防火墙和入侵检测联动防御系统研究.docVIP

防火墙和入侵检测联动防御系统研究 　　摘 要： 防火墙与入侵检测技术分别被广泛应用于计算机网络安全领域，但各自存在不足之处。融合防火墙与入侵检测的联动防御系统，能有效提升防火墙的机动性和实时反应能力，同时也能增强入侵检测系统的阻断能力。 　　关键词：防火墙；入侵检测技术；联动 　　中图分类号：TP393 文献标识码：A 　　近年来，伴随着网络技术的飞速发展和应用的深入，网络入侵事件愈加频繁，网络安全重要性更加突出。入侵检测和防火墙作为计算机网络安全防范措施中非常重要的环节，日益引起人们的重视。目前，通常利用防火墙来实现网络的访问控制，但它对来自内部的威胁和数据驱动的攻击无能为力。防火墙是一种被动的防御手段，其无法发现黑客的攻击行为。入侵检测作为一种主动的网络安全防御措施，它能在不影响网络性能的情况下对网络进行监测。将防火墙与入侵检测系统两种具有较强的互补性的系统进行联动，构建一个能实时检测入侵行为并响应的安全系统，能显著增强内部网络的安全性。 　　1 主要网络安全技术 　　1.1 防火墙 　　所谓防火墙，是指一种将内、外部网络分开的方法，实际上是一种隔离技术。它通过执行一种访问控制策略，检查所有通过内外网间的通信数据包，将疑似非法访问与入侵的数据包隔离在外，最大限度地保护内部网络安全。防火墙具备过滤出入网络的数据，对网络攻击检测和告警等基本功能。防火墙的基本构成包括网络策略、验证工具、包过滤、应用网关。根据防范的方式和侧重点的不同，可将防火墙分为过滤型和代理服务型。防火墙默认内部网络是完全可信的，对来自内部的攻击是无能为力。它的防御规则都是事先设置好的，一旦规则设置有误或者安全形势发生变化时就缺乏应变能力。 　　1.2 入侵检测技术 　　入侵检测是对计算机网络系统中入侵行为的检测。它通过收集和分析网络行为、审计数据、以及网络系统中若干关键点信息，检查网络系统中是否存在违反规则或入侵的行为，及时做出响应，包括断网、报警、记录事件信息等。与防火墙被动防御不同，入侵检测是主动防御攻击行为。入侵检测技术还存在一些不足，主要包括存在误报和漏报率高、没有主动防御能力、缺乏准确定位和处理机制、产品性能普遍不能满足新环境发展等问题。 　　1.3 联动技术 　　联动技术从本质上说是安全系统之间一种信息互通的机制，将安全事件及时通告给相关的安全系统，有助于从全局范围评估安全事件的威胁，并在适当的位置采取动作。鉴于防火墙与入侵检测系统防御特点的不同，可以考虑将两者结合起来，形成新的联动系统。只要在某个节点发生了安全事件，这个事件都可以通过某种机制传递给联动系统。这里的机制即为能让众多安全设备所支持的某种开放协议等。通过联动可以使各安全设备做到资源整合和优化、更好地协同工作，产生“1+12”的合力。 　　2 防火墙与入侵检测系统的结合 　　2.1 防火墙与入侵检测系统联动的提出 　　防火墙对规则之外的攻击无能为力，结合入侵检测系统则可以有效监控到这些入侵行为，同时入侵检测系统还可以将这些入侵信息反馈给防火墙，让防火墙对规则做出相应调整，避免入侵行为发生。由此可见，防火墙的数据过滤与入侵检测的实时监控之间的互补性可以为网络安全所用。 　　实现防火墙和入侵检测系统之间的互动主要有二种方式：系统嵌入方式和开放接口方式，前者是把入侵检测系统嵌入防火墙中，入侵检测系统的数据不再来源于抓包，而是流经防火墙的数据流。后者是让防火墙或者入侵检测系统开放一个接口供对方使用，双方按照固定的协议进行通信，将攻击事件传送给对方，修改完善安全策略，尽量减少网络系统恶意攻击行为。 　　2.2 防火墙与入侵检测系统的联动 　　防火墙与入侵检测系统间联动通过以下方式实现： 在两者搭建起的安全体系中， 当入侵检测系统检测到入侵行为并确定要阻断该行为时，立即启动联动机制，主动通知防火墙做出相关策略的动态修改，实时对攻击源拦截。 　　通过以上对防火墙与入侵检测系统之间互动方式的分析，可以选用开放接口方式的联动防御系统框架，在防火墙和入侵检测系统中分别设置联动接口，两者通过联动控制中心相互通信、相互配合。防火墙被置于内外网络的连接处，网络中所有的数据包都必须通过防火墙的包过滤模块进出网络。根据预先设定的访问控制规则，包过滤模块对所有进出网络的数据包进行筛选过滤。根据应用不同可将内网划分为多个子网，入侵检测模块被部署在各个子网中。入侵检测系统分析流经各子网中的数据流，实时监控各子网的状况。当入侵检测系统检测到网络中有攻击行为时，立即将该安全事件上报给联动控制中心，中心对上报的事件进行分析，并采取相应的响应措施，将响应警报发送给防火墙联动接口。防火墙接受警报后，会即刻完善其访问控制规则，避免该攻击行为再次发生。 　　通过联动控制中心的数据处理和转发，使得