朱俊

湖南常德職業(yè)技術學院現(xiàn)代教育技術中心 湖南 415000

0 前言

防火墻位于內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間，通過預先設置好的安全策略，對進入內(nèi)部網(wǎng)絡的數(shù)據(jù)包進行逐個排查過濾，濾掉入侵攻擊行為。而入侵檢測系統(tǒng)則設置在內(nèi)部網(wǎng)絡的邊界上，時刻監(jiān)視內(nèi)部網(wǎng)絡狀態(tài)，一旦發(fā)現(xiàn)網(wǎng)絡中有非法操作或攻擊行為，及時的發(fā)送信息給防火墻，防火墻接受安全報警之后，立即采取阻斷接應措施，阻止當前的攻擊，并根據(jù)報警的相關內(nèi)容及時調(diào)整安全策略，以防類似入侵事件再一次發(fā)生，這樣保護了內(nèi)部網(wǎng)絡。

綜合上述討論，防火墻系統(tǒng)與入侵檢測系統(tǒng)各有優(yōu)勢和不足之處。防火墻是一種被動防御手段，只能過濾入侵攻擊行為，由于本身的缺陷，有些入侵行為繞過防火墻系統(tǒng)進入內(nèi)部網(wǎng)絡，此時防火墻將失去作用，同時，防火墻無法發(fā)現(xiàn)黑客的攻擊行為。因此，僅僅依靠防火墻系統(tǒng)來維護網(wǎng)絡信息安全是遠遠不夠的；而入侵檢測系統(tǒng)是一種動態(tài)網(wǎng)絡安全防御措施，假設把內(nèi)部網(wǎng)絡看作是一個小區(qū)，那么入侵檢測系統(tǒng)就像小區(qū)內(nèi)的保安，時刻對網(wǎng)絡進行監(jiān)測而不影響網(wǎng)絡性能。因此，只有將防火墻系統(tǒng)與入侵檢測系統(tǒng)兩者相結合，協(xié)同工作，相互補充，充分發(fā)揮各自的優(yōu)勢，彌補各自的不足，才能為網(wǎng)絡提供充實、可靠的安全保障。見，一般在Internet與Intranet之間放入一個中間介質，這個中間介質在內(nèi)部網(wǎng)絡、外部網(wǎng)絡之間形成一個通道，內(nèi)部網(wǎng)絡與外部網(wǎng)絡交換的所有信息都要經(jīng)過這個通道，在通道內(nèi)過濾掉外部網(wǎng)絡的非法用戶、黑客的入侵攻擊行為，同時也可以阻止內(nèi)部網(wǎng)絡用戶非法向外部網(wǎng)絡傳遞信息，這個中間介質就叫做“防火墻”(如圖1)。

圖1 防火墻系統(tǒng)

1 防火墻系統(tǒng)

一個內(nèi)部網(wǎng)絡連接上了Internet，用戶就可以同外部網(wǎng)絡通信，外部網(wǎng)絡也可以訪問內(nèi)部網(wǎng)絡并與之交互。為安全起

防火墻是實現(xiàn)網(wǎng)絡信息安全的基礎設施，是保護網(wǎng)絡信息安全最重要的手段之一，也是目前世界范圍內(nèi)用得最多的網(wǎng)絡安全產(chǎn)品之一。在構建安全網(wǎng)絡環(huán)境結構中，防火墻作為第一道安全防線，它是由軟件或軟硬件結合的一種安全措施的總稱，防火墻通過對兩個網(wǎng)絡之間的通道實施強制統(tǒng)一的安全策略，監(jiān)控進出網(wǎng)絡之間的通信，從而達到保護可信網(wǎng)絡安全的目的。防火墻具有五個基本功能：①過濾掉黑客的攻擊和非法用戶；②控制對特殊站點的訪問、③防火墻可以強化網(wǎng)絡安全策略、④防火墻防止內(nèi)部網(wǎng)絡信息的外泄、⑤防火墻本身具有較強地抗攻擊能力。

