防火墻與入侵檢測(cè)結(jié)合的應(yīng)用研究

1、防火墻與入侵檢測(cè)結(jié)合的應(yīng)用研究摘要: 防火墻與入侵檢測(cè)系統(tǒng)IDS各有優(yōu)缺點(diǎn),本文在認(rèn)真研究了其原理之后，將二者進(jìn)行了細(xì)致深入的比較，在衡量了防火墻與IDS放置的位置后，著重提出了一種將IDS與防火墻結(jié)合互動(dòng)使用的新理念， 并且設(shè)計(jì)了一種針對(duì)這種互動(dòng)的基于校園網(wǎng)的安全模型，對(duì)該安全模型的重要組成部分：建立特征庫(kù)以及IDS與防火墻的接口設(shè)計(jì)進(jìn)行了重點(diǎn)研究。關(guān)鍵詞: 防火墻；校園網(wǎng)；入侵檢測(cè)；網(wǎng)絡(luò)安全1 引言隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展和Internet應(yīng)用范圍的不斷擴(kuò)大，人們能夠方便有效地獲取信息資源和與他人交流。但是，由于網(wǎng)絡(luò)協(xié)議本身設(shè)計(jì)和實(shí)現(xiàn)上一些不完善的因素，隨之而來(lái)的Internet入侵事件也

2、就層出不窮。作為開(kāi)放網(wǎng)絡(luò)的組成部分，校園網(wǎng)絡(luò)的安全也是不可忽視的。一般來(lái)說(shuō)，校園網(wǎng)己經(jīng)具備的網(wǎng)絡(luò)安全技術(shù)有防火墻、代理服務(wù)器、過(guò)濾器、加密、口令驗(yàn)證等等，目前我院所應(yīng)用的很多安全設(shè)備都屬于靜態(tài)安全技術(shù)范疇，如防火墻和系統(tǒng)外殼等外圍保護(hù)設(shè)備。靜態(tài)安全技術(shù)的缺點(diǎn)是需要人工來(lái)實(shí)施和維護(hù)，不能主動(dòng)跟蹤入侵者。而入侵檢測(cè)則屬于動(dòng)態(tài)安全技術(shù)，它能夠主動(dòng)檢測(cè)網(wǎng)絡(luò)的易受攻擊點(diǎn)和安全漏洞，并且通常能夠先于人工探測(cè)到危險(xiǎn)行為。基于以上問(wèn)題，本文進(jìn)一步比較了入侵檢測(cè)技術(shù)為代表的動(dòng)態(tài)安全技術(shù)和以防火墻為代表的靜態(tài)安全技術(shù)各自的區(qū)別和聯(lián)系，經(jīng)過(guò)探究它們的優(yōu)缺點(diǎn)，提出了將動(dòng)態(tài)技術(shù)與靜態(tài)技術(shù)相結(jié)合的應(yīng)用能夠取長(zhǎng)補(bǔ)短，彌補(bǔ)各

3、自的缺點(diǎn)，并結(jié)合校園網(wǎng)的建設(shè)和管理，大膽地在校園網(wǎng)絡(luò)中應(yīng)用IDS與原來(lái)的防火墻共同使用，大大提高系統(tǒng)的安全防護(hù)水平，取得了良好的效果。2 相關(guān)理論與技術(shù)2.1 網(wǎng)絡(luò)安全網(wǎng)絡(luò)信息安全的定義有很多種，如國(guó)際標(biāo)準(zhǔn)委員會(huì)ISO定義為：“為數(shù)據(jù)處理系統(tǒng)采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改和泄露”。針對(duì)網(wǎng)絡(luò)信息安全的相對(duì)性，著名的網(wǎng)絡(luò)安全公司安氏也給出了一個(gè)通俗的、動(dòng)態(tài)的定義：網(wǎng)絡(luò)的安全實(shí)際上是理想中的安全策略和實(shí)際的執(zhí)行之間的一個(gè)平衡。2.2 防火墻從狹義上來(lái)講，防火墻是指在兩個(gè)網(wǎng)絡(luò)之間加強(qiáng)訪(fǎng)問(wèn)控制的一個(gè)或一系列網(wǎng)絡(luò)設(shè)備，是安裝了防火墻軟件的主機(jī)、

