◆樊 鵬

（中國飛行試驗(yàn)研究院 陜西 710089）

淺析防火墻融合入侵檢測系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)應(yīng)用

◆樊 鵬

（中國飛行試驗(yàn)研究院 陜西 710089）

面對如今越來越嚴(yán)峻的網(wǎng)絡(luò)安全形勢，加強(qiáng)安全技術(shù)應(yīng)用責(zé)任重大。防火墻技術(shù)與入侵檢測系統(tǒng)之間的技術(shù)互補(bǔ)性突出，研究出防火墻與入侵檢測系統(tǒng)相互融合的網(wǎng)絡(luò)安全模型，不斷提高技術(shù)應(yīng)用的專業(yè)性。本文分析了這一網(wǎng)絡(luò)安全模型，并就重要組成與各接口作簡要說明。

防火墻；入侵檢測系統(tǒng)；網(wǎng)絡(luò)安全

0 引言

如今，互聯(lián)網(wǎng)技術(shù)發(fā)展日新月異，互聯(lián)網(wǎng)終端產(chǎn)品更新?lián)Q代異?？焖?，所有產(chǎn)品接入互聯(lián)網(wǎng)后實(shí)現(xiàn)了信息的實(shí)時(shí)共享。不斷擴(kuò)大的網(wǎng)絡(luò)開放共享與互聯(lián)互通特性使得如今的網(wǎng)絡(luò)安全形勢越來越突出，存在大量信息丟失、數(shù)據(jù)篡改、黑客惡意攻擊等問題。網(wǎng)絡(luò)安全技術(shù)應(yīng)用已經(jīng)成為了亟待加強(qiáng)的全球性課題。防火墻技術(shù)與入侵檢測系統(tǒng)已成為人們解決網(wǎng)絡(luò)安全問題的常見手段。由于兩項(xiàng)技術(shù)在互補(bǔ)性，防火墻技術(shù)與入侵檢測系統(tǒng)融合后將變得更加主動(dòng)化和動(dòng)態(tài)化。兩者之間的結(jié)合聯(lián)動(dòng)，可靠入侵檢測系統(tǒng)及時(shí)探明防火墻外的入侵行為，入侵信息經(jīng)由防火墻分析，可快速做出策略響應(yīng)，從源頭阻止入侵活動(dòng)，實(shí)現(xiàn)高效網(wǎng)絡(luò)安全。

1 防火墻

防火墻是專注于保護(hù)本地網(wǎng)絡(luò)系統(tǒng)的安全技術(shù)，一道防火墻就是一個(gè)安全控制點(diǎn)，對于網(wǎng)絡(luò)內(nèi)部安全性的保護(hù)作用是明顯的，可過濾不同的網(wǎng)絡(luò)安全可疑風(fēng)險(xiǎn)。不同的組織機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)系統(tǒng)都需要建立防火墻。防火墻可對網(wǎng)絡(luò)進(jìn)行合理劃分，重點(diǎn)監(jiān)控并隔離關(guān)鍵網(wǎng)段，降低網(wǎng)絡(luò)危害。通常在開展網(wǎng)絡(luò)訪問活動(dòng)中，很多防火墻系統(tǒng)都使用單次單密碼的動(dòng)態(tài)性指令，或通過其他的身份認(rèn)證機(jī)制等方式讓安全認(rèn)證功能集中于主機(jī)位置。

對防火墻技術(shù)而言，其缺陷主要集中在對可跨越防火墻的不良侵害無計(jì)可施，最典型的表現(xiàn)就是對內(nèi)部出現(xiàn)攻擊難以防備。且對已生病毒而言，防火墻的殺毒能力不強(qiáng)，防火墻的技術(shù)原理其實(shí)接近與很多殺毒軟件，只有當(dāng)病毒先行產(chǎn)生并危害計(jì)算機(jī)與網(wǎng)絡(luò)后，殺毒軟件才能得到病毒的有效數(shù)據(jù)特征，并開展對應(yīng)殺毒代碼研究，同時(shí)更新病毒庫。面對不斷衍生的文件類型與數(shù)據(jù)量，防火墻將很難做到完全掃面不同文件來預(yù)防查殺病毒，先受攻擊后啟動(dòng)處理的模式使得防火墻的安全技術(shù)具有被動(dòng)性，需要配合其他技術(shù)防止安全威脅。

