火墙无法发现攻击源;¼防火墙自身也会存在问题或 受到外来攻击。 入侵检测系统能帮助系统对付网络攻击,扩展了 系统管理员的安全管理能力(包括安全审计、 监视、 进 攻识别和响应) ,增强了信息系统的完整性。入侵检测 系统通过监视网络资源,主动寻找分析入侵行为的迹 象,是一种动态的安全防护技术,可以选用入侵检测技 术来弥补防火墙的不足,使两者充分发挥各自优势, 共 同维护网络系统的安全。 3 搭建入侵检测与防火墙的联动平台 从对入侵检测与防火墙技术的分析中可以看出, 入侵检测系统的不足在于无法有效阻止攻击行为, 而 防火墙的访问控制机制恰好弥补了入侵检测系统在这 方面的不足。另一方面,入侵检测作为防火墙后的第2 道安全防线, 可以检测出绕过防火墙到达网络内部的 攻击,又可以弥补防火墙的不足。 防火墙与入侵检测系 统的功能特点和局限性决定了它们彼此需要对方, 且 不能相互取代。实现防火墙的数据过滤与入侵检测的 实时监控之间的有效互补在网络安全解决方案实施中 非常重要[ 3- 4] 。 防火墙与入侵检测系统间联动的基本原理是: 由 两者搭建起的安全体系中, 当入侵检测系统检测到入 侵行为,且需要阻断该入侵行为时,将能够启动联动机 制,主动通知防火墙立刻做出相关策略的动态修改, 以 实现对攻击源的拦截, 从而达到主动响应、 有效控制的 目的。 真正意义的联动系统要依靠统一的安全集成框 架、 标准的通信协议。 联动系统实现的关键是如何表示 出入侵检测系统为防火墙所提供的信息以及防火墙依 据这些信息应如何去执行[ 3] 。在联动系统的研究过程 中,需要解决3 个问题: ¹ 定义出通用安全事件类型并 对其进行表示; º 入侵检测系统为防火墙生成访问控 制规则,或提供规则生成时所需要的信息; » 入侵检测 与防火墙通信使用的协议。 各类安全产品的安全事件可以抽象为基本防外安 全事件集和基本安全事件集。对于只需防止外来攻击 的安全事件归至基本防外安全事件集, 其他原安全事 件均属于基本安全事件集。防火墙的规则集包括的基 本信息有:源IP 地址和源端口号、 目的IP 地址和目的 端口号。入侵检测系统向防火墙提供信息时要至少包 含这些信息, 同时再增加安全事件类型、 攻击时间。为 了保证传送信息的保密性, 防火墙与入侵检测系统通 信时,选用安全套接层SSL,可有效防止信息被窃听。 入侵检测系统与防火墙的安全联动模型如图1 所 示。 在该联动模型中,防火墙系统中嵌入一个功能模 块M,入侵检测系统中嵌入另一个功能模块N。当入 侵检测系统检测到攻击后, 根据响应策略来决定是否 要实现与防火墙的联动, 如果需要将启动N 模块, 并 向防火墙M 模块发送信息(源IP 地址和端口号、 目的 IP 地址和端口号、 安全事件类型、 攻击时间) ; 防火墙  M 模块接收到信息后动态生成过滤规则,当攻击停止 所生成的过滤规则要立即删除,以保证以后的正常通 信。该联动模型通过依靠防火墙的过滤机制来实现入 侵检测对攻击行为的自动响应,并及时地自动更新防 火墙过滤规则,实现两者之间的协同工作。 4 结 论 通过向入侵检测与防火墙中嵌入相关功能模块, 在入侵检测系统检测到攻击行为时, 依据响应策略决 定是否启动模块来联动防火墙以有效拦截攻击行为, 从而使得入侵检测系统可以依靠防火墙的过滤机制来 实现对攻击行为的自动响应, 实现了两者之间的协同 工作。 这样既弥补了防火墙无法检测来自内网攻击的缺点, 又弥补了入侵检测系统无法自动响应攻击的缺点。 目前实现入侵检测与防火墙间联动的理论主要有 两种: ¹ 将入侵检测系统嵌入到防火墙中; º 通过开放 接口的研究来实现防火墙与入侵检测系统的各组件间 的联动。网络安全联动系统的未来研究趋势是将理论 观点付诸于实践,真正提出一个通用的安全联动解决 方案,为安全产品的生产提供理论依据及技术支撑, 从 |
