0 引言

隨著當(dāng)今世界計算機(jī)普及應(yīng)用程度的越來越高，互聯(lián)網(wǎng)也得到了非常廣泛的使用，而且對人們的工作生活方式產(chǎn)生了深遠(yuǎn)的影響。在方便我們?nèi)粘９ぷ?、學(xué)習(xí)和生活的同時，隨之也出現(xiàn)了一些網(wǎng)絡(luò)安全情況。網(wǎng)絡(luò)信息的流失和網(wǎng)絡(luò)入侵問題時有發(fā)生，甚至很多軍工單位和政府部門的專業(yè)網(wǎng)站也經(jīng)常會遭遇到網(wǎng)絡(luò)攻擊。

1 Snort入侵檢測系統(tǒng)與防火墻聯(lián)動防御機(jī)制的研究

近年來，在網(wǎng)絡(luò)安全防護(hù)上逐漸探索應(yīng)用了防火墻技術(shù)，對網(wǎng)絡(luò)設(shè)備的安全訪問進(jìn)行科學(xué)有效地防御控制。但是由于目前計算機(jī)應(yīng)用的日益普及，很多網(wǎng)絡(luò)攻擊的手段都具有很大的隱蔽性和欺騙性，而且很多計算機(jī)軟件和網(wǎng)絡(luò)信息系統(tǒng)通常都帶有一定的安全隱患問題，單純依賴以往的防火墻技術(shù)，對網(wǎng)絡(luò)運(yùn)行系統(tǒng)進(jìn)行被動的靜態(tài)防護(hù)，已經(jīng)越來越難以適應(yīng)計算機(jī)網(wǎng)絡(luò)和信息技術(shù)發(fā)展的客觀實際，越來越難以滿足客戶的實際需求，更何況防火墻技術(shù)也難以及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)內(nèi)部所遭遇的各種入侵問題，無法實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的及時精確檢測。而入侵檢測系統(tǒng)，剛好能夠彌補(bǔ)這一不足，對可能會發(fā)生的網(wǎng)絡(luò)入侵行為能及時檢測預(yù)警，實現(xiàn)在防火墻技術(shù)身后的再次加固網(wǎng)絡(luò)安全防線，但是這種安全防御系統(tǒng)存在著一定的失誤或者漏報的情況，對一些網(wǎng)絡(luò)攻擊的行為也無法實時地反饋，所以在實際應(yīng)用中也制約了網(wǎng)絡(luò)安全防御性能。

因此，在實際網(wǎng)絡(luò)安全防護(hù)中，將Snort入侵檢測系統(tǒng)同防火墻技術(shù)實現(xiàn)聯(lián)動預(yù)警防護(hù)，便成為了一種科學(xué)有效的網(wǎng)絡(luò)入侵防御手段。筆者試就Snort入侵檢測系統(tǒng)與防火墻聯(lián)動防御機(jī)制的實現(xiàn)和創(chuàng)新，談些粗淺的認(rèn)識。

2 Snort入侵檢測系統(tǒng)和防火墻技術(shù)的實現(xiàn)

2.1 Snort入侵檢測系統(tǒng)

Snort入侵檢測系統(tǒng)本身屬于輕量級檢測工具，規(guī)則語言不是特別復(fù)雜，并且在網(wǎng)絡(luò)安全預(yù)警以及圖表形式的反應(yīng)界面中存在著一定的缺點，不過這種檢測系統(tǒng)的整體布局非常清楚，而且由于規(guī)則語言不復(fù)雜，應(yīng)用起來也非常簡便易行，并且具有良好的插件支撐作用，如果用戶需要增加檢測要求或者需要對一些數(shù)據(jù)信息進(jìn)行處理，利用起來也非常便捷，利于更新規(guī)則數(shù)據(jù)。因此，通常來說，Snort入侵檢測系統(tǒng)檢測發(fā)現(xiàn)網(wǎng)絡(luò)入侵具有便捷快速高效的特征，而且對于規(guī)則語言數(shù)據(jù)更新也非常及時準(zhǔn)確。

2.2 防火墻技術(shù)

