◆樊 鵬

（中國(guó)飛行試驗(yàn)研究院 陜西 710089）

淺析防火墻融合入侵檢測(cè)系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)應(yīng)用

◆樊 鵬

（中國(guó)飛行試驗(yàn)研究院 陜西 710089）

面對(duì)如今越來越嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，加強(qiáng)安全技術(shù)應(yīng)用責(zé)任重大。防火墻技術(shù)與入侵檢測(cè)系統(tǒng)之間的技術(shù)互補(bǔ)性突出，研究出防火墻與入侵檢測(cè)系統(tǒng)相互融合的網(wǎng)絡(luò)安全模型，不斷提高技術(shù)應(yīng)用的專業(yè)性。本文分析了這一網(wǎng)絡(luò)安全模型，并就重要組成與各接口作簡(jiǎn)要說明。

防火墻；入侵檢測(cè)系統(tǒng)；網(wǎng)絡(luò)安全

0 引言

如今，互聯(lián)網(wǎng)技術(shù)發(fā)展日新月異，互聯(lián)網(wǎng)終端產(chǎn)品更新?lián)Q代異?？焖?，所有產(chǎn)品接入互聯(lián)網(wǎng)后實(shí)現(xiàn)了信息的實(shí)時(shí)共享。不斷擴(kuò)大的網(wǎng)絡(luò)開放共享與互聯(lián)互通特性使得如今的網(wǎng)絡(luò)安全形勢(shì)越來越突出，存在大量信息丟失、數(shù)據(jù)篡改、黑客惡意攻擊等問題。網(wǎng)絡(luò)安全技術(shù)應(yīng)用已經(jīng)成為了亟待加強(qiáng)的全球性課題。防火墻技術(shù)與入侵檢測(cè)系統(tǒng)已成為人們解決網(wǎng)絡(luò)安全問題的常見手段。由于兩項(xiàng)技術(shù)在互補(bǔ)性，防火墻技術(shù)與入侵檢測(cè)系統(tǒng)融合后將變得更加主動(dòng)化和動(dòng)態(tài)化。兩者之間的結(jié)合聯(lián)動(dòng)，可靠入侵檢測(cè)系統(tǒng)及時(shí)探明防火墻外的入侵行為，入侵信息經(jīng)由防火墻分析，可快速做出策略響應(yīng)，從源頭阻止入侵活動(dòng)，實(shí)現(xiàn)高效網(wǎng)絡(luò)安全。

1 防火墻

防火墻是專注于保護(hù)本地網(wǎng)絡(luò)系統(tǒng)的安全技術(shù)，一道防火墻就是一個(gè)安全控制點(diǎn)，對(duì)于網(wǎng)絡(luò)內(nèi)部安全性的保護(hù)作用是明顯的，可過濾不同的網(wǎng)絡(luò)安全可疑風(fēng)險(xiǎn)。不同的組織機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)系統(tǒng)都需要建立防火墻。防火墻可對(duì)網(wǎng)絡(luò)進(jìn)行合理劃分，重點(diǎn)監(jiān)控并隔離關(guān)鍵網(wǎng)段，降低網(wǎng)絡(luò)危害。通常在開展網(wǎng)絡(luò)訪問活動(dòng)中，很多防火墻系統(tǒng)都使用單次單密碼的動(dòng)態(tài)性指令，或通過其他的身份認(rèn)證機(jī)制等方式讓安全認(rèn)證功能集中于主機(jī)位置。

對(duì)防火墻技術(shù)而言，其缺陷主要集中在對(duì)可跨越防火墻的不良侵害無計(jì)可施，最典型的表現(xiàn)就是對(duì)內(nèi)部出現(xiàn)攻擊難以防備。且對(duì)已生病毒而言，防火墻的殺毒能力不強(qiáng)，防火墻的技術(shù)原理其實(shí)接近與很多殺毒軟件，只有當(dāng)病毒先行產(chǎn)生并危害計(jì)算機(jī)與網(wǎng)絡(luò)后，殺毒軟件才能得到病毒的有效數(shù)據(jù)特征，并開展對(duì)應(yīng)殺毒代碼研究，同時(shí)更新病毒庫(kù)。面對(duì)不斷衍生的文件類型與數(shù)據(jù)量，防火墻將很難做到完全掃面不同文件來預(yù)防查殺病毒，先受攻擊后啟動(dòng)處理的模式使得防火墻的安全技術(shù)具有被動(dòng)性，需要配合其他技術(shù)防止安全威脅。

