网络安全——防火墙、IDS和IPS

一、防火墙（Firewall）

1、防火墙：实现信任网络和不可信任网络之间或者是内部网络不同区域隔离与访问控制。

2、分类

2.1根据防火墙技术划分：

（1）包过滤（Packet-Filtering）防火墙：工作在网络层，基于预定义的规则对数据包进行过滤。【ACL，端口号、网络通信协议类型、源目的地址】
（2）状态检测（Stateful Inspection）防火墙：监控和分析网络连接状态，根据连接状态决定是否允许数据包通过。【数据包检测、TCP握手验证，识别和阻止恶意连接、网络扫描】
（3）应用层网关（Application Layer Gateway Service，ALG）防火墙：工作在应用层，对应用层的数据进行深度检测和过滤。【更精细的访问控制和安全保护，能够识别和阻止恶意软件、网络蠕虫】

2.2根据部署方式划分：软件防火墙、硬件防火墙、基于云的防火墙

3、区域

3.1本地区域（Local）：防火墙本身

3.2信任区域（Trust）：内部安全网络，如：内部服文件服务器、数据库服务器

3.3非信任区域（Untrust）：外部网络，如：互联网

3.4军事缓冲区域（DMZ）：内部网络和外部网络之间，常放置公共服务设备，向外提供信息服务

二、入侵检测系统（Intrusion Detection System，IDS）

1、IDS：对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

2、国际互联网工程任务组（The Internet Engineering Task Force，IETF）将一个入侵检测系统分为四个组件：

2.1事件产生器（Event generators）：从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2.2事件分析器（Event analyzers）：经过分析得到数据，并产生分析结果。【模式匹配、统计分析、数据完整性分析】

2.3响应单元（Response units）：对分析结果作出反应的功能单元，可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

2.4事件数据库（Event databases）：存放各种中间和最终数据的地方，可以是复杂的数据库，也可以是简单的文本文件。

【公共入侵检测框架（Common Intrusion Detection Framework，CIDF）体系结构】

3、分类

3.1根据信息来源划分：HIDS（主机）、NIDS（网络）、DIDS（分布式）

3.2根据数据分析技术和处理方式划分：

（1）异常检测：建立并不断更新、维护系统正常行为轮廓，定义报警阈值。【能够检测从未出现的攻击，但误报率高。】
（2）误用检测：对入侵行为特征进行提取，形成入侵模式库。【已知入侵检测准确率高，未知入侵检测准确率低，高度依赖特征库（专家系统/专家库，模式匹配/关键字）】

三、入侵预防系统（Intrusion Prevention System，IPS）

1、IPS：在IDS的基础上提供了强大的防御功能，通常采用深度包检测（DPI）技术，对每个数据包进行细致的检查，以发现其中可能存在的威胁。

【深度数据包检测（Deep Packet Inspection，DPI）：又称完全数据包探测（Complete Packet Inspection）信息息萃取（Information eXtraction，IX），结合了入侵检测系统（IDS）、入侵预防系统（IPS）及状态防火墙等功能。】

四、三者区别

1、IDS：检测入侵，记录日志，发出警报，一般旁路部署

2、IPS：检测入侵，拦截、阻断攻击，深层次防御，一般串行部署

3、防火墙：用于控制网络流量和访问，一般在网络的进出口部署