防火墙与入侵检测系统联动的研究与设计

摘  要： 分析了防火墙和入侵检测各自的优缺点，提出了一种防火墙与入侵检测系统联动的新方法，并描述了具体实施方案。该方法有效地提升了联动设备之间的协调性，并具有很好的扩展性。
关键词： 入侵检测系统；联动；防火墙；网络安全
   　随着网络规模的日益扩大和网络技术的飞速发展，网络攻击变得越来越复杂。对网络的防护不再局限于采用单一的产品与手段，大部分网络已经使用了各种各样的安全产品，如防火墙、人侵检测系统、病毒防护系统和信息审计系统等。它们在一定程度上保障了网络环境的安全性，但各安全产品之间存在无交流或很浅层次交流的局面，只对网络形成独立、被动的防护，没有从整体和设备联动的角度去解决网络安全问题。而网络安全是一个系统工程，它们的简单集成和叠加已不能应对越来越复杂的网络环境和安全威胁。人们已经开始研究不同技术手段的协同与融合。只有将多种安全产品联合起来，各自发挥自身优点，互相弥补不足，才能最大程度地发挥安全产品的性能，保障网络运行的安全。
1 防火墙与入侵检测系统
1.1 防火墙
　防火墙指的是一个由软件和硬件组合而成的高级访问控制设备，是在被保护网和外网之间执行访问控制策略的一种或一系列部件的组合，它是现在市场上应用范围最广的网络安全产品之一。作为一种强制执行的访问控制机制，防火墙是确保网络安全的重要手段。防火墙能在保证网络畅通的情况下，尽可能地保证内部网络的安全。它的主要功能有：访问控制、内容控制和日志记录。
根据防范的方式和侧重点的不同，可将防火墙分为包过滤型和代理服务型。（1）包过滤技术：防火墙在网络层中根据数据包中的包头信息有选择地实施允许、通过或阻断操作。其核心是安全策略即过滤规则的设计。策略就是让包过滤防火墙在转发数据包之前打开TCP/IP封装，检查进出网络的数据包的各种属性，决定是否允许该数据包通过防火墙。（2）代理服务技术：代理服务作用在应用层，它用来提供应用层服务的控制，在内部网络向外部网络申请服务时起到中间转接作用。
防火墙本质上是一种访问控制系统，存在如下缺点：
　（1）防火墙提供的是静态防御，所有规则需预先设置，并需要人工实施和维护，对于实时的攻击或异常的行为不能做出实时反应。
　（2）防火墙规则的制定很大程度上是一种粗粒度的检测，对一些协议细节无法做到完全解析，不能预防来自应用层的攻击，也不能预防病毒攻击。
　（3）防火墙具有防外不防内的局限性，对于内部用户的非法行为或已经渗透的攻击无法检测和响应。
1.2 入侵检测系统
　入侵检测系统（IDS）是一种主动的网络安全防护技术，它通过网络不同关键点监视网络数据（网络数据包、系统日志、用户活动的状态行为）以分析入侵行为的可能性。一旦发现入侵，立即告警和记录日志，并实施安全控制操作，以保证数据的机密性、完整性和可用性。作为网络安全防护体系的重要组成部分，入侵检测系统提供了对内部攻击、外部攻击和误操作的实时检测。它不同于防火墙，采用的是一种动态的安全防护技术，对通信流量不做任何限制。
　IDS从数据来源上可以分成三类：（1）主机型入侵检测系统（H-IDS），它一般保护所在的系统，以系统日志、应用程序日志等作为数据源，采集这些信息并进行分析；（2）网络型入侵检测系统（N-IDS），其保护整个网段，以网络上的数据包作为数据源，监听所有本网段内的数据包并进行判断；（3）混合式入侵检测系统，其兼备前两种方式的优点，既从主机系统采集数据，也通过网络以监听方式采集数据发现可疑行为。按照分析方法，IDS可以分为误用检测和异常检测两种。
　入侵检测系统存在着以下一些不足：难以保证检测的准确性和高效性；易受拒绝式服务攻击（DOS），被攻破后导致失效；即使检测到攻击，也很难采取有效的保护措施。
2 防火墙与入侵检测系统联动
　防火墙侧重于控制，而IDS侧重于主动发现入侵信号，这决定了它们不能独立完成网络防护任务，且不能相互取代。例如，当IDS检测到一种攻击行为时，如不能及时有效地采取措施，这种攻击行为将对网络应用造成损害；若仅有防火墙，攻击者会利用防火墙合法的通道进入内部网络，使防火墙形同虚设。因此，IDS应该通过与防火墙的联动，动态地改变或增加防火墙的策略，通过防火墙从源头上彻底阻断入侵行为。
防火墙和IDS之间的联动方式可分成以下三种。
　（1）嵌入结合方式。把IDS嵌入到防火墙中，即IDS的数据来源不再来源于抓包，而是所有流经防火墙的数据流。所有通过的数据包不仅要接受防火墙检测规则的判定，还需要经过IDS的检测，分析其安全性，以达到真正的实时检测，这实际上是把两个产品合成一体。由于IDS本身就是一个复杂的系统，合成后的系统从实施到性能都会受到很大影响。
　（2）接口开放方式。即防火墙和IDS各开放一个接口供对方调用，并按照预定的协议进行通信。目前常见的形式是安全厂家以自己的产品为核心，提供开放接口，以实现互动。这种方式比较灵活，但这种依附于一种安全设备的方式容易产生瓶颈，不能有效发挥网络安全设备的优点，且不易扩展。
　（3）端口映像方式。防火墙将网络中指定的一部分流量镜像到入侵检测系统中，入侵检测系统再将分析后的结果反馈防火墙，并执行相应安全措施。
　如果让防火墙与入侵检测系统直接进行交互，它们之间需要统一的通信接口，虽然具有可靠性高和速度快等优点，但由于缺乏综合性的分析将会生成错误的防火墙访问控制规则（由入侵检测的误报造成），从而造成DoS和防火墙性能下降（访问控制规则数量过多）。
2.1 联动模型
　通过以上对联动方式的分析，本文提出一种基于联动控制中心的联动思想，充分发挥防火墙与入侵检测系统的优点，更有效地保护网络安全。联动部署图如图1所示。将IDS放在防火墙之后，根据网络的规模和安全要求可在多个位置安置数据采集点，并可根据实际情况在网络不同位置安装不同类型的防火墙。日志库用来存储IDS节点和防火墙大量日志和报警，进行统一分析并把分析结果传送到控制中心，由控制台分析制定联动控制策略，传送给相应联动节点。根据实际网络需求可添加其他网络安全设备，由联动系统作统一协调工作，对系统做进一步扩展。