4、路由器或多機(jī)系統(tǒng)；從廣義上講，防火墻還包括了整個(gè)網(wǎng)絡(luò)的安全策略和安全行為，是一整套保障網(wǎng)絡(luò)安全的手段。已有的防火墻系統(tǒng)是一個(gè)靜態(tài)的網(wǎng)絡(luò)攻擊防御，同時(shí)由于其對(duì)新協(xié)議和新服務(wù)的支持不能動(dòng)態(tài)的擴(kuò)展，所以很難提供個(gè)性化的服務(wù)。2.3入侵檢測(cè)系統(tǒng) (IDS)入侵檢測(cè)可被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)的處理過(guò)程，它不僅檢測(cè)來(lái)自外部的入侵行為，同時(shí)也檢測(cè)內(nèi)部用戶(hù)的未授權(quán)活動(dòng)。入侵檢測(cè)系統(tǒng) (IDS)是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認(rèn)為是防火墻之后的第二道安全閘門(mén)，它作為一種積極主動(dòng)的安全防護(hù)技術(shù)，

5、從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，對(duì)防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù)，從而能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。3 防火墻與入侵檢測(cè)在校園網(wǎng)中的應(yīng)用3.1防火墻與IDS的單獨(dú)擺放時(shí)的位置3.1.1防火墻位置防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，只有在關(guān)鍵網(wǎng)絡(luò)流量通過(guò)防火墻的時(shí)候，防火墻才能對(duì)此實(shí)行檢查、防護(hù)等功能。因此，在網(wǎng)絡(luò)拓?fù)渖?，防火墻?yīng)當(dāng)處在網(wǎng)絡(luò)的出口處和不同安全等級(jí)區(qū)域的結(jié)合點(diǎn)處。這些位置通常位于內(nèi)部網(wǎng)到Internet出口鏈路處；主干交換機(jī)至服務(wù)器區(qū)域工作組交換機(jī)的骨干鏈路上；內(nèi)部網(wǎng)與高安全等級(jí)的涉密網(wǎng)的連接點(diǎn)；遠(yuǎn)程撥號(hào)服務(wù)器與骨干交換機(jī)或路由器之間。3.1.2入侵檢測(cè)

6、位置不同于防火墻，IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽(tīng)設(shè)備，沒(méi)有跨接在任何鏈路上，無(wú)須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對(duì)IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有來(lái)自高危網(wǎng)絡(luò)區(qū)域的訪(fǎng)問(wèn)流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文都必須流經(jīng)的鏈路上。IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在：盡可能靠近攻擊源；盡可能靠近受保護(hù)資源。這些位置通常是：·服務(wù)器區(qū)域的交換機(jī)上；·Internet接入路由器之后的第一臺(tái)交換機(jī)上；·重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。3.2防火墻與IDS的結(jié)合談到網(wǎng)絡(luò)安全，人們第一個(gè)想到的就是防火墻。但隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)日趨復(fù)雜，傳統(tǒng)防火墻所暴露出來(lái)的不足和弱點(diǎn)引

7、起了人們對(duì)入侵檢測(cè)系統(tǒng)(IDS)技術(shù)的研究和開(kāi)發(fā)。首先，傳統(tǒng)的防火墻在工作時(shí)，就像深宅大院雖有高大的院墻，卻不能擋住小老鼠甚至是家賊的偷襲一樣，因?yàn)槿肭终呖梢哉业椒阑饓Ρ澈罂赡艹ㄩ_(kāi)的后門(mén)。其次，防火墻完全不能阻止來(lái)自?xún)?nèi)部的襲擊。我們通過(guò)調(diào)查發(fā)現(xiàn)，70%的攻擊都將來(lái)自于校園網(wǎng)內(nèi)部，對(duì)于校園網(wǎng)內(nèi)部個(gè)別心懷不滿(mǎn)的教師或?qū)W生來(lái)說(shuō)，防火墻形同虛設(shè)。再者，由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力，對(duì)于現(xiàn)在層出不窮的攻擊技術(shù)來(lái)說(shuō)是至關(guān)重要的。第四，防火墻對(duì)于病毒也束手無(wú)策。因此，以為在 Internet入口處部署防火墻系統(tǒng)就足夠安全的想法是不切實(shí)際的。入侵檢測(cè)系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足，

