浅述入侵检测技术在防火墙中的应用.doc

浅述入侵检测技术在防火墙中的应用 吴旻倩，万施，万君 南昌广播电视大学 江西 南昌 330003；2南昌大学信息工程学院 江西 南昌 330003； 3、江西广播电视大学 江西 南昌 330003） 摘要：防火墙技术一直在信息安全中扮演着重要的角色，然而防火墙技术尤其自身不能完善的缺陷，该缺陷在入侵检测技术的加盟下得到了改善。本文简要的介绍了入侵检测技术与防火墙技术互补共防的重要性及一种将两者结合在一起的简单方法。 关键字：网络安全；防火墙；入侵检测；IDS 引言 在全球信息技术高度发达的今天，随着互联网的日益普及，网络对于许多人来说已经成为工作和生活中必不可少的一部分。网络在带给人们极大便利的同时，也带来了一个棘手的问题，就是网络安全问题。为实现网络安全，防范网络攻击，各种网络安全工具也随之被炒的火热。其中最瞩目的当属网络安全工具中比较热门的两大产品——防火墙和入侵检测。 防火墙和入侵检测系统互为补充共同防护 一个内部网的安全性仅靠防火墙是远远不够的，仅靠入侵检测也是不行的。防火墙是保护网络安全的重要手段，而入侵检测又是安全技术的核心，是防火墙的重要补充。要有效的防范来自内外的各种攻击，就需要把防火墙和入侵检测结合起来使用，就如同矛和盾一样，单用任一样都不能发挥矛最大的攻防效力，而矛和盾同时使用时则攻防能力就会明显加强。所以把防火墙和入侵检测结合使用，就可以最大限度的维护系统的安全。但是如何配置防火墙和入侵检测的位置呢? 一般来说，基于网络的入侵检测系统需要有检测器才能工作。如果检测器放的位置不对，入侵检测系统也无法工作在最佳状态。 （1）检测器放在防火墙之外。放在防火墙之外,可使检测器看见来自Internet的所有攻击。但是并不能检测到有些攻击的发生，如TCP攻击等。 （2）检测器放在防火墙内。这样检测器可以减少误报率。同时防火墙阻止了许多低层次的攻击，使检测器不用在花大部分精力在此类攻击上。 （3）防火墙内外都有检测器。这样做有三点好处，第一，使用者无击渗透过防火墙。第二，可以检测来自内部和外部的攻击。最后，可以检测到由于设置问题而无法通过防火墙的内部系统。 如果网络中只有一个检测器，则最好放在防火墙之外。当有证据表明站点遭到有目标的攻击时，就应该尽快采取额外的防攻击对策。如果可能，入侵检测系统络和基于主机的解决方案，同防火墙一起发挥最大的保护功能。 结合方法 防火墙与入侵检测二者各有所长，形成互补。两者的结合方式有两种，（1）集成方式。将防火墙和入侵检测两个模块嵌入到一个系统中。入侵检测的数据不再来源于抓包，而是流经防火墙的数据。所有通过的包既要接受防火墙检测规则的验证，又要经过入侵检测，判断是否有攻击，以达到真正的实时阻断。 （2）联动方式。将防火墙和入侵检测作为两个独立的子系统，单独完成各自的任务，用相应的通信接口进行信息共享和互动，实现统一的主动防御。联动方式又可以采取直接联动和间接联动两种方式。直接联动就是让防火墙与入侵检测系统直接进行交互，通过统一的开放接口。按照某种固定的协议进行安全事件的传输。间接联动就是通放接口过联动控制台实现防火墙和入侵检测系统之间的通信。 但同时部署防火墙和入侵检测将是一笔较大的资金投入。所以本文主要讨论第一种结合方式。在防火墙中嵌入入侵检测功能的方法来将防火墙与入侵检测系统的功能有机地结合到一起，共同提供一个安全防御系统。这样，对于由外而内的入侵，入侵检测系统无疑成为防火墙的第二道防线，而且由于防火墙对于内部入侵能力天生不足的弱点，把IDS放在防火墙内还可以检测到内部用户的异常行为，这样会对内部网络起到很好的网络安全保障作用。 在国外，软件形式的产品已经开始成为低端网络安全市场中非常重要的一部分。针对个人来讲，无论防火墙还是入侵检测都可以采用公开源代码的软件。选择公开源代码软件的原因是：开源软件不仅是免费的，而且随着不断的发展，正变得高效和稳定。如防火墙可以选用Ipfilter，入侵检测系可以选用Snort，并将Snort嵌入在Ipfilter中，让其运行在openbsd上。选择openbsd是因为它本身就具备了相当丰富的网络安全技术的基础，本身的灵活性、稳定性也都十分优秀。 嵌入Snort后，Ipfilter会按照已有的规则对数据包进行过滤，而Snort会检测一些来自内部或其他类型的攻击，而且要给出攻击数据包的攻击类型和攻击的严重级别。并把Snort检测到的攻击数据包的相关信息作为传送数据的一部分，传递给Ipfilter，让Ipfilter来进行相应的处理，如立即清除防火墙中已建立的状态表信息，实时切断已建立的恶意连接等。 该方法与单独使用防火墙和入侵检测相比具有如下优点：(1)防火墙中嵌入入侵检测可以检测到更多的攻击，并对其进行及时处理，与单独使用防火墙相比更能保证网络安