◆費(fèi)強(qiáng)

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心新疆分中心 新疆 830000）

隨著我國(guó)經(jīng)濟(jì)建設(shè)的不斷發(fā)展，為保證人們計(jì)算機(jī)網(wǎng)絡(luò)的使用安全，國(guó)家逐漸增加了對(duì)防火墻和入侵檢測(cè)技術(shù)的關(guān)注力度。結(jié)合大數(shù)據(jù)時(shí)代的發(fā)展趨勢(shì)，企業(yè)各部門(mén)也應(yīng)提高對(duì)于網(wǎng)絡(luò)安全運(yùn)行的關(guān)注度，并了解IDS與防火墻的接口設(shè)計(jì)，保證用戶(hù)的個(gè)人信息不被泄露。

1 大數(shù)據(jù)時(shí)代防火墻和入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全運(yùn)用中的主要內(nèi)容

大數(shù)據(jù)時(shí)代已經(jīng)降臨，隨著信息技術(shù)的不斷普及，人們已經(jīng)習(xí)慣于在互聯(lián)網(wǎng)中檢索及工作。但隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題時(shí)刻影響著人們的正常工作，為降低其帶來(lái)的影響，網(wǎng)絡(luò)安全管理部門(mén)逐漸增加對(duì)入侵檢測(cè)技術(shù)的運(yùn)用及防火墻的設(shè)置。保證人們的個(gè)人信息不被泄露，讓企業(yè)的內(nèi)部信息得到維護(hù)，使用戶(hù)能夠通過(guò)互聯(lián)網(wǎng)正常訪(fǎng)問(wèn)，降低病毒、黑客及不法分子所帶來(lái)的攻擊。這樣不僅減少網(wǎng)絡(luò)環(huán)境中的安全隱患，還能阻礙病毒的傳播，構(gòu)筑企業(yè)各部門(mén)的安全屏障，使入侵檢測(cè)技術(shù)能夠在網(wǎng)絡(luò)環(huán)境中廣泛應(yīng)用，構(gòu)建出相對(duì)安全的平臺(tái)，增加管理人員的個(gè)人意識(shí)，使企業(yè)運(yùn)營(yíng)不受外界因素影響[1]。

基于此，入侵檢測(cè)技術(shù)（IDS）主要是通過(guò)用戶(hù)的行為來(lái)改善網(wǎng)絡(luò)環(huán)境，在用戶(hù)運(yùn)用計(jì)算機(jī)時(shí)常會(huì)通過(guò)安全日志、審計(jì)數(shù)據(jù)收集網(wǎng)絡(luò)上的其他信息并開(kāi)展操作。其常被認(rèn)為是控制計(jì)算機(jī)和網(wǎng)絡(luò)資源不被破壞而建立的系統(tǒng)，通過(guò)識(shí)別的方式對(duì)外界、內(nèi)部入侵程序、非法授權(quán)行為進(jìn)行定義，使計(jì)算機(jī)系統(tǒng)在安全模式下運(yùn)行，增加內(nèi)部的配置、設(shè)計(jì)讓惡意軟件能夠通過(guò)報(bào)告系統(tǒng)展現(xiàn)出來(lái)，若其中存在未授權(quán)、異常、違反安全規(guī)定的行為，則會(huì)被入侵檢測(cè)系統(tǒng)識(shí)別出來(lái)。同時(shí)，入侵檢測(cè)技術(shù)在此過(guò)程中為保證系統(tǒng)內(nèi)部在檢索時(shí)不會(huì)受到惡意程序的入侵，常會(huì)增加對(duì)內(nèi)部信息的掃描，利用檢測(cè)、響應(yīng)的方式來(lái)控制計(jì)算機(jī)的運(yùn)行，減少誤入問(wèn)題，使計(jì)算機(jī)系統(tǒng)被威懾、響應(yīng)、檢測(cè)，從而減少運(yùn)行過(guò)程中的數(shù)據(jù)、資料、信息損失，評(píng)估其運(yùn)行狀態(tài)，運(yùn)用攻擊預(yù)測(cè)的方式來(lái)進(jìn)行起訴支持，以達(dá)到入侵檢測(cè)技術(shù)實(shí)施的目的[2]。入侵檢測(cè)技術(shù)作為傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)的補(bǔ)充與升級(jí)，它在一定程度上拓寬了系統(tǒng)管理人員的監(jiān)視、審計(jì)、進(jìn)攻識(shí)別等方面的安全管理能力，切實(shí)提升信息安全基礎(chǔ)構(gòu)造的完整性和穩(wěn)定性，成為網(wǎng)絡(luò)安全防護(hù)當(dāng)中第二道堅(jiān)實(shí)的防線(xiàn)，針對(duì)破壞網(wǎng)絡(luò)基本結(jié)構(gòu)的不良分子在短時(shí)間內(nèi)做出攔截和反擊行為，降低了入侵攻擊帶來(lái)的損失，不斷提高網(wǎng)絡(luò)安全的系數(shù)，是當(dāng)代我國(guó)網(wǎng)絡(luò)安全技術(shù)發(fā)展的重要趨勢(shì)。

