江保利

（池州市煙草專賣局（公司），安徽 池州 247000）

近年來，伴隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和應(yīng)用的深入，網(wǎng)絡(luò)入侵事件愈加頻繁，網(wǎng)絡(luò)安全重要性更加突出。入侵檢測和防火墻作為計算機網(wǎng)絡(luò)安全防范措施中非常重要的環(huán)節(jié)，日益引起人們的重視。目前，通常利用防火墻來實現(xiàn)網(wǎng)絡(luò)的訪問控制，但它對來自內(nèi)部的威脅和數(shù)據(jù)驅(qū)動的攻擊無能為力。防火墻是一種被動的防御手段，其無法發(fā)現(xiàn)黑客的攻擊行為。入侵檢測作為一種主動的網(wǎng)絡(luò)安全防御措施，它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)測。將防火墻與入侵檢測系統(tǒng)兩種具有較強的互補性的系統(tǒng)進行聯(lián)動，構(gòu)建一個能實時檢測入侵行為并響應(yīng)的安全系統(tǒng)，能顯著增強內(nèi)部網(wǎng)絡(luò)的安全性。

1 主要網(wǎng)絡(luò)安全技術(shù)

1.1 防火墻

所謂防火墻，是指一種將內(nèi)、外部網(wǎng)絡(luò)分開的方法，實際上是一種隔離技術(shù)。它通過執(zhí)行一種訪問控制策略，檢查所有通過內(nèi)外網(wǎng)間的通信數(shù)據(jù)包，將疑似非法訪問與入侵的數(shù)據(jù)包隔離在外，最大限度地保護內(nèi)部網(wǎng)絡(luò)安全。防火墻具備過濾出入網(wǎng)絡(luò)的數(shù)據(jù)，對網(wǎng)絡(luò)攻擊檢測和告警等基本功能。防火墻的基本構(gòu)成包括網(wǎng)絡(luò)策略、驗證工具、包過濾、應(yīng)用網(wǎng)關(guān)。根據(jù)防范的方式和側(cè)重點的不同，可將防火墻分為過濾型和代理服務(wù)型。防火墻默認內(nèi)部網(wǎng)絡(luò)是完全可信的，對來自內(nèi)部的攻擊是無能為力。它的防御規(guī)則都是事先設(shè)置好的，一旦規(guī)則設(shè)置有誤或者安全形勢發(fā)生變化時就缺乏應(yīng)變能力。

1.2 入侵檢測技術(shù)

入侵檢測是對計算機網(wǎng)絡(luò)系統(tǒng)中入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、審計數(shù)據(jù)、以及網(wǎng)絡(luò)系統(tǒng)中若干關(guān)鍵點信息，檢查網(wǎng)絡(luò)系統(tǒng)中是否存在違反規(guī)則或入侵的行為，及時做出響應(yīng)，包括斷網(wǎng)、報警、記錄事件信息等。與防火墻被動防御不同，入侵檢測是主動防御攻擊行為。入侵檢測技術(shù)還存在一些不足，主要包括存在誤報和漏報率高、沒有主動防御能力、缺乏準確定位和處理機制、產(chǎn)品性能普遍不能滿足新環(huán)境發(fā)展等問題。

1.3 聯(lián)動技術(shù)

聯(lián)動技術(shù)從本質(zhì)上說是安全系統(tǒng)之間一種信息互通的機制，將安全事件及時通告給相關(guān)的安全系統(tǒng)，有助于從全局范圍評估安全事件的威脅，并在適當(dāng)?shù)奈恢貌扇幼?。鑒于防火墻與入侵檢測系統(tǒng)防御特點的不同，可以考慮將兩者結(jié)合起來，形成新的聯(lián)動系統(tǒng)。只要在某個節(jié)點發(fā)生了安全事件，這個事件都可以通過某種機制傳遞給聯(lián)動系統(tǒng)。這里的機制即為能讓眾多安全設(shè)備所支持的某種開放協(xié)議等。通過聯(lián)動可以使各安全設(shè)備做到資源整合和優(yōu)化、更好地協(xié)同工作，產(chǎn)生“1+1>2”的合力。

2 防火墻與入侵檢測系統(tǒng)的結(jié)合

2.1 防火墻與入侵檢測系統(tǒng)聯(lián)動的提出

防火墻對規(guī)則之外的攻擊無能為力，結(jié)合入侵檢測系統(tǒng)則可以有效監(jiān)控到這些入侵行為，同時入侵檢測系統(tǒng)還可以將這些入侵信息反饋給防火墻，讓防火墻對規(guī)則做出相應(yīng)調(diào)整，避免入侵行為發(fā)生。由此可見，防火墻的數(shù)據(jù)過濾與入侵檢測的實時監(jiān)控之間的互補性可以為網(wǎng)絡(luò)安全所用。

