39防火墙

概念:
(1)防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施访问控制策略。

(2)访问控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要。

(3)防火墙内的网络称为“可信的网络”(trusted network),而将外部的因特网称为“不可信的网络”(untrusted network)。

(4)防火墙可用来解决内联网和外联网的安全问题。

 

 

防火墙的功能有两个:阻止和允许。

“阻止”就是阻止某种类型的通信量通过防火墙(从外部网络到内部网络,或反过来)。

“允许”的功能与“阻止”恰好相反。

防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。

 

 

防火墙技术

1.分组过滤路由器

(1)是一种具有分组过滤功能的路由器,它根据过滤规则对进出内部网络的分组执行转发或者丢弃(即过滤)。过滤规则基于分组的网络层或运输层首部的信息,例如:源/目的 IP 地址、源/目的端口、协议类型(TCP 或 UDP)等。

(2)分组过滤可以是无状态的,即独立地处理每一个分组。也可以是有状态的,即要跟踪每个连接或会话的通信状态,并根据这些状态信息来决定是否转发分组.

 

2. 应用网关也称为代理服务器(proxy server)

(1)它在应用层通信中扮演报文中继的角色。

(2)一种网络应用需要一个应用网关,例如 万维网缓存就是一种万维网应用的代理服务器。

(3)在应用网关中,可以实现基于应用层数据的过滤和高层用户鉴别。

(4)所有进出网络的应用程序报文都必须通过应用网关。

应用网关也有一些缺点:

首先,每种应用都需要一个不同的应用网关。

其次,在应用层转发和处理报文,处理负担较重。

另外,对应用程序不透明,需要在应用程序客户端配置应用网关地址。

入侵检测系统

 

概念:

(1)防火墙试图在入侵行为发生之前阻止所有可疑的通信。

(2)入侵检测系统 IDS (Intrusion Detection System)能够在入侵已经开始,但还没有造成危害或在造成更大危害前,及时检测到入侵,以便尽快阻止入侵,把危害降低到最小。 

(3)IDS 对进入网络的分组执行深度分组检查,当观察到可疑分组时,向网络管理员发出告警或执行阻断操作(由于 IDS 的“误报”率通常较高,多数情况不执行自动阻断)。

(4)IDS 能用于检测多种网络攻击,包括网络映射、端口扫描、DoS 攻击、蠕虫和病毒、系统漏洞攻击。

 

 

两个入侵检测方式:

(1)基于特征的 IDS 维护一个所有已知攻击标志性特征的数据库。

这些特征和规则通常由网络安全专家生成,机构的网络管理员定制并将其加入到数据库中。

基于特征的 IDS 只能检测已知攻击,对于未知攻击则束手无策。 

(2)基于异常的 IDS

通过观察正常运行的网络流量,学习正常流量的统计特性和规律。当检测到网络中流量某种统计规律不符合正常情况时,则认为可能发生了入侵行为。

 

posted @ 2017-09-30 16:14  gd_沐辰  阅读(249)  评论(0编辑  收藏  举报