2 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)的開發(fā)目的就是對(duì)計(jì)算機(jī)以及網(wǎng)絡(luò)資源中出現(xiàn)的惡意行為開展高強(qiáng)度識(shí)別與處理。該技術(shù)能對(duì)外來入侵、內(nèi)部非法授權(quán)等行為全面監(jiān)測(cè)甄別。入侵檢測(cè)系統(tǒng)可以在系統(tǒng)接受攻擊產(chǎn)生相應(yīng)危害前就檢測(cè)到異常，并激活相應(yīng)警報(bào)與防護(hù)程序驅(qū)逐入侵。對(duì)于正在進(jìn)行的攻擊，該系統(tǒng)可直接收集有理信息，錄入數(shù)據(jù)庫(kù)后，提高后期的識(shí)別防范能力。

通常，入侵檢測(cè)系統(tǒng)的組成分四大部分，分別是事件發(fā)生器、事件分析器、響應(yīng)機(jī)構(gòu)和事件數(shù)據(jù)庫(kù)。

對(duì)事件發(fā)生器而言，主要指用于采集系統(tǒng)原始數(shù)據(jù)的組件，可及時(shí)追蹤各種日志文件與數(shù)據(jù)信息流，包括具體的系統(tǒng)用戶活動(dòng)狀態(tài)及各種網(wǎng)絡(luò)行為等內(nèi)容。通過轉(zhuǎn)換功能將原始數(shù)據(jù)變?yōu)楦鞣N事件，并將事件輸出到其他部位。

對(duì)事件分析器而言，主要用于對(duì)接收到的事件信息進(jìn)行合理分析，對(duì)是否異常進(jìn)行判斷。通常入侵檢測(cè)系統(tǒng)中往往含有一個(gè)安全策略集合庫(kù)，可以及時(shí)對(duì)比接收事件與安全信息庫(kù)中的安全策略，對(duì)入侵行為進(jìn)行分析挖掘。對(duì)于這一知識(shí)庫(kù)的定義方式，通常采取對(duì)技術(shù)報(bào)文中的攻擊字段進(jìn)行檢測(cè)來發(fā)現(xiàn)各種攻擊特征。事件在分析的過程中，對(duì)所有有悖于安全策略的行為進(jìn)行標(biāo)注和區(qū)分從而實(shí)現(xiàn)入侵檢測(cè)。一般上，若采用模式匹配為主的檢測(cè)技術(shù)，入侵檢測(cè)系統(tǒng)的運(yùn)行就類似于殺毒軟件，首先定義異常事件特征，并科學(xué)判定事件的數(shù)據(jù)熱證是否出現(xiàn)在知識(shí)庫(kù)的入侵模式記錄中；若采用異常探測(cè)為主的檢測(cè)技術(shù)，則系統(tǒng)需要對(duì)很多正常運(yùn)行的狀態(tài)采用編碼標(biāo)識(shí)后，直接將后期系統(tǒng)的不同運(yùn)行狀態(tài)與此正常編碼相比，掌握是否受異常攻擊的可能性。

對(duì)響應(yīng)機(jī)構(gòu)而言，就是對(duì)于已經(jīng)明確的網(wǎng)絡(luò)入侵行為進(jìn)行積極的響應(yīng)，對(duì)應(yīng)采取更有針對(duì)性的措施進(jìn)行處理。這樣的響應(yīng)即可能是積極合理的，也可能是消極被動(dòng)的。常用的主動(dòng)反擊響應(yīng)，就是直接采用諸如 DoS攻擊在內(nèi)的各種攻擊行為回應(yīng)網(wǎng)絡(luò)不法攻擊者；當(dāng)然也可以采用更為溫和的保護(hù)性策略，如中斷入侵TCP連接，重新設(shè)定路由器訪問等。

對(duì)事件數(shù)據(jù)庫(kù)而言，就是入侵檢測(cè)系統(tǒng)為了存儲(chǔ)更多的檢測(cè)與響應(yīng)行為所產(chǎn)生的數(shù)據(jù)所準(zhǔn)備的存儲(chǔ)空間。

對(duì)入侵檢測(cè)系統(tǒng)而言，也具有一定的技術(shù)短板，隨著整個(gè)系統(tǒng)中數(shù)量增大，對(duì)于風(fēng)險(xiǎn)的檢測(cè)效率將不斷降低，同時(shí)可能出現(xiàn)較多的漏報(bào)與誤報(bào)現(xiàn)象。由于整個(gè)系統(tǒng)運(yùn)行開銷龐大，對(duì)系統(tǒng)所配服務(wù)器的硬件要求增高。還有一個(gè)問題不同忽視，該系統(tǒng)對(duì) IPv6等加密數(shù)據(jù)包或其他未知的攻擊檢測(cè)能力近乎為零，所以只有將入侵檢測(cè)系統(tǒng)與防火墻相互結(jié)合聯(lián)動(dòng)，網(wǎng)絡(luò)安全防護(hù)效果才更加明顯。

