活性，一旦被攻擊，就很難做出響應(yīng)，從而導(dǎo)致防火墻的失效。

2 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)是一個(gè)從計(jì)算機(jī)網(wǎng)絡(luò)信息、服務(wù)器、計(jì)算機(jī)日志中的若干關(guān)鍵點(diǎn)收集信息，并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的一種安全技術(shù)。入侵檢測(cè)系統(tǒng)以旁路監(jiān)聽的方式，不間斷地從網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看這些信息中是否有違反安全策略的行為、遭受到內(nèi)部攻擊、外部攻擊和誤操作的跡象，從而提供對(duì)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。所以說入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全的第二道防線，是防火墻的合理補(bǔ)充。

入侵檢測(cè)系統(tǒng)的基本模型可分為四個(gè)組件：即事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫。事件產(chǎn)生器的目的是從整個(gè)計(jì)算機(jī)環(huán)境、計(jì)算機(jī)網(wǎng)絡(luò)中獲得事件，并向事件分析器提供此事件；事件分析器分析由事件產(chǎn)生器發(fā)送來的數(shù)據(jù)，并產(chǎn)生分析結(jié)果；響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出報(bào)警、阻截等反應(yīng)的功能單元，即它可以做出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡(jiǎn)單的報(bào)警；事件數(shù)據(jù)庫是存放各種中間數(shù)據(jù)和最終數(shù)據(jù)的地方，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡(jiǎn)單的文本文件。在這個(gè)模型中，前三者是以程序的形式出現(xiàn)，最后者則往往是文件或數(shù)據(jù)庫，如圖2。

圖2 入侵檢測(cè)通用模型

入侵檢測(cè)系統(tǒng)按照其工作原理主要分為三種類型：基于主機(jī)的入侵檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和分布式入侵檢測(cè)系統(tǒng)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來源于系統(tǒng)日志、審計(jì)記錄，與受保護(hù)主機(jī)的操作系統(tǒng)等有關(guān)；基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源，一般利用一個(gè)網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視和分析所有通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ?。一旦檢測(cè)到攻擊，入侵檢測(cè)系統(tǒng)應(yīng)答模塊通過通知、報(bào)警以及中斷連接等方式來對(duì)攻擊者做出反應(yīng)；分布式入侵檢測(cè)系統(tǒng)，它檢測(cè)的數(shù)據(jù)也是來源于網(wǎng)絡(luò)中的數(shù)據(jù)包，不同的是，它采用分布式檢測(cè)、集中管理的方法。它的特點(diǎn)是對(duì)數(shù)據(jù)保護(hù)的范圍比較大，但對(duì)網(wǎng)絡(luò)流量有一定的影響。

常用入侵檢測(cè)方法有：①異常入侵檢測(cè)：異常入侵檢測(cè)是記錄用戶在系統(tǒng)上的活動(dòng)，并且根據(jù)這些記錄創(chuàng)建活動(dòng)的統(tǒng)計(jì)報(bào)告。如果報(bào)告表明它與正常用戶的使用有明顯的不同，那么檢測(cè)系統(tǒng)就會(huì)將這樣的活動(dòng)視為入侵行為；②誤用入侵檢測(cè)：誤用入侵檢測(cè)是事先對(duì)已知的入侵方式進(jìn)行定義，并且將這些方式寫進(jìn)系統(tǒng)中，將網(wǎng)絡(luò)系統(tǒng)上檢測(cè)的攻擊與系統(tǒng)定義的已知入侵方式進(jìn)行對(duì)比，如果兩者相同則為發(fā)生了入侵；③完整性入侵檢測(cè)：完整性入侵檢測(cè)是為系統(tǒng)的每個(gè)文件生存一個(gè)校驗(yàn)和，然后定期地將這個(gè)校驗(yàn)和與源文件比較，以確保文件是否被修改過，如果文件被未授權(quán)者修改過就會(huì)發(fā)生報(bào)警。

3 防火墻與入侵檢測(cè)的聯(lián)動(dòng)

