防火墙与入侵检测系统(IDS)联动,可以对网络进行动静结合的保护,对网络行为进行细颗粒的检查,并对网络内外两个部分都进行可靠管理。防火墙与日志分析系统联动,可以解决防火墙在大量日志数据的存储管理和数据分析上的不足。
在网络安全体系中,防火墙是最重要的安全要素。同样,该系统模型以防火墙为联动中心。防火墙在安全防护中的地位决定了防火墙是一切安全联动技术的中心和基础。
首先防火墙是网络安全最主要和最基本的基础设施。防火墙是保护网络安全的最重要技术,它是保护网络并连接网络到外部网的最有效方法。防火墙是网络安全防护体系的大门,所有进出的信息必须通过这个唯一的检查点。实际上,它为网络安全起到了把关的作用。
其次,联动需要防火墙。网络入侵检测系统离不开防火墙。网络入侵检测技术主要是利用网络嗅探的方式,对网间的数据包进行提取和分析。它的局限性使得该技术本身的安全性同样需要防火墙的保护。入侵检测虽然具有一定的发现入侵、阻断连接的功能,但其重点更多地放在对入侵行为的识别上,网络整体的安全策略还需由防火墙完成。因此,入侵检测应该通过与防火墙联动,动态改变防火墙的策略,通过防火墙从源头上彻底切断入侵行为。基于类似的原因,漏洞扫描技术同样离不开防火墙。
基于以上的系统模型,我们主要考虑了以下的联动互操作:
防火墙和漏洞扫描系统之间的互操作
漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。它的局限性在于当它发现漏洞时,它本身不能自动修补漏洞,在安全产品不具备联动性能的情况下,一般需要管理员的人工干预才能修补发现的安全漏洞。这样,在发现漏洞与修补好漏洞之间存在一个时间差,在这个时间间隔里,如果发现风险级别很高的漏洞又不能采取其它任何补救措施,系统的安全就会面临极大的威胁。在这种情况下,就可以请求防火墙的协作,即当扫描系统检测到存在安全漏洞时,可以及时通知防火墙采取相应措施。
防火墙和入侵检测系统之间的互操作
入侵检测系统(IDS)是一种主动的网络安全防护措施,它从系统内部和各种网络资源中主动采集信息,从中分析可能的网络入侵或攻击。入侵检测系统在发现入侵后,会及时做出一些相对简单的响应,包括记录事件和报警等。显然,这些入侵检测系统自动进行的操作,对于网络安全来说远远不够。因此,入侵检测系统需要与防火墙进行协作,请求防火墙及时切断相关的网络连接。
防火墙是访问控制设备,安置在不同安全领域的接口处,其主要目的是根据网络的安全策略,按照经过的网络流量,而这种控制通常基于IP地址、端口、协议类型或应用代理。包过滤、网络地址转换、应用代理和日志审计是防火墙的基本功能。目前,防火墙已经成为企业网络安全的第一道屏障,保护企业网络免遭外部不信任网络的侵害。
IDS则不同于防火墙,它不是网络控制设备,不对通信流量做任何限制。它采用的是一种动态的安全防护技术,通过监视网络资源(网络数据包、系统日志、文件和用户活动的状态行为),主动寻找分析入侵行为的迹象,一旦发现入侵,立即进行日志、告警和安全控制操作等,从而给网络系统提供对外部攻击、内部攻击和误操作的安全保护。
可以看到,防火墙不识别网络流量,只要是经过合法通道的网络攻击,防火墙无能为力。例如很多来自ACTIVEX和 JAVA APPLET的恶意代码,通过合法的WEB访问渠道,对系统形成威胁。虽然现在的开发商对防火墙进行了许多功能扩展,有些还具备了初步的入侵检测功能,但防火墙作为网关,极易成为网络的瓶颈,并不宜做太多的扩展。同样,IDS也有自己的弱点。自身极易遭受拒绝服务的攻击,其包捕捉引擎在突发的、海量的流量前能够迅速失效,而且还有一些攻击绕过它的检测。同时,IDS对攻击的抵抗控制力也很弱,对攻击源一般只作两种处理:一种是发送RST包复位连接,另一种是发送回应包“HOST UNREACHABLE”欺骗攻击源。这两种方式都不可避免地增加了网络的流量,甚至拥塞网络。