防火墻的設(shè)置會(huì)將計(jì)算機(jī)的軟件與硬件設(shè)備相結(jié)合，運(yùn)用安全管理的方式將計(jì)算機(jī)內(nèi)部的信息進(jìn)行篩選，保證計(jì)算機(jī)網(wǎng)絡(luò)的內(nèi)、外網(wǎng)之間的關(guān)聯(lián)，輔助其網(wǎng)絡(luò)安全保護(hù)屏障的設(shè)置，使用戶(hù)的個(gè)人資料與數(shù)據(jù)信息得以保留，在不破壞使用人員數(shù)據(jù)的前提下開(kāi)展的較為安全的計(jì)算機(jī)安全技術(shù)，其優(yōu)勢(shì)在于可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中存在的風(fēng)險(xiǎn)，讓計(jì)算機(jī)可以在正常的狀態(tài)下運(yùn)行，輔助數(shù)據(jù)的有效傳輸，增加在此期間的隔離方式，對(duì)計(jì)算機(jī)內(nèi)存在的安全現(xiàn)象進(jìn)行檢測(cè)并實(shí)時(shí)記錄，使用戶(hù)信息在完整的狀態(tài)保存，以促進(jìn)計(jì)算機(jī)的順利運(yùn)行，為用戶(hù)創(chuàng)造良好的辦公環(huán)境[3]。基于防火墻的不同功能特性，主要有以下幾種類(lèi)型：一是應(yīng)用代理型防火墻。此種類(lèi)型主要針對(duì)防火墻所面對(duì)的不同對(duì)象和服務(wù)模式，通過(guò)對(duì)代理程序的編寫(xiě)，進(jìn)一步為指定對(duì)象提供優(yōu)質(zhì)的服務(wù)，在一定程度上確保應(yīng)用信息可以實(shí)現(xiàn)良好監(jiān)督和控制的價(jià)值作用有效發(fā)揮。二是包過(guò)濾防火墻。這種類(lèi)型通常用于傳輸方面，主要功能在于區(qū)分并深入探析不同種類(lèi)的信息數(shù)據(jù)內(nèi)容，進(jìn)而獲取最佳適宜的信息資源，將富有價(jià)值含義的信息傳送到規(guī)定的位置地點(diǎn)。三是復(fù)合型防火墻，主要由基本的集成電路組建而成，由防火墻抵擋外來(lái)病毒和不良網(wǎng)絡(luò)信息。四是狀態(tài)包防火墻，這是以一種將屬性相同的數(shù)據(jù)包聯(lián)合成同一整體的監(jiān)測(cè)機(jī)制，可以實(shí)現(xiàn)精準(zhǔn)劃分出不同連接狀態(tài)下的因素。

2 大數(shù)據(jù)時(shí)代防火墻和入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全運(yùn)用中存在的問(wèn)題

