摘  要： 分析了防火墻和入侵檢測各自的優(yōu)缺點，提出了一種防火墻與入侵檢測系統(tǒng)聯(lián)動的新方法，并描述了具體實施方案。該方法有效地提升了聯(lián)動設備之間的協(xié)調性，并具有很好的擴展性。
關鍵詞： 入侵檢測系統(tǒng)；聯(lián)動；防火墻；網絡安全

　隨著網絡規(guī)模的日益擴大和網絡技術的飛速發(fā)展，網絡攻擊變得越來越復雜。對網絡的防護不再局限于采用單一的產品與手段，大部分網絡已經使用了各種各樣的安全產品，如防火墻、人侵檢測系統(tǒng)、病毒防護系統(tǒng)和信息審計系統(tǒng)等。它們在一定程度上保障了網絡環(huán)境的安全性，但各安全產品之間存在無交流或很淺層次交流的局面，只對網絡形成獨立、被動的防護，沒有從整體和設備聯(lián)動的角度去解決網絡安全問題。而網絡安全是一個系統(tǒng)工程，它們的簡單集成和疊加已不能應對越來越復雜的網絡環(huán)境和安全威脅。人們已經開始研究不同技術手段的協(xié)同與融合。只有將多種安全產品聯(lián)合起來，各自發(fā)揮自身優(yōu)點，互相彌補不足，才能最大程度地發(fā)揮安全產品的性能，保障網絡運行的安全。
1 防火墻與入侵檢測系統(tǒng)
1.1 防火墻
　防火墻指的是一個由軟件和硬件組合而成的高級訪問控制設備，是在被保護網和外網之間執(zhí)行訪問控制策略的一種或一系列部件的組合，它是現(xiàn)在市場上應用范圍最廣的網絡安全產品之一。作為一種強制執(zhí)行的訪問控制機制，防火墻是確保網絡安全的重要手段。防火墻能在保證網絡暢通的情況下，盡可能地保證內部網絡的安全。它的主要功能有：訪問控制、內容控制和日志記錄。
根據(jù)防范的方式和側重點的不同，可將防火墻分為包過濾型和代理服務型。（1）包過濾技術：防火墻在網絡層中根據(jù)數(shù)據(jù)包中的包頭信息有選擇地實施允許、通過或阻斷操作。其核心是安全策略即過濾規(guī)則的設計。策略就是讓包過濾防火墻在轉發(fā)數(shù)據(jù)包之前打開TCP/IP封裝，檢查進出網絡的數(shù)據(jù)包的各種屬性，決定是否允許該數(shù)據(jù)包通過防火墻。（2）代理服務技術：代理服務作用在應用層，它用來提供應用層服務的控制，在內部網絡向外部網絡申請服務時起到中間轉接作用。
防火墻本質上是一種訪問控制系統(tǒng)，存在如下缺點：
　（1）防火墻提供的是靜態(tài)防御，所有規(guī)則需預先設置，并需要人工實施和維護，對于實時的攻擊或異常的行為不能做出實時反應。
　（2）防火墻規(guī)則的制定很大程度上是一種粗粒度的檢測，對一些協(xié)議細節(jié)無法做到完全解析，不能預防來自應用層的攻擊，也不能預防病毒攻擊。
　（3）防火墻具有防外不防內的局限性，對于內部用戶的非法行為或已經滲透的攻擊無法檢測和響應。
1.2 入侵檢測系統(tǒng)
　入侵檢測系統(tǒng)（IDS）是一種主動的網絡安全防護技術，它通過網絡不同關鍵點監(jiān)視網絡數(shù)據(jù)（網絡數(shù)據(jù)包、系統(tǒng)日志、用戶活動的狀態(tài)行為）以分析入侵行為的可能性。一旦發(fā)現(xiàn)入侵，立即告警和記錄日志，并實施安全控制操作，以保證數(shù)據(jù)的機密性、完整性和可用性。作為網絡安全防護體系的重要組成部分，入侵檢測系統(tǒng)提供了對內部攻擊、外部攻擊和誤操作的實時檢測。它不同于防火墻，采用的是一種動態(tài)的安全防護技術，對通信流量不做任何限制。