根據(jù)防火墻采用的技術不同，防火墻可分為：①包過濾防火墻：通過攔截數(shù)據(jù)包，把入侵攻擊過濾掉；②代理服務器防火墻：利用代理服務器主機，將外部網(wǎng)絡與內(nèi)部網(wǎng)絡隔開；③監(jiān)測型防火墻：是一種動態(tài)包過濾，可以動態(tài)地根據(jù)請求自動生成或刪除安全過濾規(guī)則；④復合型防火墻：將幾種防火墻技術結合起來使用，如在代理服務器防火墻上增加包過濾功能構成復合型防火墻系統(tǒng)。

防火墻系統(tǒng)也存在缺陷：①防火墻不能防止來自網(wǎng)絡內(nèi)部的攻擊或授權訪問者的攻擊；②內(nèi)部網(wǎng)絡存在后門時防火墻將失效；③入侵攻擊者隨著數(shù)據(jù)包不流經(jīng)防火墻而直接進入內(nèi)部網(wǎng)絡，防火墻無法阻止入侵攻擊者的攻擊；④防火墻不能防御數(shù)據(jù)驅動式的入侵；⑤防火墻無法修正與補充安全策略上存在的漏洞，同時也無法事先預見安全策略在設置上的漏洞；⑥防火墻對于未知的病毒攻擊缺乏靈活性，一旦被攻擊，就很難做出響應，從而導致防火墻的失效。

2 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是一個從計算機網(wǎng)絡信息、服務器、計算機日志中的若干關鍵點收集信息，并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的一種安全技術。入侵檢測系統(tǒng)以旁路監(jiān)聽的方式，不間斷地從網(wǎng)絡中的若干關鍵點收集信息，并分析這些信息，看這些信息中是否有違反安全策略的行為、遭受到內(nèi)部攻擊、外部攻擊和誤操作的跡象，從而提供對內(nèi)部網(wǎng)絡的安全保護。所以說入侵檢測系統(tǒng)是網(wǎng)絡安全的第二道防線，是防火墻的合理補充。

入侵檢測系統(tǒng)的基本模型可分為四個組件：即事件產(chǎn)生器、事件分析器、響應單元、事件數(shù)據(jù)庫。事件產(chǎn)生器的目的是從整個計算機環(huán)境、計算機網(wǎng)絡中獲得事件，并向事件分析器提供此事件；事件分析器分析由事件產(chǎn)生器發(fā)送來的數(shù)據(jù)，并產(chǎn)生分析結果；響應單元則是對分析結果做出報警、阻截等反應的功能單元，即它可以做出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警；事件數(shù)據(jù)庫是存放各種中間數(shù)據(jù)和最終數(shù)據(jù)的地方，它可以是復雜的數(shù)據(jù)庫，也可以是簡單的文本文件。在這個模型中，前三者是以程序的形式出現(xiàn)，最后者則往往是文件或數(shù)據(jù)庫，如圖2。

圖2 入侵檢測通用模型

入侵檢測系統(tǒng)按照其工作原理主要分為三種類型：基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡的入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)。基于主機的入侵檢測系統(tǒng)的數(shù)據(jù)來源于系統(tǒng)日志、審計記錄，與受保護主機的操作系統(tǒng)等有關；基于網(wǎng)絡的入侵檢測系統(tǒng)使用原始的網(wǎng)絡分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源，一般利用一個網(wǎng)絡適配器來實時監(jiān)視和分析所有通過網(wǎng)絡進行傳輸?shù)耐ㄐ拧Ｒ坏z測到攻擊，入侵檢測系統(tǒng)應答模塊通過通知、報警以及中斷連接等方式來對攻擊者做出反應；分布式入侵檢測系統(tǒng)，它檢測的數(shù)據(jù)也是來源于網(wǎng)絡中的數(shù)據(jù)包，不同的是，它采用分布式檢測、集中管理的方法。它的特點是對數(shù)據(jù)保護的范圍比較大，但對網(wǎng)絡流量有一定的影響。

