入侵检测技术和防火墙结合的网络安全探讨

1、 俞美玉 陈守文：钦建诚意伯庙楹联匾额之解读入侵检测技术和防火墙结合的网络安全探讨陈珊 陈哲* 收稿日期：2009-3-9作者简介：陈珊（1975- ），女，讲师，研究方向：计算机科学。（浙江工贸职业技术学院，温州科技职业学院，浙江 温州 325000）摘 要：本文指出了目前校园网络安全屏障技术存在的问题，重点分析了IDS与防火墙结合互动构建校园网络安全体系的技术优势，并对IDS与防火墙的接口设计进行了分析研究。关键词：防火墙；网络安全；入侵检测中图文分号：TP309 文献标识码：A 文章编号： 16720105（2009）02006105The Discussion of Security

2、Defence Based on IDS and FirewallChen Shan, Chen Zhe(Zhejiang IndustrialTrade Polytechnic, Wenzhou Science and Technology Vocaitional College， Wenzhou Zhejiang 325000)Abstract: This essay points out the problem in current security defence technology of campus network, which focuses on the technology

3、 advantages of combine and interaction of firewall and IDS (Intrusion Detection System) to build 120 campus network security system, and it also analyses and studies the interface design of firewall and IDS. Key Words: Firewall; Network Security; IDS (Intrusion Detection Systems)随着国际互联网技术的迅速发展，校园网络在

4、我们的校园管理、日常教学等方面正扮演着越来越重要的角色，为了保护学校内部的机密信息(如人事安排、档案、在研课题、专利、纪检报告等)，保证用户正常访问，不受网络黑客的攻击，病毒的传播，校园网必须加筑安全屏障，因此，在现有的技术条件下，如何构建相对可靠的校园网络安全体系，就成了校园网络管理人员的一个重要课题。一、目前校园网络安全屏障技术存在的问题一）防火墙技术的的缺陷防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，它越来越多被地应用于校园网的互联环境中。是位于两个信任程度不同的网络之间(如校园网与Internet之间)的软件或硬件设备的组合，它对网络之间的通信进行控制，通过

5、强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。但也必须看到，作为一种周边安全机制，防火墙无法监控内部网络，仅能在应用层或网络层进行访问控制，无法保证信息(即通信内容)安全，有些安全威胁是防火墙无法防范的，比如很容易通过协议隧道绕过防火墙，而且无法自动调整策略设置来阻断正在进行的攻击，也无法防范基于协议的攻击。二）入侵检测技术入侵检测系统（IDS）是近十多年发展起来的新一代安全防范技术，它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应的动态安全技术，不仅能检测来自外

6、部的入侵行为，同时也监督内部用户的未授权活动。入侵检测技术（IDS）能够实时分析校园网外部及校园网内部的数据通讯信息，分辨入侵企图，在校园网络系统受到危害之前以各种方式发出警报，但是入侵检测系统自身，只能及时发现攻击行为，但却无法阻止和处理。二、入侵检测（IDS）与防火墙互动运行，实现有效的安全防护体系一个有效的安全体系至少是由防护、检测、响应三部分组成，可以说这3个部分构成一个最小的安全体系，3个方面缺一不可。而且这三者之间要实现基于时间的简单关系：P>D+R(式中P代表防护手段所需支持的时间，D代表入侵检测手段发现入侵行为所需的时间，R代表事件响应设施产生效力所需的时间)才能有效。从

7、这个公式可以知道：如果在入侵者尚未能突破防护设施的防御时，检测系统已经发现了这一入侵企图，且响应设施随即进、行了有效的处理，那么尽管保护不能百分之百地有效，但只要检测快速，响应及时，在攻击企图未能达到目的之前，防护系统能发现并成功地做出正确响应，那整个安全系统作为一个整体，仍是有可能实现有效防御的。这里防护是指防火墙一类防御手段，检测指入侵检测手段，响应指网络系统对检测手段所发现的入侵企图做出的反应。这就是说IDS与防火墙有效互动就可以实现一个较为有效的安全防护体系，解决了传统信息安全技术的弊端，解决了原先防火墙的粗颗粒防御和检测系统只发现难响应的问题。所以，让IDS与防火墙结合起来互动运行，

8、防火墙便可通过IDS及时发现其策略之外的攻击行为，IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样就可以大大提高整体防护性能并解决上述问题。其互动逻辑示意图如图1所示。 发现入侵行为，发阻断请求 入侵检测 防火墙 调整策略，响应请求图1 互动逻辑示意图在防火墙之后加入入侵检测的好处有；如果能够足够迅速检测到入侵，那么就能确认入侵者，并能在破坏发生或数据损坏之前把他驱逐出系统，即使未能足够迅速地检测出入侵并加以阻止，也是越迅速地检测出入侵，越能减少破坏的危害并能够迅速地加以恢复。高效的检测系统能够起到威慑作用，因此也能从一定程度上阻止入侵。入侵检测系统能够收集有关入侵技术的信息，这样