2.1 防火墻技術(shù)存在不足

防火墻技術(shù)作為一種基礎(chǔ)的信息安全防護(hù)技術(shù)存在于大數(shù)據(jù)時(shí)代中，其可以實(shí)現(xiàn)現(xiàn)代通信網(wǎng)絡(luò)技術(shù)的共用，來(lái)維護(hù)企業(yè)及用戶(hù)在互聯(lián)網(wǎng)環(huán)境中信息的使用安全。在此條件作用下，防火墻的設(shè)置是將軟件和硬件設(shè)備進(jìn)行組合，共同控制計(jì)算機(jī)內(nèi)的網(wǎng)絡(luò)通信設(shè)備，實(shí)現(xiàn)強(qiáng)制性的安全狀態(tài)運(yùn)行，阻礙外界不良程序的進(jìn)入，使用戶(hù)的重要信息資源被保留，不存在外泄的問(wèn)題。從而實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，降低非法存取現(xiàn)象出現(xiàn)的頻率。但是由于防火墻屬于周邊安全機(jī)制，其不能全面監(jiān)控計(jì)算機(jī)網(wǎng)絡(luò)，僅可在用戶(hù)操作時(shí)或在網(wǎng)絡(luò)層中訪(fǎng)問(wèn)控制，無(wú)法實(shí)現(xiàn)信息實(shí)時(shí)監(jiān)控，難以保證通信內(nèi)容的安全，增加網(wǎng)絡(luò)中的干擾因素，使部分安全隱患無(wú)法被防范。若不良程序想進(jìn)入用戶(hù)電腦僅需繞過(guò)防火墻，跳過(guò)計(jì)算機(jī)內(nèi)的運(yùn)行協(xié)議即可，這樣不僅讓防火墻的設(shè)置沒(méi)有意義，還讓其無(wú)法自動(dòng)控制內(nèi)部設(shè)置，讓惡意程序可以侵入計(jì)算機(jī)進(jìn)行攻擊，難以實(shí)現(xiàn)防范的工作并使基礎(chǔ)協(xié)議遭受到破壞。

2.2 入侵檢測(cè)技術(shù)的缺陷

由于入侵檢測(cè)技術(shù)是一種新型的計(jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)，所以國(guó)內(nèi)各企業(yè)對(duì)其的認(rèn)知相對(duì)不高，在技術(shù)運(yùn)用時(shí)常會(huì)存在不足的問(wèn)題。該技術(shù)運(yùn)行時(shí)起到網(wǎng)絡(luò)環(huán)境防范的作用，它利用計(jì)算機(jī)系統(tǒng)將內(nèi)部的重要信息進(jìn)行搜集并運(yùn)用程序進(jìn)行分析，對(duì)其中的違反安全行為進(jìn)行探索，檢測(cè)出計(jì)算機(jī)內(nèi)被攻擊區(qū)域的位置，根據(jù)其破壞跡象制定出處理計(jì)劃。它是將報(bào)警、響應(yīng)、記錄、檢測(cè)相結(jié)合的計(jì)算機(jī)動(dòng)態(tài)安全技術(shù)，在進(jìn)行時(shí)可以減少外界入侵行為對(duì)計(jì)算機(jī)帶來(lái)的影響，使運(yùn)行程序內(nèi)的未授權(quán)行為被監(jiān)督。基于此，在入侵檢測(cè)技術(shù)加入系統(tǒng)運(yùn)行時(shí)僅能對(duì)自身檢測(cè)，若系統(tǒng)中存在危害會(huì)發(fā)出警報(bào)，但沒(méi)有相應(yīng)的阻攔辦法處理方案，造成入侵檢測(cè)技術(shù)的運(yùn)用沒(méi)有實(shí)質(zhì)性作用的現(xiàn)象。

3 大數(shù)據(jù)時(shí)代防火墻和入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的防護(hù)措施

