近几年,网络攻击日益频繁,攻击方法层出不穷,对安全防御技术也提出了更高的要求。现有的安全技术:防火墙和入侵检测系统在面向攻击防御上存在着很大缺陷,入侵防御系统(Intrusion PreventionSystem,IPS)便应运而生了。IPS综合了防火墙的粗粒度检测功能和入侵检测系统(Intrusion Detection System, IDS)的细粒度检测功能,紧密实现了两种安全技术的融合,对受保护网络提供更为完善的服务。本文首先论述了相关技术基础,深入讨论了防火墙和入侵检测这两种传统主流安全技术,并分析了各自缺陷。然后,研究了基于CVE中文漏洞库的Snort规则的建立方法。又从防火墙和入侵检测技术的优缺点和互补性说明了两者的结合点,从而提出了防火墙与入侵检测技术的两种融合策略:规则转换策略和联动策略。接着详细设计了基于CVE的网络入侵防御系统结构,此防御系统利用两种融合策略建立了两层防御机制。该系统扩展了网关防火墙的入侵检测功能,实现了网关防火墙对攻击的最初防御;增加了入侵检测系统Snort的联动响应功能,Snort对逃避了网关防火墙检测的复杂攻击进行再次防御。最后利用Nimda实验检测系统的防御性能,并给出实验结果。实验证明了该防御系统对大规模的蠕虫攻击起到了实时抵制作用,而且两层防御机制在应对攻击的时效和完备性方面比单层防御要好,从而印证了融合策略和分层思想的正确性。基于CVE的网络入侵防御系统以CVE中文漏洞库为研究平台,同时利用了防火墙的响应功能和入侵检测技术的的检测功能,两者协同工作,实现了全方位、多层次的网络安全防御体系,提高了主动实时的入侵响应能力,确保了网络整体的安全性。