计算机网络安全：入侵检测与防火墙的区别与联系

过去，防范网络攻击最常用的方法是使用防火墙。为了更好地说明入侵检测的必要性，对入侵检测与防火墙做一个比较。

“防火墙”是在被保护网络周边建立的、分隔被保护网络与外部网络的系统。防火墙技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段。他的保护对象是网络中有明确闭合边界的网块，防范对象则是来自被保护网块外部地对网络安全的威胁。防火墙通过在网络边界上建立相应的网络通信监控系统，拒绝非法的连接请求，从而达到保护网络安全的目的。

采用防火墙技术的前提条件：①被保护的网络具有明确定义的边界和服务；②网络安全的威胁仅来自外部网络。

通过监测、限制或更改穿过防火墙的数据流，尽可能地对外部网络屏蔽有关被保护网络的信息和结构，可实现对网络的安全保护，降低网络安全的风险。但仅仅使用防火墙保障网络安全是远远不够的。首先，防火墙本身会有各种漏洞和后门，有可能被外部黑客攻破；其次，防火墙不能阻止内部攻击，对内部入侵者来说防火墙毫无作用；另外，有些外部访问可以绕开防火墙，例如，内部用户通过调制解调器拨号接入因特网，从而开辟了一个不安全的通路，而这一连接并没有通过防火墙，防火墙对此没有任何监控能力。

因此，仅仅依赖防火墙系统并不能保证足够的安全。入侵检测是防火墙的合理补充，为网络安全提供实时的入侵检测并采取相应的防护手段，如记录证据用于跟踪入侵者和灾难恢复、发出警报甚至终止进程、断开网络连接等。他从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下，能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

入侵检测系统一般不是采取预防的措施以防止入侵事件的发生，入侵检测作为安全技术其主要目的：①识别入侵者；②识别入侵行为；③检测和监视已成功的安全突破：④为对抗入侵，及时提供重要信息，阻止事件的发生和事态的扩大。

可见入侵检测对于建立一个安全系统来说是非常必要的，他可弥补传统安全保护措施的不足。

作为一类目前倍受广泛关注的网络安全技术，入侵检测技术也有很多不足：(www.xing528.com)

（1）入侵检测系统本身还在迅速发展和变化，尚未成熟。目前，绝大多数的商业入侵检测系统的工作原理和病毒检测相似，自身带有一定规模和数量的入侵特征模式库，可以定期更新。这种方式有很多弱点：不灵活，仅对已知的攻击手段有效；特征模式库的提取和更新依赖于手工方式，维护不易。具有自适应能力、能自我学习的入侵检测系统系统还尚未成熟，检测技术在理论.上还有待突破。所以入侵检测系统领域当前正处于不断发展成长时期。

（2）现有的入侵检测系统错报率（或称为虚警率）偏高，严重干扰了检测结果。如果入侵检测系统对原本不是攻击的事件产生了错误的警报，则假的警报一般称为虚警。通常这些错报会干扰管理员的注意力，产生两种后果：①忽略警报，但这样做的结果和安装入侵检测系统的初衷相背；②重新调整临界阈值，使系统对虚报的事件不再敏感，但这样做之后，一具有真的相关攻击事件发生，入侵检测系统将不再报警，这同样损失了入侵检测系统的功效。

（3）事件响应与恢复机制不完善。这一部分对入侵检测系统非常重要，但目前几乎都被忽略并没有一个完善的响应恢复体系，远不能满足人们的期望和要求。

（4）入侵检测系统与其他安全技术的协作性不够。如今，网络系统中往往采用很多其他的安全技术，如防火墙、身份认证系统、网络管理系统等。如果它们之间能够相互沟通，相互配合，对入侵检测系统进一步增强自身的检测和适应能力是有帮助的。

（5）入侵检测系统缺少对检测结果做进一步说明和分析的辅助工具，这妨碍了用户进一步理解看到的数据或图表。

（6）入侵检测系统缺乏国际统一的标准；没有关于描述入侵过程和提取攻击模式的统一规范；没有关于检测和响应模型的统一描述语言；监测引擎的定制处理没有标准化。