　IDS從數(shù)據(jù)來源上可以分成三類：（1）主機型入侵檢測系統(tǒng)（H-IDS），它一般保護所在的系統(tǒng)，以系統(tǒng)日志、應用程序日志等作為數(shù)據(jù)源，采集這些信息并進行分析；（2）網絡型入侵檢測系統(tǒng)（N-IDS），其保護整個網段，以網絡上的數(shù)據(jù)包作為數(shù)據(jù)源，監(jiān)聽所有本網段內的數(shù)據(jù)包并進行判斷；（3）混合式入侵檢測系統(tǒng)，其兼?zhèn)淝皟煞N方式的優(yōu)點，既從主機系統(tǒng)采集數(shù)據(jù)，也通過網絡以監(jiān)聽方式采集數(shù)據(jù)發(fā)現(xiàn)可疑行為。按照分析方法，IDS可以分為誤用檢測和異常檢測兩種。
　入侵檢測系統(tǒng)存在著以下一些不足：難以保證檢測的準確性和高效性；易受拒絕式服務攻擊（DOS），被攻破后導致失效；即使檢測到攻擊，也很難采取有效的保護措施。
2 防火墻與入侵檢測系統(tǒng)聯(lián)動
　防火墻側重于控制，而IDS側重于主動發(fā)現(xiàn)入侵信號，這決定了它們不能獨立完成網絡防護任務，且不能相互取代。例如，當IDS檢測到一種攻擊行為時，如不能及時有效地采取措施，這種攻擊行為將對網絡應用造成損害；若僅有防火墻，攻擊者會利用防火墻合法的通道進入內部網絡，使防火墻形同虛設。因此，IDS應該通過與防火墻的聯(lián)動，動態(tài)地改變或增加防火墻的策略，通過防火墻從源頭上徹底阻斷入侵行為。
防火墻和IDS之間的聯(lián)動方式可分成以下三種。
　（1）嵌入結合方式。把IDS嵌入到防火墻中，即IDS的數(shù)據(jù)來源不再來源于抓包，而是所有流經防火墻的數(shù)據(jù)流。所有通過的數(shù)據(jù)包不僅要接受防火墻檢測規(guī)則的判定，還需要經過IDS的檢測，分析其安全性，以達到真正的實時檢測，這實際上是把兩個產品合成一體。由于IDS本身就是一個復雜的系統(tǒng)，合成后的系統(tǒng)從實施到性能都會受到很大影響。
　（2）接口開放方式。即防火墻和IDS各開放一個接口供對方調用，并按照預定的協(xié)議進行通信。目前常見的形式是安全廠家以自己的產品為核心，提供開放接口，以實現(xiàn)互動。這種方式比較靈活，但這種依附于一種安全設備的方式容易產生瓶頸，不能有效發(fā)揮網絡安全設備的優(yōu)點，且不易擴展。
　（3）端口映像方式。防火墻將網絡中指定的一部分流量鏡像到入侵檢測系統(tǒng)中，入侵檢測系統(tǒng)再將分析后的結果反饋防火墻，并執(zhí)行相應安全措施。
　如果讓防火墻與入侵檢測系統(tǒng)直接進行交互，它們之間需要統(tǒng)一的通信接口，雖然具有可靠性高和速度快等優(yōu)點，但由于缺乏綜合性的分析將會生成錯誤的防火墻訪問控制規(guī)則（由入侵檢測的誤報造成），從而造成DoS和防火墻性能下降（訪問控制規(guī)則數(shù)量過多）。
2.1 聯(lián)動模型
　通過以上對聯(lián)動方式的分析，本文提出一種基于聯(lián)動控制中心的聯(lián)動思想，充分發(fā)揮防火墻與入侵檢測系統(tǒng)的優(yōu)點，更有效地保護網絡安全。聯(lián)動部署圖如圖1所示。將IDS放在防火墻之后，根據(jù)網絡的規(guī)模和安全要求可在多個位置安置數(shù)據(jù)采集點，并可根據(jù)實際情況在網絡不同位置安裝不同類型的防火墻。日志庫用來存儲IDS節(jié)點和防火墻大量日志和報警，進行統(tǒng)一分析并把分析結果傳送到控制中心，由控制臺分析制定聯(lián)動控制策略，傳送給相應聯(lián)動節(jié)點。根據(jù)實際網絡需求可添加其他網絡安全設備，由聯(lián)動系統(tǒng)作統(tǒng)一協(xié)調工作，對系統(tǒng)做進一步擴展。

