防火墙及入侵监测

目前，最基本的网络分隔手段就是防火墙，它也是目前用来实现网络安全的一种主要措施。

1．防火墙的基本原理防火墙通常使用的采用包过滤、状态检测、应用网关等几种方式控制网络连接。

包过滤防火墙是一种简单而有效的安全控制技术，它根据在防火墙中预先定义的规则（允许或禁止与哪些源地址、目的地址、端口号有关的网络连接），对网络层和传输层的数据包进行检查，进而控制数据包的进出。

状态检测防火墙改进了包过滤防火墙仅仅检查进出网络的数据包，不关心数据包状态的缺点，在防火墙的内部建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。

入侵检测技术，通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测技术入侵检测系统的处理过程分为数据采集阶段、数据处理及过滤阶段、入侵分析及检测阶段、报告及响应阶段 4 个阶段。

数据采集阶段主要收集目标系统中引擎提供的通信数据包和系统使用等情况。

数据处理及过滤阶段是把采集到的数据转换为可以识别是否发生入侵的数据的阶段。

分析及检测阶段通过分析上一阶段提供的数据来判断是否发生入侵。这一阶段是整个入侵检测系统的核心阶段。

报告及响应阶段针对上一个阶段中得出的判断作出响应。如果被判断为发生入侵，系统将对其采取相应的响应措施，或者通知管理人员发生入侵，以便于采取措施。

入侵检测系统的种类和选用一般来说，入侵检测系统可分为主机型和网络型 。

主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监控系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是其所在的主机系统。

网络型入侵检测系统则以网络上的数据包作为数据源，通过在一台主机或网络设备上监听本网段内的所有数据包来进行分析判断。一般网络型入侵检测系统担负着保护整个网段的任务。