随着Internet的发展，传统的安全防护手段防火墙、入侵检测、虚拟专用网等在同黑客的斗争中发挥了巨大作用，但是却普遍缺乏网络防御的主动性和时效性。如何使网络安全防御体系由静态转为动态，防御措施从被动变为主动是我们要研究的问题。 在详细分析防火墙、IDS与蜜罐的原理、结构和特点的基础上，设计了以蜜罐为主、入侵防御为辅的安全防御框架，实现了一种基于入侵诱骗的主动防御系统。 系统采用两层防火墙设计，外防火墙的特点是“严进宽出”，内防火墙的特点是“宽进严出”，IDS放在防火墙之后，用于监视系统的异常，当发现可疑行为或入侵行为时，立刻将检测结果通知入侵行为重定向子系统。入侵行为重定向子系统根据检测结果，通知受可疑攻击的服务器系统，向诱骗主机进行必要的数据反馈，使诱骗主机模拟该受攻击的服务器的状态。 由于防火墙能够完成数据控制，限制数据包的外出流量，保证蜜罐系统在被攻破后，不会被当作跳板攻击其他机器。入侵检测系统具有分析入侵行为，对攻击数据进行收集、分析和记录的功能，是防火墙的有力补充。蜜罐系统能够成功地构造一个虚拟网络，转移黑客、蠕虫病毒的注意力，这三者的有力结合使得被保护系统受攻击率降到最低。同时，防火墙日志、IDS日志和蜜罐主机的系统日志的收集，形成“三重捕获”，通过对这些攻击记录的分析，可以更好地理解所遇到的威胁，并且理解如何防止这些威胁，从而在与黑客的战争中获得最大的主动权。