入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)入侵事件后，自動(dòng)將入侵事件發(fā)送給防火墻，防火墻加載動(dòng)態(tài)規(guī)則攔截入侵，稱為防火墻系統(tǒng)與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)。防火墻與入侵檢測(cè)雙方事先約定，并設(shè)置通信窗口，相互配置好對(duì)方正確的IP地址，防火墻系統(tǒng)與入侵檢測(cè)系統(tǒng)建立正常聯(lián)動(dòng)之后，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)交換信息的過程中，入侵檢測(cè)系統(tǒng)中的事件生成器，積極主動(dòng)地從網(wǎng)絡(luò)資源或主機(jī)系統(tǒng)中收集相關(guān)信息，并將這些信息轉(zhuǎn)換成相應(yīng)的網(wǎng)絡(luò)事件發(fā)送到事件分析器，事件分析器通過異常入侵檢測(cè)或誤用入侵檢測(cè)等多種手段，對(duì)事件生成器傳來的網(wǎng)絡(luò)事件進(jìn)行鑒別，如果發(fā)現(xiàn)當(dāng)前鑒別的網(wǎng)絡(luò)事件是一個(gè)攻擊者，入侵檢測(cè)系統(tǒng)通過客戶端程序向防火墻系統(tǒng)服務(wù)器端程序發(fā)送控制信息，當(dāng)防火墻系統(tǒng)服務(wù)器端程序接受到入侵檢測(cè)系統(tǒng)發(fā)來的控制信息后，對(duì)控制信息的身份進(jìn)行驗(yàn)證，當(dāng)確認(rèn)此數(shù)據(jù)是來自入侵檢測(cè)系統(tǒng)，就接受處理，否則放棄該數(shù)據(jù)。對(duì)接受處理的數(shù)據(jù)按照事先約定的規(guī)則，動(dòng)態(tài)生成防火墻的過濾規(guī)則，對(duì)入侵者或攻擊行為實(shí)現(xiàn)控制和阻截而實(shí)現(xiàn)聯(lián)動(dòng)，如圖3。

圖3 防火墻系統(tǒng)入侵檢測(cè)系統(tǒng)

4 結(jié)束語

由于防火墻技術(shù)與入侵檢測(cè)技術(shù)有較強(qiáng)的互補(bǔ)性，實(shí)現(xiàn)防火墻與入侵檢測(cè)的聯(lián)動(dòng)是目前較理想的網(wǎng)絡(luò)安全防御措施。隨著黑客技術(shù)和手段不斷更新，網(wǎng)絡(luò)安全措施也必須要不斷更新，以解決新的安全問題，雖然防火墻與入侵檢測(cè)聯(lián)動(dòng)，能在很大程序上提高網(wǎng)絡(luò)安全性能，但并不能完全保證網(wǎng)絡(luò)的絕對(duì)安全。因此，為了實(shí)現(xiàn)網(wǎng)絡(luò)的安全，建立一個(gè)高效、通用、完整的安全體系，需要將各種防火墻技術(shù)、入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)安全技術(shù)相結(jié)合，并配合有效的管理和組織措施，提高網(wǎng)絡(luò)管理人員的安全意識(shí)，建立相應(yīng)的法制法規(guī)，采取技術(shù)與立法等多種手段進(jìn)行綜合治理，才能真正形成立體的、縱深有序的安全防御體系。

[1] 李明柱,五西平.Windows NT/2000中Intranet的組建和管理教程[M].北京航空航天大學(xué)出版社.2002.

[2] 張劍平.Internet 和 Intranet應(yīng)用[M].中央廣播電視大學(xué)出版社.2002.

[3] 周捷.防火墻工作模式的研究及應(yīng)用.計(jì)算機(jī)與網(wǎng)絡(luò)[J].2008.

[4] 黃小田.關(guān)于網(wǎng)絡(luò)安全及其技術(shù)的深入探討.計(jì)算機(jī)與網(wǎng)絡(luò)[J].2008.