　聯(lián)動系統(tǒng)主要由以下部分組成：
　（1）控制臺。它是整個系統(tǒng)的控制中心。在控制臺上運行聯(lián)動控制程序，接收網絡安全設備發(fā)送過來的信息，根據(jù)現(xiàn)行網絡狀況制定相應的聯(lián)動措施，并對各安全設備進行統(tǒng)一管理，確保聯(lián)動系統(tǒng)中所有設備正常有效地工作。
　（2）防火墻。在網絡中的不同位置可安置不同類型的防火墻。安置于Internet與內部網連接點處的防火墻起主導作用，其將來自Internet上的網絡數(shù)據(jù)包過濾，并可以鏡像一部分數(shù)據(jù)給特定安全設備，由安全設備做更深層次的檢測。這樣不但可以阻止某些惡意數(shù)據(jù)包進入內部網，還可以分析不同網絡協(xié)議的狀態(tài)。而處于其他位置的防火墻在發(fā)生入侵時可以起到安全隔離的作用。另外，為了保護特殊區(qū)域的網絡，還可以為防火墻添加網絡地址轉換的功能，讓服務器在內網中使用內部IP，在Internet上使用防火墻的Public IP。
　（3）入侵檢測系統(tǒng)（IDS）。從IDS檢測點采集數(shù)據(jù)，根據(jù)規(guī)則庫作對比分析，當檢測到網絡系統(tǒng)中發(fā)生攻擊行為或異常行為時，可以及時進行記錄和報警等響應。其中，規(guī)則庫可通過聯(lián)動系統(tǒng)做動態(tài)更新，以增強入侵檢測系統(tǒng)的健壯性。
　（4）日志庫。它用于存儲網絡安全事件記錄，還可以有選擇性地調用IDS和防火墻的日志，用戶在查看警告日志的同時，可以根據(jù)日志的相關信息（如IP地址、協(xié)議、協(xié)議端口等）進行審計，更有效地發(fā)現(xiàn)網絡潛在威脅，進而構建新的規(guī)則，并通知控制臺實施聯(lián)動，添加到防火墻的規(guī)則集中或更改入侵檢測規(guī)則。
　（5）其他安全設備。根據(jù)網絡安全的需要可以添加防病毒設備、認證設備等。添加的設備可由控制臺統(tǒng)一管理，對聯(lián)動系統(tǒng)起一定的擴展作用。
2.2 聯(lián)動系統(tǒng)的設計
　本系統(tǒng)采用的是一種間接的聯(lián)動方式，采用客戶/服務器模式。服務器端不依附任何安全產品，是獨立的應用程序。客戶端分設在各聯(lián)動安全設備上，根據(jù)設備不同客戶端也不同。這種把聯(lián)動控制程序單獨分離出來的方式使系統(tǒng)能集中精力協(xié)調聯(lián)動安全設備之間的工作，對網絡安全事件進行更有效的分析，能提高聯(lián)動的準確性和有效性，防止?jié)撛诘倪M一步攻擊。該系統(tǒng)框架如圖2所示。

　服務器端包括數(shù)據(jù)接發(fā)模塊、數(shù)據(jù)分析模塊、策略生成模塊和聯(lián)動控制模塊。
