计算机网络-7-7-系统安全:防火墙与入侵检测

系统安全:防火墙与入侵检测

防火墙

防火墙(firewall)是一种访问控制技术，通过严格控制进出网络边界的分组，禁止任何不必要的通信，从而减少潜在入侵的发生，作为系统的第二道防线。由于防火墙不能阻止所有入侵发生，作为系统的第二道防线，入侵检测系统IDS(Intrusion Detection System)通过对进入网络的分组进行深度分析和检测发现疑似入侵行为的网络活动，并通过报警以便采取相应措施。

防火墙是一种特殊编程的路由器，安装在一个网点和网络的其余部分之间，目的是实施访问控制策略。一般把防火墙里面的网络称之为可信的网络(trusted network)，而把防火墙外面的网络称之为不可信的网络(untrusted network)。

防火墙技术一般分为以下两类

1. 分组过滤路由器：是一个具有分组过滤功能的路由器，它根据过滤规则对进出内部网络的分组进行转发或者丢弃（过滤）。

2. 应用网关（代理服务器(proxy server)）：所有进出网络的应用程序报文都必须经过网关。当某应用客户进程向服务器发送一个请求报文时，先发送给应用网关，应用网关在应用层打开该报文，查看该请求是否合法，如果合法，应用网关以客户进程的身份请求报文转发给原始服务器。如果不合法，报文则丢弃。

入侵检测系统IDS

防火墙试图在入侵行为发生之前阻止所有可疑的通信。但事实上是不可能组织所有的入侵行为，有必要采取措施在入侵前开始，但还没有造成危害或者造成更大的危害之前，及时的检测到入侵，以便尽快阻止入侵，把危险降到做小。

入侵检测系统IDS对进入网络的分组进行深度分组检查，当检查到可疑分组的时候，向网络管理员发出警告或执行阻断操作（由于IDS误报率比较高，通常不会自动执行）。IDS能用于检测到多种网络攻击，包括网络映射、端口扫描、Dos攻击、蠕虫和病毒、系统漏洞攻击等。

IDS一般可分为两种检测

1. 基于特征的入侵检测：基于特征的IDS维护一个所有已知攻击标志性特征的数据库，当发现有与某种攻击特征匹配的分组或者分组序列的时候，则认为可能检测到某种入侵行为。但基于特征的IDS只能检测已知攻击，对于未知攻击束手无策。
2. 基于异常的入侵检测：基于异常的IDS通过观察运行的网络流量，学习正常流量的统计特性和规律，当检测到网络中流量的某种统计规律不符合正常情况时，则认为可能发生了入侵行为。