防火墙入侵检测联动研究

内容摘要近年来，随着网络技术的迅猛发展，网络的安全性也普遍受到重视。如何限制网 络上用户以及程序的访问权限，防止非法程序的侵入是一个关键的问题。而解决这个问题的 主要方法就是应用防火墙技术和入侵检测系统。本文主要针对防火墙技术与入侵检测系统 进行研究，并对其在军事网络中的应用进行了探讨。 关键词防火墙；入侵检测；联动 目录 内容摘要 ABSTRACT 引言 第一章防火墙技术与入侵检测系统（IDS）概述 1防火墙技术概述 1.1防火墙技术的基本概念 1.2防火墙技术的分类 1.3防火墙技术的功能 1.4防火墙技术的局限性 2 IDS概述 2.1 IDS的基本概念 2.2 IDS的分类 2.3 IDS的功能 2.4 IDS存在的问题 第二章 防火墙技术与IDS的进一步研究方向 1防火墙技术的进一步研究方向 1.1防火墙技术的包过滤技术研究方向 1.2防火墙技术的体系结构研究方向 1.3防火墙技术的系统管理研究方向 2 IDS的进一步研究方向 2.1智能化入侵检测 2.2采用协议分析融合模式匹配的检测方式 2.3分布式和负载均衡入侵检测 2.4内容恢复和网络审计功能的引入 2.5集成网络分析和管理功能 3注重防火墙技术和IDS的联动 第三章防火墙技术与IDS在军事网络上的具体应用 1军事院校校园网面临的各种威胁 1.1物理威胁 1.2有害程序 1.3系统漏洞造成的威胁 2我军内部网络存安全存在的问题及威胁 2.1缺乏自主的计算机网络软、硬件核心技术 2.2长期存在被病毒感染的风险 2.3军事涉密信息在网络中传输的安全可靠性低 2.4存在来自网络外部、内部攻击的潜在威胁 3我军内部网络安全问题对策 3.1防火墙技术的应用 3.2 IDS的应用 3.3注重防火墙技术与IDS的联动 3.4其他防护措施 结语 引言 在全球信息技术高度发达的今天，军事院校的建设、发展及其工作的开展也离不开网络。但 是，互联网是一把双刃剑，对于军事院校来说，其既有便利学校发展的一方面，同时也带来 了一个棘手的问题，那就是网络安全问题。为实现网络安全，防范网络攻击，最常用的对策 就是构建防火墙和入侵检测系统。 防火墙是指在内部网和互联网之间或者其他外部网之间插入一个中介系统，其目的是阻断 来自外部通过网络对内部网的威胁和入侵。作为内部网络与外部公共网络之间的第一道屏 障，防火墙是最先受到人们重视的网络安全产品之一。从技术上来说，防火墙属于最底层的 网络安全技术，它负责网络间的安全认证与传输。但随着网络安全技术的整体发展以及网络 应用的不断变化，现在的防火墙技术已经逐步走向网络层之外的其他安全层次。 入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统。它的目的是监测和发 现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非法授权行为，并 采取相应的防护手段。“1980 年 James Anderson 在Computer Security Threat Monitoring and Surveillance，的论文中提出了入侵检测系统的概念。1987年Domthy Donning在，An Intrusion Detection Model，的论文中提出入侵检测系统IDS的框架结构。[1][1]0前，入侵检测系统是 网络安全研究的一个热点问题。 本文共分为三章第一章是对防火墙技术与入侵检测系统的概述；第二章 主要对防火墙技术与入侵检测系统的进一步研究方向进行了论述;第三章探讨了防火墙技术 与入侵检测系统在军事网络中的具体应用。 第一章防火墙技术与入侵检测系统（IDS）概述 1防火墙技术概述 1.1防火墙技术的基本概念 防火墙的英文名为“Fire Wall”,它是一种重要的网络防护设备。“防火墙是设置在内部网络 与外部网络之间的一道屏障，既可以是由硬件构成，也可以是用软件代替，还可以是软件和 硬件的结合。”⑵⑵从本质上来说，防火墙遵循的是一种允许或阻止业务来往的网络通信安 全机制，也就是提供可控的过滤型网络通信，只允许被授权的通信。防火墙是在内部网与外 部网之间实施安全防范的系统，可以被认为是一种访问控制机制，根据网络决策人员及网络 专家共同决定本网络的安全策略。其用意如同一个安全门，为门内的部门提供安全，控制那 些被允许出入该受保护环境的人或物。它用于控制、允许、拒绝、监测出入两个网络之间的 信息流，且本身有较强的抗击能力。在逻辑上，防火墙是一个分离器，是一个控制器，也是 一个分析器，有效地监控了两个网络之间的任何活动，保证了内部网络的安全。 无论是什么形式的防火墙一般都具有以下的特点一是所有内部和外部的通信都必须经过防 火墙；二是只有是相应的安全政策所定义的授权通信才允许通过；三是防火墙本身是抗侵入 的；四是防火墙是网络管理最高权限者的一道钥匙，可以随意开启和关闭内部网络的大门， 有效防止入侵和攻击。 1.2防火墙技术的分类 防火墙技术可根据基本原理和防范方式的不同分为以下几种基本类型包过滤型、应用 代理型和状态监测型。 1.2.1包过滤型防火墙 包过滤packet filtering是防火墙技术的实现形式，它控制哪些数据包可以进出网络而哪些数 据包应被网络拒绝。包过滤型产品是防火墙的初级产品，它的工作依据是网络中的分包传输 技术。即网络上的数据都是以“包”为单位来进行传输的，数据会被分割成一定大小的数据包， 每一个数据包中都会包含一些特定信息，如源地址、目标地址和目标端口等。防火墙通过读 取这些数据包中的地址信息来判断这些“包”是否来自可信任的安全站点。一旦发现有来自于 危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况来灵 活制定判断规则。 包过滤技术的优点是简单实用，实现成本较低。在应用环境比较简单的情况下，能够以较小 的代价在一定程度上保证系统的安全性。 但是，包过滤技术的缺陷也是明显的。首先，编制逻辑上严密、无漏洞的包过滤规则比较困 难，对已编制好的规则进行测试也比较麻烦。另外，维护复杂的包过滤规则也是一件很麻烦 的事情，网络管理员必须根据防火墙的包过滤规则理解和评估网络每天的变化。如果网络中 增加了以台服务器又没有加入保护它的包过滤规则，它有可能就会成为黑客的攻破点。其次， 包过滤规则的判别会降低路由器的转发速度，包过滤规则集越大，判别过程所花的时间就越 长，何况随着时间的推移，包过滤规则集还会不断增长。第三，包过滤技术是一种完全基于 网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息来进行判断，无法识别 基于应用层的恶意侵入，如恶意的JAVA小程序以及电子邮件中附带的病毒。对于一些有经 验的黑客来说，能够很容易地伪装自己的IP地址，从而骗过包过滤型防火墙。 1.2.2应用代理型防火墙 由于包过滤防火墙可以按照I P地址禁止未授权者的访问，但是它不适合军队网来控制内部 人员访问外界的网络。应用代理型防火墙也可以称为代理服务器，它的安全性要高于包过滤 型防火墙。代理服务器位于客户机与服务器之间，完全阻断了二者间的直