　（1）數(shù)據(jù)接發(fā)模塊：把從客戶端收集到的數(shù)據(jù)進行簡單分組，然后存儲到數(shù)據(jù)庫的表中。由于數(shù)據(jù)來自不同節(jié)點和設備，可能會出現(xiàn)冗余數(shù)據(jù)。該模塊對數(shù)據(jù)記錄進行歸并，刪除冗余和無用數(shù)據(jù)，并將相關數(shù)據(jù)進行規(guī)范化處理，以便作進一步處理。當聯(lián)動系統(tǒng)實施聯(lián)動時，該模塊發(fā)送聯(lián)動信息到客戶端。
　（2）數(shù)據(jù)分析模塊：將接收過來的數(shù)據(jù)進行分析，判斷各種入侵行為的精確度和危險度，根據(jù)分析結果進行數(shù)據(jù)分類，存儲到相關表中。
　（3）策略生成模塊：根據(jù)分析結果，結合知識庫制定或調用策略，并將策略加入到相應表中。
　（4）聯(lián)動控制模塊：根據(jù)需要聯(lián)動的安全設備確定需聯(lián)動的客戶端，將策略按照事先的約定封裝成數(shù)據(jù)包，并作相應的加密處理，再由數(shù)據(jù)接發(fā)模塊發(fā)送到相應設備，實施聯(lián)動。
客戶端是網絡狀態(tài)數(shù)據(jù)的采集端和聯(lián)動操作的執(zhí)行端，采用定時執(zhí)行腳本文件來實現(xiàn)聯(lián)動，包含數(shù)據(jù)接發(fā)模塊、聯(lián)動響應模塊和策略執(zhí)行模塊。
　（1）數(shù)據(jù)接發(fā)模塊：發(fā)送數(shù)據(jù)到服務器端，并接收服務器端的信息。
　（2）聯(lián)動響應模塊：保持與服務器端的連接。
　（3）策略執(zhí)行模塊：執(zhí)行服務器發(fā)送的聯(lián)動策略。
　本系統(tǒng)客戶端與服務器端事先約定并設定通信端口。當客戶端發(fā)現(xiàn)網絡中有情況時，便向聯(lián)動中心發(fā)送經過統(tǒng)一約定格式的數(shù)據(jù)包，經過聯(lián)動中心作進一步分析判斷，然后聯(lián)動中心再發(fā)送經過統(tǒng)一約定格式的數(shù)據(jù)包，通知相關設備實施聯(lián)動措施。
聯(lián)動的具體步驟如下：
　（1）初始化通信連接時，由服務器端向客戶端發(fā)起連接。
　（2）建立正常連接后，當客戶端產生需要通知服務器端的安全事件時，通過發(fā)送約定格式的數(shù)據(jù)包來完成向服務器端傳遞信息。
　（3）服務器端收到信息后，作相應分析，并作出判斷，需要時發(fā)送聯(lián)動策略給客戶端。
　（4）客戶端接收服務器端發(fā)送的聯(lián)動信息，實施聯(lián)動行為，并將結果（成功與否）反饋給服務器端。
2.3 聯(lián)動系統(tǒng)的通信安全
　客戶端與服務器端之間通信采用安全套接層協(xié)議SSL（Secure Socket Layer），它能使客戶/服務器應用之間的通信不被非法竊聽或截取，并且始終進行認證。SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間，它的優(yōu)點在于獨立于應用層協(xié)議，應用層協(xié)議（如HTTP、FTP等）能透明地建立于SSL協(xié)議之上。SSL協(xié)議在應用層協(xié)議通信之前就已經完成加密算法、通信密鑰的協(xié)商及認證工作。此后，應用層協(xié)議所傳送的數(shù)據(jù)都會先加密后傳輸，從而保證通信的安全性。
SSL協(xié)議提供的安全信道有以下三個特性。
