浅谈入侵检测与防火墙技术

【摘要】网络系统的安全对于单位和个人都是很重要的，如何保证网络安全，入侵检测与防火墙技术起到很重要的作用。本文针对网络安全存在的问题，介绍了防火墙的基本概念，及如何使用规则集实现防火墙，入侵检测系统的基本概念、入侵检测的步骤，以及入侵检测与防火墙技术的区别。

【关键词】网络安全;防火墙技术;入侵检测;网络威胁

网络给我们带来方便的同时，也带来了安全问题，如何保护单位和个人网络和应用的安全，如何保护信息安全，是我们所探讨的重点。

我们可以通过很多网络工具，硬件设备和策略来保护自己的网络。其中入侵检测和防火墙是应用非常广泛和最好的选择。它可以防御网络中的各种威胁，并做出及时的响应，将那些危险的连接和攻击行为隔绝在外，从而降低网络的整体风险。

1.防火墙

1.1 防火墙的定义

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

XP系统相比于以往的Windows系统新增了许多的网络功能（Windows 7的防火墙一样很强大，可以很方便地定义过滤掉数据包），例如Internet连接防火墙（ICF），它就是用一段“代码墙”把电脑和Internet分隔开，时刻检查出入防火墙的所有数据包，决定拦截或是放行哪些数据包。防火墙可以是一种硬件、固件或者软件，例如专用防火墙设备、就是硬件形式的防火墙，包过滤路由器是嵌有防火墙固件的路由器，而服务器等软件就是软件形式的防火墙。

1.2 防火墙的分类

常见的放火墙有三种类型：分组过滤防火墙、应用防火墙、状态检测防火墙。分组过滤防火墙使用的比较多，因此我们在这里讨论分组过滤防火墙。

（1）分组过滤防火墙

作用在协议组的网络层和传输层，可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。

建立防火墙规则集的基本方法有两种：“明示允许（inclusive）”型或“明示禁止（exclusive）”型。明示禁止的防火墙规则，默认允许所有数据通过防火墙，而这种规则集中定义的，则是不允许通过防火墙的流量，换言之，与这些规则不匹配的数据，全部是允许通过防火墙的。明示允许的防火墙正好相反，它只允许符合规则集中定义规则的流量通过，而其他所有的流量都被阻止。

明示允许型防火墙能够提供对于传出流量更好的控制，这使其更适合那些直接对Internet公网提供服务的系统的需要。它也能够控制来自Internet公网到您的私有网络的访问类型。所有和规则不匹配的流量都会被阻止并记录在案。一般来说明示允许防火墙要比明示禁止防火墙更安全，因为它们显著地减少了允许不希望的流量通过可能造成的风险。例如：定义的防火墙的规则集如表1-1所示：

表1-1 防火墙规则的定义

序号 动作 源IP 目的IP 源端口 目的端口 协议类型

1 允许 20.1.1.1 * * * TCP

2 允许 * 20.1.1.1 20 * TCP

3 禁止 * 20.1.1.1 20 <1024 TCP

第一条规则：主机20.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。

第二条规则：任何主机的20端口访问主机20.1.1.1的任何端口，基于TCP协议的数据包允许通过。

第三条规则：任何主机的20端口访问主机20.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过。

我们可以使用WinRoute工具软件创建包过滤规则，WinRoute这个软件则除了具有服务器的功能外，还具有防火墙、NAT、邮件服务器、DHCP服务器、DNS服务器等功能，目前应用比较广泛，目前比较常用的是WinRouteFirewall 5。

1.3 建立防火墙的步骤

建立一个可靠的规则集对于实现一个成功的、安全的防火墙来说是非常关键的一步。因为如果你的防火墙规则集配置错误，再好的防火墙也只是摆设。在安全审计中，经常能看到一个巨资购入的防火墙由于某个规则配置的错误而将机构暴露于巨大的危险之中。

成功的创建一个防火墙系统一般需要六步：第一步：制定安全策略，第二步：搭建安全体系结构，第三步：制定规则次序，第四步：落实规则集，第五步：注意更换控制，第六步：做好审计工作。

