第 卷 第 期 临 沂 师 范学 院学 报 年 月
入侵检测系统与防火墙的联动
庄健平
华侨大学 华文学院
, 福建 厦门
摘要 在分析介绍 了入俊检测 系统和防 火琦的基础 上 , 设计一种入俊检浏系统和防 火琦联动的模 式
利用两者的结合 , 入俊检测系统检浏攻击行为后 , 通过与防 火琦之间的公共语言发送通知给防 火琦 , 防
火琦生成动态规则对攻击行为实现控制和 阻断 因此可 以 更有效地保护用户信息安全
关键词 入俊检浏 防火琦 联动
中圈分类号 乃 文献标识码 文童编号 一 ‘ 一 一
引言
随着信息技术的高速发展 , 信息安全越来越引起人们的重视 一些大中型企业希望通过购买防
火墙 、 入侵检测系统等安全设备来保障企业的信息安全 防火墙和入侵检测系统处于网络的边界 , 虽
可以有效保护内部网络免受来自 的攻击 , 却不能对来 自网络内部的攻击进行防御 川 因此
,
个人主机防火墙成为企业信息安全不可缺少的重要组成部分 但是防火墙不识别网络流量 , 只要是
经过合法通道的网络攻击 , 防火墙就无能为力 例如很多来自于 和 的恶意代码
,
通过合法的 访问通道 , 对系统形成威胁 同样 , 入侵检测系统本身易遭受拒绝服务攻击 ,
其包捕捉引擎在突发的
、
海量的流量前会迅速失效 , 而且还有一些攻击可绕过它的检测 一 同时 ,
入侵检测系统对攻击的抵抗控制力也很弱 , 对攻击源只能做一些简单处理 这样易增加了网络的流
量 、 甚至导致网络拥塞 因此 , 防火墙和入侵检测系统的功能特点和局限性决定了它们彼此可以取
长补短 防火墙主要做访问控制 , 入侵检测系统主要做入侵信号的发现 , 而且 , 它们本身所具有的强
大功效仍没有得到充分的发挥 因此 , 防火墙和入侵检测系统之间适合建立密切的联动关系
, 共同
提高网络安全体系的防护能力
防火墙与入侵检测系统
防火墙技术
防火墙 是在计算机网络互联环境下的访问控制技术 , 通过监测
、
限制
、 更改跨越防火
墙的数据流 , 可以有效地屏蔽被保护网络的信息 , 保证信息的私有性和完整性 , 从而对系统及其正
常运行等提供安全防护 防火墙是由软件
、
硬件构成的系统 , 用来在两个网络之间实施接入控制策
图 防火培在互连的网络中的位
收稿 日期
一
俘
作者简介 庄健平 一 , 男 , 福建厦门人 , 华侨大学讲师 主要从事计算机网络及安全方面的研究
临沂 师 范学 院学报 第 卷
略 接入控制策略是由使用防火墙的单位自行制订的 , 为的是可以最适合本单位的需要 图 】是防
火墙在互连的网络中的位置
防火墙内的网络称为 “ 可信赖的网络 ” , 而将外部的因特网称为 “ 不可信赖的网
络 ” 作为不同的网段之间的逻辑隔离设备 , 防火墙将可信赖的网络与外部不可
信赖的网络进行有效隔离 , 将网络安全策略的制定和信息的流动集中管理控制 , 为网络边界提供保
护 , 是抵御外界入侵可靠的手段之一 防火墙用来解决内联网和外联网的安全问题 它来源于对内
联网和外联网的安全问题的思考 这种思考的结果产生了如何对网络传输的数据设定合法的路由选
择 其基本构成包括 网络策略
、
验证工具
、
包过滤
、 应用网关 网络策略又分为扩展性策略
、 服务
访问策略
、
防火墙设计策略
、
信息策略 、 拔入与拔出策略
服务访问策略是一种发布专用的网络访问策略 , 它用来定义那些有受限制的网络许可或明确拒
绝的服务 防火墙设计策略则是定义用来实施服务访问策略的规则 入侵检测系统与防火墙之间就
存在通过入侵检测系统发现问题
、
发送规则或规则信息
、
生成服务访问策略规则的关系
入侵检测系统
入侵行为主要是指对系统资源的非授权使用 , 可以造成系统
数据的丢失和破坏
、
系统拒绝服务等危害的行为 入侵是指任何
企图危及资源的完整性
、
机密性和可行性的活动 入侵检测是指
对入侵行为的发现 , 它通过在计算机网络或计算机系统中的若干
关键点收集信息并对收集到的信息进行分析 , 从而判断网络或系
统中是否有违反安全策略的行为和被攻击的迹象
,
完成入侵检测
功能的软件和硬件组合就是入侵检测系统 从系统结构上看 , 入
侵检测系统至少包括数据采集
、 入侵分析
、 响应处理三个组成部
分 , 另外还可能包括知识库
、
数据存储等功能模块 , 提供完善
的安全检测及数据分析功能 图 是入侵检测的基本原理图
图 入侵检测的基本原理圈
根据原始数据的来源 , 入侵检测系统可分为以下几类 基于主机的入侵检测系统
、 基于网络的
入侵检测系统
、
基于应用的入侵检测系统
、 混和型入侵检测系统 从技术上 , 检测入侵的方法分为两
类 异常检测和误用检测
由上可知 , 入侵检测系统可 以弥补防火墙的不足
, 为网络提供实时的入侵检测并采取相应的防
