唐曉東++唐偉

摘要：雖然防火墻和入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中占著舉足輕重的地位，但由于它們自身存在的一些不足，導(dǎo)致其無(wú)法滿足網(wǎng)絡(luò)安全整體化的需求。通過(guò)分析比較兩者的優(yōu)缺點(diǎn)，提出將入侵檢測(cè)技術(shù)與防火墻緊密結(jié)合，二者之間進(jìn)行聯(lián)動(dòng)，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的即時(shí)保護(hù)。

關(guān)鍵詞：防火墻；入侵檢測(cè)；聯(lián)動(dòng)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）33-0023-02

Based on the Network Security for Research of Linkage between the Intrusion Detection Technology and Firewall

TANG Xiao-dong1， TANG Wei2

（1.Unit 95007 of PLA， Guangzhou 510070， China； 2.China Southern TIANHE Information Technology Company， Guangzhou 510070， China）

Abstract： Although the firewall and intrusion detection technology occupy a pivotal position in the field of network security， but because of their some defects can not satisfied needs of network security integration. Through comparative analysis the firewall and intrusion detection technology advantages and disadvantage， combined with firewall and intrusion detection technology and propose linkage between the two to realize the real-time protection of network system.

Key words： Firewall； intrusion detection； linkage； network security

隨著互聯(lián)網(wǎng)的深入發(fā)展，網(wǎng)絡(luò)攻擊方式層出不窮，令人防不勝防；而防火墻和入侵檢測(cè)作為防護(hù)網(wǎng)絡(luò)安全的兩種重要技術(shù)手段，雖被廣泛采用，但由于自身缺陷，使得兩者的防范內(nèi)容不盡相同。比如防火墻只能防范來(lái)自外部的攻擊而無(wú)法解決來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊；入侵檢測(cè)只能識(shí)別攻擊發(fā)出報(bào)警卻不能自動(dòng)產(chǎn)生適當(dāng)?shù)捻憫?yīng)去阻止攻擊等等，為了滿足網(wǎng)絡(luò)安全整體化的要求，提出將防火墻和入侵檢測(cè)這兩種具有較強(qiáng)互補(bǔ)性的技術(shù)整合在一起進(jìn)行聯(lián)動(dòng)，揚(yáng)長(zhǎng)避短，充分發(fā)揮各自的優(yōu)勢(shì)，提高網(wǎng)絡(luò)安全防護(hù)水平，最大程度的保障網(wǎng)絡(luò)及信息的安全。

1 防火墻技術(shù)

防火墻[1]指的是一個(gè)由軟件和硬件組合而成的高級(jí)訪問(wèn)控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間執(zhí)行訪問(wèn)控制策略的一種或一系列部件的組合。防火墻位于網(wǎng)絡(luò)安全防護(hù)體系的最外一層，通常會(huì)被放置在外網(wǎng)與內(nèi)網(wǎng)之間的出入口處。作為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，它為實(shí)現(xiàn)網(wǎng)絡(luò)安全起到了把關(guān)的作用。防火墻技術(shù)實(shí)際上是一種隔離技術(shù)，通過(guò)制訂安全策略（允許、拒絕、監(jiān)視、記錄），將內(nèi)部信任區(qū)域與外部不安全區(qū)域（如因特網(wǎng)）或內(nèi)部網(wǎng)不同可信區(qū)域有效隔離，最大限度的對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全防護(hù)。雖然防火墻能在網(wǎng)關(guān)級(jí)進(jìn)行保護(hù)，但只提供靜態(tài)防御，防御規(guī)則事先就已經(jīng)設(shè)置完畢，一旦規(guī)則設(shè)置有誤或者安全形勢(shì)發(fā)生變化，防火墻就失去了即時(shí)應(yīng)變的能力，因此它是一種被動(dòng)的安全防護(hù)技術(shù)，存在一定的局限性，主要表現(xiàn)為：

1）防火墻默認(rèn)內(nèi)部網(wǎng)絡(luò)都是可信的，如果內(nèi)部網(wǎng)絡(luò)中存在后門，那些不經(jīng)過(guò)防火墻的攻擊數(shù)據(jù)包進(jìn)入到內(nèi)網(wǎng)時(shí)防火墻無(wú)法防范和響應(yīng)。

