防火墙与入侵检测结合的应用研究.docVIP

PAGE PAGE 4 防火墙与入侵检测结合的应用研究 摘要: 防火墙与入侵检测系统IDS各有优缺点,本文在认真研究了其原理之后，将二者进行了细致深入的比较，在衡量了防火墙与IDS放置的位置后，着重提出了一种将IDS与防火墙结合互动使用的新理念， 并且设计了一种针对这种互动的基于校园网的安全模型，对该安全模型的重要组成部分：建立特征库以及IDS与防火墙的接口设计进行了重点研究。 关键词: 防火墙；校园网；入侵检测；网络安全 1 引言 随着计算机网络的飞速发展和Internet应用范围的不断扩大，人们能够方便有效地获取信息资源和与他人交流。但是，由于网络协议本身设计和实现上一些不完善的因素，随之而来的Internet入侵事件也就层出不穷。作为开放网络的组成部分，校园网络的安全也是不可忽视的。 一般来说，校园网己经具备的网络安全技术有防火墙、代理服务器、过滤器、加密、口令验证等等，目前我院所应用的很多安全设备都属于静态安全技术范畴，如防火墙和系统外壳等外围保护设备。静态安全技术的缺点是需要人工来实施和维护，不能主动跟踪入侵者。而入侵检测则属于动态安全技术，它能够主动检测网络的易受攻击点和安全漏洞，并且通常能够先于人工探测到危险行为。 基于以上问题，本文进一步比较了入侵检测技术为代表的动态安全技术和以防火墙为代表的静态安全技术各自的区别和联系，经过探究它们的优缺点，提出了将动态技术与静态技术相结合的应用能够取长补短，弥补各自的缺点，并结合校园网的建设和管理，大胆地在校园网络中应用IDS与原来的防火墙共同使用，大大提高系统的安全防护水平，取得了良好的效果。 2 相关理论与技术 2.1 网络安全 网络信息安全的定义有很多种，如国际标准委员会ISO定义为：“为数据处理系统采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改和泄露”。针对网络信息安全的相对性，著名的网络安全公司安氏也给出了一个通俗的、动态的定义：网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。 2.2 防火墙 从狭义上来讲，防火墙是指在两个网络之间加强访问控制的一个或一系列网络设备，是安装了防火墙软件的主机、路由器或多机系统；从广义上讲，防火墙还包括了整个网络的安全策略和安全行为，是一整套保障网络安全的手段。已有的防火墙系统是一个静态的网络攻击防御，同时由于其对新协议和新服务的支持不能动态的扩展，所以很难提供个性化的服务。 2.3入侵检测系统 (IDS) 入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程，它不仅检测来自外部的入侵行为，同时也检测内部用户的未授权活动。 入侵检测系统 (IDS)是从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS被公认为是防火墙之后的第二道安全闸门，它作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防御的角度出发，对防范网络恶意攻击及误操作提供了主动的实时保护，从而能够在网络系统受到危害之前拦截和响应入侵。 3 防火墙与入侵检测在校园网中的应用 3.1防火墙与IDS的单独摆放时的位置 3.1.1防火墙位置 防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，防火墙才能对此实行检查、防护等功能。因此，在网络拓扑上，防火墙应当处在网络的出口处和不同安全等级区域的结合点处。这些位置通常位于内部网到Internet出口链路处；主干交换机至服务器区域工作组交换机的骨干链路上；内部网与高安全等级的涉密网的连接点；远程拨号服务器与骨干交换机或路由器之间。 3.1.2入侵检测位置 不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有来自高危网络区域的访问流量和需要进行统计、监视的网络报文都必须流经的链路上。IDS在交换式网络中的位置一般选择在：尽可能靠近攻击源；尽可能靠近受保护资源。这些位置通常是： ·服务器区域的交换机上； ·Internet接入路由器之后的第一台交换机上； ·重点保护网段的局域网交换机上。 3.2防火墙与IDS的结合 谈到网络安全，人们第一个想到的就是防火墙。但随着技术的发展，网络日趋复杂，传统防火墙所暴露出来的不足和弱点引起了人们对入侵检测系统(IDS)技术的研究和开发。 首先，传统的防火墙在工作时，就像深宅大院虽有高大的院墙，却不能挡住小老鼠甚至是家贼的偷袭一样，因为入侵者可以找到防火墙背后可能敞开的后门。 其次，防火墙完全不能阻止来自内部的袭击。我们通过调查发现，70%的攻击都将来自于校园网内部，对于校园网内部个别心怀不满的教师或学生来说，防火墙形同虚设。 再者