扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:尹志军 来源:SohuIT 2008年8月6日
关键字:
作者: 尹志军, 出处:中国电脑教育报, 责任编辑: 张宾, 2008-08-06 03:00
防火墙与入侵检测系统(IDS)联动,可以对网络进行动静结合的保护,对网络行为进行细颗粒的检查,并对网络内外两个部分都进行可靠管理。
防火墙与入侵检测系统(IDS)联动,可以对网络进行动静结合的保护,对网络行为进行细颗粒的检查,并对网络内外两个部分都进行可靠管理。防火墙与日志分析系统联动,可以解决防火墙在大量日志数据的存储管理和数据分析上的不足。
在网络安全体系中,防火墙是最重要的安全要素。同样,该系统模型以防火墙为联动中心。防火墙在安全防护中的地位决定了防火墙是一切安全联动技术的中心和基础。
首先防火墙是网络安全最主要和最基本的基础设施。防火墙是保护网络安全的最重要技术,它是保护网络并连接网络到外部网的最有效方法。防火墙是网络安全防护体系的大门,所有进出的信息必须通过这个唯一的检查点。实际上,它为网络安全起到了把关的作用。
其次,联动需要防火墙。网络入侵检测系统离不开防火墙。网络入侵检测技术主要是利用网络嗅探的方式,对网间的数据包进行提取和分析。它的局限性使得该技术本身的安全性同样需要防火墙的保护。入侵检测虽然具有一定的发现入侵、阻断连接的功能,但其重点更多地放在对入侵行为的识别上,网络整体的安全策略还需由防火墙完成。因此,入侵检测应该通过与防火墙联动,动态改变防火墙的策略,通过防火墙从源头上彻底切断入侵行为。基于类似的原因,漏洞扫描技术同样离不开防火墙。
基于以上的系统模型,我们主要考虑了以下的联动互操作:
防火墙和漏洞扫描系统之间的互操作
漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。它的局限性在于当它发现漏洞时,它本身不能自动修补漏洞,在安全产品不具备联动性能的情况下,一般需要管理员的人工干预才能修补发现的安全漏洞。这样,在发现漏洞与修补好漏洞之间存在一个时间差,在这个时间间隔里,如果发现风险级别很高的漏洞又不能采取其它任何补救措施,系统的安全就会面临极大的威胁。在这种情况下,就可以请求防火墙的协作,即当扫描系统检测到存在安全漏洞时,可以及时通知防火墙采取相应措施。
防火墙和入侵检测系统之间的互操作
入侵检测系统(IDS)是一种主动的网络安全防护措施,它从系统内部和各种网络资源中主动采集信息,从中分析可能的网络入侵或攻击。入侵检测系统在发现入侵后,会及时做出一些相对简单的响应,包括记录事件和报警等。显然,这些入侵检测系统自动进行的操作,对于网络安全来说远远不够。因此,入侵检测系统需要与防火墙进行协作,请求防火墙及时切断相关的网络连接。
防火墙是访问控制设备,安置在不同安全领域的接口处,其主要目的是根据网络的安全策略,按照经过的网络流量,而这种控制通常基于IP地址、端口、协议类型或应用代理。包过滤、网络地址转换、应用代理和日志审计是防火墙的基本功能。目前,防火墙已经成为企业网络安全的第一道屏障,保护企业网络免遭外部不信任网络的侵害。
IDS则不同于防火墙,它不是网络控制设备,不对通信流量做任何限制。它采用的是一种动态的安全防护技术,通过监视网络资源(网络数据包、系统日志、文件和用户活动的状态行为),主动寻找分析入侵行为的迹象,一旦发现入侵,立即进行日志、告警和安全控制操作等,从而给网络系统提供对外部攻击、内部攻击和误操作的安全保护。
可以看到,防火墙不识别网络流量,只要是经过合法通道的网络攻击,防火墙无能为力。例如很多来自ACTIVEX和 JAVA APPLET的恶意代码,通过合法的WEB访问渠道,对系统形成威胁。虽然现在的开发商对防火墙进行了许多功能扩展,有些还具备了初步的入侵检测功能,但防火墙作为网关,极易成为网络的瓶颈,并不宜做太多的扩展。同样,IDS也有自己的弱点。自身极易遭受拒绝服务的攻击,其包捕捉引擎在突发的、海量的流量前能够迅速失效,而且还有一些攻击绕过它的检测。同时,IDS对攻击的抵抗控制力也很弱,对攻击源一般只作两种处理:一种是发送RST包复位连接,另一种是发送回应包“HOST UNREACHABLE”欺骗攻击源。这两种方式都不可避免地增加了网络的流量,甚至拥塞网络。
综上所述,防火墙和IDS的功能特点和局限性决定了它们彼此非常需要对方,且不可能相互取代,原因在于防火墙侧重于控制,IDS侧重于主动发现入侵的信号。而且,它们本身所具有的强大功效仍没有充分发挥。例如,IDS检测到一种攻击行为,如不能及时有效地阻断或者过滤,这种攻击行为仍将对网络应用造成损害;没有IDS,一些攻击会利用防火墙合法的通道进入网络。因此,防火墙和IDS之间十分合适建立紧密的联动关系,以将两者的能力充分发挥出来,相互弥补不足,相互提供保护。从信息安全整体防御的角度出发,这种联动是十分必要的,极大地提高了网络安全体系的防护能力。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。