曲朝陽，崔洪杰，王敬東，孟凡奇

（東北電力大學(xué) 信息工程學(xué)院，吉林 吉林 132012）

隨著網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)攻擊變得越來越復(fù)雜。對(duì)網(wǎng)絡(luò)的防護(hù)不再局限于采用單一的產(chǎn)品與手段，大部分網(wǎng)絡(luò)已經(jīng)使用了各種各樣的安全產(chǎn)品，如防火墻、人侵檢測(cè)系統(tǒng)、病毒防護(hù)系統(tǒng)和信息審計(jì)系統(tǒng)等。它們?cè)谝欢ǔ潭壬媳Ｕ狭司W(wǎng)絡(luò)環(huán)境的安全性，但各安全產(chǎn)品之間存在無交流或很淺層次交流的局面，只對(duì)網(wǎng)絡(luò)形成獨(dú)立、被動(dòng)的防護(hù)，沒有從整體和設(shè)備聯(lián)動(dòng)的角度去解決網(wǎng)絡(luò)安全問題。而網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，它們的簡(jiǎn)單集成和疊加已不能應(yīng)對(duì)越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境和安全威脅。人們已經(jīng)開始研究不同技術(shù)手段的協(xié)同與融合。只有將多種安全產(chǎn)品聯(lián)合起來，各自發(fā)揮自身優(yōu)點(diǎn)，互相彌補(bǔ)不足，才能最大程度地發(fā)揮安全產(chǎn)品的性能，保障網(wǎng)絡(luò)運(yùn)行的安全。

1 防火墻與入侵檢測(cè)系統(tǒng)

1.1 防火墻

防火墻指的是一個(gè)由軟件和硬件組合而成的高級(jí)訪問控制設(shè)備，是在被保護(hù)網(wǎng)和外網(wǎng)之間執(zhí)行訪問控制策略的一種或一系列部件的組合，它是現(xiàn)在市場(chǎng)上應(yīng)用范圍最廣的網(wǎng)絡(luò)安全產(chǎn)品之一。作為一種強(qiáng)制執(zhí)行的訪問控制機(jī)制，防火墻是確保網(wǎng)絡(luò)安全的重要手段。防火墻能在保證網(wǎng)絡(luò)暢通的情況下，盡可能地保證內(nèi)部網(wǎng)絡(luò)的安全。它的主要功能有：訪問控制、內(nèi)容控制和日志記錄。

根據(jù)防范的方式和側(cè)重點(diǎn)的不同，可將防火墻分為包過濾型和代理服務(wù)型。（1）包過濾技術(shù)：防火墻在網(wǎng)絡(luò)層中根據(jù)數(shù)據(jù)包中的包頭信息有選擇地實(shí)施允許、通過或阻斷操作。其核心是安全策略即過濾規(guī)則的設(shè)計(jì)。策略就是讓包過濾防火墻在轉(zhuǎn)發(fā)數(shù)據(jù)包之前打開TCP/IP封裝，檢查進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包的各種屬性，決定是否允許該數(shù)據(jù)包通過防火墻。（2）代理服務(wù)技術(shù)：代理服務(wù)作用在應(yīng)用層，它用來提供應(yīng)用層服務(wù)的控制，在內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)起到中間轉(zhuǎn)接作用。

防火墻本質(zhì)上是一種訪問控制系統(tǒng)，存在如下缺點(diǎn)：

（1）防火墻提供的是靜態(tài)防御，所有規(guī)則需預(yù)先設(shè)置，并需要人工實(shí)施和維護(hù)，對(duì)于實(shí)時(shí)的攻擊或異常的行為不能做出實(shí)時(shí)反應(yīng)。

（2）防火墻規(guī)則的制定很大程度上是一種粗粒度的檢測(cè)，對(duì)一些協(xié)議細(xì)節(jié)無法做到完全解析，不能預(yù)防來自應(yīng)用層的攻擊，也不能預(yù)防病毒攻擊。

