朱俊

湖南常德职业技术学院现代教育技术中心 湖南 415000

0 前言

防火墙位于内部网络与外部网络之间，通过预先设置好的安全策略，对进入内部网络的数据包进行逐个排查过滤，滤掉入侵攻击行为。而入侵检测系统则设置在内部网络的边界上，时刻监视内部网络状态，一旦发现网络中有非法操作或攻击行为，及时的发送信息给防火墙，防火墙接受安全报警之后，立即采取阻断接应措施，阻止当前的攻击，并根据报警的相关内容及时调整安全策略，以防类似入侵事件再一次发生，这样保护了内部网络。

综合上述讨论，防火墙系统与入侵检测系统各有优势和不足之处。防火墙是一种被动防御手段，只能过滤入侵攻击行为，由于本身的缺陷，有些入侵行为绕过防火墙系统进入内部网络，此时防火墙将失去作用，同时，防火墙无法发现黑客的攻击行为。因此，仅仅依靠防火墙系统来维护网络信息安全是远远不够的；而入侵检测系统是一种动态网络安全防御措施，假设把内部网络看作是一个小区，那么入侵检测系统就像小区内的保安，时刻对网络进行监测而不影响网络性能。因此，只有将防火墙系统与入侵检测系统两者相结合，协同工作，相互补充，充分发挥各自的优势，弥补各自的不足，才能为网络提供充实、可靠的安全保障。见，一般在Internet与Intranet之间放入一个中间介质，这个中间介质在内部网络、外部网络之间形成一个通道，内部网络与外部网络交换的所有信息都要经过这个通道，在通道内过滤掉外部网络的非法用户、黑客的入侵攻击行为，同时也可以阻止内部网络用户非法向外部网络传递信息，这个中间介质就叫做“防火墙”(如图1)。

图1 防火墙系统

1 防火墙系统

一个内部网络连接上了Internet，用户就可以同外部网络通信，外部网络也可以访问内部网络并与之交互。为安全起

防火墙是实现网络信息安全的基础设施，是保护网络信息安全最重要的手段之一，也是目前世界范围内用得最多的网络安全产品之一。在构建安全网络环境结构中，防火墙作为第一道安全防线，它是由软件或软硬件结合的一种安全措施的总称，防火墙通过对两个网络之间的通道实施强制统一的安全策略，监控进出网络之间的通信，从而达到保护可信网络安全的目的。防火墙具有五个基本功能：①过滤掉黑客的攻击和非法用户；②控制对特殊站点的访问、③防火墙可以强化网络安全策略、④防火墙防止内部网络信息的外泄、⑤防火墙本身具有较强地抗攻击能力。

根据防火墙采用的技术不同，防火墙可分为：①包过滤防火墙：通过拦截数据包，把入侵攻击过滤掉；②代理服务器防火墙：利用代理服务器主机，将外部网络与内部网络隔开；③监测型防火墙：是一种动态包过滤，可以动态地根据请求自动生成或删除安全过滤规则；④复合型防火墙：将几种防火墙技术结合起来使用，如在代理服务器防火墙上增加包过滤功能构成复合型防火墙系统。

防火墙系统也存在缺陷：①防火墙不能防止来自网络内部的攻击或授权访问者的攻击；②内部网络存在后门时防火墙将失效；③入侵攻击者随着数据包不流经防火墙而直接进入内部网络，防火墙无法阻止入侵攻击者的攻击；④防火墙不能防御数据驱动式的入侵；⑤防火墙无法修正与补充安全策略上存在的漏洞，同时也无法事先预见安全策略在设置上的漏洞；⑥防火墙对于未知的病毒攻击缺乏灵活性，一旦被攻击，就很难做出响应，从而导致防火墙的失效。

2 入侵检测系统

入侵检测系统是一个从计算机网络信息、服务器、计算机日志中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的一种安全技术。入侵检测系统以旁路监听的方式，不间断地从网络中的若干关键点收集信息，并分析这些信息，看这些信息中是否有违反安全策略的行为、遭受到内部攻击、外部攻击和误操作的迹象，从而提供对内部网络的安全保护。所以说入侵检测系统是网络安全的第二道防线，是防火墙的合理补充。