傳統(tǒng)的概念表述上，防火墻通常是對火災(zāi)事故蔓延情況的阻止，主要承擔(dān)的是防護(hù)隔離墻的作用。但是應(yīng)用到計算機(jī)運(yùn)行系統(tǒng)中，防火墻技術(shù)一般安裝設(shè)計到計算機(jī)網(wǎng)絡(luò)系統(tǒng)，通過一些軟硬件設(shè)施對內(nèi)、外部的安全設(shè)備進(jìn)行防護(hù)，確保網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行安全。所以，防火墻技術(shù)通常是統(tǒng)稱的安全防御設(shè)施，基于對網(wǎng)絡(luò)訪問行為進(jìn)行防范、檢測，并且對相應(yīng)的數(shù)據(jù)信息進(jìn)行改變，以達(dá)到網(wǎng)絡(luò)信息運(yùn)行的安全管理，防止非法用戶對網(wǎng)絡(luò)運(yùn)行設(shè)備入侵或者篡改相關(guān)信息數(shù)據(jù)。

雖然防火墻技術(shù)對于防范網(wǎng)絡(luò)內(nèi)、外部安全，加強(qiáng)非法訪問行為控制，具有良好作用，但是也存在著一定缺陷，比如，對于網(wǎng)絡(luò)外來攻擊的防范非常及時，但是卻無法防御網(wǎng)絡(luò)內(nèi)部入侵行為，防火墻技術(shù)的規(guī)則語言比較粗略，不能充分地解析出足夠的協(xié)議細(xì)節(jié)，而且通常事先已經(jīng)設(shè)計好，仍然處于靜態(tài)的防范，一旦遇到反常的網(wǎng)絡(luò)攻擊，這種防火墻技術(shù)無法及時檢測反饋。

3 Snort入侵檢測系統(tǒng)與防火墻聯(lián)動機(jī)制的創(chuàng)新分析

基于Snort的入侵檢測系統(tǒng)融合了入侵檢測和防火墻這兩種方法的共同優(yōu)勢，通常是運(yùn)用串聯(lián)的方法，將其與網(wǎng)絡(luò)進(jìn)行連通，有效地防范監(jiān)聽或者監(jiān)視入侵網(wǎng)絡(luò)系統(tǒng)造成信息安全問題或者漏報情況，實現(xiàn)網(wǎng)絡(luò)安全防范的有機(jī)聯(lián)動。

3.1 Snort入侵檢測系統(tǒng)與防火墻聯(lián)動機(jī)制

（1）Snort入侵系統(tǒng)工作模式

Snort入侵檢測系統(tǒng)與防火墻聯(lián)動形式，通常包括系統(tǒng)嵌入和開放接口兩種形式。系統(tǒng)嵌入形式的網(wǎng)絡(luò)安全防范聯(lián)動，主要是在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中事先安裝好入侵檢測和防火墻這兩個模塊軟件，對網(wǎng)絡(luò)可能會遭到的攻擊及時進(jìn)行檢測，并且對非法訪問設(shè)定權(quán)限予以控制，而且在網(wǎng)絡(luò)安全防護(hù)上呈現(xiàn)交互使用的態(tài)勢。開放接口的聯(lián)動方式，通常是將入侵檢測和防火墻這兩個模塊獨(dú)立設(shè)置，使其能夠各自獨(dú)立地實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)。另外也配置了一定的數(shù)據(jù)接口源，確保網(wǎng)絡(luò)信息數(shù)據(jù)能夠?qū)崿F(xiàn)信息對稱和資源共享。

（2）Snort入侵檢測系統(tǒng)的運(yùn)行環(huán)境

即Snort的工作模式有這樣三種，一是嗅探器，二是數(shù)據(jù)包記錄器，三是網(wǎng)絡(luò)入侵檢測系統(tǒng)，其中嗅探器主要是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包，并在終端設(shè)備上顯示出來；而數(shù)據(jù)包記錄器的工作模式，主要是對讀取的數(shù)據(jù)進(jìn)行記錄與保存；網(wǎng)絡(luò)入侵檢測系統(tǒng)的工作模則較為復(fù)雜，也是可以進(jìn)行配置的。Snort的工作模式，需要平臺的支持，即其運(yùn)行的環(huán)境，即可以在windows上應(yīng)用，也可以在Linux環(huán)境中運(yùn)行。