（3）防火墻具有防外不防內(nèi)的局限性，對(duì)于內(nèi)部用戶的非法行為或已經(jīng)滲透的攻擊無法檢測(cè)和響應(yīng)。

1.2 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（IDS）是一種主動(dòng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)，它通過網(wǎng)絡(luò)不同關(guān)鍵點(diǎn)監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)（網(wǎng)絡(luò)數(shù)據(jù)包、系統(tǒng)日志、用戶活動(dòng)的狀態(tài)行為）以分析入侵行為的可能性。一旦發(fā)現(xiàn)入侵，立即告警和記錄日志，并實(shí)施安全控制操作，以保證數(shù)據(jù)的機(jī)密性、完整性和可用性。作為網(wǎng)絡(luò)安全防護(hù)體系的重要組成部分，入侵檢測(cè)系統(tǒng)提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)檢測(cè)。它不同于防火墻，采用的是一種動(dòng)態(tài)的安全防護(hù)技術(shù)，對(duì)通信流量不做任何限制。

IDS從數(shù)據(jù)來源上可以分成三類：（1）主機(jī)型入侵檢測(cè)系統(tǒng)（H-IDS），它一般保護(hù)所在的系統(tǒng)，以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，采集這些信息并進(jìn)行分析；（2）網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)（N-IDS），其保護(hù)整個(gè)網(wǎng)段，以網(wǎng)絡(luò)上的數(shù)據(jù)包作為數(shù)據(jù)源，監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行判斷；（3）混合式入侵檢測(cè)系統(tǒng)，其兼?zhèn)淝皟煞N方式的優(yōu)點(diǎn)，既從主機(jī)系統(tǒng)采集數(shù)據(jù)，也通過網(wǎng)絡(luò)以監(jiān)聽方式采集數(shù)據(jù)發(fā)現(xiàn)可疑行為。按照分析方法，IDS可以分為誤用檢測(cè)和異常檢測(cè)兩種。

入侵檢測(cè)系統(tǒng)存在著以下一些不足：難以保證檢測(cè)的準(zhǔn)確性和高效性；易受拒絕式服務(wù)攻擊（DOS），被攻破后導(dǎo)致失效；即使檢測(cè)到攻擊，也很難采取有效的保護(hù)措施。

2 防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)

防火墻側(cè)重于控制，而IDS側(cè)重于主動(dòng)發(fā)現(xiàn)入侵信號(hào)，這決定了它們不能獨(dú)立完成網(wǎng)絡(luò)防護(hù)任務(wù)，且不能相互取代。例如，當(dāng)IDS檢測(cè)到一種攻擊行為時(shí)，如不能及時(shí)有效地采取措施，這種攻擊行為將對(duì)網(wǎng)絡(luò)應(yīng)用造成損害；若僅有防火墻，攻擊者會(huì)利用防火墻合法的通道進(jìn)入內(nèi)部網(wǎng)絡(luò)，使防火墻形同虛設(shè)。因此，IDS應(yīng)該通過與防火墻的聯(lián)動(dòng)，動(dòng)態(tài)地改變或增加防火墻的策略，通過防火墻從源頭上徹底阻斷入侵行為。

防火墻和IDS之間的聯(lián)動(dòng)方式可分成以下三種。

（1）嵌入結(jié)合方式。把IDS嵌入到防火墻中，即IDS的數(shù)據(jù)來源不再來源于抓包，而是所有流經(jīng)防火墻的數(shù)據(jù)流。所有通過的數(shù)據(jù)包不僅要接受防火墻檢測(cè)規(guī)則的判定，還需要經(jīng)過IDS的檢測(cè)，分析其安全性，以達(dá)到真正的實(shí)時(shí)檢測(cè)，這實(shí)際上是把兩個(gè)產(chǎn)品合成一體。由于IDS本身就是一個(gè)復(fù)雜的系統(tǒng)，合成后的系統(tǒng)從實(shí)施到性能都會(huì)受到很大影響。

（2）接口開放方式。即防火墻和IDS各開放一個(gè)接口供對(duì)方調(diào)用，并按照預(yù)定的協(xié)議進(jìn)行通信。目前常見的形式是安全廠家以自己的產(chǎn)品為核心，提供開放接口，以實(shí)現(xiàn)互動(dòng)。這種方式比較靈活，但這種依附于一種安全設(shè)備的方式容易產(chǎn)生瓶頸，不能有效發(fā)揮網(wǎng)絡(luò)安全設(shè)備的優(yōu)點(diǎn)，且不易擴(kuò)展。

（3）端口映像方式。防火墻將網(wǎng)絡(luò)中指定的一部分流量鏡像到入侵檢測(cè)系統(tǒng)中，入侵檢測(cè)系統(tǒng)再將分析后的結(jié)果反饋防火墻，并執(zhí)行相應(yīng)安全措施。