8、為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如及時(shí)記錄證據(jù)用于跟蹤、切斷網(wǎng)絡(luò)連接，執(zhí)行用戶(hù)的安全策略等。3.3防火墻與IDS在功能上的互補(bǔ)如前所述防火墻是一個(gè)跨接多個(gè)物理網(wǎng)段的報(bào)文轉(zhuǎn)發(fā)設(shè)備，可以對(duì)所有流經(jīng)它的流量進(jìn)行各種各樣最直接的操作處理，如無(wú)通告拒絕、ICMP拒絕、轉(zhuǎn)發(fā)通過(guò)(可轉(zhuǎn)發(fā)至任何端口)、各層報(bào)頭檢查修改、各層報(bào)文內(nèi)容檢查修改、鏈路帶寬資源管理、流量統(tǒng)計(jì)、訪(fǎng)問(wèn)日志記錄、協(xié)議轉(zhuǎn)換等。由于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IDS)不必為它所連接的鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量，所以IDS可以把大部分的系統(tǒng)資源用于對(duì)采集報(bào)文的分析，這正是IDS最眩目的亮點(diǎn)。IDS可以輕易做到很多有益的工作，如入侵活動(dòng)報(bào)警、不同業(yè)

9、務(wù)類(lèi)別的網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)多種流量協(xié)議恢復(fù)（實(shí)時(shí)監(jiān)控功能）。IDS高智能的數(shù)據(jù)分析技術(shù)、詳盡的入侵知識(shí)描述庫(kù)可以提供比防火墻更準(zhǔn)確、更嚴(yán)格、更全面的訪(fǎng)問(wèn)行為審查功能。綜上所述，它們?cè)诠δ苌峡梢孕纬苫パa(bǔ)關(guān)系。4 防火墻與IDS結(jié)合在校園網(wǎng)中的解決方案4.1設(shè)計(jì)思想防火墻與IDS雖然在原理方法手段等方面各不同，他們的目標(biāo)和方向相同，即保護(hù)信息的安全，并且面對(duì)的敵人都是相同的，即想非法入侵的黑客們，這為將二者結(jié)合起來(lái)應(yīng)用提供了依據(jù)。我們的設(shè)計(jì)思想是這樣的，并不是將兩個(gè)完整的防火墻系統(tǒng)和入侵檢測(cè)系統(tǒng)進(jìn)行的疊加，而是在對(duì)二者功能和優(yōu)缺點(diǎn)進(jìn)行仔細(xì)的研究之后，建立一個(gè)簡(jiǎn)易的入侵檢測(cè)系統(tǒng)來(lái)輔助現(xiàn)有的防火墻系統(tǒng)

10、，將二者進(jìn)行功能上的互補(bǔ)，IDS的程序設(shè)計(jì)上參考了一個(gè)非常優(yōu)秀的、有著開(kāi)放源代碼的入侵檢測(cè)系統(tǒng)Snort。這個(gè)簡(jiǎn)易的入侵檢測(cè)系統(tǒng)平時(shí)看起來(lái)是透明的，通過(guò)軟件包的監(jiān)聽(tīng)(sniffer/logger)獲得網(wǎng)絡(luò)數(shù)據(jù)包，然后增加入侵檢測(cè)分析功能，其主要的方法是建立具體的特征庫(kù)，基于規(guī)則審計(jì)分析，并能夠進(jìn)行包的數(shù)據(jù)內(nèi)容搜索/匹配。目前，能檢測(cè)到緩沖區(qū)溢出、端口掃描、等多種攻擊，還具有實(shí)時(shí)報(bào)警功能。下面將就該系統(tǒng)最重要的兩步，即建立入侵特征庫(kù)和入侵檢測(cè)與防火墻的接口問(wèn)題分別進(jìn)行講述。4.2 系統(tǒng)整體模型我們經(jīng)過(guò)將基于異常的IDS和基于誤用的IDS系統(tǒng)相比較之后，最后選擇使用基于誤用的入侵檢測(cè)系統(tǒng)，不僅因?yàn)?/p>