3.2 系統(tǒng)嵌入模式

通常來說，這種系統(tǒng)嵌入的基于Snort入侵檢測系統(tǒng)與防火墻聯(lián)動的方法，其基本宗旨就是利用防火墻，為入侵檢測結(jié)果的分析獲取非法用戶訪問系統(tǒng)進(jìn)行科學(xué)有效控制的應(yīng)對措施，這樣就使得Snort入侵檢測系統(tǒng)和防火墻技術(shù)有機(jī)融合，組成一個共同體，形成對未來安全的有效防御。這種聯(lián)動形式具有明顯的優(yōu)勢：

（1）使得安全防范承載比較平均。如果網(wǎng)絡(luò)安全防御使用的是一種入侵檢測技術(shù)，異常數(shù)據(jù)包的處置數(shù)量相對就會比較多，這樣就會增加很多資源消耗。但是如果應(yīng)用了這種嵌入式的聯(lián)動安全防御系統(tǒng)，就能夠通過訪問受限軟件系統(tǒng)強(qiáng)化異常數(shù)據(jù)信息的定期處置，會大大地降低檢測系統(tǒng)的引擎工作量，提高安全防范承載均衡化效果。

（2）可以形成良好的防御功能。比如，這種嵌入式的聯(lián)動防范系統(tǒng)，通過入侵檢測和防火墻的共同作用，在網(wǎng)絡(luò)尚未遭受攻擊的時候就能夠及時檢測和阻隔，實現(xiàn)攻擊檢測和訪問控制的有機(jī)統(tǒng)一，增強(qiáng)安全防御的性能。

但是這種嵌入式聯(lián)動方式由于無法及時分析檢測結(jié)果，通常會降低防火墻的安全防范效果。

3.3 開放接口模式

這種模式主要是利用相互分離使用的兩個子系統(tǒng)，實現(xiàn)Snort入侵檢測系統(tǒng)與防火墻的交叉應(yīng)用，確保信息數(shù)據(jù)的充分共享，增強(qiáng)網(wǎng)絡(luò)安全的防范性能。比如，可以采用直接聯(lián)動的方法，利用一個共同的通信接口，不用借助輔助軟件，實現(xiàn) Snort入侵檢測系統(tǒng)和防火墻的聯(lián)動防御功能，這種聯(lián)動方式反應(yīng)非常靈敏，安全性能非常好，對于實現(xiàn)Snort入侵檢測系統(tǒng)與防火墻的創(chuàng)新聯(lián)動非常有效，應(yīng)當(dāng)作為網(wǎng)絡(luò)安全防御的一個重要方法。

4 結(jié)束語

目前很多用戶為了加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)防護(hù)，避免主機(jī)系統(tǒng)或者服務(wù)器設(shè)備出現(xiàn)各種網(wǎng)絡(luò)入侵事件，非常廣泛地應(yīng)用了 Snort入侵檢測系統(tǒng)或者防火墻技術(shù)，有的還下載安裝了各種防病毒的軟件系統(tǒng)，對加強(qiáng)網(wǎng)絡(luò)信息的安全防御體系建設(shè)發(fā)揮了一定作用。但是由于Snort入侵檢測系統(tǒng)和防火墻技術(shù)各有優(yōu)勢，也各有不足，特別是在當(dāng)今網(wǎng)絡(luò)安全攻擊事故頻發(fā)，以及各種攻擊手段日益隱蔽和復(fù)雜的現(xiàn)實狀況下，給網(wǎng)絡(luò)安全防范帶來了很大的困難。本文對Snort入侵檢測系統(tǒng)與防火墻技術(shù)聯(lián)動運(yùn)行進(jìn)行了詳細(xì)的分析闡述，試圖探索了一種創(chuàng)新的網(wǎng)絡(luò)安全防護(hù)手段，對加強(qiáng)計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全防范，實現(xiàn)安全運(yùn)行的檢測防御雙重功能，提供了一定的參考借鑒。