如果讓防火墻與入侵檢測(cè)系統(tǒng)直接進(jìn)行交互，它們之間需要統(tǒng)一的通信接口，雖然具有可靠性高和速度快等優(yōu)點(diǎn)，但由于缺乏綜合性的分析將會(huì)生成錯(cuò)誤的防火墻訪問控制規(guī)則 （由入侵檢測(cè)的誤報(bào)造成），從而造成DoS和防火墻性能下降（訪問控制規(guī)則數(shù)量過多）。

2.1 聯(lián)動(dòng)模型

通過以上對(duì)聯(lián)動(dòng)方式的分析，本文提出一種基于聯(lián)動(dòng)控制中心的聯(lián)動(dòng)思想，充分發(fā)揮防火墻與入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)，更有效地保護(hù)網(wǎng)絡(luò)安全。聯(lián)動(dòng)部署圖如圖1所示。將IDS放在防火墻之后，根據(jù)網(wǎng)絡(luò)的規(guī)模和安全要求可在多個(gè)位置安置數(shù)據(jù)采集點(diǎn)，并可根據(jù)實(shí)際情況在網(wǎng)絡(luò)不同位置安裝不同類型的防火墻。日志庫用來存儲(chǔ)IDS節(jié)點(diǎn)和防火墻大量日志和報(bào)警，進(jìn)行統(tǒng)一分析并把分析結(jié)果傳送到控制中心，由控制臺(tái)分析制定聯(lián)動(dòng)控制策略，傳送給相應(yīng)聯(lián)動(dòng)節(jié)點(diǎn)。根據(jù)實(shí)際網(wǎng)絡(luò)需求可添加其他網(wǎng)絡(luò)安全設(shè)備，由聯(lián)動(dòng)系統(tǒng)作統(tǒng)一協(xié)調(diào)工作，對(duì)系統(tǒng)做進(jìn)一步擴(kuò)展。

聯(lián)動(dòng)系統(tǒng)主要由以下部分組成：

（1）控制臺(tái)。它是整個(gè)系統(tǒng)的控制中心。在控制臺(tái)上運(yùn)行聯(lián)動(dòng)控制程序，接收網(wǎng)絡(luò)安全設(shè)備發(fā)送過來的信息，根據(jù)現(xiàn)行網(wǎng)絡(luò)狀況制定相應(yīng)的聯(lián)動(dòng)措施，并對(duì)各安全設(shè)備進(jìn)行統(tǒng)一管理，確保聯(lián)動(dòng)系統(tǒng)中所有設(shè)備正常有效地工作。

（2）防火墻。在網(wǎng)絡(luò)中的不同位置可安置不同類型的防火墻。安置于Internet與內(nèi)部網(wǎng)連接點(diǎn)處的防火墻起主導(dǎo)作用，其將來自Internet上的網(wǎng)絡(luò)數(shù)據(jù)包過濾，并可以鏡像一部分?jǐn)?shù)據(jù)給特定安全設(shè)備，由安全設(shè)備做更深層次的檢測(cè)。這樣不但可以阻止某些惡意數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)，還可以分析不同網(wǎng)絡(luò)協(xié)議的狀態(tài)。而處于其他位置的防火墻在發(fā)生入侵時(shí)可以起到安全隔離的作用。另外，為了保護(hù)特殊區(qū)域的網(wǎng)絡(luò)，還可以為防火墻添加網(wǎng)絡(luò)地址轉(zhuǎn)換的功能，讓服務(wù)器在內(nèi)網(wǎng)中使用內(nèi)部IP，在Internet上使用防火墻的Public IP。

（3）入侵檢測(cè)系統(tǒng)（IDS）。從 IDS檢測(cè)點(diǎn)采集數(shù)據(jù)，根據(jù)規(guī)則庫作對(duì)比分析，當(dāng)檢測(cè)到網(wǎng)絡(luò)系統(tǒng)中發(fā)生攻擊行為或異常行為時(shí)，可以及時(shí)進(jìn)行記錄和報(bào)警等響應(yīng)。其中，規(guī)則庫可通過聯(lián)動(dòng)系統(tǒng)做動(dòng)態(tài)更新，以增強(qiáng)入侵檢測(cè)系統(tǒng)的健壯性。