3.1 加強(qiáng)防火墻設(shè)置，將IDS與之結(jié)合

為實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)的安全運(yùn)行，應(yīng)增加網(wǎng)絡(luò)安全制度中的防護(hù)、檢測(cè)、響應(yīng)計(jì)劃，保證安全體系的完整設(shè)立，增加三者之間的關(guān)聯(lián)，實(shí)現(xiàn)基礎(chǔ)防護(hù)的目的。因?yàn)橥饨绮涣家蛩氐姆N類(lèi)較多，在計(jì)算機(jī)運(yùn)行時(shí)需結(jié)合入侵行為、時(shí)間、方式進(jìn)行思考，所以在入侵者進(jìn)入內(nèi)部系統(tǒng)前應(yīng)制定出防護(hù)方案，保證其可以被攔截在系統(tǒng)外，這是可以加強(qiáng)防火墻的設(shè)置工作，使其充分發(fā)揮作用，保證入侵者被攔截在外并配置響應(yīng)操作。若有不良程序侵入系統(tǒng)，防護(hù)軟件可以發(fā)出響應(yīng)，使安全系統(tǒng)提高運(yùn)行速度，對(duì)其存在位置進(jìn)行檢測(cè)，實(shí)現(xiàn)防火墻防備的目的，減少入侵程序的篡改現(xiàn)象，響應(yīng)網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)防護(hù)程序的有效互動(dòng)，以降低傳統(tǒng)信息安全信息技術(shù)中存在的不足，讓初始防火墻的粗顆粒裝備被優(yōu)化，提高檢測(cè)系統(tǒng)的運(yùn)行狀態(tài)，使其能夠起到響應(yīng)作用。

在防火墻設(shè)置是增加入侵檢測(cè)技術(shù)的運(yùn)用，增加計(jì)算機(jī)系統(tǒng)運(yùn)行的安全，使其在運(yùn)行過(guò)程中能夠掌握入侵者存在的位置，讓系統(tǒng)對(duì)其進(jìn)行確認(rèn)，在其實(shí)施破壞前進(jìn)行驅(qū)趕，保證內(nèi)部數(shù)據(jù)資料不會(huì)受到破壞，使系統(tǒng)能夠正常的運(yùn)行。讓入侵者因防火墻的運(yùn)行被攔截在外，利用入侵檢測(cè)技術(shù)來(lái)將實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境的掃描，阻止不良因素的進(jìn)一步運(yùn)行，讓計(jì)算機(jī)系統(tǒng)可以迅速發(fā)掘出異?，F(xiàn)象，增加對(duì)系統(tǒng)的掃描工作，減少其帶來(lái)的危害并根據(jù)系統(tǒng)的正常運(yùn)行方式來(lái)復(fù)原。在此階段應(yīng)提高檢測(cè)系統(tǒng)的運(yùn)行質(zhì)量，讓入侵檢測(cè)技術(shù)的作用可以充分發(fā)揮，不僅可以將掃描工作進(jìn)行加強(qiáng)，還能與防火墻強(qiáng)強(qiáng)聯(lián)合，完整的抵御外界入侵因素所帶來(lái)的影響，避免計(jì)算機(jī)存在入侵問(wèn)題。防火墻的設(shè)置不僅可以與入侵技術(shù)相結(jié)合，還能夠?qū)⑷肭旨夹g(shù)相關(guān)的信息進(jìn)行收集，減少外界不良因素所帶來(lái)的影響，加強(qiáng)內(nèi)部的入侵防護(hù)措施。以此，促進(jìn)網(wǎng)絡(luò)環(huán)境的安全運(yùn)行，讓防火墻的設(shè)置價(jià)值得以體現(xiàn)。但是在實(shí)際設(shè)計(jì)過(guò)程中并不是將兩個(gè)防火墻系統(tǒng)與入侵監(jiān)測(cè)系統(tǒng)實(shí)施簡(jiǎn)單的疊加，而需要在全面調(diào)研其兩種系統(tǒng)的優(yōu)缺點(diǎn)后，構(gòu)建出簡(jiǎn)單的入侵檢測(cè)系統(tǒng)來(lái)為防火墻系統(tǒng)做出輔助作用，將二者實(shí)現(xiàn)功能方面的互補(bǔ)與完善。這個(gè)簡(jiǎn)單易懂的入侵檢測(cè)系統(tǒng)通過(guò)對(duì)軟件包的監(jiān)聽(tīng)獲取一定的數(shù)據(jù)包，然后構(gòu)建出特點(diǎn)庫(kù)，根據(jù)相關(guān)規(guī)律進(jìn)行審計(jì)，并實(shí)現(xiàn)軟件包的數(shù)據(jù)搜索和匹配，進(jìn)而實(shí)現(xiàn)入侵檢測(cè)分析功能。

