安德智

甘肃政法学院计算机科学学院 甘肃 730070

0 前言

随着互联网的迅速普及和国内各高校网络建设的不断发展，各大中专院校及中小学相继建成或正在建设校园网。校园网的建成，使学校实现了管理网络化和教学手段现代化，这对于提高学校的管理水平和教学质量具有重要的意义。但随着黑客的入侵增多及网络病毒的泛滥，校园网的安全已成为不容忽视的问题，数据的安全性和学校自身的利益受到了严重的威胁。因此，能否保证计算机和网络系统的安全和正常运行便成为校园网络管理所面临的一个重要的问题。

校园网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一个能够一劳永逸地防范任何攻击的完美系统，这样的系统客观上是不存在的。我们力图建立的是一个网络安全的动态防护体系，是动态加静态的防御，是被动加主动的防御甚至抗击，是管理加技术的完整安全观念。

1 防火墙技术与入侵检测系统的比较

防火墙是实施访问控制策略的系统，对流经网络的流量进行检查并拦截不符合安全策略的数据包。然而，防火墙作为目前保护网络免遭黑客袭击的有效手段，也存在着明显的不足之处：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击等。

对于入侵检测系统（Intrusion Detection System，IDS）而言，它通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。虽然它能够帮助人们确切了解问题所在，但绝大多数入侵检测系统只能在攻击发生时被动发出警报。

防火墙与入侵检测系统作为网络安全的主要技术，他们的功能比较如表1所示。从表中可以看出，它们具有很强的互补性，总结起来，主要表现在以下几个方面：

（1）防火墙要根据策略转发它所连接的链路上的所有数据流量，为了快速转发数据，防火墙不可能对所有转发数据报进行详细分析。而IDS不必转发数据流量，只是将网段上的收集查看数据报内容，监视其行为。这样IDS就可以对数据报的协议、内容作详细的分析。

（2）防火墙可以根据策略对数据报进行过滤，减少进入内部网络的数据流量，从而减轻IDS的数据报分析任务。而IDS不能对数据报进行过滤，只能对已经进入网络的数据报进行监视。

表1 防火墙技术与入侵检测系统的比较

（3）防火墙是根据策略对数据报在进入内部网络之前进行过滤，故把入侵行为排除在外；而入侵检测系统是对绕过防火墙进入内部的数据报进行分析和监视，是对进入网络内部或正在发生的入侵进行检测与阻止。

（4）防火墙只对数据报的地址、协议、端口号进行检查，而入侵检测需要对数据报的内容进行检查。

综合防火墙与入侵检测系统的优势与不足可以看出，从功能分工上来看，有效抵御入侵的理想方式就是把防火墙和IDS的功能有机地组合在一起。这样，入侵检测系统能够弥补防火墙的不足，对过往流量进行入侵检测，一旦发现入侵后不仅发出报警，同时还进行实时阻断，为受保护网络提供有效的入侵检测及相应的防护手段。因此，防火墙和入侵检测系统之间十分适合建立紧密的联动关系，将两者的能力充分发挥出来，相互弥补不足，互相提供保护。进一步地，从信息安全整体防御的角度出发，这种联动是十分必要的，极大地提高了网络安全体系的防护能力。其联动模型如图1所示。

图1 联动模型

2 联动模型的安全策略

安全策略是指一个特定环境中，为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么，制定恰当的满足需求的策略方案，然后才考虑技术上如何实施。

防火墙是保证安全的最基本方式。防火墙可以按照需要来阻断或允许网络通信。入侵检测系统不能充当防火墙的替代品。入侵检测技术的基本功能是监视内部网络的流量，并对识别到的重要攻击特征进行警报。

一种较为容易实现的策略是在防火墙遭受攻击时让入侵检测系统重新配置防火墙。例如入侵检测系统和防火墙通信并让它自动地关掉端口或禁止主机。防火墙是减少扫描威胁的最有效的方式。入侵检测系统可以帮助探测和阻碍主机扫描。但是入侵检测系统主要是监控内部网络传输，而不能作为防火墙来保护网络。这是因为防火墙作为集中点，能够拦截或允许进出通信。有防火墙的地方，可以有效地使用一个系统去保护系统免受扫描、嗅探和拒绝服务攻击（DoS）。

