浅谈防火墙与入侵检测系统的联动

９ ； ６ Ｉ
ｏＰ ＥｏＨＡ Ｎ ＭＵ ＲＦＵＮ Ｔ Ａ
栏编：春 — ｎｉ＠３ｍ囫 目辑梁丽Ｅ ａｌ ５６。 ｍ ｇ５ １ｃ ｉ ｚ ０
查的数据包区域位置信 息。 在编写特征库前， 必须先仔 细分析所要保护的网络经常或可能遭受 的攻击。 １ 通过 开放接 口实现互动。 ． 入侵侦测防御系统 ， 即 防火墙或者Ｉ Ｐ Ｄ 产品开放一个接 口供对方调用 ， 按照一 定的协议 进行通信 ， 传输警报 。 这种方式比较灵活， 防 火墙可以行使其第一层防御 的功能— 访问控制， Ｄ ＩＰ 可以行使其第二层防御的功能—— 检测入侵， 丢弃恶
虑 ， 现 了对突 发 网 络攻 击 的主 动 防 御。 实
关键 词 ： 网络攻击； 防火墙 ； 入侵检查 系统 ； 联动
如何确保 网络系统免遭攻击以保证信息的安 全，
成为 人 们无法 回避 的课题 。 为此 ， 防火墙 、 Ｄ 等多种 ＩＳ 网络 安全技术被广泛应用 到各个 网络系统中， 在抵 御 网络攻击和保护网络安全 中发挥了重要作用。
策略调整。
种能够主动保护自己不受攻击的新型网络安全技术 ，
它通过 对网络和系统记 录的日志文件 分析来发现非法 入侵行为以及合法用户的滥用行为。
根 据 检 测入 侵 的 方 法 又可 以分 为２ 方 式 ： 常 检 种 异
测和滥用检测。 异常检测一般采用基于统计的方法 ， 通 过比较 正常情况下系统或 网络的状态 来判断 安全性 ； 异常检测不需要 事先建 立知识库 ， 是也需要通过人 但 工的或基于机器学习的方法 来建 立网络 的正常状 态，
Ｒ ｎ ｅｖｒ ； ｕ Ｓｒｅ０ ∥ 行服 务 运 ／ Ｄ 发 送 ／ Ｓ 向Ｉ
技 应 术 用团
Ｓｎ （ ａ Ａ Ｂ ｆｉ ｎ ｕｌ ） ｅｄ ｈｒ ｐ ｕ， ｔ Ｂ ｆ ｎ； ｃ ｎＡ ｅ
反馈信息
ＳｏＳｒｅＯ ｔ ｅｖｒ ； ｐ ｜ ｜ 啜务 ３ 防火墙收到互动信息后， ． 可以实施互动行为 ， 并 将结果 （ 成功与否） 以约定格式的数据包反馈给入侵检
三 、 火墙 与入侵 检 测 系 统的 联 动 防
单 独采用防火墙 和网络入侵检测系统都不能很好
地 解决网络安 全问题 。 如果 把二者结合起 来 ， 则可以
更 大限度地实现 网络安全 。 联动即通过一种组合 的方
式， 将不 同的技 术与防火墙技术进 行整合， 在提高防火 防火蛭 防火墙是 一种 被动的访 问控制技术 ， 一般被安 置
好规则才能 对传输的数 据包进行检查从 而保护子网不 受攻击。 网络中单独使用防火墙， 在 存在着不能防范内
部攻击 等许多潜在的问题 。 同时， 于 由。人侵技 术不断发
展， 使得全面配置防火墙规则变得更加困难。
在 防火墙 和入侵 检测 系统 联动模 型 的安 全体系
中， 以入侵检测为核心构成 网络 安全系统 ， 网络 的安全 通过安全 策略来体现 ， 制定安全 策略的依据 是用户的
一
四 动 模 型 的构 建 联
（ 编写基于误用的入侵检测系统特征库 一）
基于误用 的入侵检测系统的误报警率低 ， 而且 对 些常用 的攻击行为特别有效 。 为了使入侵检测系统实
中。 通常规则划分为头和规则选项２ 个逻辑部分 ： 规则 头包含规则动作 、 议、 Ｐ 协 Ｉ 源地址和 目的地址 、 子网掩 现我们 所期望 的功能， 必须将 一些规则编写至特征库
其优 点在于可 以预测和检测 出未 知的入侵。 用检测 滥