11、這種方法的誤報(bào)警率低，而且對(duì)一些已知的常用的攻擊行為特別有效。將IDS與防火墻結(jié)合在校園網(wǎng)中應(yīng)用的整體模型如圖1所示：模式庫(kù)匹配防火墻少量鉆入防火墻入侵者網(wǎng) 站 內(nèi) 部網(wǎng) 站 外 部外來(lái)入侵者被防火墻擋住的入侵報(bào)警圖1 防火墻與IDS結(jié)合的整體模型圖如圖1，當(dāng)有外來(lái)入侵者的時(shí)候，一部分入侵由于沒(méi)有獲得防火墻的信任，首先就被防火墻隔離在外，而另一部分騙過(guò)防火墻的攻擊，或者干脆是內(nèi)部攻擊沒(méi)經(jīng)過(guò)防火墻的，再一次受到了入侵檢測(cè)系統(tǒng)的盤(pán)查，受到懷疑的數(shù)據(jù)包經(jīng)預(yù)處理模塊分檢后，送到相應(yīng)的模塊里去進(jìn)一步檢查，當(dāng)對(duì)規(guī)則樹(shù)進(jìn)行掃描后，發(fā)現(xiàn)某些數(shù)據(jù)包與規(guī)則庫(kù)中的某些攻擊特征相符，立即切斷這個(gè)IP的訪(fǎng)問(wèn)請(qǐng)求，或者報(bào)

12、警。4.3 建立入侵特征庫(kù)4.3.1 編寫(xiě)規(guī)則根據(jù)前面所說(shuō)的該入侵檢測(cè)系統(tǒng)所期望實(shí)現(xiàn)的作用，因此要將一些規(guī)則編寫(xiě)至特征庫(kù)中。規(guī)則模塊包括解析規(guī)則文件、建立規(guī)則語(yǔ)法樹(shù)、實(shí)現(xiàn)規(guī)則匹配的算法等。4.3 .2 入侵檢測(cè)流程單個(gè)數(shù)據(jù)報(bào)的檢測(cè)流程詳細(xì)的分析如下：首先對(duì)收集到的數(shù)據(jù)報(bào)進(jìn)行解碼，然后調(diào)用預(yù)處理函數(shù)對(duì)解碼后的報(bào)文進(jìn)行預(yù)處理，再利用規(guī)則樹(shù)對(duì)數(shù)據(jù)報(bào)進(jìn)行匹配。在規(guī)則樹(shù)匹配的過(guò)程中，IDS要從上到下依次對(duì)規(guī)則樹(shù)進(jìn)行判斷，從鏈?zhǔn)?、鏈表到?guī)則頭節(jié)點(diǎn)，一直到規(guī)則選項(xiàng)節(jié)點(diǎn)?；谝?guī)則的模式匹配是入侵檢測(cè)系統(tǒng)的核心檢測(cè)機(jī)制。入侵檢測(cè)流程分成兩大步：第一步是規(guī)則的解析流程，包括從規(guī)則文件中讀取規(guī)則和在內(nèi)存中組織規(guī)則；

13、第二步是使用這些規(guī)則進(jìn)行匹配的入侵流程。4.3.3 規(guī)則匹配流程一個(gè)采用模式匹配技術(shù)的IDS在從網(wǎng)絡(luò)中讀取一個(gè)數(shù)據(jù)包后大致按照下面方式進(jìn)行攻擊檢測(cè)：（1）從數(shù)據(jù)包的第一個(gè)字節(jié)開(kāi)始提取與特征庫(kù)中第一個(gè)攻擊特征串等長(zhǎng)的一組字節(jié)與第一個(gè)攻擊特征串比對(duì)，如果兩組字節(jié)相同，則視為檢測(cè)到一次攻擊;如果兩組字節(jié)不同，則從數(shù)據(jù)包的第二個(gè)字節(jié)開(kāi)始提取與攻擊特征串等長(zhǎng)的一組字節(jié)與攻擊特征串比對(duì)。（2）接著比對(duì)過(guò)程重復(fù)進(jìn)行，每次后移一個(gè)字節(jié)直到數(shù)據(jù)包的每個(gè)字節(jié)都比對(duì)完畢，最后將數(shù)據(jù)包與特征庫(kù)中下一個(gè)攻擊特征串進(jìn)行匹配。（3）重復(fù)進(jìn)行直到匹配成功或者匹配到特征庫(kù)中最后一個(gè)攻擊特征依然沒(méi)有結(jié)果為止，然后整體模型從網(wǎng)絡(luò)中

