入侵检测系统与防火墙的联动.pdfVIP

维普资讯 第29卷 第 6期 临沂 师 范 学 院学报 2007年 12月 、，01．29 NO．6 JournalofLinyiNormalUniversity Dec．2007 入侵检测系统与防火墙的联动 庄健平 (华侨大学 华文学院，福建 厦门 361021) 摘要：在分析介绍 了入侵检测 系统和防火墙的基础上，设计一种入侵检测系统和防火墙联动的模式． 利用两者的结合，入侵检测 系统检测攻击行 为后，通过与防火墙之间的公共语言发送通知给防火墙，防 火墙生成动态规则对攻击行为实现控制和阻断．因此可以更有效地保护用户信息安全． 关键词：入侵检测；防火墙；联动 中图分类号：TP393．08 文献标识码：A 文章编号：1009～6051(2007)06—0107—04 l引言 随着信息技术的高速发展，信息安全越来越引起人们的重视．一些大中型企业希望通过购买防 火墙、入侵检测系统等安全设备来保障企业的信息安全．防火墙和入侵检测系统处于网络的边界，虽 可以有效保护 内部网络免受来 自Internet的攻击，却不能对来 自网络 内部的攻击进行防御 …．因此， 个人主机防火墙成为企业信息安全不可缺少的重要组成部分．但是防火墙不识别网络流量，只要是 经过合法通道的网络攻击 ，防火墙就无能为力．例如很多来 自于 ActiveX和 JavaApplet的恶意代码 ， 通过合法的web访 问通道，对系统形成威胁．同样，入侵检测系统本身易遭受拒绝服务攻击 (DOS)， 其包捕捉引擎在突发的、海量的流量前会迅速失效，而且还有一些攻击可绕过它的检测 [2-41．同时， 入侵检测系统对攻击的抵抗控制力也很弱，对攻击源只能做一些简单处理．这样易增加了网络的流 量、甚至导致网络拥塞．因此，防火墙和入侵检测系统的功能特点和局限性决定了它们彼此可以取 长补短．防火墙主要做访 问控制，入侵检测系统主要做入侵信号的发现，而且，它们本身所具有的强 大功效仍没有得到充分的发挥 ．因此，防火墙和入侵检测系统之间适合建立密切 的联动关系，共同 提高网络安全体系的防护能力． 2防火墙与入侵检测系统 2．1防火墙技术 防火墙 (firewal1)是在计算机网络互联环境下的访 问控制技术，通过监测、限制、更改跨越防火 墙的数据流，可以有效地屏蔽被保护网络的信息，保证信息的私有性和完整性，从而对系统及其正 常运行等提供安全防护．防火墙是由软件、硬件构成的系统，用来在两个网络之间实施接入控制策 防火墙 图1 防火墙在互连的网络中的位置 收稿 日期：2007—10一】1 作者简介：庄健平 (1969一)，男，福建厦门人 ，华侨大学讲师．主要从事计算机网络及安全方面的研究 维普资讯 108 临沂 师 范 学 院学报 第 29卷 略．接入控制策略是由使用防火墙的单位 自行制订的，为的是可以最适合本单位的需要．图 1是防 火墙在互连的网络 中的位置． 防火墙 内的网络称为 “可信赖的网络”(trustednetwork)，而将外部的因特网称为 “不可信赖的网 络 ”(untrustednetwork)．作为不同的网段之 问的逻辑隔离设备，防火墙将可信赖 的网络与外部不可 信赖的网络进行有效隔离，将 网络安全策略的制定和信息的流动集 中管理控制，为网络边界提供保 护，是抵御外界入侵可靠的手段之一．防火墙用来解决 内联网和外联网的安全 问题 ．它来源于对 内 联网和外联网的安全问题的思考．这种思考的结果产生了如何对网络传输的数据设定合法的路由选 择 ．其基本构成包括：网络策略、验证工具、包过滤、应用网关．网络策略又分为扩展性策略、服务 访问策略、防火墙