基于网络安全的入侵检测技术与防火墙联动的研究

唐晓东++唐伟

摘要：虽然防火墙和入侵检测技术在网络安全领域中占着举足轻重的地位，但由于它们自身存在的一些不足，导致其无法满足网络安全整体化的需求。通过分析比较两者的优缺点，提出将入侵检测技术与防火墙紧密结合，二者之间进行联动，从而实现对网络系统的即时保护。

关键词：防火墙；入侵检测；联动；网络安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）33-0023-02

Based on the Network Security for Research of Linkage between the Intrusion Detection Technology and Firewall

TANG Xiao-dong1， TANG Wei2

（1.Unit 95007 of PLA， Guangzhou 510070， China； 2.China Southern TIANHE Information Technology Company， Guangzhou 510070， China）

Abstract： Although the firewall and intrusion detection technology occupy a pivotal position in the field of network security， but because of their some defects can not satisfied needs of network security integration. Through comparative analysis the firewall and intrusion detection technology advantages and disadvantage， combined with firewall and intrusion detection technology and propose linkage between the two to realize the real-time protection of network system.

Key words： Firewall； intrusion detection； linkage； network security

随着互联网的深入发展，网络攻击方式层出不穷，令人防不胜防；而防火墙和入侵检测作为防护网络安全的两种重要技术手段，虽被广泛采用，但由于自身缺陷，使得两者的防范内容不尽相同。比如防火墙只能防范来自外部的攻击而无法解决来自网络内部的攻击；入侵检测只能识别攻击发出报警却不能自动产生适当的响应去阻止攻击等等，为了满足网络安全整体化的要求，提出将防火墙和入侵检测这两种具有较强互补性的技术整合在一起进行联动，扬长避短，充分发挥各自的优势，提高网络安全防护水平，最大程度的保障网络及信息的安全。

1 防火墙技术

防火墙[1]指的是一个由软件和硬件组合而成的高级访问控制设备，是置于不同网络安全域之间执行访问控制策略的一种或一系列部件的组合。防火墙位于网络安全防护体系的最外一层，通常会被放置在外网与内网之间的出入口处。作为不同网络安全域之间通信流的唯一通道，它为实现网络安全起到了把关的作用。防火墙技术实际上是一种隔离技术，通过制订安全策略（允许、拒绝、监视、记录），将内部信任区域与外部不安全区域（如因特网）或内部网不同可信区域有效隔离，最大限度的对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全防护。虽然防火墙能在网关级进行保护，但只提供静态防御，防御规则事先就已经设置完毕，一旦规则设置有误或者安全形势发生变化，防火墙就失去了即时应变的能力，因此它是一种被动的安全防护技术，存在一定的局限性，主要表现为：

1）防火墙默认内部网络都是可信的，如果内部网络中存在后门，那些不经过防火墙的攻击数据包进入到内网时防火墙无法防范和响应。

2）防火墙的访问控制策略需事先设置，不能实时调整策略规则来阻止正在进行的攻击，缺少应变性无法主动防范新的安全威胁。

3）防火墙既不能防止受病毒感染的文件或程序的传输也不能防止基于某些标准网络协议的攻击。

2入侵检测技术

入侵检测[2]是对计算机网络系统中入侵行为的检测。它通过收集和分析网络行为、日志数据以及网络系统中若干关键点信息，检查网络系统中是否存在入侵或违反规则的行为并及时做出响应，例如断网、报警、记录事件信息等。入侵检测系统简称IDS（Intrusion Detective System）由进行入侵检测的软件和硬件所构成。与防火墙的被动防御不同，入侵检测采取的是一种积极主动地安全防护手段，能在不影响网络性能的前提下通过旁路监听方式不间断地收取网络数据，主动寻找入侵信号，对系统中的异常现象或未授权的访问、活动等事件进行审计、追踪、识别和检测。入侵检测不仅能察觉到来自系统外部的入侵，同时也能发现系统内部用户未经授权的活动，主动保护自己免受网络攻击，因此被认为是防火墙之后的第二道安全闸门。尽管如此，入侵检测技术还是存在一些局限性：

