| 防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障,它的作用是防止发生不可预测的、潜在的破坏性侵入,它可以通过检测、限制、更改跨越防火墙的数据流尽可能地对外部屏蔽内部的信息、结构和运行状态,以此保护内部网络中的信息、资源等不受外部网络中非法用户的侵犯。
|
|
|
|
|
| ①过滤不安全的服务和非法用户。所有进出内部网络的信息都必须通过防火墙,防火墙是一个检查点,禁止未授权的用户访问受保护的网络。
|
|
|
| ②控制对特殊站点的访问。防火墙可以允许受保护网络中的一部分主机被外部网络访问,而另一部分则被保护起来。
|
|
|
| ③作为网络安全的集中监视点。防火墙可以记录所有通过它的访问,并提供统计数据,提供预警和审计功能。
|
|
|
| 但是防火墙也不是万能的,它不能抵挡应用层的攻击,对于网络内部的攻击以及绕过防火墙的攻击也无能为力,而且无法防御新型的非法攻击,因此需要入侵检测系统的配合。
|
|
|
| 入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的发觉,是指通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行分析,从中发现网络中是否有违反安全策略的行为和被攻击的迹象。
|
|
|
| 入侵检测的行为有很多种。入侵行为既指来自外部的入侵活动,也指来自内部的未授权的活动。入侵检测的非法对象包括企图潜入系统或已成功潜入者、冒充合法用户、违反安全策略、合法用户的信息泄露、资源挤占以及恶意攻击或非法使用等行为。
|
|
|
| 入侵检测系统(Intrusion Detection System, IDS)由入侵检测的软件与硬件组合而成,是防火墙之后的第二道安全闸门(防火墙通常是互联网中的第一道屏障),在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。一个合格的入侵检测系统能够大大简化管理员的工作,保证网络的安全运行。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| . 操作系统的审计跟踪管理,并识别用户违反安全策略的行为;
|
|
|
|
|
| 入侵检测系统的典型代表是ISS公司(国际互联网安全系统公司)的Real Secure,它是计算机网络上自动、实时的入侵检测和响应系统,它可以无妨碍地监控网络传输并自动检测和响应可疑的行为,在系统受到危害之前截取和响应安全漏洞和内部误用,从而最大限度地为企业网络提供安全保障。
|
|
|
| 从概念上可以看出入侵检测系统与防火墙有很大的区别。防火墙是针对黑客攻击的一种被动的防御,IDS则是主动出击以寻找潜在的攻击者;防火墙相当于一个机构的门卫,受到各种限制和区域的影响,即凡是防火墙允许的行为都是合法的,而IDS则相当于巡逻兵,不受范围和限制的约束,这也造成了ISO存在误报和漏报的情况出现。
|
|
|
