唐言

（黑龙江省教育学院，黑龙江 哈尔滨 150080）

1 引言

二十一世纪，随着计算机网络技术的飞速发展，一个实时网络通讯、资源信息共享的网络时代已经来临，可以说现在人们的工作、生活己经和它密不可分了。但是计算机网络在给我们提供快捷、方便、可靠服务的同时，也带来了不容忽视的网络安全问题。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全。目前，运用较广泛的网络安全的主要技术有防火墙技术、入侵检测技术。本文集两种技术之所长提出了一种将防火墙与网络入侵检测系统进行联动的体系框架。

2 网络防火墙的主要技术

随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术也在不断发展，防火墙所采用的主要技术为。

2.1 包过滤技术

包过滤技术是对数据包实施有选择的通过，包过滤技术的核心是安全策略，即过滤算法的设计。它能拦截和检查所有进出的数据，通过包检查模块验证包否符合过滤规则，符合的包允许通过，不符合规则的数据包要进行报警或通知管理员。另外，不管是否符合过滤规则，防火墙一般都要记录数据包的情况。对于丢弃的数据包，防火墙可以给发送方一个消息，也可以不发，这要取决于包过滤策略。包检查模块能检查包中的所有信息，一般是网络层的IP 头和传输层的头。

2.2 代理服务器技术

代理型防火墙也可以被称为代理服务器。代理服务器位于客户机与服务器之间，完全阻挡了二者的数据交换。从客户机来看，代理服务器相当于一台真正的服务器;而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器。代理服务器再根据这一请求向服务器索取数据，然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难危害到企业内部网络系统。代理防火墙通常支持的一些常见的应用协议有HTTP、SISSL、SMTP、POP3 等。

2.3 状态检测技术

传统的包过滤防火墙只是通过检测IP 包头的相关信息来决定数据流的通过或拒绝，而状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息。因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。

2.4 网络地址转换技术

网络地址转换是把IP 地址转换成临时的、外部的、注册的IP 地址标准。它允许具有私有IP 地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。当受保护网络连到Internet上时，受保护网络可以使用非正式IP 地址，为此网络地址转换器在防火墙上装一个合法IP 地址集。当内部某一用户访问Internet 时，防火墙动态地从地址集中选一个未分的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对内部的某些服务器，网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可以通过防火墙来访问内部的服务器。这种技术即缓解了少量的IP 地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP 地址，提高了安全性。

2.5 个人防火墙技术

个人防火墙是一种能够保护个人计算机系统安全的软件，它可以直接在用户计算机上运行，使用与状态防火墙相同的方式，保护一台计算机免受攻击。通常，这些防火墙安装在计算机网络接口的较低级别上，使得它们可以监视传入、传出网卡的所有网络通信。对遇到的每一种的网络通信，个人防火墙都会提示用户一次，询问如何处理那种通信。然后个人防火墙便记住响应方式，并应用于以后遇到的相同的网络通信。

3 防火墙与入侵检测联动网络构架

专用的攻击检测设备一般是监听网络传输的信息，不是串接在其中，不能保证能够切断检测出来的攻击。只有将攻击检测和防火墙结合才一能够保证网络不受攻击。入侵检测系统与防火墙联动实现的过程如图所示。互联网上的黑客开始对受保护网络内的主机发动攻击，这时位于网络监听状态的入侵检测系统检测到黑客对内网主机的攻击行为后，入侵检测系统通过它与防火墙之间的‘公共语言’发送通知报文通知防火墙，防火墙收到并验证报文后生成动态规则实现对攻击行为的控制和阻断。

图1 防火墙和入侵检测系统联动

联动控制是基于客户服务器模式，通过扩展入侵检测系统和防火墙的功能，在防火墙中驻留一个Server 程序，在IDS 端驻留一个Client端程序，Client 端在发现需防火墙阻断的攻击行为后，产生控制信息，将控制信息传送给Server端，Server 端接到Client 的控制消息后，动态生成防火墙的过滤规则，最终实现联动，拦截攻击后且攻击停止时，添加的防火墙规则自动超时删除。

4 防火墙与入侵检测联动软件框架

图2 联动软件框架

联动控制模块启动或停止防火墙入侵检测报告的接收，在一个入侵检测系统向多个防火墙的发送数据的情况下，可以控制每个防火墙入侵报告的接收的启、停状态。防火墙报告接受模块启动报告接受线程，负责接收入侵检测系统实时发送的入侵报告，并对发送来的报告进行解析。入侵检测报告发送模块根据入侵检测系统的告警，实时发送入侵报告给注册的防火墙系统。

5 防火墙与入侵检测联动的数据加密技术

5.1 SSL 协议

SSL 协议即安全套接层协议能使用户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对用户进行认证。SSL 协议要求建立在可靠的传输层协议(TCP)之上。SSL 协议的优势在于它是与应用层协议独立无关的，高层的应用层协议(例如:HTTP、FTP、TELNET 等)能透明地建立于SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。通过以上叙述，SSL 协议提供的安全信道有以下三个特性。

数据的保密性。信息加密就是把明码的输入文件用加密算法转换成加密的文件以实现数据的保密。加密的过程需要用到密钥来加密数据然后再解密。没有了密钥，就无法解开加密的数据。数据加密之后，只有密钥用一个安全的方法传送。加密过的数据可以公开地传送。

数据的一致性。加密也能保证数据的一致性。例如:消息验证码(MAC，能够校验用户提供的加密信息，接收者可以用MAC 来校验加密数据，保证数据在传输过程中没有被篡改过。

安全验证。加密的另外一个用途是用来作为个人的标识，用户的密钥可以作为他的安全验证的标识。SSL 是利用公开密钥的加密技术(RSA)来作为用户端与服务器端在传送机密资料时的加密通讯协定。

5.2 联动系统的验证与加密传输

SSL 安全协议为网络应用层通信提供了认证、数据保密和数据完整性的服务，较好地解决了联动系统数据传输的安全问题。联动系统的数据交互利用了OpenSSL 提供的开发库，其通信过程和HTTP 协议类似，在客户端和服务器建立TCP 连接(connet 和accept)成功之后，SSL开始运行，首先进行安全握手连接即SSL cornet和SSL_accept，以确定协议版本、密码算法、密钥和压缩方式等密码学参数，并实现了防火墙与入侵检测系统数据交互前的身份认证;握手成功之后，入侵检测系统的使用SSL write 函数对应用层数据进行加密并将密文向其TCP 层发送，而后系统通过网络将报文向对等TCP 层(防火墙服务端)传送。防火墙使用SSL read 函数对其TCP 层传上来的数据进行解密，然后再将明文向上层发送，从而实现了防火墙与入侵检测系统数据交互的保密性。

[1]刘文涛，网络安全开发包详解，电子工业出版社，2005

[2]李晓莺，协议分析在入侵检测系统中的应用，网络安全技术与应用,2002

[3]韩东海等著，《入侵检测系统实例剖析》[M]，清华大学出版社，2002