14、讀取下一個(gè)數(shù)據(jù)包進(jìn)行另一次檢測(cè)。規(guī)則匹配的過(guò)程就是對(duì)從網(wǎng)絡(luò)上捕獲的每一條數(shù)據(jù)報(bào)文和上面描述的規(guī)則樹(shù)進(jìn)行匹配的過(guò)程。如果發(fā)現(xiàn)存在一條規(guī)則匹配的報(bào)文，就表示檢測(cè)到一個(gè)攻擊，然后按照規(guī)則指定的行為進(jìn)行處理(如發(fā)送警告等)，如果搜索完所有的規(guī)則都沒(méi)有找到匹配的規(guī)則，就表示報(bào)文是正常的報(bào)文。所有的規(guī)則被組織成規(guī)則樹(shù)，然后分類(lèi)存放在規(guī)則類(lèi)列表中?？傮w的檢測(cè)過(guò)程歸根結(jié)底到對(duì)規(guī)則樹(shù)進(jìn)行匹配掃描，并找到報(bào)文所對(duì)應(yīng)的規(guī)則。對(duì)規(guī)則樹(shù)的匹配過(guò)程則是先根據(jù)報(bào)文的IP地址和端口號(hào)，在規(guī)則頭鏈表中找到相對(duì)應(yīng)的規(guī)則頭，找到后再接著匹配此規(guī)則頭附帶的規(guī)則選項(xiàng)鏈表。4.3.4 規(guī)則語(yǔ)法樹(shù)的生成IDS采用鏈表的方式構(gòu)建規(guī)則的語(yǔ)法樹(shù)

15、，規(guī)則語(yǔ)法所用到的數(shù)據(jù)結(jié)構(gòu)主要都在rules.h文件中，其中最為重要的數(shù)據(jù)結(jié)構(gòu)形式有以下一些：規(guī)則頭函數(shù)指針列表、規(guī)則選項(xiàng)函數(shù)指針列表、響應(yīng)函數(shù)指針列表、規(guī)則選項(xiàng)結(jié)構(gòu)體、IP地址結(jié)構(gòu)體、表頭、規(guī)則列表結(jié)構(gòu)體、變量體等。 由以上的數(shù)據(jù)結(jié)構(gòu)構(gòu)成了整個(gè)規(guī)則語(yǔ)法樹(shù)，可以說(shuō)它是IDS的核心數(shù)據(jù)結(jié)構(gòu)，檢測(cè)流程就是在遍歷這個(gè)樹(shù)。4.4 IDS與防火墻的接口通常來(lái)說(shuō)，將實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)和防火墻之間的互動(dòng)一般有兩種方式：一種方式是實(shí)現(xiàn)緊密結(jié)合，即把入侵檢測(cè)系統(tǒng)嵌入到防火墻中，即入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來(lái)源不再來(lái)源于數(shù)據(jù)包，而是流經(jīng)防火墻的數(shù)據(jù)流。所有通過(guò)的包不僅要接受防火墻的檢測(cè)規(guī)則的驗(yàn)證，還要判斷是否是有攻擊，以達(dá)

16、到真正的實(shí)時(shí)阻斷。這樣實(shí)際上是把兩個(gè)產(chǎn)品合成到一起。但是由于入侵檢測(cè)系統(tǒng)本身也是一個(gè)很龐大的系統(tǒng)，所以無(wú)論從實(shí)施難度上，還是合成后的整體性能上，都會(huì)受很大的影響。第二種方式是通過(guò)開(kāi)放接口來(lái)實(shí)現(xiàn)互動(dòng)。即防火墻或者入侵檢測(cè)系統(tǒng)開(kāi)放一個(gè)接口供對(duì)方使用，雙方按照固定的協(xié)議進(jìn)行通信，完成網(wǎng)絡(luò)安全事件的傳輸。這種方式比較靈活，不影響防火墻和入侵檢測(cè)系統(tǒng)的性能。經(jīng)過(guò)比較之后，我們認(rèn)為將IDS與防火墻通過(guò)開(kāi)放接口結(jié)合起來(lái)實(shí)現(xiàn)互動(dòng)要比將兩者緊密結(jié)合在一起要好，因?yàn)橄到y(tǒng)越復(fù)雜其自身的安全問(wèn)題就難以解決。所以選擇將防火墻或者入侵檢測(cè)系統(tǒng)開(kāi)放一個(gè)接口供對(duì)方使用，雙方按照固定的協(xié)議進(jìn)行通信，完成網(wǎng)絡(luò)安全事件的傳輸。當(dāng)防

