防火墙与入侵检测系统联动技术的分析与研究.docVIP

防火墙与入侵检测系统联动技术的分析与研究 摘要：防火墙与入侵检测作为保护网络安全的重要技术手段被广泛应用，但现有的安全产品往往将防火墙与入侵检测系统单独使用，不能满足网络安全整体化、立体化的要求。伴随着网络技术的飞速发展和广泛应用，网络入侵事件越来越频繁的发生，网络安全变得尤为重要，防火墙和入侵检测随之成为网络安全措施中非常重要的环节。防火墙是一种被动的防御手段，无法发现攻击行为，仅仅依靠防火墙来维护网络的信息安全是远远不够的。而入侵检测则是一种主动的网络安全防御措施，它能在不影响网络性能的情况下对网络进行监测。将防火墙和入侵检测系统进行联动，可以构建一个较全面的能实时检测到入侵并及时响应的安全系统。本文介绍了防火墙和入侵检测的主要技术，探讨了防火墙与入侵检测系统的联动。 关键词：防火墙 入侵检测 联动 中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2015）05-0000-00 1 技术简介 （1）防火墙技术 防火墙是在内部网络与外部网络之间实施安全防范的系统，是一种访问控制机制。通常安装在被保护的内部网与互联网的连接点上，从互联网或从内部网上产生的活动都必须经过防火墙，如电子邮件、文件传输、远程登录或其他的特定活动等。它通过建立一整套规则和策略来监测、限制、转换跨越防火墙的数据流，实现保护内部网络的目的。 （2）入侵检测系统 入侵检测系统是一个能够对网络或计算机系统的活动进行实时监控的系统，它能够发现并报告网络或系统中存在的可疑迹象，为网络管理员及时采取对策提供有价值的信息。 2 防火墙与入侵检测系统联动的原理 防火墙是遏制攻击的一种手段，但它存在一些明显的不足：一是防火墙保护的是网络边界安全，对网络内部主动发起的攻击行为无法阻止。二是防火墙是根据静态的策略进行访问检查，根据管理员定义的过滤规则对进出网络的信息流进行过滤和控制的，无法根据情况的变化进行动态调整，对于隐藏于正常访问后的网络攻击却无能为力，因为防火墙不能正确识别这种攻击。三是正确配置防火墙访问规则比较困难。 联动本质上是安全产品之间一种信息互通的机制，其理论基础是：安全事件的意义不是局部的，将安全事件及时通告给相关的安全系统， 有助于从全局范围评估安全事件的威胁，并在适当的位置采取动作。只要在某个节点发生了安全事件，无论是一个简单系统捕捉到的原始事件，还是一些具有分析能力的系统“判断”出来的，它都可能需要将这个事件通过某种机制传递给相关的系统，因此“联动”是安全产品间实现互操作的一种表现。联动系统具有几种基本特性：一是有效性，针对具体的入侵行为，联动采取的响应措施应该能够有效阻止入侵的延续和最大限度降低系统损失；二是及时性，要求系统能够及时地采取有效响应措施，尽最大可能地缩短从入侵发现到响应执行的时间；三是合理性，响应措施的选择应该在技术可行的前提下，综合考虑法律、道德、制度、代价、资源约束等因素，采用合理可行的响应措施；四是安全性，联动系统的作用在于保护网络及主机免遭非法入侵，显然它自身的安全性是最基本的要求。 总之，防火墙与入侵检测系统进行联动就是为了实现动、静结合，防火墙提供静态防护，而入侵检测系统提供动态防护。因此防火墙和入侵检测系统的结合，构建一个动态的防御体系，将一切已知的可能的攻击行为进行阻断，给网络带来全面的防护。 3 防火墙与入侵检测系统联动在内网中的实现 （1）网络结构 防火墙和入侵检测系统在单位内网中的部署如图1 所示。 当防火墙和入侵检测系统实现联动后，若单位内网的用户区域有攻击行为发生时，入侵检测系统会检测到该攻击行为，马上通知防火墙，防火墙会阻断该攻击行为，以确保服务器区及整个网络的数据信息安全。 （2） 联动系统的功能模块 联动系统由入侵检测、联动控制和防火墙三大模块组成，总体框架如图2 所示。当数据流经过防火墙过滤后，进入内网，入侵检测系统将其捕获，然后经过解码、预处理，再交由检测引擎进行检测。检测引擎将当前数据与已初始化的规则链进行匹配，当检测到有匹配数据时，即检测到攻击行为，交给联动控制模块。联动控制模块判断是否需要联动，若需要，则启动防火墙接口组件改变防火墙过滤规则，进行实时阻断。 联动系统主要由如下功能模块组成：①IDS接口组件。它主要用于统一入侵检测系统报警格式。它负责将不同的报警格式翻译为联动系统所能理解的统一格式，使系统具有良好的扩展性。②联动控制模块。该模块是联动系统的核心，由分析组件、策略日志、策略响应组件和策略响应信息库组成。当IDS接口组件把转换为统一格式的入侵信息传递到分析组件后，该组件调用策略日志的入侵检测系统可信性数据，包括误报/漏报率等信息，根据这些信息生成可信性矩阵，判断是否需要联动。若需要，则提交给策略响应组件，此组件从策略响应信息库中选择具体响应策略并将其传给防火