防火墻與入侵檢測系統(tǒng)網(wǎng)絡安全體系分析

防火墻與入侵檢測系統(tǒng)網(wǎng)絡安全體系分析

防火墻與入侵檢測系統(tǒng)(IDS)聯(lián)動，可以對網(wǎng)絡進行動靜結合的保護，對網(wǎng)絡行為進行細顆粒的檢查，并對網(wǎng)絡內(nèi)外兩個部分都進行可靠管理。防火墻與日志分析系統(tǒng)聯(lián)動，可以解決防火墻在大量日志數(shù)據(jù)的存儲管理和數(shù)據(jù)分析上的不足。在網(wǎng)絡安全體系中，防火墻是最重要的安全要素。同樣，該系統(tǒng)模型以防火墻為聯(lián)動中心。防火墻在安全防護中的地位決定了防火墻是一切安全聯(lián)動技術的中心和基礎。首先防火墻是網(wǎng)絡安全最主要和最基本的基礎設施。防火墻是保護網(wǎng)絡安全的最重要技術，它是保護網(wǎng)絡并連接網(wǎng)絡到外部網(wǎng)的最有效方法。防火墻是網(wǎng)絡安全防護體系的大門，所有進出的信息必須通過這個唯一的檢查點。實際上，它為網(wǎng)絡安全起到了把關的作用。其次，聯(lián)動需要防火墻。網(wǎng)絡入侵檢測系統(tǒng)離不開防火墻。網(wǎng)絡入侵檢測技術主要是利用網(wǎng)絡嗅探的方式，對網(wǎng)間的數(shù)據(jù)包進行提取和分析。它的局限性使得該技術本身的安全性同樣需要防火墻的保護。入侵檢測雖然具有一定的發(fā)現(xiàn)入侵、阻斷連接的功能，但其重點更多地放在對入侵行為的識別上，網(wǎng)絡整體的安全策略還需由防火墻完成。因此，入侵檢測應該通過與防火墻聯(lián)動，動態(tài)改變防火墻的策略，通過防火墻從源頭上徹底切斷入侵行為?；陬愃频脑颍┒磼呙杓夹g同樣離不開防火墻?；谝陨系南到y(tǒng)模型，我們主要考慮了以下的聯(lián)動互操作：防火墻和漏洞掃描系統(tǒng)之間的互操作漏洞掃描系統(tǒng)是一種自動檢測遠程或本地主機安全性弱點的程序。它的局限性在于當它發(fā)現(xiàn)漏洞時，它本身不能自動修補漏洞，在安全產(chǎn)品不具備聯(lián)動性能的情況下，一般需要管理員的人工干預才能修補發(fā)現(xiàn)的安全漏洞。這樣，在發(fā)現(xiàn)漏洞與修補好漏洞之間存在一個時間差，在這個時間間隔里，如果發(fā)現(xiàn)風險級別很高的漏洞又不能采取其它任何補救措施，系統(tǒng)的安全就會面臨極大的威脅。在這種情況下，就可以請求防火墻的協(xié)作，即當掃描系統(tǒng)檢測到存在安全漏洞時，可以及時通知防火墻采取相應措施。防火墻和入侵檢測系統(tǒng)之間的互操作入侵檢測系統(tǒng)(IDS)是一種主動的網(wǎng)絡安全防護措施，它從系統(tǒng)內(nèi)部和各種網(wǎng)絡資源中主動采集信息，從中分析可能的網(wǎng)絡入侵或攻擊。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時做出一些相對簡單的響應，包括記錄事件和報警等。顯然，這些入侵檢測系統(tǒng)自動進行的操作，對于網(wǎng)絡安全來說遠遠不夠。因此，入侵檢測系統(tǒng)需要與防火墻進行協(xié)作，請求防火墻及時切斷相關的網(wǎng)絡連接。防火墻是訪問控制設備，安置在不同安全領域的接口處，其主要目的是根據(jù)網(wǎng)絡的安全策略，按照經(jīng)過的網(wǎng)絡流量，而這種控制通?；贗P地址、端口、協(xié)議類型或應用代理。包過濾、網(wǎng)絡地址轉換、應用代理和日志審計是防火墻的基本功能。目前，防火墻已經(jīng)成為企業(yè)網(wǎng)絡安全的第一道屏障，保護企業(yè)網(wǎng)絡免遭外部不信任網(wǎng)絡的侵害。IDS則不同于防火墻，它不是網(wǎng)絡控制設備，不對通信流量做任何限制。它采用的是一種動態(tài)的安全防護技術，通過監(jiān)視網(wǎng)絡資源(網(wǎng)絡數(shù)據(jù)包、系統(tǒng)日志、文件和用戶活動的狀態(tài)行為)，主動尋找分析入侵行為的跡象，一旦發(fā)現(xiàn)入侵，立即進行日志、告警和安全控制操作等，從而給網(wǎng)絡系統(tǒng)提供對外部攻擊、內(nèi)部攻擊和誤操作的安全保護?？梢钥吹?，防火墻不識別網(wǎng)絡流量，只要是經(jīng)過合法通道的網(wǎng)絡攻擊，防火墻無能為力。例如很多來自ACTIVEX和JAVAAPPLET的惡意代碼，通過合法的WEB訪問渠道，對系統(tǒng)形成威脅。雖然現(xiàn)在的開發(fā)商對防火墻進行了許多功能擴展，有些還具備了初步的入侵檢測功能，但防火墻作為網(wǎng)關，極易成為網(wǎng)絡的瓶頸，并不宜做太多的擴展。同樣，IDS也有自己的弱點。自身極易遭受拒絕服務的攻擊，其包捕捉引擎在突發(fā)的、海量的流量前能夠迅速失效，而且還有一些攻擊繞過它的檢測。同時，IDS對攻擊的抵抗控制力也很弱，對攻擊源一般只作兩種處理：一種是發(fā)送RST包復位連接，另一種是發(fā)送回應包“HOSTUNREACHABLE”欺騙攻擊源。這兩種方式都不可避免地增加了網(wǎng)絡的流量，甚至擁塞網(wǎng)絡。綜上所述，防火墻和IDS的功能特點和局限性決定了它們彼此非常需要對方，且不可能相互取代，原因在于防火墻側重于控制，IDS側重于主動發(fā)現(xiàn)入侵的信號。而且，它們本身所具有的強大功效仍沒有充分發(fā)揮。例如，IDS檢測到一種攻擊行為，如不能及時有效地阻斷或者過濾，這種攻擊行為仍將對網(wǎng)絡應用造成損害;沒有IDS，一些攻擊會利用防火墻合法的通道進入網(wǎng)絡。因此，防火墻和IDS之