本文构建了一个基于开源IDS-Snort的网络入侵防御系统(NIPS)。在对入侵检测和入侵防御技术做了大量的研究后,作者提出了在入侵检测系统中融入漏洞扫描技术,并实现入侵检测系统和防火墙的智能联动,设计出了一种能动态适应所部署网络环境的、具有实时防御功能的网络入侵防御系统(NIPS)。系统运行在Linux操作系统下,使用著名的开源IDS-Snort作为系统的入侵检测模块,实时检测进出受保护子网的网络流量,使用告警融合、过滤模块对Snort输出的告警进行融合和过滤,提取出针对子网主机系统或服务漏洞的攻击入侵,并由实时防御模块生成防火墙阻塞规则,实时阻断当前的攻击入侵。系统被部署为透明网桥模式的防火墙,以串联的方式连接到网络的关键路径中。由于系统以透明网桥方式工作,在实施时既不需改动原有的网络拓扑结构,也能保证自身的安全。系统的实时防御功能,通过配置系统内核自带的Netfilter防火墙来实现,系统的实时防御模块使用Iptables动态调整系统防火墙阻塞规则来实现受保护子网的安全通信。系统采用模块化设计,有很强的网络环境适应能力,伸缩性也很强。既可以作为网络入侵防御系统(NIPS),也可以简单地作为网络入侵检测系统(NIDS),还可以简化为透明网桥模式的防火墙。