随着网络应用范围的不断扩大，它在带给人们极大便利的同时，也带来了一个日益严峻的问题一网络安全问题。为确保网络安全，很多单位和个人都采用了入侵检测、防火墙、防病毒软件和流量监控等一系列网络安全组件。但仅仅依靠单一的网络安全组件已经难以满足现有网络安全的需要，必须把它们结合起来实现立体式深度防御的安全体系。在此次研究中，将入侵检测与防火墙协作工作以实现安全防御。入侵检测基于开源的Snort2.0，防火墙基于开源代码的Netfilter／Iptables。在系统中两者协作工作来完成局域网的安全防护。此种方法能为受保护网络提供更有效的入侵检测及相应的防护手段。本文分析了目前流行的入侵手段和攻击方式，介绍了通用入侵检测模型以及入侵检测系统的分类。详细阐述了入侵检测软件Snort的工作原理及工作流程，重点分析了Snort的数据采集过程和Snort的告警日志格式。接着讨论了linux 2.6内核防火墙套件Netfilter的机制，分析了Iptables的实现过程和iptables的基本命令，研究了Iptables的扩展性。在此基础上构建了Snort与Netfilter／Iptables协作式工作的框架。该框架系统通过分析IDS产生的告警日志文件，统计各种入侵行为，动态地修改防火墙策略。防火墙根据新的策略及时阻断攻击，这样可以实现在没有人工干预的情况下选择适当的对策对付攻击，大大减少了漏洞被发现后系统暴露的时间。该框架分为协作初始化模块、提取分析日志模块、建立Snort_to_IPT结构模块、生成防火墙规则模块、应用防火墙规则模块、定时更新失效规则模块六个模块。通过测试实验证明了该框架的检测和主动防御入侵的可行性。