（4）日志庫。它用于存儲(chǔ)網(wǎng)絡(luò)安全事件記錄，還可以有選擇性地調(diào)用IDS和防火墻的日志，用戶在查看警告日志的同時(shí)，可以根據(jù)日志的相關(guān)信息（如IP地址、協(xié)議、協(xié)議端口等）進(jìn)行審計(jì)，更有效地發(fā)現(xiàn)網(wǎng)絡(luò)潛在威脅，進(jìn)而構(gòu)建新的規(guī)則，并通知控制臺(tái)實(shí)施聯(lián)動(dòng)，添加到防火墻的規(guī)則集中或更改入侵檢測(cè)規(guī)則。

（5）其他安全設(shè)備。根據(jù)網(wǎng)絡(luò)安全的需要可以添加防病毒設(shè)備、認(rèn)證設(shè)備等。添加的設(shè)備可由控制臺(tái)統(tǒng)一管理，對(duì)聯(lián)動(dòng)系統(tǒng)起一定的擴(kuò)展作用。

在翻譯過程中，由于源語和目的語在語言結(jié)構(gòu)、文化背景等方面存在著種種差異，翻譯中各種意義和審美價(jià)值的損失不可避免。一個(gè)好的譯者要通過各種翻譯策略把這種損失降低到最少，而補(bǔ)償便是其中最重要的策略之一（翟明璐，2013）。補(bǔ)償是以目的語手段為主,輔之以符合目的語規(guī)約或規(guī)范的其他語言手段，根據(jù)文本類型和翻譯目的，對(duì)翻譯過程中潛在的，或發(fā)生的損失進(jìn)行的修復(fù)或彌補(bǔ)（秦琴等，2013）。筆者將從補(bǔ)償策略里的顯性補(bǔ)償與隱性補(bǔ)償這兩方面進(jìn)行研究分析。顯性補(bǔ)償主要包含音譯法、直譯法，體現(xiàn)出譯者的異化翻譯傾向；隱性補(bǔ)償主要包含歸化、增譯、釋義、具體化等，反映出譯者總體上的歸化翻譯策略。

2.2 聯(lián)動(dòng)系統(tǒng)的設(shè)計(jì)

本系統(tǒng)采用的是一種間接的聯(lián)動(dòng)方式，采用客戶/服務(wù)器模式。服務(wù)器端不依附任何安全產(chǎn)品，是獨(dú)立的應(yīng)用程序。客戶端分設(shè)在各聯(lián)動(dòng)安全設(shè)備上，根據(jù)設(shè)備不同客戶端也不同。這種把聯(lián)動(dòng)控制程序單獨(dú)分離出來的方式使系統(tǒng)能集中精力協(xié)調(diào)聯(lián)動(dòng)安全設(shè)備之間的工作，對(duì)網(wǎng)絡(luò)安全事件進(jìn)行更有效的分析，能提高聯(lián)動(dòng)的準(zhǔn)確性和有效性，防止?jié)撛诘倪M(jìn)一步攻擊。該系統(tǒng)框架如圖2所示。

圖2 聯(lián)動(dòng)系統(tǒng)框架圖

服務(wù)器端是系統(tǒng)的核心部分，起統(tǒng)一協(xié)調(diào)作用，確保安全設(shè)備正常工作。服務(wù)器端設(shè)有人工接口，通過該接口可對(duì)整個(gè)系統(tǒng)進(jìn)行相關(guān)操作。服務(wù)器端對(duì)客戶端發(fā)送過來的數(shù)據(jù)進(jìn)行分析處理，根據(jù)系統(tǒng)當(dāng)前情況，實(shí)時(shí)聯(lián)動(dòng)防火墻或更新IDS的規(guī)則庫。服務(wù)器端系統(tǒng)流程如圖3所示。