防火墻起到隔離的作用，若入侵者未獲得防火墻的信任則會(huì)被攔截在外，但入侵程序部分具有隱蔽性可以偽裝成安全程序，騙取防火墻程序的信任，植入計(jì)算機(jī)系統(tǒng)內(nèi)部進(jìn)行工作，使檢測(cè)系統(tǒng)無(wú)法起到作用，從而對(duì)內(nèi)部數(shù)據(jù)信息實(shí)施破壞，基于此，創(chuàng)新原有的入侵檢測(cè)技術(shù)后，它可以對(duì)內(nèi)部的數(shù)據(jù)包進(jìn)行掃描，增加系統(tǒng)模塊的檢查方式，若在掃描過(guò)程中發(fā)現(xiàn)不規(guī)則的數(shù)據(jù)后及時(shí)發(fā)出警報(bào)，針對(duì)數(shù)據(jù)包的運(yùn)行特點(diǎn)進(jìn)行分析并篩選過(guò)濾，減少其破壞行為，切斷整個(gè)IP的訪(fǎng)問(wèn)請(qǐng)求，以阻止程序二次破壞的現(xiàn)象。

將入侵檢測(cè)系統(tǒng)鑲嵌到防火墻內(nèi)，利用防火墻接口連接的方式實(shí)現(xiàn)兩者的互動(dòng)，增加數(shù)據(jù)的傳輸渠道使其的來(lái)源不僅限于數(shù)據(jù)包內(nèi)，可通過(guò)防火墻來(lái)流入系統(tǒng)，加強(qiáng)計(jì)算機(jī)系統(tǒng)訪(fǎng)問(wèn)過(guò)程中的驗(yàn)證方式，若數(shù)據(jù)存在安全問(wèn)題無(wú)法進(jìn)入系統(tǒng)內(nèi)，只有符合驗(yàn)證規(guī)則的數(shù)據(jù)才可進(jìn)入，實(shí)現(xiàn)攻擊數(shù)據(jù)的判定，以此實(shí)現(xiàn)入侵?jǐn)?shù)據(jù)的實(shí)時(shí)攔截，降低網(wǎng)絡(luò)安全維護(hù)工作的實(shí)施難度，提高網(wǎng)絡(luò)系統(tǒng)運(yùn)行的整體性能。其次，可以運(yùn)用接口的維護(hù)及開(kāi)發(fā)，來(lái)實(shí)現(xiàn)固定工作，讓防火墻為入侵檢測(cè)系統(tǒng)預(yù)留一個(gè)接口，使其能夠充分使用。雙方在進(jìn)行互動(dòng)之前應(yīng)制定合理的協(xié)議方案，保證在運(yùn)行過(guò)程中不會(huì)受到其他因素影響，實(shí)現(xiàn)網(wǎng)絡(luò)安全事件的傳遞，運(yùn)用靈活的方式來(lái)控制內(nèi)部各個(gè)程序，減少入侵因素所帶來(lái)的影響，讓防火墻的價(jià)值能夠充分體現(xiàn)出來(lái)，增加系統(tǒng)中的安全性能。

增加內(nèi)部的比較方案，讓IDS利用防火墻開(kāi)放接口進(jìn)行結(jié)合，降低系統(tǒng)的復(fù)雜程度，挑選合適的方案進(jìn)行互動(dòng)。因?yàn)閿?shù)據(jù)是通過(guò)互動(dòng)的方式進(jìn)行認(rèn)證、加密、傳輸?shù)模詾樘岣咂浔Ｃ苄?、可靠性、安全性，?yīng)在數(shù)據(jù)運(yùn)行之前設(shè)置通信接口，讓員工了解用戶(hù)使用設(shè)備的IP地址，運(yùn)用服務(wù)器的運(yùn)行模式來(lái)進(jìn)行安全防護(hù)，保證客戶(hù)端及運(yùn)行端的安全。