實現(xiàn)防火墻和入侵檢測系統(tǒng)之間的互動主要有二種方式：系統(tǒng)嵌入方式和開放接口方式，前者是把入侵檢測系統(tǒng)嵌入防火墻中，入侵檢測系統(tǒng)的數(shù)據(jù)不再來源于抓包，而是流經(jīng)防火墻的數(shù)據(jù)流。后者是讓防火墻或者入侵檢測系統(tǒng)開放一個接口供對方使用，雙方按照固定的協(xié)議進行通信，將攻擊事件傳送給對方，修改完善安全策略，盡量減少網(wǎng)絡(luò)系統(tǒng)惡意攻擊行為。

2.2 防火墻與入侵檢測系統(tǒng)的聯(lián)動

防火墻與入侵檢測系統(tǒng)間聯(lián)動通過以下方式實現(xiàn): 在兩者搭建起的安全體系中， 當(dāng)入侵檢測系統(tǒng)檢測到入侵行為并確定要阻斷該行為時，立即啟動聯(lián)動機制，主動通知防火墻做出相關(guān)策略的動態(tài)修改，實時對攻擊源攔截。

通過以上對防火墻與入侵檢測系統(tǒng)之間互動方式的分析，可以選用開放接口方式的聯(lián)動防御系統(tǒng)框架，在防火墻和入侵檢測系統(tǒng)中分別設(shè)置聯(lián)動接口，兩者通過聯(lián)動控制中心相互通信、相互配合。防火墻被置于內(nèi)外網(wǎng)絡(luò)的連接處，網(wǎng)絡(luò)中所有的數(shù)據(jù)包都必須通過防火墻的包過濾模塊進出網(wǎng)絡(luò)。根據(jù)預(yù)先設(shè)定的訪問控制規(guī)則，包過濾模塊對所有進出網(wǎng)絡(luò)的數(shù)據(jù)包進行篩選過濾。根據(jù)應(yīng)用不同可將內(nèi)網(wǎng)劃分為多個子網(wǎng)，入侵檢測模塊被部署在各個子網(wǎng)中。入侵檢測系統(tǒng)分析流經(jīng)各子網(wǎng)中的數(shù)據(jù)流，實時監(jiān)控各子網(wǎng)的狀況。當(dāng)入侵檢測系統(tǒng)檢測到網(wǎng)絡(luò)中有攻擊行為時，立即將該安全事件上報給聯(lián)動控制中心，中心對上報的事件進行分析，并采取相應(yīng)的響應(yīng)措施，將響應(yīng)警報發(fā)送給防火墻聯(lián)動接口。防火墻接受警報后，會即刻完善其訪問控制規(guī)則，避免該攻擊行為再次發(fā)生。

通過聯(lián)動控制中心的數(shù)據(jù)處理和轉(zhuǎn)發(fā)，使得“主動監(jiān)聽”與“被動防御”之間實現(xiàn)了相互聯(lián)結(jié)，事件處理效率也有了明顯提升。聯(lián)動系統(tǒng)還可將操作日志記錄到審計數(shù)據(jù)庫中，管理員通過查閱日志可以盡快發(fā)現(xiàn)系統(tǒng)中存在的問題并做出針對性的改進，完善系統(tǒng)的安全防御措施。

結(jié)語

防火墻技術(shù)與入侵檢測技術(shù)有著較強的互補性，兩者的聯(lián)動，能對網(wǎng)絡(luò)系統(tǒng)提供更加周全的保護。雖然防火墻與入侵檢測系統(tǒng)聯(lián)動，能在很大程度上提高網(wǎng)絡(luò)安全性，但并不能絕對保證網(wǎng)絡(luò)安全。在實際工作環(huán)境中，還需要將防火墻技術(shù)、入侵檢測技術(shù)與各種網(wǎng)絡(luò)安全技術(shù)相結(jié)合，并采取有效的管理和組織措施，加強培訓(xùn)，提高網(wǎng)絡(luò)管理人員和用戶的安全意識，建立健全相應(yīng)的規(guī)章制度，通過技術(shù)與立法等多種手段進行綜合治理，才能真正形成立體的、縱深有序的信息安全防御體系。

[1]唐正軍.網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)[M].北京：電子工業(yè)出版社，2002.

[2]肖竟華.防火墻技術(shù)及其體系結(jié)構(gòu)分析[J].微機發(fā)展，2003，13（01）：64—66.

[3]文曹斌.IDS 與防火墻聯(lián)動就看NAP[N].中國計算機報，2003，05，26.

[4]靳燕，王建珍.實現(xiàn)系統(tǒng)安全的技術(shù)方案分析[J].電腦開發(fā)與應(yīng)用，2010，23（07）:20-22.

[5]宋東華.基于TCP/IP 協(xié)議分析的入侵檢測系統(tǒng)研究與實現(xiàn)[D].北京：電子科技大學(xué)，2006.