1）由于入侵检测通常依赖特征匹配，每截获一个数据包都要分析和匹配，检测其中的数据是否具备攻击特征，因此会耗费大量的时间和系统资源，使得入侵检测的检测速度跟不上网络数据的传输速度，通常在数据包巨多的流量面前它会迅速失效。

2）入侵检测的漏报率和误报率都比较高，产生漏报的一大原因是攻击特征数据库不能及时更新；另外一些旧式的攻击对已更新的操作系统不起作用，如果模式库中还存有这些攻击特征，就会导致入侵检测频繁报警，这些无效报警很大程度上无疑加大了入侵检测的误报率。

3）入侵检测往往重点都放在对网络中入侵攻击行为的识别上，所以即使检测到攻击也很难采取有效的保护措施去阻止攻击。

3防火墙与入侵检测的联动

通过以上的分析对比可以看出两者在网络安全防护方面都存在一定的缺陷，防火墙侧重于提供静态访问控制、入侵检测侧重于主动发现入侵。如果把这两种技术结合在一起，集中二者的长处，形成互补，建立紧密的联动关系，相互提供保护屏障，既可以提升防火墙的机动性也能增强入侵检测系统的阻断能力。

所谓联动[3]是指通过一种组合的方式，将不同的安全技术进行整合，由其他安全技术弥补某一安全技术自身功能和性能的缺陷，以适应网络安全立体化、整体化的要求。本文提出的防火墙与入侵检测系统联动的方式是指将防火墙和入侵检测划分为两个独立的子系统，单独完成各自的任务，两者之间通过相应的通信接口和协议进行信息共享和互动，实现一体化的主动防御；同时为了防止交互信息被黑客窃取和攻击，相互间的通信需要进行认证和加密。防火墙与入侵检测系统之间的联动协作流程如图1所示。

联动实现过程如下：

1） 首先防火墙安置于Internet与内部网络的连接处，这样当外网中的数据包要进入内网时就需经过它预先设定的访问规则控制链表，通过筛选过滤数据包可以阻挡一部分攻击。

2） 经过防火墙筛选过滤后的数据包以及绕过防火墙没有经过筛选的数据包都进入到内网中，这时部署在内网中的入侵检测系统不间断的提取这些数据包依据自身的规则库对它们进行分析比对，一旦发现入侵企图立即报警并将报警信息[4]（包括事件入侵类型，源地址，目的地址，源端口，目的端口及阻断时间等）转换成统一的报警格式，通过加密、认证后发送给防火墙。

3） 防火墙收到入侵检测的通知后立刻做出针对性的改进，动态修改相应的安全策略完善其访问控制规则，从而避免该攻击行为的再次发生。

4） 入侵检测系统每隔一段时间自动升级入侵特征库防止当新的攻击类型出现时，不能及时做出响应。

4 结束语

本文根据防火墙和入侵检测的特点，提出建立防火墙与入侵检测系统的联动，这是目前网络安全产品的发展趋势；但由于防火墙和入侵检测本身都是比较复杂的系统，若将两者结合势必要对各自的硬件进行升级同时联动中多了认证和加密，如果在数据传输中被假冒和窃听则防火墙和入侵检测的性能都会受到影响，今后还需在这方面展开研究，力争创造一个更加智能、稳固的安全防护系统。

参考文献：

[1] 曲朝阳，崔洪杰，王敬东，等.防火墙与入侵检测系统联动的研究与设计[J].微型机与应用，2012（5）：48-50.

[2] 江保利.防火墙与入侵检测联动防御系统研究[J].信息技术，2013（10）：28-29.

[3] 桂春梅，钟求喜，王怀民.基于UML的防火墙和入侵检测联动模型的研究[J].计算机工程与科学，2004，26（11）：25-26.

[4] 瞿江.基于SNMP的校园Web网络安全的研究[J].计算机安全，2009（7）：85-87.