圖3 服務(wù)器端流程圖

服務(wù)器端包括數(shù)據(jù)接發(fā)模塊、數(shù)據(jù)分析模塊、策略生成模塊和聯(lián)動(dòng)控制模塊。

（1）數(shù)據(jù)接發(fā)模塊：把從客戶端收集到的數(shù)據(jù)進(jìn)行簡(jiǎn)單分組，然后存儲(chǔ)到數(shù)據(jù)庫的表中。由于數(shù)據(jù)來自不同節(jié)點(diǎn)和設(shè)備，可能會(huì)出現(xiàn)冗余數(shù)據(jù)。該模塊對(duì)數(shù)據(jù)記錄進(jìn)行歸并，刪除冗余和無用數(shù)據(jù)，并將相關(guān)數(shù)據(jù)進(jìn)行規(guī)范化處理，以便作進(jìn)一步處理。當(dāng)聯(lián)動(dòng)系統(tǒng)實(shí)施聯(lián)動(dòng)時(shí)，該模塊發(fā)送聯(lián)動(dòng)信息到客戶端。

（2）數(shù)據(jù)分析模塊：將接收過來的數(shù)據(jù)進(jìn)行分析，判斷各種入侵行為的精確度和危險(xiǎn)度，根據(jù)分析結(jié)果進(jìn)行數(shù)據(jù)分類，存儲(chǔ)到相關(guān)表中。

（3）策略生成模塊：根據(jù)分析結(jié)果，結(jié)合知識(shí)庫制定或調(diào)用策略，并將策略加入到相應(yīng)表中。

（4）聯(lián)動(dòng)控制模塊：根據(jù)需要聯(lián)動(dòng)的安全設(shè)備確定需聯(lián)動(dòng)的客戶端，將策略按照事先的約定封裝成數(shù)據(jù)包，并作相應(yīng)的加密處理，再由數(shù)據(jù)接發(fā)模塊發(fā)送到相應(yīng)設(shè)備，實(shí)施聯(lián)動(dòng)。

客戶端是網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)的采集端和聯(lián)動(dòng)操作的執(zhí)行端，采用定時(shí)執(zhí)行腳本文件來實(shí)現(xiàn)聯(lián)動(dòng)，包含數(shù)據(jù)接發(fā)模塊、聯(lián)動(dòng)響應(yīng)模塊和策略執(zhí)行模塊。

（2）聯(lián)動(dòng)響應(yīng)模塊：保持與服務(wù)器端的連接。

（3）策略執(zhí)行模塊：執(zhí)行服務(wù)器發(fā)送的聯(lián)動(dòng)策略。

本系統(tǒng)客戶端與服務(wù)器端事先約定并設(shè)定通信端口。當(dāng)客戶端發(fā)現(xiàn)網(wǎng)絡(luò)中有情況時(shí)，便向聯(lián)動(dòng)中心發(fā)送經(jīng)過統(tǒng)一約定格式的數(shù)據(jù)包，經(jīng)過聯(lián)動(dòng)中心作進(jìn)一步分析判斷，然后聯(lián)動(dòng)中心再發(fā)送經(jīng)過統(tǒng)一約定格式的數(shù)據(jù)包，通知相關(guān)設(shè)備實(shí)施聯(lián)動(dòng)措施。

聯(lián)動(dòng)的具體步驟如下：

（1）初始化通信連接時(shí)，由服務(wù)器端向客戶端發(fā)起連接。

（2）建立正常連接后，當(dāng)客戶端產(chǎn)生需要通知服務(wù)器端的安全事件時(shí)，通過發(fā)送約定格式的數(shù)據(jù)包來完成向服務(wù)器端傳遞信息。

（3）服務(wù)器端收到信息后，作相應(yīng)分析，并作出判斷，需要時(shí)發(fā)送聯(lián)動(dòng)策略給客戶端。

（4）客戶端接收服務(wù)器端發(fā)送的聯(lián)動(dòng)信息，實(shí)施聯(lián)動(dòng)行為，并將結(jié)果（成功與否）反饋給服務(wù)器端。

2.3 聯(lián)動(dòng)系統(tǒng)的通信安全

客戶端與服務(wù)器端之間通信采用安全套接層協(xié)議SSL（Secure Socket Layer），它能使客戶/服務(wù)器應(yīng)用之間的通信不被非法竊聽或截取，并且始終進(jìn)行認(rèn)證。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，它的優(yōu)點(diǎn)在于獨(dú)立于應(yīng)用層協(xié)議，應(yīng)用層協(xié)議 （如HTTP、FTP等）能透明地建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商及認(rèn)證工作。此后，應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)先加密后傳輸，從而保證通信的安全性。