9、可以用来加强入侵阻止设施。三、检测器设置的位置选择分析检测器设置的位置选择入侵检测可以放在防火墙之外也可以放在防火墙之内，图2所示为将IDS放在防火墙之内的设置 IDS 实验网站 SERVER Ineranet 防火墙 Ineranet SERVER SERCER SERCER 图2 IDS防在防火墙之内这种结构主要是考虑到防火墙对于内部入侵防范能力的弱点，IDS可以检测出内部用户的异常行为、黑客突破防火墙和系统限制后的非法入侵，但它自身不能控制攻击，而且自身安全也是一个问题，因此将入侵检测系统置于防火墙之后，可以利用防火墙的技术减少负载工作量，外来不合法的信息可以经过防火墙首先过滤掉一部分，

10、防火墙对入侵检测系统本身也是一种保护，同时，对于由外而内的入侵，IDS无疑是防火墙的第二道防线，它既面对外部也面对内部。另外，如果攻击者能够发现检测器，就可能会对检测器进行攻击，从而减小攻击者的行动被审计的机会。防火墙内的系统会比外面的系统脆弱性少一些，如果检测器在防火墙内就会少一些干扰，从而有可能减小误报警。如果本应该被防火墙封锁的攻击渗透进来，检测器在防火墙内检测到后就能发现防火墙的设置失误。因此，将检测器放在防火墙内部的最大理由就是设置良好的防火墙能够阻止大部分“幼稚脚本”的攻击，使检测器不用将大部分的注意力分散在这类攻击上。但在设计的过程中，并不是将两个完整的防火墙系统和入侵检测系统进

11、行简单的叠加，而是在对二者的功能和优缺点进行仔细的研究后，建立一个简易的入侵检测系统来辅助现有的防火墙系统，将二者进行功能上的互补。这个简易的入侵检测系统通过对软件包的监听获得数据包，然后基于已经建立的特征库，按照规则进行审计，并能够进行包的数据内容搜索与匹配，从而实现入侵检测分析功能。如图3所示， 进入防火墙的入侵者 网 网站 站内 外 外来入侵者部 部 防火墙挡住的入侵者模式库匹配报警防火墙 防图3 IDS与防火墙结合当有外来入侵者的时候，一部分入侵由于没有获得防火墙的信任，首先就被防火墙隔离在外，而另一部分骗过防火墙的攻击，或者是不经过防火墙的内部攻击，再一次受到了入侵检测系统的检测，受

12、到怀疑的数据包经过预处理后，送到相应的模块去进一步检查，当对规则库进行扫描后，发现某些数据包与规则库中的某些攻击特征相符，立即切断这个IP的访问请求或者报警。四、IDS与防火墙的接口互动方式IDS与防火墙的接口目前实现入侵检测系统和防火墙之间的互动一般有两种方式：一种方式是实现紧密结合，把入侵检测系统嵌入到防火墙中，即入侵检测系统的数据来源不再来源于数据包，而是流经防火墙的数据流。所有通过的包不仅要接受防火墙的检测规则的验证，还要判断是否是有攻击，以达到真正的实时阻断。这样实际上是把两个产品合成到一起。但是由于入侵检测系统本身也是一个很庞大的系统，所以无论从实施难度上，还是合成后的整体性能上，

13、都会受很大的影响。第二种方式是通过开发接口来实现互动。即防火墙或者入侵检测系统开放一个接口供对方使用，双方按照固定的协议进行通信，完成网络安全事件的传输。这种方式比较灵活，不影响防火墙和入侵检测系统的性能。经过比较之后，将IDS与防火墙通过开放接口结合起来实现互动要比将两者紧密结合在一起要好，因为系统越复杂其自身的安全问题就难以解决。所以选择将防火墙或者入侵检测系统开放一个接口供对方使用，双方按照固定的协议进行通信，完成网络安全事件的传输。当防火墙和入侵检测系统互动时，所有的数据通信是通过认证和加密来确保传输信息的可靠性和保密性。通信双方可以事先约定并设定通信端口，并且互相正确配置对方IP地址

14、，防火墙以服务器(Server)的模式来运行，IDS以客户端(Client)的模式来运行。其互动原理图如图4所示。 验证合法性并建立连接 判断是否需要互动 如果需要则发动互动信息入侵检测系统入侵检测系统 防火墙 防火墙检测到攻击不符合安全标准 阻断图4 IDS互动原理图具体步骤如下：第一步，初始化通信连接时，一般由IDS向Fire-wall发起连接。第二步，建立正常连接后，当IDS产生需要通知Firewall的安全事件时，通过发送约定格式的数据包，来完成向Firewall传递图4 所示IDS与防火墙结合必要的互动信息。其中主网站内部模式库匹配进入防火墙的入侵者外来入侵者被防火墙挡住的入侵防火墙报警网站外部预处理插件处理插件输出插件规则处理模块解码模块主控模块辅助模块日志模块使用/调用要的信息包括：源IP地址、目的IP地址、IDS的IP地址、实施阻断的时间、源端口、目的端口、通信协议、端阻断模式(阻断源、阻断目的、两者都阻断)、是否要求回应的标识、其他保留字段。第三步：Firewall收到互