2）防火墻的訪問(wèn)控制策略需事先設(shè)置，不能實(shí)時(shí)調(diào)整策略規(guī)則來(lái)阻止正在進(jìn)行的攻擊，缺少應(yīng)變性無(wú)法主動(dòng)防范新的安全威脅。

3）防火墻既不能防止受病毒感染的文件或程序的傳輸也不能防止基于某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議的攻擊。

2入侵檢測(cè)技術(shù)

入侵檢測(cè)[2]是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、日志數(shù)據(jù)以及網(wǎng)絡(luò)系統(tǒng)中若干關(guān)鍵點(diǎn)信息，檢查網(wǎng)絡(luò)系統(tǒng)中是否存在入侵或違反規(guī)則的行為并及時(shí)做出響應(yīng)，例如斷網(wǎng)、報(bào)警、記錄事件信息等。入侵檢測(cè)系統(tǒng)簡(jiǎn)稱IDS（Intrusion Detective System）由進(jìn)行入侵檢測(cè)的軟件和硬件所構(gòu)成。與防火墻的被動(dòng)防御不同，入侵檢測(cè)采取的是一種積極主動(dòng)地安全防護(hù)手段，能在不影響網(wǎng)絡(luò)性能的前提下通過(guò)旁路監(jiān)聽(tīng)方式不間斷地收取網(wǎng)絡(luò)數(shù)據(jù)，主動(dòng)尋找入侵信號(hào)，對(duì)系統(tǒng)中的異?，F(xiàn)象或未授權(quán)的訪問(wèn)、活動(dòng)等事件進(jìn)行審計(jì)、追蹤、識(shí)別和檢測(cè)。入侵檢測(cè)不僅能察覺(jué)到來(lái)自系統(tǒng)外部的入侵，同時(shí)也能發(fā)現(xiàn)系統(tǒng)內(nèi)部用戶未經(jīng)授權(quán)的活動(dòng)，主動(dòng)保護(hù)自己免受網(wǎng)絡(luò)攻擊，因此被認(rèn)為是防火墻之后的第二道安全閘門。盡管如此，入侵檢測(cè)技術(shù)還是存在一些局限性：

1）由于入侵檢測(cè)通常依賴特征匹配，每截獲一個(gè)數(shù)據(jù)包都要分析和匹配，檢測(cè)其中的數(shù)據(jù)是否具備攻擊特征，因此會(huì)耗費(fèi)大量的時(shí)間和系統(tǒng)資源，使得入侵檢測(cè)的檢測(cè)速度跟不上網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度，通常在數(shù)據(jù)包巨多的流量面前它會(huì)迅速失效。

2）入侵檢測(cè)的漏報(bào)率和誤報(bào)率都比較高，產(chǎn)生漏報(bào)的一大原因是攻擊特征數(shù)據(jù)庫(kù)不能及時(shí)更新；另外一些舊式的攻擊對(duì)已更新的操作系統(tǒng)不起作用，如果模式庫(kù)中還存有這些攻擊特征，就會(huì)導(dǎo)致入侵檢測(cè)頻繁報(bào)警，這些無(wú)效報(bào)警很大程度上無(wú)疑加大了入侵檢測(cè)的誤報(bào)率。

3）入侵檢測(cè)往往重點(diǎn)都放在對(duì)網(wǎng)絡(luò)中入侵攻擊行為的識(shí)別上，所以即使檢測(cè)到攻擊也很難采取有效的保護(hù)措施去阻止攻擊。

3防火墻與入侵檢測(cè)的聯(lián)動(dòng)

通過(guò)以上的分析對(duì)比可以看出兩者在網(wǎng)絡(luò)安全防護(hù)方面都存在一定的缺陷，防火墻側(cè)重于提供靜態(tài)訪問(wèn)控制、入侵檢測(cè)側(cè)重于主動(dòng)發(fā)現(xiàn)入侵。如果把這兩種技術(shù)結(jié)合在一起，集中二者的長(zhǎng)處，形成互補(bǔ)，建立緊密的聯(lián)動(dòng)關(guān)系，相互提供保護(hù)屏障，既可以提升防火墻的機(jī)動(dòng)性也能增強(qiáng)入侵檢測(cè)系統(tǒng)的阻斷能力。

