葉茂華

?

一防火墻和IDS聯(lián)動在計算機網(wǎng)絡(luò)安全中的應(yīng)用

葉茂華

東莞市大朗鎮(zhèn)計生衛(wèi)生局，廣東 東莞 523779

研究通過對防火墻和IDS聯(lián)動技術(shù)的相關(guān)探討，發(fā)現(xiàn)防火墻和IDS的結(jié)合應(yīng)用可發(fā)揮優(yōu)勢互補的效果，能夠顯著提高計算機網(wǎng)絡(luò)系統(tǒng)的安全防御能力。

防火墻；IDS；計算機；網(wǎng)絡(luò)安全

在信息化時代環(huán)境下，網(wǎng)絡(luò)技術(shù)已經(jīng)滲透到人們的生產(chǎn)、生活當(dāng)中，改變了人們的思維方式和行為習(xí)慣，成為現(xiàn)代化社會建設(shè)和發(fā)展不可獲取的重要部分。然而在互聯(lián)網(wǎng)技術(shù)迅速發(fā)展的同時，網(wǎng)絡(luò)安全問題也日益突出。校園網(wǎng)站作為一個開放性網(wǎng)站，在學(xué)校教學(xué)、科研、日常管理中發(fā)揮著重要作用。如今隨著網(wǎng)站規(guī)模的不斷擴大，網(wǎng)站遭受的危險攻擊也急劇增加，所以如何加強校園網(wǎng)站安全防范措施，提高網(wǎng)站安全性是目前面臨的重要問題。

1 當(dāng)前計算機網(wǎng)絡(luò)安全風(fēng)險

如今隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，各單位的網(wǎng)絡(luò)建設(shè)也進入了比較成熟的階段，但隨著而來的安全問題也越來越突出，對網(wǎng)絡(luò)的信息安全帶來極大的威脅。網(wǎng)絡(luò)面臨的威脅主要包括以下幾個方面：一是人為的惡意攻擊，通過非法手段獲取非法利益，這種惡性行為一部分來自網(wǎng)絡(luò)外部，一部分來自網(wǎng)絡(luò)內(nèi)部員工出于好奇而進行的黑客程序運行活動，這些都對網(wǎng)絡(luò)的安全造成巨大的威脅；二是網(wǎng)絡(luò)病毒對入侵，隨著計算機技術(shù)的發(fā)展，網(wǎng)絡(luò)病毒的攻擊性和危害性也越來越大，一旦入侵網(wǎng)站就可能導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)癱瘓；三是網(wǎng)絡(luò)站系統(tǒng)的安全漏洞越來越多，安全漏洞是系統(tǒng)遭受惡意攻擊的重要原因，而網(wǎng)站服務(wù)器以及其他設(shè)備的多樣化發(fā)展個應(yīng)用，同時也為網(wǎng)絡(luò)系統(tǒng)帶來了更多的安全漏洞，給那些黑客的攻擊、病毒的入侵創(chuàng)造了機會[1]。網(wǎng)絡(luò)面臨安全風(fēng)險的原因主要是因為網(wǎng)絡(luò)是一個開放式環(huán)境，這是實現(xiàn)網(wǎng)站資源共享的必然要求。另外，單位對網(wǎng)絡(luò)的建設(shè)和管理維護方面投入較少，設(shè)備和人才配置方面不足。

2 防火墻技術(shù)和IDS技術(shù)

防火墻技術(shù)涉及到數(shù)據(jù)加密、網(wǎng)絡(luò)通信、信息安全、安全決策等多個方面，是一種綜合性的科學(xué)技術(shù)，隨著網(wǎng)絡(luò)安全形勢的日益嚴(yán)峻，防火墻技術(shù)近年來發(fā)展迅速。簡單來講，防火墻就是一道位于目標(biāo)保護網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的屏障，通過部署多個網(wǎng)絡(luò)安全設(shè)備將內(nèi)外網(wǎng)隔離來看，阻擋非法訪問，保護網(wǎng)絡(luò)安全，以防止發(fā)生不可預(yù)測的、潛在的惡性入侵和破壞。防火墻自身有很強的抗攻擊能力，是一種有效的安全技術(shù)，常用的防火墻有過濾防火墻、內(nèi)容過濾防火墻等。

入侵檢測技術(shù)是一種新型的、動態(tài)的網(wǎng)絡(luò)安全技術(shù)，其主要功能是主動檢測網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，探測可能發(fā)生的網(wǎng)絡(luò)危險行為，檢測入侵者的攻擊行為和目標(biāo)，并在檢測到安全威脅后及時發(fā)出報警信息，將危險消除在網(wǎng)絡(luò)遭受侵犯之前。入侵檢測技術(shù)可以對網(wǎng)絡(luò)系統(tǒng)的各種活動進行掃描，對網(wǎng)絡(luò)流量進行監(jiān)控，進而收集重要的網(wǎng)絡(luò)信息，查找網(wǎng)絡(luò)中潛在的安全風(fēng)險，并執(zhí)行實時報警。入侵檢測技術(shù)的功能核心在于檢測入侵行為是否發(fā)生，而不能立即阻止入侵行為的發(fā)生。而且目前入侵檢測技術(shù)有很多的局限性，存在評價標(biāo)準(zhǔn)不統(tǒng)一、誤報率高、漏報率高、缺乏規(guī)范的響應(yīng)措施等問題。