2 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)的開發(fā)目的就是對計(jì)算機(jī)以及網(wǎng)絡(luò)資源中出現(xiàn)的惡意行為開展高強(qiáng)度識別與處理。該技術(shù)能對外來入侵、內(nèi)部非法授權(quán)等行為全面監(jiān)測甄別。入侵檢測系統(tǒng)可以在系統(tǒng)接受攻擊產(chǎn)生相應(yīng)危害前就檢測到異常，并激活相應(yīng)警報(bào)與防護(hù)程序驅(qū)逐入侵。對于正在進(jìn)行的攻擊，該系統(tǒng)可直接收集有理信息，錄入數(shù)據(jù)庫后，提高后期的識別防范能力。

通常，入侵檢測系統(tǒng)的組成分四大部分，分別是事件發(fā)生器、事件分析器、響應(yīng)機(jī)構(gòu)和事件數(shù)據(jù)庫。

對事件發(fā)生器而言，主要指用于采集系統(tǒng)原始數(shù)據(jù)的組件，可及時(shí)追蹤各種日志文件與數(shù)據(jù)信息流，包括具體的系統(tǒng)用戶活動(dòng)狀態(tài)及各種網(wǎng)絡(luò)行為等內(nèi)容。通過轉(zhuǎn)換功能將原始數(shù)據(jù)變?yōu)楦鞣N事件，并將事件輸出到其他部位。

對事件分析器而言，主要用于對接收到的事件信息進(jìn)行合理分析，對是否異常進(jìn)行判斷。通常入侵檢測系統(tǒng)中往往含有一個(gè)安全策略集合庫，可以及時(shí)對比接收事件與安全信息庫中的安全策略，對入侵行為進(jìn)行分析挖掘。對于這一知識庫的定義方式，通常采取對技術(shù)報(bào)文中的攻擊字段進(jìn)行檢測來發(fā)現(xiàn)各種攻擊特征。事件在分析的過程中，對所有有悖于安全策略的行為進(jìn)行標(biāo)注和區(qū)分從而實(shí)現(xiàn)入侵檢測。一般上，若采用模式匹配為主的檢測技術(shù)，入侵檢測系統(tǒng)的運(yùn)行就類似于殺毒軟件，首先定義異常事件特征，并科學(xué)判定事件的數(shù)據(jù)熱證是否出現(xiàn)在知識庫的入侵模式記錄中；若采用異常探測為主的檢測技術(shù)，則系統(tǒng)需要對很多正常運(yùn)行的狀態(tài)采用編碼標(biāo)識后，直接將后期系統(tǒng)的不同運(yùn)行狀態(tài)與此正常編碼相比，掌握是否受異常攻擊的可能性。

對響應(yīng)機(jī)構(gòu)而言，就是對于已經(jīng)明確的網(wǎng)絡(luò)入侵行為進(jìn)行積極的響應(yīng)，對應(yīng)采取更有針對性的措施進(jìn)行處理。這樣的響應(yīng)即可能是積極合理的，也可能是消極被動(dòng)的。常用的主動(dòng)反擊響應(yīng)，就是直接采用諸如 DoS攻擊在內(nèi)的各種攻擊行為回應(yīng)網(wǎng)絡(luò)不法攻擊者；當(dāng)然也可以采用更為溫和的保護(hù)性策略，如中斷入侵TCP連接，重新設(shè)定路由器訪問等。

對事件數(shù)據(jù)庫而言，就是入侵檢測系統(tǒng)為了存儲更多的檢測與響應(yīng)行為所產(chǎn)生的數(shù)據(jù)所準(zhǔn)備的存儲空間。

對入侵檢測系統(tǒng)而言，也具有一定的技術(shù)短板，隨著整個(gè)系統(tǒng)中數(shù)量增大，對于風(fēng)險(xiǎn)的檢測效率將不斷降低，同時(shí)可能出現(xiàn)較多的漏報(bào)與誤報(bào)現(xiàn)象。由于整個(gè)系統(tǒng)運(yùn)行開銷龐大，對系統(tǒng)所配服務(wù)器的硬件要求增高。還有一個(gè)問題不同忽視，該系統(tǒng)對 IPv6等加密數(shù)據(jù)包或其他未知的攻擊檢測能力近乎為零，所以只有將入侵檢測系統(tǒng)與防火墻相互結(jié)合聯(lián)動(dòng)，網(wǎng)絡(luò)安全防護(hù)效果才更加明顯。

