防火墙、IDS与IPS

防火墙

• 防火墙可以实现内部网络（信任网络）与外部不可信任网络（Internet）之间或是内部网络不同区域隔离与访问控制
• 防火墙技术与分类：包过滤、状态化防火墙、应用层网关、应用层DPI

 

• 根据网络的安全信任程度和需要保护的对象，认为划分若干个安全区域：
  • 本地区域（Local）：防火墙本身
  • 信任区域（Trust）：内部安全网络，如：内部服文件服务器、数据库服务器
  • 非信任区域（Untrust）：外部网络，如：互联网
  • 军事缓冲区域（DMZ）：内部网络和外部网络之间，常放置公共服务设备，向外提供信息服务

 

安全区域	安全级别	说明
Local	100	设备本身，包括设备的各接口本身
Trust	85	通常用于定义内网终端用户所在区域
DMZ	50	通常用于定义内网服务器所在区域
Untrust	5	通常用于定义Internet等不安全网络

从低到高：inbound

从高到低：outbound

 

入侵与防护（IDS与IPS）

入侵检测系统分类

按信息来源分：HIDS、NIDS、DIDS（主机、网络、分布式）

按响应方式分：实时检测和非实时检测

按数据分析技术和处理方式分：异常检测、误用检测和混合检测

• 异常检测：建立并不断更新和维护系统正常行为的轮廓，定义报警阈值，超过阈值则报警。能够检测从未出现的攻击，但误报率高
• 误用检测：对一直的入侵行为特征进行提取，形成入侵模式库，匹配则进行报警。已知入侵检测准确率高，对于未知入侵检测准确率低，高度依赖特征库。专家系统（专家库）和模式匹配（关键字）

入侵防御系统IPS

定义： 是一种抢先的网络安全检测和防御系统。能检测出攻击并积极响应。

• IPS不仅具有入侵检测系统检测攻击行为的能力，而且具有拦截攻击并阻断攻击的功能。
• IPS不是IDS和防火墙功能的简单组合，IPS在攻击响应上采取的是主动的全面深层次的防御

IPS（入侵防御系统）与IDS（入侵检测系统）的区别

• 部署位置不同：
  • IPS一般串行部署
  • IDS一般旁路部署
• 入侵响应能力不同：
  • IPS能检测入侵，并能主动防御
  • IDS只能检测记录日志，发出警报