护手段
防火墙与入侵检测系统的联动
联动即通过一种组合的方式 , 将不同的技术与防火墙技术进行整合
,
在提高防火墙自身功能和
性能的同时 , 由其他技术完成防火墙所缺乏的功能 入侵检测系统 ‘ 能够帮助网络系统快速发
现网络攻击的发生 通过入侵检测系统与防火墙联动可以达到网络的安全性与性能的最佳平衡 , 同
时通过添加防火墙动态规则 , 能有效对攻击行为予以阻断 , 实现了防御的实时性和时效性
控制信息的生成
防火墙的访问控制是通过顺序匹配过滤规则实现的 过滤规则中包含了进行访问控制的各个控
制域和动作 , 例如源与 目的 地址 、 源与目的端 口
、
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
类型和采取的允许或拒绝的动作 要实现防
火墙与入侵检测系统的联动控制 , 就需要入侵检测系统为防火墙生成控制规则 , 或提供生成规则所
需要的信息 因此 , 控制信息的生成是将接受到的危险警报进行分析
, 提取出相关信息 , 生成
数据格式的控制信息 , 然后对控制信息进行加工处理 , 并向防火墙端通讯模块发送事件消息 联动
策略的制订要考虑攻击的种类以及阻断时间方式两个方面 攻击的种类依据攻击特征和危险级别进
行分类 , 设计过程要过滤掉一些级别较低的危险警报 阻断时间与阻断方式是针对某条联动规则设
第 期 庄健平 入侵检测系统与防火墙的联动
置 提取出来的控制信息格式为
八
其中
、
雌 分别为检测到的警告信息中的源与目标 地址
, 、 飞 为检
测到的警告信息中的源与目标连接端的端口号 , 为协议类型 , 为危险程度
, 为
危险级别 这样可 以设定在防火墙中的动态规则时间 , 即动态规则时间为
、
以及时间
之积 , 即动态规则时间 , ,
·
为了减少通讯量和防火墙对动态规则的处理时间 , 对于每次发送的数据报 , 要记录发送的规则
,
对于新发送的消息要和记录进行比对 , 检验是否为已发送的未超时规则
与防火墙的通信
采用开放联动接 口来实现防火墙与 的联动 联动双方事先约定并设定通信端口
,
并且相互
正确配置对方 地址 , 由入侵检测系统向防火墙发起连接 建立正常连接后
,
当入侵检测系统产生
需要通知防火墙的安全事件时 , 通过发送 数据格式的控制信息的数据包 , 传递互动信息 当防
火墙接到从入侵检测系统发来的控制信息后 , 对控制数据报的身份进行验证 , 当确认此数据报是来
自于信任的入侵检测系统就接受处理 , 否则丢弃该数据报 对于接受处理的数据报 , 按照和入侵检
测系统事先约定好规则生成动态规则 联动处理的动态规则有一定的生命周期
, 当时间到达后 自动
删除动态规则 规则数量过多将导致防火墙和入侵检测系统的性能下降 , 产生某种程度的拒绝服务
攻击 动态规则链的设置要保证防火墙检测规则模块优先检查 , 并用替换距离超时时间最近的规则
的方法使新规则不超过了规则设置的上限 , 采用多线程技术对动态规则链的规则做超时检测 , 自动
删除超时规则
与防火墙的联动
综上所述 , 当来 自外网的攻击者开始对受保护网络内的主机发动攻击时 , 网络边界处监听的入
侵检测系统检测到对内网主机的攻击行为后 , 入侵检测系统通过它与防火墙之间的 “ 公共语言 ” 发
送报文通知防火墙 , 防火墙收到并验证报文后生成动态规则对攻击行为实现控制和阻断 图 是入
侵检测系统与防火墙联动实现的过程
图 入侵检测系统与防火墙联动实现过程
联动控制是基于客户枷服务器模式
, 通过扩展入侵检测系统和防火墙的功能 , 在防火墙中驻留
一个服务器端程序 , 在 端驻留一个客户端程序 , 客户端在发现需防火墙阻断的攻击行为后 , 产
生控制信息 , 将控制信息传送给服务器端 , 服务器端接到客户的控制消息后 , 动态生成防火墙的过
滤规则 , 最终实现联动
临沂 师 范学 院学报 第 卷
结束语
由于防火墙与入侵检测技术具有较强的互补性 , 实现防火墙与入侵检测的联动是理想的网络安
全解决
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
本文中结合了开发实践过程的研究 , 给出了利用防火墙与入侵检测技术联动的方法 , 该
方法解决了已有的相关技术存在的部分问题
,
为这项技术的开发提供了有益的参考价值
参考文献
沈雪石 论信息网络时代的国家安全 国防科技
, 《 岭 , 一
樊隽
,
金烨 网络入侵检测中协同信息的安全传输 南京师范大学学报 工程技术版
, , 并
【 一 , , 一
谢洁锐
,
刘财兴 肖德琴
,
等 具有入侵检测功能的防火墙设计 计算机应用研究
, 以〕 , 引一
一
, , 一,
,
, ,
,
,
责任编辑 张问银