入侵检测系统的基本模型可分为四个组件：即事件产生器、事件分析器、响应单元、事件数据库。事件产生器的目的是从整个计算机环境、计算机网络中获得事件，并向事件分析器提供此事件；事件分析器分析由事件产生器发送来的数据，并产生分析结果；响应单元则是对分析结果做出报警、阻截等反应的功能单元，即它可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警；事件数据库是存放各种中间数据和最终数据的地方，它可以是复杂的数据库，也可以是简单的文本文件。在这个模型中，前三者是以程序的形式出现，最后者则往往是文件或数据库，如图2。

图2 入侵检测通用模型

入侵检测系统按照其工作原理主要分为三种类型：基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。基于主机的入侵检测系统的数据来源于系统日志、审计记录，与受保护主机的操作系统等有关；基于网络的入侵检测系统使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击者做出反应；分布式入侵检测系统，它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。

常用入侵检测方法有：①异常入侵检测：异常入侵检测是记录用户在系统上的活动，并且根据这些记录创建活动的统计报告。如果报告表明它与正常用户的使用有明显的不同，那么检测系统就会将这样的活动视为入侵行为；②误用入侵检测：误用入侵检测是事先对已知的入侵方式进行定义，并且将这些方式写进系统中，将网络系统上检测的攻击与系统定义的已知入侵方式进行对比，如果两者相同则为发生了入侵；③完整性入侵检测：完整性入侵检测是为系统的每个文件生存一个校验和，然后定期地将这个校验和与源文件比较，以确保文件是否被修改过，如果文件被未授权者修改过就会发生报警。

3 防火墙与入侵检测的联动

入侵检测系统发现入侵事件后，自动将入侵事件发送给防火墙，防火墙加载动态规则拦截入侵，称为防火墙系统与入侵检测系统联动。防火墙与入侵检测双方事先约定，并设置通信窗口，相互配置好对方正确的IP地址，防火墙系统与入侵检测系统建立正常联动之后，在内部网络与外部网络交换信息的过程中，入侵检测系统中的事件生成器，积极主动地从网络资源或主机系统中收集相关信息，并将这些信息转换成相应的网络事件发送到事件分析器，事件分析器通过异常入侵检测或误用入侵检测等多种手段，对事件生成器传来的网络事件进行鉴别，如果发现当前鉴别的网络事件是一个攻击者，入侵检测系统通过客户端程序向防火墙系统服务器端程序发送控制信息，当防火墙系统服务器端程序接受到入侵检测系统发来的控制信息后，对控制信息的身份进行验证，当确认此数据是来自入侵检测系统，就接受处理，否则放弃该数据。对接受处理的数据按照事先约定的规则，动态生成防火墙的过滤规则，对入侵者或攻击行为实现控制和阻截而实现联动，如图3。

图3 防火墙系统入侵检测系统

4 结束语

由于防火墙技术与入侵检测技术有较强的互补性，实现防火墙与入侵检测的联动是目前较理想的网络安全防御措施。随着黑客技术和手段不断更新，网络安全措施也必须要不断更新，以解决新的安全问题，虽然防火墙与入侵检测联动，能在很大程序上提高网络安全性能，但并不能完全保证网络的绝对安全。因此，为了实现网络的安全，建立一个高效、通用、完整的安全体系，需要将各种防火墙技术、入侵检测技术、网络安全技术相结合，并配合有效的管理和组织措施，提高网络管理人员的安全意识，建立相应的法制法规，采取技术与立法等多种手段进行综合治理，才能真正形成立体的、纵深有序的安全防御体系。

[1] 李明柱,五西平.Windows NT/2000中Intranet的组建和管理教程[M].北京航空航天大学出版社.2002.

[2] 张剑平.Internet 和 Intranet应用[M].中央广播电视大学出版社.2002.

[3] 周捷.防火墙工作模式的研究及应用.计算机与网络[J].2008.

[4] 黄小田.关于网络安全及其技术的深入探讨.计算机与网络[J].2008.