对防火墙的网络入侵检测系统研究

来源:用户上传      作者: 田聪

　　
　　贵州大学明德学院，贵州贵阳 550004
　　
　　摘要 本文主要针对防火墙的网络入侵检测问题进行了探讨。首先对防火墙技术和入侵检测技术进行了简单的概述，接着对防火墙跟IDS系统相融合的主要优势进行了概括，最后对融合入防火墙完全技术的入侵网络检测系统进行了探讨。本文的研究对于对防火墙的网络入侵检测系统的开发具有重要的意义。
　　关键词 防火墙；网络入侵检测；系统研究
　　中图分类号TP39 文献标识码A 文章编号 1674-6708（2012）61-0191-01
　　现阶段，网络技术发展趋势异常猛烈，使得网络安全也变成急需解决的难题。如果想要保障网络技术的安全性，人们研究了数不胜数的防护策略，而在这些防护策略里面，防火墙跟入侵检测作为最普遍运用的安全性网络技术系统。
　　这里讲到的防火墙其实是一种较为被动性的控制访问安全技术，通常情况下，是装在Internet跟所保护的子网两者内。防火墙的种类分成包过滤式的防火墙跟屏蔽主机式的防火墙、应用代理式的防火墙，一般它都得提前设计好一定的规则，进而对所输送的数据信息加以紧密监控，从而使得保护子网最大可能地不被威胁到。如果在网络中光用防火墙技术的化，就会存在很多内部危害，同样地，因为入侵技术随社会网络科技的发展而不断更新，就导致防火墙安全规则跟不上入侵技术的步伐。
　　而所谓的“入侵检测系统”技术（IDS）则是一种可以主动积极地将自己保护起来，而不受到外界任何攻击的最新安全性网络技术，它通常是从计算机内部网络中的关键处选择性地收集并深入剖析数据信息，逐步找到危害网络安全问题的行为。一般情况下，按照将所收集到的信息来源IDS分类：基于主机模式的IDS跟基于网络模式的NIDS，这里提到的NIDS是重点收集并剖析网络内部输送的数据信息。由此可知，当危险的攻击者输送大量信息到计算机网络时，NIDS就会很容易被拒绝服务系统（DoS）破坏，再加上，NIDS它实际上就一直暴露于Internet 主要的攻击范围中，它所需要的就是一个安全、可靠的操作空间。
　　1 论述防火墙跟IDS系统相融合的主要优势
　　其实，防火墙是一种静式的控制访问型的技术产品，一般都是用来隔离网络的。可遗憾的是，它光做到了把非预期的一些访问请求阻挡在外面，却根本不能查看经过网络的流量里面是否存有恶意的入侵点。这样的话，用户应要有一种动式的并且主动化的保护网络机制，定期检查并剖析每一个访问的主要内容，只要发现有一点点的可疑行为，就可以最快速地做出正确响应，提及的IDS就可以提供像上述描绘的这种动式保护安全机制。
　　将防火墙跟IDS进行比较，虽然在它们的原理方法这一点上是各不相同的，可它们却有着共同的目的――就是要保护网络信息的最大安全。慢慢地经由细节性的分析之后，我们很容易就能把二者进行结合所用到的理论根据找出来。以一安全机制来讲，防火墙技术其实是不能监控网络内部的，只能局限于监控应用层跟网络层而已，部分安全威胁根本是防火墙防范不到的，由此可知，想要仅仅依赖防火墙对网络进行防护是根本不切实际的。
　　IDS可以对网络外部跟内部所显示的数据信息加以实时分析，判别各个入侵检测系统的主要企图，一旦感到有危害入侵前，就发出各种形式的警报音，再及时地解决各种入侵危害难题，从而保护整个网络的安全。可惜遗憾的是，入侵检测这一技术系统，仅仅可以发现有被攻击的行为而已，根本不能阻止威胁。
　　综上所述，只要将IDS跟防火墙安全技术相互结合运行，就能让防火墙在IDS的帮助下及时发现各种危害之处，而IDS也可以在防火墙技术的帮助下阻断外部网络所带来的威胁。结合的主要的好处包括：
　　1）只要可以快速地监控到入侵危害，那么就可以绑定到切实的入侵者，就可以在被威胁前将入侵者阻隔在系统之外；
　　2）功效极佳的检测系统可以威慑入侵；
　　3）入侵检测网络系统在一定程度上可以收集到很多和入侵技术相关的信息数据。就能更加强化入侵阻止设施运作力度。
　　2 融合入防火墙完全技术的入侵网络检测系统
　　2.1此系统的基本结构
　　上述系统主要分成两部分：包过滤式的防火墙安全技术跟入侵网络检测技术系统，为了全面考虑到各大网络的监控布局跟实际效率，通常应由两台主机分别运作，两者间用快速性质的网络通道--以太网连接。在包过滤式的防火墙计算机主机上多插了几张网卡，且两块工作是以在桥的方式运行，也用不到任何的I P 计算机地址，这样一种设计规划不仅仅可以强化防火墙技术内在的透明化、隐蔽化和安全化力度，并且在应用的同时，也用不着改变其网络的一种拓扑结构；再加上另一块实现了跟入侵检测计算机主机的通信任务。
　　2.2此系统的主要模型
　　将入侵检测作为最核心框架构成计算机网络安全技术系统，一般情况下，计算机的安全性能是由安全策略呈现出来的，而安全措施依据则是按照用户的基本需求以及从入侵检测网络系统中获取到的信息数据来制定的。由事件发生器分析、挑选来源于防火墙安全技术的IP数据信息之后，将其转换为最有用的事件进行入侵检测系统模块，从而让数据进一步减少。入侵检测系统模块只要检测到有任何的入侵情况，它就会主动性地经由安全策略的变更来更换防火墙的安全行为，进而做出最为快速、最为可靠的反应；并可以把检测结果上报给系统管理工作者，让系统管理工作者做出手动筛选。
　　3 结论
　　把防火墙安全技术跟入侵检测系统结合起来，实行防火墙安全技术不但能获取入侵检测系统反应出的网络安全数据，还可以将传统入侵系统检测不可以自主控制的难题给完美解决掉；再加上网络入侵系统所检测的结果在一定程度上为防火墙技术的安全管理作业提供了最可靠的依据，从而将防火墙技术的智能控制访问能力得到大幅度的提升。
　　
　　参考文献
　　[1]博嘉科技主编.Linux防火墙技术探秘[M].国防工业出版社，2002.
　　[2]韩东海等编著.入侵检测系统及实例剖析[M].清华大学出版社，2002.
　　[3]唐正军等编著.网络入侵检测系统的设计与实现[M].电子工业出版社，2002.

转载注明来源:https://www.xzbu.com/8/view-2275422.htm