17、火墻和入侵檢測(cè)系統(tǒng)互動(dòng)時(shí)，所有的數(shù)據(jù)通信是通過(guò)認(rèn)證和加密來(lái)確保傳輸信息的可靠性和保密性。通信雙方可以事先約定并設(shè)定通信端口，并且相互正確配置對(duì)方IP地址，防火墻以服務(wù)器(Server)的模式來(lái)運(yùn)行，IDS以客戶(hù)端(Client)的模式來(lái)運(yùn)行。我們?cè)O(shè)計(jì)的互動(dòng)模式原理如圖2所示：入侵檢測(cè)系統(tǒng)防火墻驗(yàn)證合法性建立連接如果需要發(fā)送互動(dòng)信息判斷是否需要互動(dòng)入侵檢測(cè)系統(tǒng)防火墻符合安全標(biāo)準(zhǔn)，阻斷檢 測(cè) 到攻 擊圖2 防火墻(Firewall )與入侵檢測(cè)系統(tǒng)(IDS)互動(dòng)的原理圖具體步驟如下：1 初始化通信連接時(shí)，一般由IDS向Firewall發(fā)起連接。2. 建立正常連接后，當(dāng)IDS產(chǎn)生需要通知Firewa

18、ll的安全事件時(shí)，通過(guò)發(fā)送約定格式的數(shù)據(jù)包，來(lái)完成向傳遞必要的互動(dòng)信息。3. Firewall收到互動(dòng)信息后，可以實(shí)施互動(dòng)行為，并將結(jié)果(成功與否)以約定格式的數(shù)據(jù)包反饋給IDS。4.5防火墻與IDS結(jié)合的優(yōu)點(diǎn) 防火墻只是一種基于策略的被動(dòng)防御措施，是一種粗顆粒的防御手段，無(wú)法自動(dòng)調(diào)整策略設(shè)置來(lái)阻斷正在進(jìn)行的攻擊，也無(wú)法防范基于協(xié)議的攻擊。所以，單靠防火墻是無(wú)法實(shí)現(xiàn)良好的安全防護(hù)性能的。IDS能夠?qū)崟r(shí)分析校園網(wǎng)外部及校園網(wǎng)內(nèi)部的數(shù)據(jù)通訊信息，分辨入侵企圖，在校園網(wǎng)絡(luò)系統(tǒng)受到危害前以各種方式發(fā)出警報(bào)，并且及時(shí)對(duì)網(wǎng)絡(luò)入侵采取相應(yīng)措施，最大限度保護(hù)校園網(wǎng)系統(tǒng)的安全。但是，單靠入侵檢測(cè)系統(tǒng)自身，只能及

19、時(shí)發(fā)現(xiàn)攻擊行為，但卻無(wú)法阻止和處理。我們將二者結(jié)合起來(lái)互動(dòng)運(yùn)行，防火墻便可通過(guò)IDS及時(shí)發(fā)現(xiàn)其策略之外的攻擊行為，IDS也可以通過(guò)防火墻對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊行為進(jìn)行阻斷。IDS與防火墻有效互動(dòng)就可以實(shí)現(xiàn)一個(gè)較為有效的安全防護(hù)體系，可以大大提高整體防護(hù)性能，解決了傳統(tǒng)信息安全技術(shù)的弊端、解決了原先防火墻的粗顆粒防御和檢測(cè)系統(tǒng)只發(fā)現(xiàn)難響應(yīng)的問(wèn)題。防火墻和入侵檢測(cè)的模型有以下好處：1)如果能夠足夠迅速檢測(cè)到入侵，那么就能確認(rèn)入侵者，并能在破壞發(fā)生或數(shù)據(jù)損壞之前把他驅(qū)逐出系統(tǒng)。即使未能足夠迅速地檢測(cè)出入侵并加以阻止，也是越迅速地檢測(cè)出入侵，越能減少破壞的危害并能更迅速地加以恢復(fù)。2)高效的檢測(cè)系統(tǒng)能夠起到威懾作用，因此也能從一定程度上阻止入侵。3)入侵檢測(cè)系統(tǒng)能夠收集有關(guān)入侵技術(shù)的信息。這樣可以用來(lái)加強(qiáng)入侵阻止設(shè)施。5 結(jié)束語(yǔ)本文的實(shí)現(xiàn)是基于對(duì)于防火墻和入侵檢測(cè)系統(tǒng)的深入細(xì)致的研究后所做