基于IDS与防火墙联动的网络安全模式研究

◆何伟明

（惠州市技师学院 广东 516003）

基于IDS与防火墙联动的网络安全模式研究

◆何伟明

（惠州市技师学院 广东 516003）

防火墙和IDS是常用的网络安全技术，本文根据两者的特点以及存在的局限性提出了防火墙和IDS联动策略，并对防火墙和IDS联动技术的实现以及在校园网络安全技术中的应用进行了探讨。

防火墙；入侵检测；网络安全

0 引言

在信息化时代环境下，网络技术已经渗透到人们的生产、生活当中，改变了人们的思维方式和行为习惯，成为现代化社会建设和发展不可或缺的重要部分。然而在互联网技术迅速发展的同时，网络安全问题也日益突出。校园网站作为一个开放性网站，在学校教学、科研、日常管理中发挥着重要作用。如今随着网站规模的不断扩大，网站遭受的危险攻击也急剧增加，所以如何加强校园网站安全防范措施，提高网站安全性是目前面临的重要问题。

1 校园网站的安全风险

在学校的教务管理中，校园网站对促进学校教育事业发展有着重要意义。如今随着网络信息技术的快速发展，各学校的校园网建设也进入了比较成熟的阶段，但随之而来的安全问题也越来越突出，对校园网的信息安全带来极大的威胁。校园网站面临的威胁主要包括以下几个方面：（1）人为的恶意攻击，通过非法手段获取非法利益，这种恶性行为一部分来自校园网外部，一部分来自校园网内部学生出于好奇而进行的黑客程序运行活动，这些都对校园网站的安全造成巨大的威胁；（2）网络病毒对入侵，随学计算机技术的发展，网络病毒的攻击性和危害性也越来越大，一旦入侵网站就可能导致整个网络系统瘫痪；（3）校园网站系统的安全漏洞越来越多，安全漏洞是系统遭受恶意攻击的重要原因，学校网站服务器以及其他设备的多样化发展，同时也为网络系统带来了更多的安全漏洞，给那些黑客的攻击、病毒的入侵创造了机会[1-2]。

校园网站面临安全风险的原因主要是因为校园网站是一个开放式环境，这是实现网站资源共享的必然要求。而且高校学生是一个特殊的网络用户群体，是具有高学历、高知识水平以及充满好奇心的群体，在法律安全意识淡薄的情况下很容易误入歧途。另外，学校对校园网站的建设和管理维护方面投入较少，设备和人才配置方面不足。

从以上安全隐患分析可知，要维护校园网站的安全运行，必须要利用有效安全技术加强网络安全管理。当前使用较广泛的网络安全技术有防火墙技术、入侵检测技术（IDS）、病毒防护技术、数据加密技术、访问控制技术等。防火墙技术、入侵检测技术用于网络安全维护的常用技术，在维护网络系统安全中发挥着重要作用，但各种安全技术在单独的实践应用当中都存在一定局限性，无法有效保证校园网站的安全运行，而将防火墙技术和入侵检测技术联合应用却能够获得优势互补的效果，极大地提高网络安全防护功能。

2 防火墙技术与入侵检测技术

防火墙技术涉及到数据加密、网络通信、信息安全、安全决策等多个方面，是一种综合性的科学技术。随着网络安全形势的日益严峻，防火墙技术近年来发展迅速。简单来讲，防火墙就是一道位于目标保护网络与外部网络之间的屏障，通过部署多个网络安全设备将内外网隔离开来，阻挡非法访问，保护网络安全，以防止发生不可预测的、潜在的恶性入侵和破坏。防火墙自身有很强的抗攻击能力，是一种有效的安全技术，常用的防火墙有过滤防火墙、内容过滤防火墙等。然而，防火墙技术自身也存在多方面局限性，（1）防火墙只能对外网的威胁发挥预防作用，但无法防止网络内部的攻击，这是防火墙技术的一大缺陷；（2）防火墙只能用于阻断危险，但无法消灭威胁，这样就导致防火墙要阻挡源源不断的攻击，却始终无法消灭攻击源；（3）防火墙的设置无法保持更新，对新的、未经设置的攻击无法发挥作用。

入侵检测技术是一种新型的、动态的网络安全技术，其主要功能是主动检测网络系统中的安全漏洞，探测可能发生的网络危险行为，检测入侵者的攻击行为和目标，并在检测到安全威胁后及时发出报警信息，将危险消除在网络遭受侵犯之前。入侵检测系统的结构如下图1所示。入侵检测技术可以对网络系统的各种活动进行扫描，对网络流量进行监控，进而收集重要的网络信息，查找网络中潜在的安全风险，并执行实时报警。入侵检测技术的功能核心在于检测入侵行为是否发生，而不能立即阻止入侵行为的发生。而且目前入侵检测技术有很多的局限性，存在评价标准不统一、误报率高、漏报率高、缺乏规范的响应措施等问题。

图1 入侵检测系统的结构图

3 防火墙和IDS联动技术的实现和应用

在网络系统安全形势的日益严峻的形势下，现有的安全防护技术已经远远不能满足网络安全的实际需要。鉴于各种安全防护技术存在的局限性，单单依靠防火墙和入侵检测技术是无法有效保证网络的安全性的。因此可以根据防火墙技术和入侵检测技术各自的特点进行联动系统设计，实现两组安全技术的优势互补。防火墙技术和入侵检测技术的结合运行过程中，防火墙第一层可发挥访问控制职能，入侵检测技术可以发挥第二层保护功能，可以通过入侵检测技术及时发现防火墙以外的危险攻击，进而提高网络系统的防御能力。防火墙与入侵检测技术联动技术的原理如下图2所示。

图2 防火墙和入侵检测联动原理图

防火墙与入侵检测联动系统的实现需要多个功能模块，如下图3所示。其中入侵检测控制信息生成模块的主要功能是接受探测器发出的危险信号，并进行分析、整理，从中提取相关信息，转化成控制信息，对信息进行加密处理后发送信息。系统的通讯模块在网络安全策略配置基础上指定防火墙地址和认证密码，实现与防火墙之间的数据传递。动态规则处理模块主要功能是通过安全策略验证信息身份，然后进行确认、处理。审计分析模块的功能主要是分析防火墙的动态规则，为以后的日志分析提供有利依据。防火墙与入侵检测联动系统中，防火墙就相当于网络安全的第一道屏障，入侵检测技术就是第二道屏障，防火墙技术不能阻挡来自网络内部的攻击，而入侵检测的结合应用可以有效解决这一问题，实现对内、外网操作以及误操作的实时保护，在入侵行为发生之前进行拦截，在不影响网络性能的情况下对系统的安全进行实时监控[3-4]。