SSL協(xié)議提供的安全信道有以下三個(gè)特性。

（1）數(shù)據(jù)保密性。數(shù)據(jù)加密就是把明文信息經(jīng)加密算法轉(zhuǎn)換后變成加密的信息以實(shí)現(xiàn)數(shù)據(jù)的保密。加密的過程需要用到密鑰來加密數(shù)據(jù)，然后再用密鑰解密。沒有了密鑰，就無法正確解密已加密的數(shù)據(jù)。數(shù)據(jù)加密之后，密鑰用一個(gè)安全的方法傳送。加密過的數(shù)據(jù)可以公開地傳送。

（2）數(shù)據(jù)一致性。加密能保證數(shù)據(jù)的一致性。例如，消息驗(yàn)證碼能夠校驗(yàn)用戶提供的加密信息，接收者可以用來校驗(yàn)加密后的數(shù)據(jù)，保證數(shù)據(jù)在傳輸過程中沒有被篡改過。

（3）安全驗(yàn)證。加密的另外一個(gè)功能是作為個(gè)人的標(biāo)識(shí)，用戶的密鑰作為其安全驗(yàn)證的標(biāo)識(shí)。

SSL協(xié)議的工作流程為：服務(wù)器認(rèn)證階段，客戶端向服務(wù)器發(fā)送一個(gè)開始信息“Hello”以便開始一個(gè)新的會(huì)話連接；服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要，則服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息；客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個(gè)主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個(gè)用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。

SSL安全協(xié)議為網(wǎng)絡(luò)應(yīng)用層通信提供了認(rèn)證、數(shù)據(jù)保密和數(shù)據(jù)完整性的服務(wù)，較好地解決了網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)陌踩珕栴}。SSL協(xié)議保證了系統(tǒng)內(nèi)部各組件之間的通信安全。SSL協(xié)議的SSL記錄協(xié)議與SSL握手協(xié)議兩個(gè)工作協(xié)議提供的身份認(rèn)證和安全傳輸?shù)姆?wù)，能夠滿足各組件之間的安全通信要求。采用SSL協(xié)議可以保證系統(tǒng)不會(huì)因數(shù)據(jù)傳輸帶來新的安全漏洞。

現(xiàn)代信息網(wǎng)絡(luò)發(fā)揮著重要作用，對(duì)網(wǎng)絡(luò)的安全性有較高的要求。在網(wǎng)絡(luò)安全防護(hù)體系中，各種安全設(shè)備以控制中心為核心，通過安全通信協(xié)議進(jìn)行有機(jī)聯(lián)動(dòng)，形成一個(gè)動(dòng)態(tài)的、完整的安全防御系統(tǒng)。各安全設(shè)備不是簡(jiǎn)單集成疊加，而是有效地協(xié)同配合，整個(gè)系統(tǒng)的安全性得到了很大的提高，可以滿足現(xiàn)代網(wǎng)絡(luò)安全的要求，與防火墻的結(jié)合使其更加完美，力爭(zhēng)創(chuàng)造一個(gè)無漏洞、智能的安全防護(hù)系統(tǒng)。

[1]陳明忠.入侵檢測(cè)技術(shù)在數(shù)據(jù)庫系統(tǒng)的應(yīng)用研究[J].計(jì)算機(jī)工程與科學(xué)，2009，31（4）：79-83.

[2]李聲，蔣明華，李俊.利用SNMP實(shí)現(xiàn)防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)[J].網(wǎng)絡(luò)安全，2007，29（9）：39-40.

[3]李飛，甘剛，陳艾東.基于 Linux的入侵防御系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究，2007，29（7）：102-103.

[4]王麗輝，李濤，張曉平，等.一種聯(lián)動(dòng)防火墻的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)應(yīng)用研究，2006，23（3）：95-97.

[5]余志高，周國(guó)祥.入侵檢測(cè)與防火墻協(xié)同應(yīng)用模型的研究與設(shè)計(jì)[J].計(jì)算機(jī)工程與應(yīng)用，2010，31（3）：22-24.

[6]肖立中，邵志清，馬漢華，等.網(wǎng)絡(luò)入侵檢測(cè)中的自動(dòng)決定聚類數(shù)算法[J].軟件學(xué)報(bào)，2008（8）：2140-2148.

[7]宋文功，唐琎.基于 Linux的防火墻技術(shù)研究[J].微計(jì)算機(jī)信息，2006（4X）：37-39，157.