浅析防火墙融合入侵检测系统的网络安全技术应用

2017-03-11◆樊鹏

网络安全技术与应用 2017年7期

关键词：防火墙网络安全装置

◆樊鹏

（中国飞行试验研究院陕西 710089）

浅析防火墙融合入侵检测系统的网络安全技术应用

◆樊鹏

（中国飞行试验研究院陕西 710089）

面对如今越来越严峻的网络安全形势，加强安全技术应用责任重大。防火墙技术与入侵检测系统之间的技术互补性突出，研究出防火墙与入侵检测系统相互融合的网络安全模型，不断提高技术应用的专业性。本文分析了这一网络安全模型，并就重要组成与各接口作简要说明。

防火墙；入侵检测系统；网络安全

0 引言

如今，互联网技术发展日新月异，互联网终端产品更新换代异常快速，所有产品接入互联网后实现了信息的实时共享。不断扩大的网络开放共享与互联互通特性使得如今的网络安全形势越来越突出，存在大量信息丢失、数据篡改、黑客恶意攻击等问题。网络安全技术应用已经成为了亟待加强的全球性课题。防火墙技术与入侵检测系统已成为人们解决网络安全问题的常见手段。由于两项技术在互补性，防火墙技术与入侵检测系统融合后将变得更加主动化和动态化。两者之间的结合联动，可靠入侵检测系统及时探明防火墙外的入侵行为，入侵信息经由防火墙分析，可快速做出策略响应，从源头阻止入侵活动，实现高效网络安全。

1 防火墙

防火墙是专注于保护本地网络系统的安全技术，一道防火墙就是一个安全控制点，对于网络内部安全性的保护作用是明显的，可过滤不同的网络安全可疑风险。不同的组织机构内部网络系统都需要建立防火墙。防火墙可对网络进行合理划分，重点监控并隔离关键网段，降低网络危害。通常在开展网络访问活动中，很多防火墙系统都使用单次单密码的动态性指令，或通过其他的身份认证机制等方式让安全认证功能集中于主机位置。

对防火墙技术而言，其缺陷主要集中在对可跨越防火墙的不良侵害无计可施，最典型的表现就是对内部出现攻击难以防备。且对已生病毒而言，防火墙的杀毒能力不强，防火墙的技术原理其实接近与很多杀毒软件，只有当病毒先行产生并危害计算机与网络后，杀毒软件才能得到病毒的有效数据特征，并开展对应杀毒代码研究，同时更新病毒库。面对不断衍生的文件类型与数据量，防火墙将很难做到完全扫面不同文件来预防查杀病毒，先受攻击后启动处理的模式使得防火墙的安全技术具有被动性，需要配合其他技术防止安全威胁。

2 入侵检测系统

入侵检测系统的开发目的就是对计算机以及网络资源中出现的恶意行为开展高强度识别与处理。该技术能对外来入侵、内部非法授权等行为全面监测甄别。入侵检测系统可以在系统接受攻击产生相应危害前就检测到异常，并激活相应警报与防护程序驱逐入侵。对于正在进行的攻击，该系统可直接收集有理信息，录入数据库后，提高后期的识别防范能力。

通常，入侵检测系统的组成分四大部分，分别是事件发生器、事件分析器、响应机构和事件数据库。

对事件发生器而言，主要指用于采集系统原始数据的组件，可及时追踪各种日志文件与数据信息流，包括具体的系统用户活动状态及各种网络行为等内容。通过转换功能将原始数据变为各种事件，并将事件输出到其他部位。

对事件分析器而言，主要用于对接收到的事件信息进行合理分析，对是否异常进行判断。通常入侵检测系统中往往含有一个安全策略集合库，可以及时对比接收事件与安全信息库中的安全策略，对入侵行为进行分析挖掘。对于这一知识库的定义方式，通常采取对技术报文中的攻击字段进行检测来发现各种攻击特征。事件在分析的过程中，对所有有悖于安全策略的行为进行标注和区分从而实现入侵检测。一般上，若采用模式匹配为主的检测技术，入侵检测系统的运行就类似于杀毒软件，首先定义异常事件特征，并科学判定事件的数据热证是否出现在知识库的入侵模式记录中；若采用异常探测为主的检测技术，则系统需要对很多正常运行的状态采用编码标识后，直接将后期系统的不同运行状态与此正常编码相比，掌握是否受异常攻击的可能性。

对响应机构而言，就是对于已经明确的网络入侵行为进行积极的响应，对应采取更有针对性的措施进行处理。这样的响应即可能是积极合理的，也可能是消极被动的。常用的主动反击响应，就是直接采用诸如 DoS攻击在内的各种攻击行为回应网络不法攻击者；当然也可以采用更为温和的保护性策略，如中断入侵TCP连接，重新设定路由器访问等。

对事件数据库而言，就是入侵检测系统为了存储更多的检测与响应行为所产生的数据所准备的存储空间。

对入侵检测系统而言，也具有一定的技术短板，随着整个系统中数量增大，对于风险的检测效率将不断降低，同时可能出现较多的漏报与误报现象。由于整个系统运行开销庞大，对系统所配服务器的硬件要求增高。还有一个问题不同忽视，该系统对 IPv6等加密数据包或其他未知的攻击检测能力近乎为零，所以只有将入侵检测系统与防火墙相互结合联动，网络安全防护效果才更加明显。

3 防火墙融合入侵检测系统的网络安全应用

将防火墙与入侵检测系统之间融合运用，两者的互补效果将更加突出，形成特定互动模型：由入侵检测系统检测到入侵行为后立即向防火墙发送阻断请求，防火墙将及时响应相应请求，并调整策略认真完善包括入侵检测系统在内的运行策略。技术联用中应注意几点：

3.1 入侵检测装置的安放位置要适宜

通常要确保入侵检测装置安装在防火墙附近，能够使整个系统进行最佳工作状态。若入侵检测装置放在防火墙外，并置于ISP与防火墙外界边缘之间的非军事区，装置将可检测到所有来自互联网络的攻击。当然，入侵检测装置对于如TCP攻击之类的攻击，并不能直接检测到，只有通过防火墙或某些含有过滤功能的路由器的封锁阻隔才能实现防护。这与检测原理有关：很多检测都是将攻击类型与数据库中的字符串类型进行比对后特征一致才完成的，对于TCP攻击，字符串只在TCP握手时机中传送，不利于检测。当然，最为合理的检测装置安防位置仍要选在防火墙外，这样可将自由站点与外部攻击全部暴露在检测视野中。当检测装置在防火墙内部时，由于内部的网络攻击不断降低，使得检测装置可以在无干扰的情况下提高准确报警概率，避免漏报误报出现。

3.2 防火墙与入侵检测系统的接口

人们常常面临的防火墙与入侵检测系统之间的互动有两类：其一是基于开放接口的互动，就是将防火墙或入侵检测装置上任一可用接口开放，供双方使用，按既定协议通信，确保网络事件传输的高效安全。对于开放接口而言，防火墙与入侵检测系统都不会受其影响。其二是两者被集成到同一系统中，入侵检测系统只接受经防护墙过滤阻隔的数据流。本文的设计将重点将入侵检测系统内嵌于防火墙内，加强不同功能模块之间的联系。将防火墙作为第一屏障，将入侵检测模块作为第二屏障，经过防火墙的检测验证后，网络封包数据将到达入侵检测模块，详细检测共计性，同时完成异常阻隔。