需要注意的是规则越简单越好，一个简单的规则集是建立一个安全的防火墙的关键所在。网络的头号敌人是错误配置。为什么当你意外地将消息访问协议（IMAP）公开时，那些坏家伙会试图悄悄携带欺骗性的、片断的信息包通过你的防火墙？请尽量保持你的规则集简洁和简短，因为规则越多，就越可能犯错误，规则越少，理解和维护就越容易。一个好的准则是最好不要超过30条。一旦规则超过50条，你就会以失败而告终。当你要从很多规则入手时，就要认真检查一下你的整个安全体系结构，而不仅仅是防火墙。规则越少，规则集就越简洁，错误配置的可能性就越小，系统就越安全。因为规则少意味着只分析少数的规则，防火墙的CPU周期就短，防火墙效率就可以提高。

2.入侵检测

2.1 入侵检测系统的概念

入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，通过实时监视系统对系统资源的非授权使用能够做出及时的判断和记录，一旦发现异常情况就发出报警。

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

入侵检测系统功能主要有：

2.2 入侵检测系统的步骤

入侵检测一般分为3个步骤，依次为信息收集、数据分析、响应（被动响应和主动响应）。

（1）信息收集

包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。

数据分析是入侵检测的核心

它首先构建分析器，把收集到的信息经过预处理，建立一个行为分析引擎或模型，然后向模型中植入时间数据，在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。前两种方法用于实时入侵检测，而完整性分析则用于事后分析。

（3）入侵检测系统在发现入侵后会及时作出响应，包括切断网络连接、记录事件和报警等。响应一般分为主动响应（阻止攻击或影响进而改变攻击的进程）和被动响应（报告和记录所检测出的问题）两种类型。主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动（如断开连接）、修正系统环境或收集有用信息;被动响应则包括告警和通知、简单网络管理协议（SNMP）陷阱和插件等。另外，还可以按策略配置响应，可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。

2.3 防火墙和入侵检测系统的区别

（1）首先是概念上

防火墙是设置在被保护网络（本地网络）和外部网络（主要是Internet）之间的一道防御系统，以防止发生不可预测的、潜在的破坏性的侵入。它可以通过检测、限制、更改跨越防火墙的数据流，尽可能的对外部屏蔽内部的信息、结构和运行状态，以此来保护内部网络中的信息、资源等不受外部网络中非法用户的侵犯。

入侵检测系统是对入侵行为的发觉，通过从计算机网络或计算机的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

总结：从概念上我们可以看出防火墙是针对黑客攻击的一种被动的防御，IDS则是主动出击寻找潜在的攻击者;防火墙相当于一个机构的门卫，收到各种限制和区域的影响，即凡是防火墙允许的行为都是合法的，而IDS则相当于巡逻兵，不受范围和限制的约束，这也造成了ISO存在误报和漏报的情况出现。

（2）其次是功能上

防火墙的主要功能是过滤不安全的服务和非法用户：所有进出内部网络的信息都是必须通过防火墙，防火墙成为一个检查点，禁止未授权的用户访问受保护的网络。

入侵检测系统的主要任务：监视、分析用户及系统活动，对异常行为模式进行统计分析，发行入侵行为规律，检查系统配置的正确性和安全漏洞，并提示管理员修补漏洞，能够实时对检测到的入侵行为进行响应，评估系统关键资源和数据文件的完整性，操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

3.总结

防火墙只是防御为主，通过防火墙的数据便不再进行任何操作，IDS则进行实时的检测，发现入侵行为即可做出反应，是对防火墙弱点的修补;防火墙可以允许内部的一些主机被外部访问，IDS则没有这些功能，只是监视和分析用户和系统活动。

第一，IDS是继防火墙之后的又一道防线，防火墙是防御，IDS是主动检测，两者相结合有力的保证了内部系统的安全。

第二，IDS实时检测可以及时发现一些防火墙没有发现的入侵行为，发行入侵行为的规律，这样防火墙就可以将这些规律加入规则之中，提高防火墙的防护力度。