常用入侵檢測方法有：①異常入侵檢測：異常入侵檢測是記錄用戶在系統(tǒng)上的活動，并且根據(jù)這些記錄創(chuàng)建活動的統(tǒng)計報告。如果報告表明它與正常用戶的使用有明顯的不同，那么檢測系統(tǒng)就會將這樣的活動視為入侵行為；②誤用入侵檢測：誤用入侵檢測是事先對已知的入侵方式進行定義，并且將這些方式寫進系統(tǒng)中，將網(wǎng)絡系統(tǒng)上檢測的攻擊與系統(tǒng)定義的已知入侵方式進行對比，如果兩者相同則為發(fā)生了入侵；③完整性入侵檢測：完整性入侵檢測是為系統(tǒng)的每個文件生存一個校驗和，然后定期地將這個校驗和與源文件比較，以確保文件是否被修改過，如果文件被未授權者修改過就會發(fā)生報警。

3 防火墻與入侵檢測的聯(lián)動

入侵檢測系統(tǒng)發(fā)現(xiàn)入侵事件后，自動將入侵事件發(fā)送給防火墻，防火墻加載動態(tài)規(guī)則攔截入侵，稱為防火墻系統(tǒng)與入侵檢測系統(tǒng)聯(lián)動。防火墻與入侵檢測雙方事先約定，并設置通信窗口，相互配置好對方正確的IP地址，防火墻系統(tǒng)與入侵檢測系統(tǒng)建立正常聯(lián)動之后，在內(nèi)部網(wǎng)絡與外部網(wǎng)絡交換信息的過程中，入侵檢測系統(tǒng)中的事件生成器，積極主動地從網(wǎng)絡資源或主機系統(tǒng)中收集相關信息，并將這些信息轉換成相應的網(wǎng)絡事件發(fā)送到事件分析器，事件分析器通過異常入侵檢測或誤用入侵檢測等多種手段，對事件生成器傳來的網(wǎng)絡事件進行鑒別，如果發(fā)現(xiàn)當前鑒別的網(wǎng)絡事件是一個攻擊者，入侵檢測系統(tǒng)通過客戶端程序向防火墻系統(tǒng)服務器端程序發(fā)送控制信息，當防火墻系統(tǒng)服務器端程序接受到入侵檢測系統(tǒng)發(fā)來的控制信息后，對控制信息的身份進行驗證，當確認此數(shù)據(jù)是來自入侵檢測系統(tǒng)，就接受處理，否則放棄該數(shù)據(jù)。對接受處理的數(shù)據(jù)按照事先約定的規(guī)則，動態(tài)生成防火墻的過濾規(guī)則，對入侵者或攻擊行為實現(xiàn)控制和阻截而實現(xiàn)聯(lián)動，如圖3。

圖3 防火墻系統(tǒng)入侵檢測系統(tǒng)

4 結束語

由于防火墻技術與入侵檢測技術有較強的互補性，實現(xiàn)防火墻與入侵檢測的聯(lián)動是目前較理想的網(wǎng)絡安全防御措施。隨著黑客技術和手段不斷更新，網(wǎng)絡安全措施也必須要不斷更新，以解決新的安全問題，雖然防火墻與入侵檢測聯(lián)動，能在很大程序上提高網(wǎng)絡安全性能，但并不能完全保證網(wǎng)絡的絕對安全。因此，為了實現(xiàn)網(wǎng)絡的安全，建立一個高效、通用、完整的安全體系，需要將各種防火墻技術、入侵檢測技術、網(wǎng)絡安全技術相結合，并配合有效的管理和組織措施，提高網(wǎng)絡管理人員的安全意識，建立相應的法制法規(guī)，采取技術與立法等多種手段進行綜合治理，才能真正形成立體的、縱深有序的安全防御體系。

[1] 李明柱,五西平.Windows NT/2000中Intranet的組建和管理教程[M].北京航空航天大學出版社.2002.

[2] 張劍平.Internet 和 Intranet應用[M].中央廣播電視大學出版社.2002.

[3] 周捷.防火墻工作模式的研究及應用.計算機與網(wǎng)絡[J].2008.

[4] 黃小田.關于網(wǎng)絡安全及其技術的深入探討.計算機與網(wǎng)絡[J].2008.