防火墙与入侵检测联动响应策略研究及系统实现

防火墙与入侵检测联动响应策略研究及系统实现

详情拨打0512-62521028

防火墙与入侵检测作为保护网络安全的重要技术手段被广泛应用，但目前二者往往都分开单独使用，不能满足网络安全整体化、立体化的要求。

近年来，伴随着互联网技术的飞速发展和广泛应用，网络入侵事件越来越频繁的发生，网络与信息安全问题日益突出，网络安全变得尤为重要，如何保障网络安全也成为网络管理的重中之重。而入侵检测和防火墙随之成为网络安全措施中非常重要的环节。目前一般都使用防火墙实现网络上的访问控制，但它对来自内部的威胁和数据驱动的攻击(如病毒)无能为力。并且，防火墙是一种被动的防御手段，无法发现黑客的攻击行为，仅仅依靠防火墙来维护系统安全是远远不够的。而入侵检测则是一种主动的网络安全防御措施，它能在不影响网络性能的情况下对网络进行监测。防火墙与入侵检测技术两种技术具有较强的互补性，若成功实现防火墙与入侵检测的联动工作，就能最大程度地保障网络的安全。 

常见的网络攻击方式 

网络安全从本质上讲，是指网络上的信息安全，即信息的真实性、可控性、完整性和可用性不被受到损坏、篡改和泄漏。而网络攻击，则是对某个网络的安全性造成威胁的行为，包括窃取信息、破坏完整性、未授权使用和拒绝服务掣2l。 

从网络攻击手段来看，网络攻击方式主要可分为以下几种方式：

(1) 身份攻击 

传统的网络安全性检查多半都是通过用户名／D令机制，合法用户通过输入正确的用户名、密码来验证其合法身份。网络攻击者使用猜测、窃取、刺探和仿冒等手段，通过欺骗系统，冒充合法用户进入到系统中，实施攻击行为。这是网络中最常见，也是最简单的攻击手段。

(2) 系统漏洞攻击  

庞大的计算机网络系统通常是由各种不同类型的计算机系统通过各种纷繁复杂的协议，经过繁琐的配置所连接组成的。其软硬件配置及协议方面必然或多或少存在各种缺陷。而网络攻击者则通过各种手段寻找这些漏洞进行攻击，比如缓冲区溢出漏洞攻击就是一个很典型的例子。

(3) 特殊代码攻击 

现代网络攻击手段越来越趋于自动化，网络攻击者通常使用一些恶意软件或代码对目标进行攻击。用户无意间下载了包含恶意程序或代码的文件，病毒在特定的情况下自动运行，以此来达到攻击者的攻击目的。 

(4) 链路攻击 

从网络结构来看，我们的网络传输是由一段一段的数据链路所组成，各链路通过一些传输媒介相连接通信，网络攻击者通过在媒介上进行窃听等手段，窃取、阻断链路中的信息。

(5) 拒绝服务(Denial ofService，DoS)攻击 

拒绝服务(Denial ofService，DoS)攻击，是指攻击者利用诸如发送大量的数据包等手段消耗攻击目标，也就是服务提供者的大量共享资源，使得被攻击系统最终没有足够的剩余资源来为其他合法用户提供正常的服务，从而造成其他的合法服务请求被拒绝的一种攻击方式。Dos攻击是一种典型的对系统可用性进行破坏的攻击方式，使用这种方式，可以严重降低甚至破坏用户的Intemet连接，或者最糟糕的情况就是让被攻击者的系统同时崩溃。目前还没有一种能够完全地址拒绝服务攻击的方法。因为任何能够引起系统响应、任何能导致系统为其分配资源(包括对攻击的日志记录)、任何能促使远程站点停止与合法用户通信的事件，都可以被应用到拒绝服务(Dos)攻击中。常见的攻击方式有TCP SYN洪水攻击、Ping of Death、UDP洪水攻击以及碎片炸弹等。 

防火墙与入侵检测 

防火墙技术是现在市场上应用范围最广、最易被客户接受的网络安全产产品。防火墙将内部可信区域与外部危险区域有效隔离，将网络的安全策略制定和信息流动集中管理控制，但是防火墙只提供静态防御，规则都需事先设置，对实时的攻击或异常的行为不能作出实时反应，不能防范内部攻击，所以单独使用也具有一定的局限性。对于日益增加的网络病毒和网络入侵事件，目前主要的网络安全防御手段大致包括防火墙(Firewall)和入侵检测系统(Intrusion Detection System．IDS)两种。                                                                

  从网络布局来看，防火墙被放置于内外网络的出入口处，对内外网络交换的数据包做严格把关，阻止外部网络的病毒和非法访问的进入；而另一方面，入侵检测系统则放置在内部网络中，时刻监视内部网络中的网络状况，发现网络中存在的非法操作或入侵行为并及时发出响应，已达到保护内网安全的目的。防火墙作为内部网络和外部网络通信的第一道关口，它的安全规则需要预先设置，属于静态防御，对于设置上的漏洞，防火墙无法做出回应。另外，对于未知的网络攻击方式，防火墙缺乏灵活性，一旦被攻破就很难做出响应，从而导致防火墙失效。入侵检测系统实时监测网络状况，及时发现网络中存在的问题，属于主动防御，在一定程度上弥补了防火墙遗留下来的缺陷。但是目前的入侵检测系统绝大多数只是监听网络的行为，在响应措施上，除了上报给管理员，其本身还缺乏行之有效的主动防御手段。 

入侵检测技术通过对网络系统的运行状态进行监视，发现导种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。这是一种积极主动的安全防护技术，但由于网络系统的复杂性、网络技术和入侵检测技术的局限性等多种原因，入侵检测系统很难同时满足完整性和并行性 的要求，入侵检测系统仍存在很多缺陷和隐患。 

当然，拥有了防火墙和入侵检测系统并不意味着完全的保护。安全是一个过程，而并不仅仅是一个个设备的摆放或堆砌。随着各种计算机和网络技术的发展，网络黑客技术也有了长足的进步，在强大的网络病毒和网络入侵的攻势下，传统的防火墙和入侵检测技术逐渐暴露出他们的不足。

由于单独使用防火墙和入侵检测技术都不能很好地解决网络安全问题，所以提出了联动防火墙的 思想。联动即通过一种组合的方式，将防火墙技术与入侵检测技术进行整合，在提高防火墙自身功能和性能的同时，由其他技术完成防火墙所缺乏的功能，以适应网络安全整体化、立体化的要求。 

通过上述对防火墙和入侵检测系统的讨论，我们可以了解到，防火墙和DS都存在各自的优势和不足。因此，将防火墙与入侵检测系统联合起来，使之产生联动，相互补充，是实现网络安全行之有效的办法。目前，防火墙和入侵检测系统之前的联动已受到越来越多业内人士的关注，成为网络安全产品发展的趋势。