3 防火墻和IDS聯(lián)動技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用

在網(wǎng)絡(luò)系統(tǒng)安全形勢的日益嚴(yán)峻的形勢下，現(xiàn)有的安全防護技術(shù)以及遠(yuǎn)遠(yuǎn)不能滿足網(wǎng)絡(luò)安全的實際需要，鑒于各種安全防護技術(shù)存在的局限性，單單依靠防火墻和入侵檢測技術(shù)是無法有效保證網(wǎng)絡(luò)的安全性的。因此可以根據(jù)防火墻技術(shù)和入侵檢測技術(shù)各種的特點進行聯(lián)動系統(tǒng)設(shè)計，實現(xiàn)兩組安全技術(shù)的優(yōu)勢互補。防火墻技術(shù)和入侵檢測技術(shù)的結(jié)合運行過程中，防火墻第一層可發(fā)揮訪問控制職能，入侵檢測技術(shù)可以發(fā)揮第二層保護功能，可以通過入侵檢測技術(shù)及時發(fā)現(xiàn)防火墻以外的危險攻擊，進而提高網(wǎng)絡(luò)系統(tǒng)的防御能力。防火墻與入侵檢測技術(shù)聯(lián)動技術(shù)的原理如下圖1所示。

圖1 防火墻和入侵檢測聯(lián)動原理圖

防火墻與入侵檢測聯(lián)動系統(tǒng)的實現(xiàn)需要多個功能模塊，如下圖2所示。其中入侵檢測控制信息生成模塊的主要功能是接受探測器發(fā)出的危險信號，并進行分析、整理，從中提取相關(guān)信息，轉(zhuǎn)化成控制信息，對信息進行加密處理后發(fā)送信息。系統(tǒng)的通訊模塊在網(wǎng)絡(luò)安全策略配置基礎(chǔ)上指定防火墻地址和認(rèn)證密碼，實現(xiàn)與防火墻之間的數(shù)據(jù)傳遞。動態(tài)規(guī)則處理模塊主要功能是通過安全策略驗證信息身份，然后進行確認(rèn)、處理[2]。審計分析模塊的功能主要是分析防火墻的動態(tài)規(guī)則，為以后的日志分析提供有利依據(jù)。防火墻與入侵檢測聯(lián)動系統(tǒng)中，防火墻就相當(dāng)于網(wǎng)絡(luò)安全的第一道屏障，入侵檢測技術(shù)就是第二道屏障，防火墻技術(shù)不能阻擋來自網(wǎng)絡(luò)內(nèi)部的攻擊，而入侵檢測的結(jié)合應(yīng)用可以有效解決這一問題，實現(xiàn)對內(nèi)、外網(wǎng)操作以及誤操作的實時保護，在入侵行為發(fā)生之前進行攔截，在不影響網(wǎng)絡(luò)性能的情況對系統(tǒng)安全進行實時監(jiān)控[3]。

圖2 防火墻和入侵檢測聯(lián)動系統(tǒng)功能結(jié)構(gòu)圖

4 結(jié)語

隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展，人們逐漸對網(wǎng)絡(luò)安全問題引起關(guān)注。在網(wǎng)絡(luò)的安全管理方面，沒有絕對的安全技術(shù)，只有不斷地提高安全防護意識，優(yōu)化網(wǎng)絡(luò)安全技術(shù)性能，從病毒防范、安全隔離、安全監(jiān)控、修補漏洞、數(shù)據(jù)備份等等方面加強安全保護措施，以降低網(wǎng)絡(luò)系統(tǒng)面臨的安全風(fēng)險，為計算機網(wǎng)絡(luò)提供一個安全的運行環(huán)境。

[1]甘宏，潘丹.基于網(wǎng)絡(luò)安全入侵檢測技術(shù)與防火墻結(jié)合的應(yīng)用研究[J].科技廣場，2011（1）：45-47.

[2]賈巖.一種IDS與防火墻聯(lián)動系統(tǒng)中通信機制的設(shè)計與實現(xiàn)[D].北京：北京大學(xué)，2009.

[3]陳潔，連曉東.IDS在鐵路計算機網(wǎng)絡(luò)中的應(yīng)用與研究[J].南陽理工學(xué)院學(xué)報，2009（6）：19-21.

Application of a Firewall and IDS Linkage in Computer Network Security

Ye Maohua

Dalang Town，Dongguan City Health Bureau，Dongguan，Guangdong 523779

In this paper，through discussion of firewall and IDS technology，firewall and IDS （Intrusion Detection System）combined application can play a complementary effect，can significantly improve the security and defense capability of computer network system.

firewall；IDS；computer；network security

TP393.08

A

1009-6434(2016)6-0160-02