防火墙和入侵检测系统

从网络管理员的角度来看，世界可以很清楚地分为两个阵营。一部分是好人，他们属于机构网络，可以以相对不受限制的方式访问该机构网络中的资源；另一部分是恶意攻击者，必须经过仔细审查才能确定是否允许他们访问网络资源。那么这些安全工作，都是由防火墙、入侵检测系统和入侵防止系统的运行设备完成。

 

防火墙是一个硬件和软件的结合体，它将一个机构的内部网络与整个因特网隔离开，允许一些数据分组通过而阻止另一些通过。防火墙具有3个目标：

第一，从外部到内部和从内部到外部的所有流量都通过防火墙。

第二，仅被批准的流量（由本地安全策略定义）允许通过。

第三，防火墙自身免于渗透。

防火墙能够分为3类：传统的分组过滤器、状态分组过滤器和应用程序集网关。

传统的分组过滤器，是逐个检查每个数据报，然后基于管理员规定的规则，以决定是丢弃该数据报还是允许该数据报通过，过滤方式一般采用下列因素，IP地址，IP数据报协议字段中的类型：TCP、UDP、ICMP等，端口，TCP标志比特SYN、ACK等，对不同路由器接口的不同规则。一般路由器中使用访问控制列表来实现。

状态分组过滤器实际跟踪TCP连接，并使用这种知识作出过滤决定。一般是使用连接表和访问控制表联合工作的。

应用程序网关，前面两类是通过分组级过滤使得一个机构可以根据IP的内容和TCP/UDP首部执行粗粒度过滤，但是如果一个机构仅为内部用户的一个受限集合提供Telnet服务该怎么做呢？这些任务超出了传统过滤器和状态过滤器的能力。实际上，有关内部用户的身份信息是应用数据，并不包括在TCP/UDP/IP首部中。为了得到更高水平的安全性，防火墙必须把分组过滤器和应用程序网关结合起来。一个应用程序网关，它是一个应用程序特定的服务器，所有应用程序数据都必须通过应用程序网关。多个应用程序网关可以在同一主机上运行，但是每一个网关都是具有其单独进程的单独服务器。

不过应用网关也有其缺陷。首先，每一个应用程序都需要一个不同的应用程序网关。第二，还要以性能的损失为代价，因为所有数据都由网关转发。当多个用户或应用程序使用同一个网关计算机时这个问题尤其严重。

 

入侵检测系统

传统的过滤器检查IP、TCP、UDP和ICMP的首部字段，然而，为了检测多种攻击类型，我们需要执行深度分组检查，即查看首部字段以外部分，查看分组携带的实际应用数据。能够观察到潜在恶意流量并产生警告的设备称为入侵检测系统（IDS）。过滤可疑流量的设备称为入侵防止系统（IPS）。IDS能够用于检测范围广泛的攻击，包括网络映射、端口扫描、TCP栈扫描、Dos带宽洪泛攻击等。

一般企业都会部署多个IDS传感器，为什么呢？因为IDS不仅需要做深度分组检查，而且必须要将每个过往分组与数万个“特征”进行比较，这可能导致极大的处理量。

IDS系统大致可分类为基于特征的系统或基于异常的系统。一个基于特征的IDS维护了一个存有广泛攻击特征的数据库。通过与数据库中的特征进行匹配，来产生告警。但是它也有缺陷，第一是如果特征记录没有，那么它将失去判断力，第二是即使与一个特征匹配，它也可能不是一个攻击，因此产生了一个虚假告警。