3 防火墻融合入侵檢測(cè)系統(tǒng)的網(wǎng)絡(luò)安全應(yīng)用

將防火墻與入侵檢測(cè)系統(tǒng)之間融合運(yùn)用，兩者的互補(bǔ)效果將更加突出，形成特定互動(dòng)模型：由入侵檢測(cè)系統(tǒng)檢測(cè)到入侵行為后立即向防火墻發(fā)送阻斷請(qǐng)求，防火墻將及時(shí)響應(yīng)相應(yīng)請(qǐng)求，并調(diào)整策略認(rèn)真完善包括入侵檢測(cè)系統(tǒng)在內(nèi)的運(yùn)行策略。技術(shù)聯(lián)用中應(yīng)注意幾點(diǎn)：

3.1 入侵檢測(cè)裝置的安放位置要適宜

通常要確保入侵檢測(cè)裝置安裝在防火墻附近，能夠使整個(gè)系統(tǒng)進(jìn)行最佳工作狀態(tài)。若入侵檢測(cè)裝置放在防火墻外，并置于ISP與防火墻外界邊緣之間的非軍事區(qū)，裝置將可檢測(cè)到所有來自互聯(lián)網(wǎng)絡(luò)的攻擊。當(dāng)然，入侵檢測(cè)裝置對(duì)于如TCP攻擊之類的攻擊，并不能直接檢測(cè)到，只有通過防火墻或某些含有過濾功能的路由器的封鎖阻隔才能實(shí)現(xiàn)防護(hù)。這與檢測(cè)原理有關(guān)：很多檢測(cè)都是將攻擊類型與數(shù)據(jù)庫(kù)中的字符串類型進(jìn)行比對(duì)后特征一致才完成的，對(duì)于TCP攻擊，字符串只在TCP握手時(shí)機(jī)中傳送，不利于檢測(cè)。當(dāng)然，最為合理的檢測(cè)裝置安防位置仍要選在防火墻外，這樣可將自由站點(diǎn)與外部攻擊全部暴露在檢測(cè)視野中。當(dāng)檢測(cè)裝置在防火墻內(nèi)部時(shí)，由于內(nèi)部的網(wǎng)絡(luò)攻擊不斷降低，使得檢測(cè)裝置可以在無干擾的情況下提高準(zhǔn)確報(bào)警概率，避免漏報(bào)誤報(bào)出現(xiàn)。

3.2 防火墻與入侵檢測(cè)系統(tǒng)的接口

人們常常面臨的防火墻與入侵檢測(cè)系統(tǒng)之間的互動(dòng)有兩類：其一是基于開放接口的互動(dòng)，就是將防火墻或入侵檢測(cè)裝置上任一可用接口開放，供雙方使用，按既定協(xié)議通信，確保網(wǎng)絡(luò)事件傳輸?shù)母咝О踩?。?duì)于開放接口而言，防火墻與入侵檢測(cè)系統(tǒng)都不會(huì)受其影響。其二是兩者被集成到同一系統(tǒng)中，入侵檢測(cè)系統(tǒng)只接受經(jīng)防護(hù)墻過濾阻隔的數(shù)據(jù)流。本文的設(shè)計(jì)將重點(diǎn)將入侵檢測(cè)系統(tǒng)內(nèi)嵌于防火墻內(nèi)，加強(qiáng)不同功能模塊之間的聯(lián)系。將防火墻作為第一屏障，將入侵檢測(cè)模塊作為第二屏障，經(jīng)過防火墻的檢測(cè)驗(yàn)證后，網(wǎng)絡(luò)封包數(shù)據(jù)將到達(dá)入侵檢測(cè)模塊，詳細(xì)檢測(cè)共計(jì)性，同時(shí)完成異常阻隔。

4 結(jié)束語

由于防火墻與入侵檢測(cè)之間存在互補(bǔ)關(guān)聯(lián)，于主機(jī)防火墻內(nèi)加裝入侵檢測(cè)模塊，將及時(shí)檢測(cè)攻擊性并有效提升整個(gè)融合系統(tǒng)的過濾能力，從而提高了動(dòng)檢檢測(cè)防御能力，增強(qiáng)網(wǎng)絡(luò)安全性。

[1]譚偉.防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)架構(gòu)的研究[D].武漢理工大學(xué)，2010.

[2]劉露.融合防火墻與入侵檢測(cè)技術(shù)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)[J].現(xiàn)代計(jì)算機(jī):專業(yè)版，2012.