所謂聯(lián)動(dòng)[3]是指通過(guò)一種組合的方式，將不同的安全技術(shù)進(jìn)行整合，由其他安全技術(shù)彌補(bǔ)某一安全技術(shù)自身功能和性能的缺陷，以適應(yīng)網(wǎng)絡(luò)安全立體化、整體化的要求。本文提出的防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的方式是指將防火墻和入侵檢測(cè)劃分為兩個(gè)獨(dú)立的子系統(tǒng)，單獨(dú)完成各自的任務(wù)，兩者之間通過(guò)相應(yīng)的通信接口和協(xié)議進(jìn)行信息共享和互動(dòng)，實(shí)現(xiàn)一體化的主動(dòng)防御；同時(shí)為了防止交互信息被黑客竊取和攻擊，相互間的通信需要進(jìn)行認(rèn)證和加密。防火墻與入侵檢測(cè)系統(tǒng)之間的聯(lián)動(dòng)協(xié)作流程如圖1所示。

聯(lián)動(dòng)實(shí)現(xiàn)過(guò)程如下：

1） 首先防火墻安置于Internet與內(nèi)部網(wǎng)絡(luò)的連接處，這樣當(dāng)外網(wǎng)中的數(shù)據(jù)包要進(jìn)入內(nèi)網(wǎng)時(shí)就需經(jīng)過(guò)它預(yù)先設(shè)定的訪問(wèn)規(guī)則控制鏈表，通過(guò)篩選過(guò)濾數(shù)據(jù)包可以阻擋一部分攻擊。

2） 經(jīng)過(guò)防火墻篩選過(guò)濾后的數(shù)據(jù)包以及繞過(guò)防火墻沒(méi)有經(jīng)過(guò)篩選的數(shù)據(jù)包都進(jìn)入到內(nèi)網(wǎng)中，這時(shí)部署在內(nèi)網(wǎng)中的入侵檢測(cè)系統(tǒng)不間斷的提取這些數(shù)據(jù)包依據(jù)自身的規(guī)則庫(kù)對(duì)它們進(jìn)行分析比對(duì)，一旦發(fā)現(xiàn)入侵企圖立即報(bào)警并將報(bào)警信息[4]（包括事件入侵類型，源地址，目的地址，源端口，目的端口及阻斷時(shí)間等）轉(zhuǎn)換成統(tǒng)一的報(bào)警格式，通過(guò)加密、認(rèn)證后發(fā)送給防火墻。

3） 防火墻收到入侵檢測(cè)的通知后立刻做出針對(duì)性的改進(jìn)，動(dòng)態(tài)修改相應(yīng)的安全策略完善其訪問(wèn)控制規(guī)則，從而避免該攻擊行為的再次發(fā)生。

4） 入侵檢測(cè)系統(tǒng)每隔一段時(shí)間自動(dòng)升級(jí)入侵特征庫(kù)防止當(dāng)新的攻擊類型出現(xiàn)時(shí)，不能及時(shí)做出響應(yīng)。

4 結(jié)束語(yǔ)

本文根據(jù)防火墻和入侵檢測(cè)的特點(diǎn)，提出建立防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)，這是目前網(wǎng)絡(luò)安全產(chǎn)品的發(fā)展趨勢(shì)；但由于防火墻和入侵檢測(cè)本身都是比較復(fù)雜的系統(tǒng)，若將兩者結(jié)合勢(shì)必要對(duì)各自的硬件進(jìn)行升級(jí)同時(shí)聯(lián)動(dòng)中多了認(rèn)證和加密，如果在數(shù)據(jù)傳輸中被假冒和竊聽(tīng)則防火墻和入侵檢測(cè)的性能都會(huì)受到影響，今后還需在這方面展開(kāi)研究，力爭(zhēng)創(chuàng)造一個(gè)更加智能、穩(wěn)固的安全防護(hù)系統(tǒng)。

參考文獻(xiàn)：

[1] 曲朝陽(yáng)，崔洪杰，王敬東，等.防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的研究與設(shè)計(jì)[J].微型機(jī)與應(yīng)用，2012（5）：48-50.

[2] 江保利.防火墻與入侵檢測(cè)聯(lián)動(dòng)防御系統(tǒng)研究[J].信息技術(shù)，2013（10）：28-29.

[3] 桂春梅，鐘求喜，王懷民.基于UML的防火墻和入侵檢測(cè)聯(lián)動(dòng)模型的研究[J].計(jì)算機(jī)工程與科學(xué)，2004，26（11）：25-26.

[4] 瞿江.基于SNMP的校園Web網(wǎng)絡(luò)安全的研究[J].計(jì)算機(jī)安全，2009（7）：85-87.