这种策略不仅可以保护校园免受外界攻击也可以对校园网内部的网络通信进行检测，并发出警报或采取相应的主动行为。

3 校园网络安全防御系统的实现

众所周知，专用的入侵检测设备一般是监听网络进出口处的信息，不是串接在其中，不能保证能够切断检测出来的攻击。只有将入侵检测和防火墙结合才能够保证网络不受攻击。入侵检测系统与防火墙联动实现的过程如图2所示。互联网上的黑客开始对受保护网络内的主机发动攻击，这时位于网络出口处监听的入侵检测系统检测到黑客对内网主机的攻击行为后，入侵检测系统通过它与防火墙之间的“公共语言”发送通知报文通知防火墙，防火墙收到并验证报文后生成动态规则实现对攻击行为的控制和阻断。

图2 防火墙和入侵检测系统联动

该系统主要包括的模块有：

（1）入侵检测系统控制信息生成模块

控制信息生成模块的主要任务是将接受到的探测器发来的危险警报进行整理，提取出相关信息，生成特定的控制信息，然后对控制信息进行加密处理，并向防火墙端通讯模块发送事件消息。

（2）入侵检测系统和防火墙通讯模块

我们采用了通过开放联动接口来实现防火墙与入侵检测系统的联动。通信双方可以事先约定并设定通信端口，并且相互正确配置对方IP地址，防火墙以服务端的模式来运行，入侵检测系统以客户端的模式来运行。

具体实现方式是，配置网络入侵检测系统的安全策略，选择响应对象为防火墙，同时指定防火墙的地址及认证密钥，由入侵检测系统向防火墙发起连接。建立正常连接后，当入侵检侧系统产生需要通知防火墙的安全事件时，通过发送控制信息生成模块所产生的加密的约定格式的数据包，传递必要的互动信息。

（3）防火墙动态规则处理模块

当防火墙接到从入侵检测系统发来的控制信息后，首先需要对控制信息报的身份进行验证，当确认此信息报是来自于信任的入侵检测系统则接受处理，否则将该信息报丢弃。对于接受处理的信息报，按照和入侵检测系统事先约定好的密钥对控制信息进行解密，按照此信息报生成动态规则。防火墙需要制定一定的安全策略，联动处理的动态规则有一定的生命周期，当时间到达后自动删除动态规则，重点要考虑到添加规则的数量和生命周期的设置。规则数量过多将导致防火墙和入侵检测系统的性能下降，产生某种程度的拒绝服务攻击。

动态规则链的设置规则由以下几点组成：

（1）将动态规则链插入到防火墙检测规则链中，保证防火墙检测规则模块优先检查动态规则链。

（2）当新加入动态规则时，检查是否达到了规则链的上限，在这里我们设置动态规则链的数量是8条，当新规则到来时超出了规则上限，我们替换规则链上距离超时时间最近的规则。

（3）采用多线程技术，检查动态规则链中的规则是否超时。当超时后，自动删除规则。

（4）防火墙规则的审计分析模块：对于防火墙中添加的动态规则应该详细记录，这样就可以了解过滤规则阻止了哪些访问，也可以了解究竟是哪些人试图违反规则。当然，记录所有的动态规则是一个保险的措施，虽然这样需要更多的存储空间，但是为了解决问题，这样做是值得的。同时，便于管理员以后的日志分析，我们按照时间和数量进行统计，对于经常性的阻断动态规则，考虑设置为防火墙的静态规则去处理。

4 小结

在本文所提出来的将静态技术的代表防火墙与动态技术的代表入侵检测系统结合互动的使用，并不仅指将两个系统设定统一的标准接口后简单的物理结合，而是将两个系统各自的、特长的功能展现在新系统中，将动态安全技术的实时、快速、自适应的特点成为静态技术的有效补充，将静态技术的包过滤、信任检查、访问控制成为动态技术的有力保障。

当然，我们也应当看到，防火墙与入侵检测系统互动技术的实施只是初步实现了防护、检测与响应三者之间的一种简单的协作和体系防护功能。这并不能说明这样一个安全体系就能在现实网络环境中发挥完善的防护效果。正如防火墙不可能百分之百可靠一样，入侵检测系统自身也不能具有较防火墙更高的可靠性。但可以确信的是，在这样一个互助互补的安全体系之下网络一定更安全。

[1]乐光学.Internet/Intranet网络安全技术及安全机制的建设[J].佳木斯大学学报自然科学版.2002.

[2][美]Chris Hare Karanjit siyan.Internet防火墙与网络安全[M].北京:机械工业出版社.1998.

[3]胡征兵，苏军.入侵防护技术综述[J].微型电脑应用.2005.

[4]刘宝旭.许榕生等.黑客防范技术揭密[M].北京:机械工业出版社.2001.

[5]张兴东，胡华平，况晓辉等.防火墙与入侵检测系统联动的研究与发现[J].计算机工程与科学.2004.