当前位置:文档之家› 防火墙与入侵检测系统

防火墙与入侵检测系统



所谓防火墙,就是一种用来加强网络之间访问控制 的特殊网络互联设备,如路由器、网关等。它对两 个或多个网络之间传输的数据包和连接方式按照一 定的安全策略进行检查,以决定网络之间的通信是 否被允许。其中被保护的网络称为内部网络,另一 方则称为外部网络或公用网络。它能有效地控制内 部网络与外部网络之间的访问及数据传送,从而达 到保护内部网络的信息不受外部非授权用户的访问 和过滤不良信息的目的。


目前,Internet上的Web网站中,超过三分之一的 站点都是有某种防火墙保护的,任何关键性的服务 器,都应该放在防火墙之后。部署防火墙技术,可 以大大提高网络的安全性,主要表现在: 1.防火墙是网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大地提 高一个内部网络的安全性,并通过过滤不安全的服 务而降低风险。


2.应用级网关防火墙 应用级网关也就是通常我们提到的代理服务器。 它适用于特定的互联网服务,如超文 本传输(HTTP)、远程文件传输(FTP)等。代理服务 器通常运行在两个网络之间,它对于客户来说像是 一台真的服务器,而对于外界的服务器来说,它又 是一台客户机。当代理服务器接收到用户对某站点 的访问请求后会检查该请求是否符合规定,如果规 则允许用户访问该站点的话,代理服务器会像一个 客户一样去那个站点取回所需信息再转发给客户。



防火墙技术:包过路技术、代理技术、状态检测技 术. 防火墙的设计结构:筛选路由器、双重宿主机、屏 蔽主机、屏蔽子网结构. 入侵检测种类:基于主机(HIDS)、基于网络 (NIDS)、分布式(DIDS)入侵检测系统. 入侵检测的步骤:收集信息,分析数据,响应.

所谓“防火墙”,是指一种将内部网和公众访问网 (Internet)相对分开的方法,它实际上是一种隔离 技术。防火墙是在两个网络通信时执行的—种访问 控制尺度,它能允许用户“同意”的人和数据进入 自己的网络,同时将未经认可的访问者和数据拒之 门外,最大限度地阻止网络中的黑客入侵行为,防 止自己的信息被更改、拷贝和毁坏。防火墙包括阻 止外来访问的任何设备,通常是软件和硬件和组合 体,它通常根据一些规则来过滤想要或不想要的地 址。

(3)防火墙不能防范病毒。 防火墙不能防范网络 上或PC机中的病毒。虽然许多防火墙可以扫描所有 通过它的信息,以决定是否允许它通过,但这种扫 描是针对源地址、目标地址和端口号,而不是数据 的具体内容。即使是先进的数据包过滤系统,也难 以防范病毒,因为病毒的种类太多,而且病毒可以 通过许多种手段隐藏在数据中。



没有万能的网络安全技术,防火墙也不例外。防火 墙有以下三方面的局限: (1)防火墙不能防范网络内部的攻击。比如,防 火墙无法禁止变节者或内部间谍将敏感数据拷贝到 软盘上。 (2)防火墙不能防范不通过它的连接。防火墙能 够有效地防止通过它进行信息传输,但它不能防止 不通过它的信息传输。例如,如果允许对防火墙后 面的内部系统进行拨号访问,那么防火墙绝对没有 办法阻止侵入者进行拨号入侵。


3.对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙就 能记录下这些访问并作出日志记录,同 时也能提供网络使用情况的统统计数据。当发生可 疑动作时,防火墙能进行适当的报警,并提供网织 是否受到监测和入侵的详细信息。




4.防止内部信息的外泄 通过利用防火墙对内部网络的划分,可实现内部 网重点网段的隔离.从而限制了局部重 点或敏感网络安全问题对全局网络造成的影响。再 者,隐私是内部网络非常关心的问题,一 个内部网络中不引人注意的细节可能包含了有关安 全的线索而引起外部入侵者的兴趣,甚至 因此而暴漏了内部网络的某些安全漏洞。使用防火 墙就可以隐蔽那些透漏内部细节如Finger.等。

防火墙最基本的构件既不是软件也不是硬件,而是 构造防火墙的人的思想。尽管防火墙有各种不同的 类型,但所有的防火墙都有—个共同的特征:基于 源地址基础上的区分或拒绝某些访问的能力。ຫໍສະໝຸດ

从总体上看,防火墙应具有以下五大基本功能: (1)过滤进出网络的数据包。 (2)管理进出网络的访问行为。 (3)封堵某些禁止的访问行为。 (4)记录通过防火墙的信息内容和活动。 (5)对网络攻击进行检测和告警。 为实现以上功能,在防火墙产品的开发中,人们 要应用网络拓扑技术、计算机操作系 统技术、路由技术、加密技术、访问控制技术、安 全审计技术等成熟或先进的手段。




3.状态监测防火墙 这种防火墙具有非常好的安全特性,它使用了一 个在网关上执行网络安全策略的软件 模块,称之为监测引擎。监测引擎在不影响网络正 常运行的前提下,采用抽取有关数据的 方法对网络通信的各层实施监测,抽取状态信息, 并动态地保存起来作为以后执行安全策 略的参考。监测引擎支持多种协议和应用程序,并 可以很容易地实现应用和服务的扩充。

1.包过滤防火墙 在互联网络这样的TCP/IP网络上,所有往来的 信息都被分割成许许多多一定长度的信息包,包中 包含发送者的IP地址和接收者的IP地址信息。当这 些信息包被送上互联网络时,路由器会读取接收者 的IP并选择一条合适的物理线路发送出去,信息包 可能经由不同的路线抵达目的地,当所有的包抵达 目的地后会重新组装还原。包过滤式的防火墙会检 查所有通过的信息包中的IP地址,并按照系统管理 员所给定的过滤规则进行过滤。



目前,防火墙技术已经受到了越来越多的重视。随 着新技术的发展,混合使用包过滤技 术、代理服务技术和其他一些新技术的防火墙正在 出现。越来越多的客户端和服务器端的应 用程序本身就支持代理服务方式。比如,许多www 客户服务软件包就具有代理能力。而许 多像Socks这样的软件在运行编译时也支持类代理 服务。




2.防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有 安全软件(如口令、加密、身份认证、 市计等)配置在防火墙上。与将网络安全问题分散到 各个主机上相比,防火墙的集中安全管 理更经济。例如在网络访问时,一次—密口令系统 和其他的身份认证系统完全可以不必分散 在各个主机上,而集中在防火墙一身上。
相关主题