3 防火墻融合入侵檢測系統(tǒng)的網(wǎng)絡(luò)安全應(yīng)用

將防火墻與入侵檢測系統(tǒng)之間融合運(yùn)用，兩者的互補(bǔ)效果將更加突出，形成特定互動(dòng)模型：由入侵檢測系統(tǒng)檢測到入侵行為后立即向防火墻發(fā)送阻斷請求，防火墻將及時(shí)響應(yīng)相應(yīng)請求，并調(diào)整策略認(rèn)真完善包括入侵檢測系統(tǒng)在內(nèi)的運(yùn)行策略。技術(shù)聯(lián)用中應(yīng)注意幾點(diǎn)：

3.1 入侵檢測裝置的安放位置要適宜

通常要確保入侵檢測裝置安裝在防火墻附近，能夠使整個(gè)系統(tǒng)進(jìn)行最佳工作狀態(tài)。若入侵檢測裝置放在防火墻外，并置于ISP與防火墻外界邊緣之間的非軍事區(qū)，裝置將可檢測到所有來自互聯(lián)網(wǎng)絡(luò)的攻擊。當(dāng)然，入侵檢測裝置對于如TCP攻擊之類的攻擊，并不能直接檢測到，只有通過防火墻或某些含有過濾功能的路由器的封鎖阻隔才能實(shí)現(xiàn)防護(hù)。這與檢測原理有關(guān)：很多檢測都是將攻擊類型與數(shù)據(jù)庫中的字符串類型進(jìn)行比對后特征一致才完成的，對于TCP攻擊，字符串只在TCP握手時(shí)機(jī)中傳送，不利于檢測。當(dāng)然，最為合理的檢測裝置安防位置仍要選在防火墻外，這樣可將自由站點(diǎn)與外部攻擊全部暴露在檢測視野中。當(dāng)檢測裝置在防火墻內(nèi)部時(shí)，由于內(nèi)部的網(wǎng)絡(luò)攻擊不斷降低，使得檢測裝置可以在無干擾的情況下提高準(zhǔn)確報(bào)警概率，避免漏報(bào)誤報(bào)出現(xiàn)。

3.2 防火墻與入侵檢測系統(tǒng)的接口

人們常常面臨的防火墻與入侵檢測系統(tǒng)之間的互動(dòng)有兩類：其一是基于開放接口的互動(dòng)，就是將防火墻或入侵檢測裝置上任一可用接口開放，供雙方使用，按既定協(xié)議通信，確保網(wǎng)絡(luò)事件傳輸?shù)母咝О踩?。對于開放接口而言，防火墻與入侵檢測系統(tǒng)都不會受其影響。其二是兩者被集成到同一系統(tǒng)中，入侵檢測系統(tǒng)只接受經(jīng)防護(hù)墻過濾阻隔的數(shù)據(jù)流。本文的設(shè)計(jì)將重點(diǎn)將入侵檢測系統(tǒng)內(nèi)嵌于防火墻內(nèi)，加強(qiáng)不同功能模塊之間的聯(lián)系。將防火墻作為第一屏障，將入侵檢測模塊作為第二屏障，經(jīng)過防火墻的檢測驗(yàn)證后，網(wǎng)絡(luò)封包數(shù)據(jù)將到達(dá)入侵檢測模塊，詳細(xì)檢測共計(jì)性，同時(shí)完成異常阻隔。

4 結(jié)束語

由于防火墻與入侵檢測之間存在互補(bǔ)關(guān)聯(lián)，于主機(jī)防火墻內(nèi)加裝入侵檢測模塊，將及時(shí)檢測攻擊性并有效提升整個(gè)融合系統(tǒng)的過濾能力，從而提高了動(dòng)檢檢測防御能力，增強(qiáng)網(wǎng)絡(luò)安全性。

[1]譚偉.防火墻與入侵檢測系統(tǒng)聯(lián)動(dòng)架構(gòu)的研究[D].武漢理工大學(xué)，2010.

[2]劉露.融合防火墻與入侵檢測技術(shù)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)[J].現(xiàn)代計(jì)算機(jī):專業(yè)版，2012.