基于Snort的入侵检测系统与防火墙联动机制研究

0 引言

随着当今世界计算机普及应用程度的越来越高，互联网也得到了非常广泛的使用，而且对人们的工作生活方式产生了深远的影响。在方便我们日常工作、学习和生活的同时，随之也出现了一些网络安全情况。网络信息的流失和网络入侵问题时有发生，甚至很多军工单位和政府部门的专业网站也经常会遭遇到网络攻击。

1 Snort入侵检测系统与防火墙联动防御机制的研究

近年来，在网络安全防护上逐渐探索应用了防火墙技术，对网络设备的安全访问进行科学有效地防御控制。但是由于目前计算机应用的日益普及，很多网络攻击的手段都具有很大的隐蔽性和欺骗性，而且很多计算机软件和网络信息系统通常都带有一定的安全隐患问题，单纯依赖以往的防火墙技术，对网络运行系统进行被动的静态防护，已经越来越难以适应计算机网络和信息技术发展的客观实际，越来越难以满足客户的实际需求，更何况防火墙技术也难以及时发现网络系统内部所遭遇的各种入侵问题，无法实现网络系统的及时精确检测。而入侵检测系统，刚好能够弥补这一不足，对可能会发生的网络入侵行为能及时检测预警，实现在防火墙技术身后的再次加固网络安全防线，但是这种安全防御系统存在着一定的失误或者漏报的情况，对一些网络攻击的行为也无法实时地反馈，所以在实际应用中也制约了网络安全防御性能。

因此，在实际网络安全防护中，将Snort入侵检测系统同防火墙技术实现联动预警防护，便成为了一种科学有效的网络入侵防御手段。笔者试就Snort入侵检测系统与防火墙联动防御机制的实现和创新，谈些粗浅的认识。

2 Snort入侵检测系统和防火墙技术的实现

2.1 Snort入侵检测系统

Snort入侵检测系统本身属于轻量级检测工具，规则语言不是特别复杂，并且在网络安全预警以及图表形式的反应界面中存在着一定的缺点，不过这种检测系统的整体布局非常清楚，而且由于规则语言不复杂，应用起来也非常简便易行，并且具有良好的插件支撑作用，如果用户需要增加检测要求或者需要对一些数据信息进行处理，利用起来也非常便捷，利于更新规则数据。因此，通常来说，Snort入侵检测系统检测发现网络入侵具有便捷快速高效的特征，而且对于规则语言数据更新也非常及时准确。

2.2 防火墙技术

传统的概念表述上，防火墙通常是对火灾事故蔓延情况的阻止，主要承担的是防护隔离墙的作用。但是应用到计算机运行系统中，防火墙技术一般安装设计到计算机网络系统，通过一些软硬件设施对内、外部的安全设备进行防护，确保网络信息系统运行安全。所以，防火墙技术通常是统称的安全防御设施，基于对网络访问行为进行防范、检测，并且对相应的数据信息进行改变，以达到网络信息运行的安全管理，防止非法用户对网络运行设备入侵或者篡改相关信息数据。

虽然防火墙技术对于防范网络内、外部安全，加强非法访问行为控制，具有良好作用，但是也存在着一定缺陷，比如，对于网络外来攻击的防范非常及时，但是却无法防御网络内部入侵行为，防火墙技术的规则语言比较粗略，不能充分地解析出足够的协议细节，而且通常事先已经设计好，仍然处于静态的防范，一旦遇到反常的网络攻击，这种防火墙技术无法及时检测反馈。

3 Snort入侵检测系统与防火墙联动机制的创新分析

基于Snort的入侵检测系统融合了入侵检测和防火墙这两种方法的共同优势，通常是运用串联的方法，将其与网络进行连通，有效地防范监听或者监视入侵网络系统造成信息安全问题或者漏报情况，实现网络安全防范的有机联动。

3.1 Snort入侵检测系统与防火墙联动机制

（1）Snort入侵系统工作模式

Snort入侵检测系统与防火墙联动形式，通常包括系统嵌入和开放接口两种形式。系统嵌入形式的网络安全防范联动，主要是在计算机网络系统中事先安装好入侵检测和防火墙这两个模块软件，对网络可能会遭到的攻击及时进行检测，并且对非法访问设定权限予以控制，而且在网络安全防护上呈现交互使用的态势。开放接口的联动方式，通常是将入侵检测和防火墙这两个模块独立设置，使其能够各自独立地实现网络系统的安全防护。另外也配置了一定的数据接口源，确保网络信息数据能够实现信息对称和资源共享。

（2）Snort入侵检测系统的运行环境

即Snort的工作模式有这样三种，一是嗅探器，二是数据包记录器，三是网络入侵检测系统，其中嗅探器主要是从网络上读取数据包，并在终端设备上显示出来；而数据包记录器的工作模式，主要是对读取的数据进行记录与保存；网络入侵检测系统的工作模则较为复杂，也是可以进行配置的。Snort的工作模式，需要平台的支持，即其运行的环境，即可以在windows上应用，也可以在Linux环境中运行。

3.2 系统嵌入模式

通常来说，这种系统嵌入的基于Snort入侵检测系统与防火墙联动的方法，其基本宗旨就是利用防火墙，为入侵检测结果的分析获取非法用户访问系统进行科学有效控制的应对措施，这样就使得Snort入侵检测系统和防火墙技术有机融合，组成一个共同体，形成对未来安全的有效防御。这种联动形式具有明显的优势：

（1）使得安全防范承载比较平均。如果网络安全防御使用的是一种入侵检测技术，异常数据包的处置数量相对就会比较多，这样就会增加很多资源消耗。但是如果应用了这种嵌入式的联动安全防御系统，就能够通过访问受限软件系统强化异常数据信息的定期处置，会大大地降低检测系统的引擎工作量，提高安全防范承载均衡化效果。

（2）可以形成良好的防御功能。比如，这种嵌入式的联动防范系统，通过入侵检测和防火墙的共同作用，在网络尚未遭受攻击的时候就能够及时检测和阻隔，实现攻击检测和访问控制的有机统一，增强安全防御的性能。

但是这种嵌入式联动方式由于无法及时分析检测结果，通常会降低防火墙的安全防范效果。

3.3 开放接口模式

这种模式主要是利用相互分离使用的两个子系统，实现Snort入侵检测系统与防火墙的交叉应用，确保信息数据的充分共享，增强网络安全的防范性能。比如，可以采用直接联动的方法，利用一个共同的通信接口，不用借助辅助软件，实现 Snort入侵检测系统和防火墙的联动防御功能，这种联动方式反应非常灵敏，安全性能非常好，对于实现Snort入侵检测系统与防火墙的创新联动非常有效，应当作为网络安全防御的一个重要方法。

4 结束语

目前很多用户为了加强网络信息系统防护，避免主机系统或者服务器设备出现各种网络入侵事件，非常广泛地应用了 Snort入侵检测系统或者防火墙技术，有的还下载安装了各种防病毒的软件系统，对加强网络信息的安全防御体系建设发挥了一定作用。但是由于Snort入侵检测系统和防火墙技术各有优势，也各有不足，特别是在当今网络安全攻击事故频发，以及各种攻击手段日益隐蔽和复杂的现实状况下，给网络安全防范带来了很大的困难。本文对Snort入侵检测系统与防火墙技术联动运行进行了详细的分析阐述，试图探索了一种创新的网络安全防护手段，对加强计算机网络系统安全防范，实现安全运行的检测防御双重功能，提供了一定的参考借鉴。