假如说防火墙是一栋大楼的门锁,那么入侵检测系统就是这栋大楼里的监视系统,入侵防御系统就是这栋楼里面的保安系统。
一、防火墙
防火墙的定义:是在多个网络之间执行访问控制策略的一组硬件和软件系统,其目的是保护本地网络的通信安全。
防火墙的保护功能:防火墙对内部网络的保护是双向的。从入的方向上,它阻止外面网络对本地网络的非法访问和入侵;从出的方向上,它控制本地网络对外部不良网络进行访问或者是未经允许的数据输出,防止内部信息的泄露。
技术发展路线主要分为以下3种类型防火墙:
1)包过滤防火墙 :根据一组规则允许/阻塞一些数据包。
逐包检测:当数据包经过时,会解封装检查IP四元组(源IP,源端口,目的IP,目的端口),再与配置的策略进行比对
2)应用代理型防火墙:作为应用层代理服务器,提供安全防护。
应用代理:客户机将请求发给代理防火墙,代理防火墙根据请求向服务器索取数据,然后将索取到的数据转发给我们的客户机,外联主机无法看清内部网络,阻止了一切对内部网络的探测活动
3)状态检测型防火墙:比包过滤防火墙具有更高的智能和安全性,会话成功建立,连接以后记录状态信息并时时更新,所有会话数据都要与状态表信息相匹配;否则会话被阻断。
4)应用防火墙:.基于应用协议检测、基于用户行为审计、基于内容进行过滤。
防火墙功能:包过滤,NAT,应用代理,vpn,流量控制等
二、IDS
IDS ( Intrusion Detection System)就是入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。
IDS系统的两大职责:实时监测和安全审计
实时监测—实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文;
安全审计—通过对IDS系统记录的网络事件进行统计分析,发现其中的异常现象,得出系统的安全状态,找出所需要的证据;
IDS技术特点:
1)在线部署:在线接入,弥补IDS此类旁路检测设备对攻击进行实时防护的不足
2)深度检测:完整的安全策略与安全检测体系,提供从链路层到应用层的全面防护
3)主动控制:主动出击,全面抑制恶意流量的传播,有效控制危害的蔓延
IDS技术特点:
1、旁路部署,效率高,且不影响网络速率。
2、可以和防火墙联动,实现实时阻断攻击。
3、深入检测,完全协议分析,能识别95%上的网络流量。
4、基于特征库进行模式匹配,识别已知的攻击行为。
5、基于流量分析的异常统计,识别并统计异常流量。
6、通过更新特征库,可以识别最新的最流行攻击。
三、IPS
IPS定义: Intrusion Prevention System,入侵防御系统,能够实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作。
IPS的两个关键特征:
1)DPI技术,深入七层的数据流攻击特征检测,依靠静态签名识别攻击。
2)在线部署,实时阻断攻击
四、抗DDoS攻击防护
分布式拒绝服务攻击(Distributed Denial of Service)是黑客常用的攻击手段之一。当前主流攻击手段包括流量带宽务攻击消耗、主机资源消耗、打漏洞等。
当异常流量被检测到,防护设备会给路由器发路由通告将异常流量引入到抗D设备进行流量清洗后将流量注回原网络。
五、WEB安全之网页防篡改
通过网页防篡改软件对网站进行监控,一旦篡改立即恢复,或者禁止对网站首页进行非授权更改。
六、Web应用防火墙(WAF)
Web应用防火墙(Web Application Firewall:WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供安全防护。
七、统一威胁管理(UTM):多合一安全网关
包含功能:FW、IDS、IPS
目的:将多种安全问题通过一台设备解决
优点:功能多合一有效降低了硬件成本、人力成本、时间成本
缺点:模块串联检测效率低,性能消耗大
八、下一代防火墙(NGFW):UTM的升级版
包含功能:FW、IDS、IPS、WAF
和UTM的区
与UTM相比增加的web应用防护功能,功能更全
UTM是串行处理机制,NGFW是并行处理机制,效率更高
NGFW的性能更强,管理更高效
九、区别
1.网络防火墙
工作在OSI 模型三、四层,基于IP报文进行检测,基本不识别应用层数据。
2.IPS/IDS
典型被动防护模式,高度依赖特征库,只能防护已知攻击。
3.网页防篡改系统
基于事后恢复的原理,攻击实质已经发生。
4.Web应用防火墙
可以识别应用层的数据,主动防御攻击。