對防火墻的網絡入侵檢測系統研究

田聰

貴州大學明德學院，貴州貴陽 550004

摘要 本文主要針對防火墻的網絡入侵檢測問題進行了探討。首先對防火墻技術和入侵檢測技術進行了簡單的概述，接著對防火墻跟IDS系統相融合的主要優勢進行了概括，最后對融合入防火墻完全技術的入侵網絡檢測系統進行了探討。本文的研究對于對防火墻的網絡入侵檢測系統的開發具有重要的意義。

關鍵詞 防火墻；網絡入侵檢測；系統研究

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2012）61-0191-01

現階段，網絡技術發展趨勢異常猛烈，使得網絡安全也變成急需解決的難題。如果想要保障網絡技術的安全性，人們研究了數不勝數的防護策略，而在這些防護策略里面，防火墻跟入侵檢測作為最普遍運用的安全性網絡技術系統。

這里講到的防火墻其實是一種較為被動性的控制訪問安全技術，通常情況下，是裝在Internet跟所保護的子網兩者內。防火墻的種類分成包過濾式的防火墻跟屏蔽主機式的防火墻、應用代理式的防火墻，一般它都得提前設計好一定的規則，進而對所輸送的數據信息加以緊密監控，從而使得保護子網最大可能地不被威脅到。如果在網絡中光用防火墻技術的化，就會存在很多內部危害，同樣地，因為入侵技術隨社會網絡科技的發展而不斷更新，就導致防火墻安全規則跟不上入侵技術的步伐。

而所謂的“入侵檢測系統”技術（IDS）則是一種可以主動積極地將自己保護起來，而不受到外界任何攻擊的最新安全性網絡技術，它通常是從計算機內部網絡中的關鍵處選擇性地收集并深入剖析數據信息，逐步找到危害網絡安全問題的行為。一般情況下，按照將所收集到的信息來源IDS分類：基于主機模式的IDS跟基于網絡模式的NIDS，這里提到的NIDS是重點收集并剖析網絡內部輸送的數據信息。由此可知，當危險的攻擊者輸送大量信息到計算機網絡時，NIDS就會很容易被拒絕服務系統（DoS）破壞，再加上，NIDS它實際上就一直暴露于Internet 主要的攻擊范圍中，它所需要的就是一個安全、可靠的操作空間。

1 論述防火墻跟IDS系統相融合的主要優勢

其實，防火墻是一種靜式的控制訪問型的技術產品，一般都是用來隔離網絡的。可遺憾的是，它光做到了把非預期的一些訪問請求阻擋在外面，卻根本不能查看經過網絡的流量里面是否存有惡意的入侵點。這樣的話，用戶應要有一種動式的并且主動化的保護網絡機制，定期檢查并剖析每一個訪問的主要內容，只要發現有一點點的可疑行為，就可以最快速地做出正確響應，提及的IDS就可以提供像上述描繪的這種動式保護安全機制。

將防火墻跟IDS進行比較，雖然在它們的原理方法這一點上是各不相同的，可它們卻有著共同的目的——就是要保護網絡信息的最大安全。慢慢地經由細節性的分析之后，我們很容易就能把二者進行結合所用到的理論根據找出來。以一安全機制來講，防火墻技術其實是不能監控網絡內部的，只能局限于監控應用層跟網絡層而已，部分安全威脅根本是防火墻防范不到的，由此可知，想要僅僅依賴防火墻對網絡進行防護是根本不切實際的。

IDS可以對網絡外部跟內部所顯示的數據信息加以實時分析，判別各個入侵檢測系統的主要企圖，一旦感到有危害入侵前，就發出各種形式的警報音，再及時地解決各種入侵危害難題，從而保護整個網絡的安全。可惜遺憾的是，入侵檢測這一技術系統，僅僅可以發現有被攻擊的行為而已，根本不能阻止威脅。

綜上所述，只要將IDS跟防火墻安全技術相互結合運行，就能讓防火墻在IDS的幫助下及時發現各種危害之處，而IDS也可以在防火墻技術的幫助下阻斷外部網絡所帶來的威脅。結合的主要的好處包括：

1）只要可以快速地監控到入侵危害，那么就可以綁定到切實的入侵者，就可以在被威脅前將入侵者阻隔在系統之外；

2）功效極佳的檢測系統可以威懾入侵；

3）入侵檢測網絡系統在一定程度上可以收集到很多和入侵技術相關的信息數據。就能更加強化入侵阻止設施運作力度。

2 融合入防火墻完全技術的入侵網絡檢測系統

2.1此系統的基本結構

上述系統主要分成兩部分：包過濾式的防火墻安全技術跟入侵網絡檢測技術系統，為了全面考慮到各大網絡的監控布局跟實際效率，通常應由兩臺主機分別運作，兩者間用快速性質的網絡通道--以太網連接。在包過濾式的防火墻計算機主機上多插了幾張網卡，且兩塊工作是以在橋的方式運行，也用不到任何的I P 計算機地址，這樣一種設計規劃不僅僅可以強化防火墻技術內在的透明化、隱蔽化和安全化力度，并且在應用的同時，也用不著改變其網絡的一種拓撲結構；再加上另一塊實現了跟入侵檢測計算機主機的通信任務。

2.2此系統的主要模型

將入侵檢測作為最核心框架構成計算機網絡安全技術系統，一般情況下，計算機的安全性能是由安全策略呈現出來的，而安全措施依據則是按照用戶的基本需求以及從入侵檢測網絡系統中獲取到的信息數據來制定的。由事件發生器分析、挑選來源于防火墻安全技術的IP數據信息之后，將其轉換為最有用的事件進行入侵檢測系統模塊，從而讓數據進一步減少。入侵檢測系統模塊只要檢測到有任何的入侵情況，它就會主動性地經由安全策略的變更來更換防火墻的安全行為，進而做出最為快速、最為可靠的反應；并可以把檢測結果上報給系統管理工作者，讓系統管理工作者做出手動篩選。

3 結論

把防火墻安全技術跟入侵檢測系統結合起來，實行防火墻安全技術不但能獲取入侵檢測系統反應出的網絡安全數據，還可以將傳統入侵系統檢測不可以自主控制的難題給完美解決掉；再加上網絡入侵系統所檢測的結果在一定程度上為防火墻技術的安全管理作業提供了最可靠的依據，從而將防火墻技術的智能控制訪問能力得到大幅度的提升。

參考文獻

[1]博嘉科技主編.Linux防火墻技術探秘[M].國防工業出版社，2002.

[2]韓東海等編著.入侵檢測系統及實例剖析[M].清華大學出版社，2002.

[3]唐正軍等編著.網絡入侵檢測系統的設計與實現[M].電子工業出版社，2002.