3.2 強(qiáng)化入侵檢測(cè)技術(shù)，分析檢測(cè)器設(shè)置

為強(qiáng)化入侵檢測(cè)技術(shù)應(yīng)對(duì)檢測(cè)器的位置進(jìn)行分析，可將其放在防火墻內(nèi)部，也可放在外部。放在內(nèi)部可增加對(duì)防火墻的保護(hù)，而外部則可強(qiáng)化入侵檢測(cè)系統(tǒng)本身的，增加對(duì)系統(tǒng)中的未授權(quán)和異常狀態(tài)的檢測(cè)，若計(jì)算機(jī)中存在違反安全策略行為的問(wèn)題立刻響應(yīng)并運(yùn)用互動(dòng)的形式擋住入侵的程序，處理輸出插件，運(yùn)用規(guī)則的手段處理、解碼模塊，輔助模塊日志正常使用。放入防火墻之內(nèi)主要考慮防火墻針對(duì)內(nèi)部入侵防范能力的不足之處，IDS可以檢測(cè)出內(nèi)部用戶(hù)的不良行為及系統(tǒng)產(chǎn)生限制作用后出現(xiàn)的非法入侵等等，但其自身不具備控制攻擊的能力，而且對(duì)其自身安全性也產(chǎn)生不必要的威脅，所以將入侵監(jiān)測(cè)系統(tǒng)放于防火墻之后，可以通過(guò)防火墻的技術(shù)降低工作負(fù)載量，外來(lái)入侵的不法行為也可以通過(guò)防火墻實(shí)施過(guò)濾作用，防火墻針對(duì)入侵檢測(cè)系統(tǒng)也帶有一定的保護(hù)作用。與此同時(shí)，針對(duì)由外而內(nèi)的入侵，IDS可以作為防火墻的第二道防線(xiàn)，不僅對(duì)外部產(chǎn)生防護(hù)作用，也對(duì)內(nèi)部產(chǎn)生一定的阻擋作用。另外，如果攻擊人員發(fā)現(xiàn)了檢測(cè)器的存在，便會(huì)對(duì)檢測(cè)器展開(kāi)猛烈攻擊，進(jìn)一步縮減攻擊人員的各種行為被審計(jì)的范圍。防火墻內(nèi)部系統(tǒng)比外部系統(tǒng)更堅(jiān)固穩(wěn)定，如果檢測(cè)器在防火墻內(nèi)部便會(huì)少一些不必要的干擾，進(jìn)而降低錯(cuò)誤報(bào)警的概率。如果原本應(yīng)被防火墻封鎖的攻擊滲透進(jìn)來(lái)，檢測(cè)器在內(nèi)部檢測(cè)到便及時(shí)發(fā)現(xiàn)防火墻的錯(cuò)誤設(shè)置問(wèn)題。所以，將檢測(cè)器放于防火墻內(nèi)部的關(guān)鍵原因在于構(gòu)建出良好的防火墻可以抵抗大部分“稚嫩腳本”攻擊，促使檢測(cè)器不再利用更多的注意力集中于這種無(wú)效的攻擊上面。

綜上所述，為順應(yīng)大數(shù)據(jù)時(shí)代的發(fā)展趨勢(shì)，企業(yè)各部門(mén)應(yīng)增加在計(jì)算機(jī)運(yùn)行時(shí)的防火墻設(shè)立，加強(qiáng)入侵檢測(cè)技術(shù)的運(yùn)用及創(chuàng)新，保證員工在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行工作。若未落實(shí)到位，不僅會(huì)影響企業(yè)的經(jīng)濟(jì)效益，還會(huì)對(duì)企業(yè)的發(fā)展造成影響。所以，應(yīng)提高員工的綜合素養(yǎng)能力，創(chuàng)新原有的網(wǎng)絡(luò)技術(shù)維護(hù)手段。