防火墙问题总结

1. 什么是IDS？
IDS全称是：intrusion detection systems 的缩写，又称“入侵检测系统”。

对系统的运行状态进行监视，发现各种攻击企图、攻击行为、攻击结果，来保证系统资源的安全（完整性、机密性、可用性）。是一个软件与硬件的组合系统。

做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

2. IDS和防火墙有什么不同？
首先防火墙针对的是非授权的流量进行过滤，而IDS则是针对通过了防火墙的流量进行检测(防火墙是一种被动的防御， IDS则是在主动出击寻找潜在的攻击者；)

防火墙主要进行控制（意在保护），而IDS只对于检测到的入侵行为进行告警（意在告知）

防火墙可以允许内部一些主机被外网访问，而IDS没有这些功能，IDS只负责检测

3. IDS工作原理？

4. IDS的主要检测方法有哪些详细说明？
入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵；后者则相反，先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。

5. IDS的部署方式有哪些？
直路：直接串连进现网，可以对攻击行为进行实时防护，缺点是部署的时候需要断网，并增加了故障点
单臂：旁挂在交换机上，不需改变现网，缺点是流量都经过一个接口，处理性能减半，另外不支持BYPASS
旁路：通过流量镜像方式部署，不改变现网，缺点是只能检测不能进行防御

旁挂：需要在部署旁挂设备上使用端口镜像的功能，把需要采集的端口流量镜像到IDS旁挂口。 也可以使用集线器、分光器实现流量复制。

6. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？
IDS签名：入侵防御签名用来描述网络种存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击。

签名过滤器的作用： 由于设备长时间工作，累积了大量签名，需要对其进行分类，没有价值会被过滤器过滤掉。起到筛选的作用。

例外签名作用：

就是为了更加细化的进行流量的放行，精准的控制。

二、恶意软件和代码
1. 什么是恶意软件？
恶意软件是旨在恶意破坏网络、计算机、服务器、客户端的正常运行或对其造成损害的软件的统称

2. 恶意代码有哪些特征？
下载特征
后门特征
信息收集特性
自身隐藏特性
文件感染特性
网络攻击特性
3. 恶意软件的可分为那几类？
按照传播方式分类

病毒

病毒是一种基于硬件和操作系统的程序，具有感染和破坏