　（1）數(shù)據(jù)保密性。數(shù)據(jù)加密就是把明文信息經加密算法轉換后變成加密的信息以實現(xiàn)數(shù)據(jù)的保密。加密的過程需要用到密鑰來加密數(shù)據(jù)，然后再用密鑰解密。沒有了密鑰，就無法正確解密已加密的數(shù)據(jù)。數(shù)據(jù)加密之后，密鑰用一個安全的方法傳送。加密過的數(shù)據(jù)可以公開地傳送。
　（2）數(shù)據(jù)一致性。加密能保證數(shù)據(jù)的一致性。例如，消息驗證碼能夠校驗用戶提供的加密信息，接收者可以用來校驗加密后的數(shù)據(jù)，保證數(shù)據(jù)在傳輸過程中沒有被篡改過。
　（3）安全驗證。加密的另外一個功能是作為個人的標識，用戶的密鑰作為其安全驗證的標識。
SSL協(xié)議的工作流程為：服務器認證階段，客戶端向服務器發(fā)送一個開始信息“Hello”以便開始一個新的會話連接；服務器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要，則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息；客戶根據(jù)收到的服務器響應信息，產生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。
　SSL安全協(xié)議為網絡應用層通信提供了認證、數(shù)據(jù)保密和數(shù)據(jù)完整性的服務，較好地解決了網絡上數(shù)據(jù)傳輸?shù)陌踩珕栴}。SSL協(xié)議保證了系統(tǒng)內部各組件之間的通信安全。SSL協(xié)議的SSL記錄協(xié)議與SSL握手協(xié)議兩個工作協(xié)議提供的身份認證和安全傳輸?shù)姆眨軌驖M足各組件之間的安全通信要求。采用SSL協(xié)議可以保證系統(tǒng)不會因數(shù)據(jù)傳輸帶來新的安全漏洞。
　現(xiàn)代信息網絡發(fā)揮著重要作用，對網絡的安全性有較高的要求。在網絡安全防護體系中，各種安全設備以控制中心為核心，通過安全通信協(xié)議進行有機聯(lián)動，形成一個動態(tài)的、完整的安全防御系統(tǒng)。各安全設備不是簡單集成疊加，而是有效地協(xié)同配合，整個系統(tǒng)的安全性得到了很大的提高，可以滿足現(xiàn)代網絡安全的要求，與防火墻的結合使其更加完美，力爭創(chuàng)造一個無漏洞、智能的安全防護系統(tǒng)。
參考文獻
[1] 陳明忠.入侵檢測技術在數(shù)據(jù)庫系統(tǒng)的應用研究[J].計算機工程與科學，2009，31（4）：79-83.
[2] 李聲，蔣明華，李俊.利用SNMP實現(xiàn)防火墻與入侵檢測系統(tǒng)的聯(lián)動[J].網絡安全，2007，29（9）：39-40.
[3] 李飛，甘剛，陳艾東.基于Linux的入侵防御系統(tǒng)的研究與實現(xiàn)[J].計算機應用研究，2007，29（7）：102-103.
[4] 王麗輝，李濤，張曉平，等.一種聯(lián)動防火墻的網絡入侵檢測系統(tǒng)[J].計算機應用研究，2006，23（3）：95-97.
[5] 余志高，周國祥.入侵檢測與防火墻協(xié)同應用模型的研究與設計[J].計算機工程與應用，2010，31（3）：22-24.
[6] 肖立中，邵志清，馬漢華，等.網絡入侵檢測中的自動決定聚類數(shù)算法[J].軟件學報，2008（8）：2140-2148.
[7] 宋文功，唐琎.基于Linux的防火墻技術研究[J].微計算機信息，2006（4X）：37-39，157.