入侵检测如何与防火墙一起用
防火墙技术和入侵检测技术联动配合步骤如下:
建立安全通信:在建立安全通信信道时,入侵检测系统产生一临时会话密钥,并使用自己的主密钥加密该会话密钥,向防火墙发送密钥协商请求和认证请求;
防火墙接受密钥和认证请求:防火墙收到密钥协商和认证请求以后,解密获取的临时会话密钥,产生本次会话的会话密钥,并用临时会话密钥加密后发送给入侵检测系统;
入侵检测获取密钥:入侵检测系统获取上述信息后,用临时会话密钥解密,获取本次会话的会话密钥;
防火墙验证Nonce:防火墙收到密钥协商和认证请求以后,在解密获取临时会话密钥的同时,验证Nonce(一个随机数序列)值、时戳和散列结果的完整性,具体方法是在每次联动之前,防火墙作为发送方和入侵检测系统目的方进行会话密钥协商,同时,防火墙将自己的主机时间发送给入侵检测系统,入侵检测系统与防火墙进行时间同步;
入侵检测验证Nonce:入侵检测系统在收到防火墙发送来的会话密钥后,首先验证Nonce值、时戳和散列结果的完整性,具体的方法是在每次联动之前,入侵检测系统作为发送方和防火墙目的方进行会话密钥协商,同时,入侵检测系统方将自己的主机时间发送给防火墙,防火墙与入侵检测系统进行时间同步;
双方将形成消息文摘或报文认证码互相发送:上述发送方和目的方之间验证Nonce值、时戳和散列结果完整性的具体步骤包括发送方将报文、Nonce值、时间戳和会话密钥作为输入变量,用hash散列函数计算后,形成消息文摘或报文认证码发送给目的方;
双方验证对方报文的完整性:目的方首先将报文、Nonce值、时间戳和会话密钥作为输入变量,用hash散列函数计算,其次,将收到的由发方生成的消息文摘和计算的hash函数结果进行比较,如果,两个结果一致,表明目的方收到的是发方发送的报文,且在通信过程中没有被攻击者修改过,从而验证了对方报文的完整性;
判断是正常报文还是攻击者重放报文:最后,目的方根据在与发送方密钥协商过程中的时间同步机制,验证收到报文的时间是否在预先规定的时间范围内,如果是,则认为该报文是发送方发送的正常报文,否则认为是攻击者重放的报文。