防火墙和入侵检测联动技术研究.docVIP

防火墙和入侵检测联动技术研究 　　摘要: 防火墙与入侵检测作为保护网络安全的重要技术手段被广泛应用,但现有的安全产品往往将防火墙与入侵检测系统单独使用,不能满足网络安全整体化、立体化的要求。本文介绍了网络防火墙的主要技术,探讨了防火墙与网络入侵检测系统联动模型。 　　关键词: 入侵检测;网络防火墙;联动模型 　　 　　1引言 　　 　　二十一世纪,随着计算机网络技术的飞速发展,一个实时网络通讯、资源信息共享的网络时代已经来临,可以说现在人们的工作、生活己经和它密不可分了。但是计算机网络在给我们提供快捷、方便、可靠服务的同时,也带来了不容忽视的网络安全问题。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全。目前,运用较广泛的网络安全的主要技术有防火墙技术、入侵检测技术。本文集两种技术之所长提出了一种将防火墙与网络入侵检测系统进行联动的体系框架。 　　 　　2网络防火墙的主要技术 　　 　　随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术也在不断发展,防火墙所采用的主要技术为。 　　2.1包过滤技术 　　包过滤技术是对数据包实施有选择的通过,包过滤技术的核心是安全策略,即过滤算法的设计。它能拦截和检查所有进出的数据,通过包检查模块验证包否符合过滤规则,符合的包允许通过,不符合规则的数据包要进行报警或通知管理员。另外,不管是否符合过滤规则,防火墙一般都要记录数据包的情况。对于丢弃的数据包,防火墙可以给发送方一个消息,也可以不发,这要取决于包过滤策略。包检查模块能检查包中的所有信息,一般是网络层的IP头和传输层的头。 　　2.2 代理服务器技术 　　代理型防火墙也可以被称为代理服务器。代理服务器位于客户机与服务器之间,完全阻挡了二者的数据交换。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器。代理服务器再根据这一请求向服务器索取数据,然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难危害到企业内部网络系统。代理防火墙通常支持的一些常见的应用协议有HTTP、SISSL、SMTP、POP3等。 　　2.3 状态检测技术 　　传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过或拒绝,而状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息。因此,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。 　　2.4网络地址转换技术 　　网络地址转换是把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。当受保护网络连到Internet上时,受保护网络可以使用非正式IP地址,为此网络地址转换器在防火墙上装一个合法IP地址集。当内部某一用户访问Internet时,防火墙动态地从地址集中选一个未分的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对内部的某些服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可以通过防火墙来访问内部的服务器。这种技术即缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。 　　2.5 个人防火墙技术 　　个人防火墙是一种能够保护个人计算机系统安全的软件,它可以直接在用户计算机上运行,使用与状态防火墙相同的方式,保护一台计算机免受攻击。通常,这些防火墙安装在计算机网络接口的较低级别上,使得它们可以监视传入、传出网卡的所有网络通信。对遇到的每一种的网络通信,个人防火墙都会提示用户一次,询问如何处理那种通信。然后个人防火墙便记住响应方式,并应用于以后遇到的相同的网络通信。 　　 　　3 防火墙与入侵检测联动网络构架 　　 　　专用的攻击检测设备一般是监听网络传输的信息,不是串接在其中,不能保证能够切断检测出来的攻击。只有将攻击检测和防火墙结合才一能够保证网络不受攻击。入侵检测系统与防火墙联动实现的过程如图所示。互联网上的黑客开始对受保护网络内的主机发动攻击,这时位于网络监听状态的入侵检测系统检测到黑客对内网主机的攻击行为后,入侵检测系统通过它与防火墙之间的‘公共语言’发送通知报文通知防火墙,防火墙收到并验证报文后生成动态规则实现对攻击行为的控制和阻断。 　　联动控制是基于客户服