一
般采用基于规 则的推理方法 ， 事先根据 已知 的 需
侵模 式和系统 的漏洞建立 入侵 的知识 库 ， 因此往 往需 要来 自 家的知识 ， 专 且知识 库的建 立也需要较 长的时 间， 其优点在于检测的准确率较高。
码以及源端 口和 目 标端 口值等信息 ； 而规则选项则包含 警报信息 以及用 于确定是否触发规则响应动作而需检
国
应一
用
孵
■
湖北 民族 学院 理 学院
杨 芹
摘 要： 随着因特网的迅猛发展、 网络规模的扩大和网络攻击方法的复杂， 安全需求与日 俱增。 本文介绍了在入
侵检 测系统和 防火墙 的基础上 ， 计一种入侵 检测 系统和 防火墙联动 的模 式， 网络 安全整体性和 动态性 的需求考 设 从
／ Ｉ 址 ／ Ｐ地 源 ， ／ 目的Ｉ 地 址 Ｐ
性能 ， 对于２ 个产 品的自身发展 比较好。 但是２ 个系统的 配合， 要重点考虑防火墙和ＩＰ Ｄ 产品互动的安全性。 ２ 紧密集 成实现 互动。 ． 即把 Ｉ Ｐ Ｄ 技术与防火墙 技 术集成到同一个硬件 平台上， 在统一 的操 作系统管理 下有序地运行。 这种方式实际上是把２ 种产品集成 到一 起 ， 有通过 这个硬件平 台的数据不仅要 接受防火墙 所 规则的验证 ， 还要被检测判断是否有攻击， 以达到真正 的实时阻断， 其他安全功能只是作为一种补充。 对于这 种紧密集成的安全平台， 由于Ｉ Ｐ Ｄ 产品和防火墙本身都 是很庞大 的系统 ， 以实施的难度 比较大 ， 所 集成后 的性 能也会受很大的影响。 同时， 如果集成的话， 不仅仅只 集成Ｉ Ｐ Ｄ 与防火墙 ２ 种技术 ， 而且会把更 多的安全技术 集成到一起 ， 从而构成多个安全产品的紧密结合＿ 侵防御系统 （Ｐ ） ＩＳ 。 （ ） 二 防火墙与入侵检测系统的接 口 经过 比较， 我们认为将入侵检测系统与防火墙 通 过开放接 口来实现 互动 的方 法要 比紧密集成 方法 要 好， 因为系统 越复杂 ， 自身的安全 问题 就越 难 以解 其 决。 所以要实现防火墙 与入侵检测系统之 间的接口， 具
二． 入侵 检 测 系 统
入侵检测系统 （Ｄ ，ｎｒｓ ｎＤ ｔ ｔ ｎＳｓ ｍ） Ｉ Ｓ Ｉｔ ｉ ｅ ｃ ｏ ｙｔ 是 ｕｏ ｅｉ ｅ
一
需求 和来 自 入侵检测 系统的输出。 入侵检 测模 块一旦
检测到入侵 ， 它可以自动通过 改变安 全策略来改变 防 火墙 的行为， 出快 速反应 ； 做 同时也可将检测结果先报 告 给系统 管理 员 ， 由系统管理 员参 考并 手＿ 出安全 Ｔ做
…
墙自 身功能和性能的同时， 由其他技术完成防火墙所缺 乏 的功能 。 通过 入侵检 测系统与防火墙联动可 以达到 网络 的安 全性与性能的最佳平衡 ， 同时通 过添加防火 墙动态规则， 能有效对攻击行 为予以阻断， 实现了防御
的 实时 性 和时 效性 。
于Ｉｔｒｅ与 被 保 护 的 子 网之 间 。 ｎｅｎｔ 防火 墙 需 要 事先 设 计
测系统。 通信数据包结构代码为：
Ｔ ｐ ｄ ｆｓｒ ｃ ａ ｋ ｔ ｙ ｅ ｅ ｔｕ ｔ ｃ ｅ Ｐ
意通信， 确保这个 通信不能到达 目的地 ， 并通知防火墙
进 行 阻断 。 而且 ， 这种 方 式 不影 响 防火墙 和Ｉ Ｐ 品 的 Ｄ产
ｆ ｎｉｎ ｄｃ ａ ｃ ［６ ； Ｕ ｓｇ ｅ ｈ ｒ ｒｉ １］ ｓ ｐ Ｕ ｓｇ ｅ ｈ ｒ ｓｉ［６ ； ｎ ｉｎ ｄｃ ａ ｔ １ ］ ｄ ｐ