关于IDS和防火墙有机整合的探讨.pdfVIP

维普资讯 第 18卷第2期 青 岛 大 学 学 报 Vo1．18No．2 2003年 6月 JOURNALOFQINGDAOUNIVER圊frY Jan ．2003 0文章囊号：loo6-979s(2oo3)trza~61-o4 关于 IDS和防火墙有机整合的探讨。 蔺德军r，宁 蕾2 (1．青岛大学信息工程学院，山东青岛266071；2．青岛职业技术学院，山东青岛266o71) 摘要：为提高内部网络的安全性，通常同时采用防火墙和入侵检测系统 (II)S)，但是两者都有 无法克服的缺点。防火墙是整个 内部网络的门户 ，为了不影响网络的吞吐量，不宜采用深入 的检测；而 IDS在防火墙后运行，可以深入检测 ，但是一旦发现入侵，能采取的措施却极为有 限，最多只能断开连接 ，对于后续的相同的攻击无能为力。因此应该建立一种机制，让 发现的入侵规则及时通知防火墙，阻断同样类型的攻击，如果把两者整合到一起，将发挥更 大的优势。 关键词：防火墙；入侵检测系统；检测规则 中图分类号：唧 93．O8 文献标识码 ：A 随着网络的延伸，给各行业带来越来越大的便利 ，但是便利与危险并存，有人 曾在网上说 ，网络的搜索引 擎是如此之强，已经到了泄露个人私密的地步，他在 googl~搜索引擎中输入 自己的名字，竟然真的搜索到有 关 自己的内容。这些可能还算不上机密，那么那些机密 内容是不是安全呢?如果使用局域网与因特网相连 接，企业的机密可能会通过网络连接传播出去；国家政府机关、军队的网络可能在需要工作的时候不能运转。 所以能否保证网络的安全，关系到企业 的生存 ，国家的安全，而且这些安全隐患往往到最关键 的时刻才暴露 出来 ，而那时为时已晚。所有以平时必须加强网络的安全措施 ，防止信息的窃取，防止被安装上木马、病毒， 防患于未然。 目前主要的安全措施是安装防火墙和采用入侵检测技术 。现在市场上也有各种商业防火墙和入侵检测 软件可供选择，但是分别使用，还不能充分发挥两者的作用 ，应该建立一种机制，使两者通过 中间环节有机地 自动地连接起来，互相作为对方的援助，将发挥原来分别使用时难以达到的效果。 1 防火墙的种类和特点 防火墙的类型主要包括 ：包过滤防火墙、基于状态的包过滤防火墙、应用代理 (网关)防火墙…1。 (1) 包过滤防火墙 这个层次的防火墙通常工作在 031的网络层及其以下各层，控制的内容主要包括报文的 口地址 (源地 址和 目标地址)、服务类型，以及第2层数据链路层的MAC地址等。除此以外，随着包过滤防火墙的发展，部 分oSI第4层的内容也被包括进来 ，如报文的源端 口和 目的端 口。 (2) 基于状态的包过滤防火墙 这种防火墙在传统的包过滤防火墙的基础上增加 了对 0SI第 4层的支持 ，同时，防火墙会在 自身 cache 或内存 中维护着一个动态的状态表 ，状态表 的内容一般主要包括数据包的来源／目的 口地址、来源／目的端 口、时间、以及数据包的序号(flo2lueno~硼rnber)和数据包的标志符等(对于 连结)。如果防火墙接收到一 个初始化 tcpsyn数据包，这个包会首先被防火墙的访问控制规则检查 ，如果在检查了所有的控制规则后，该 ·收稿 日期~003—03—12 “ 作者简介：蔼德军(1968一)，男，山东莱芜人，实验师 ，1991年毕业于原山东纺织工学院，获学士学位，研究方向为计算机网络与信息安 全 。 维普资讯 62 青 岛 大 学 学 报 第 18卷 包都没有被接受，那么该次连接被拒绝；如果数据包符合某条访问控制规则 ，当有数据包到达防火墙时，这些 参数将决定数据包是否属于一个已经合法的会话 ，如果不属于，那么在状态表中一个新的会话就被建立，后 续的数据包状态如果与状态表 内的会话 内容