系统安全:防火墙与入侵检测

Wu Jun 2020-01-07 07:43:49
Categories: > Tags:

1 防火墙

防火墙是一种特殊编程的路由器,安装在一个网点和网络的其余部分之间,目的是实施访问控制策略。

防火墙技术一般分为以下两类,通常可将这两种技术结合使用。

1.1 分组过滤路由器

分组过滤路由器是一种具有分组过滤功能的路由器,它根据过滤规则对进出内部网络的分组执行转发或者丢弃(即过滤)。

1)工作过程

过滤规则是基于分组的网络层或运输层首部的信息,例如:源/目的 IP 地址、源/目的端口、协议类型(TCP 或 UDP),等等。

分组过滤可以是无状态的,即独立地处理每一个分组。也可以是有状态的,即要跟踪每个连接或会话的通信状态,并根据这些状态信息来决定是否转发分组。

2)优缺点

分组过滤路由器的优点是简单高效,且对于用户是透明的,但不能对高层数据进行过滤。

1.2 应用网关(代理服务器)

应用网关也称为代理服务器(proxy server),它在应用层通信中扮演报文中继的角色。在应用网关中,可以实现基于应用层数据的过滤和高层用户鉴别。

1)工作过程

所有进出网络的应用程序报文都必须通过应用网关。当某应用客户进程向服务器发送一份请求报文时,先发送给应用网关,应用网关在应用层打开该报文,查看该请求是否合法(可根据应用层用户标识ID或其他应用层信息来确定)。

2)应用网关的缺点

2 入侵检测系统

入侵检测系统 IDS 对进入网络的分组执行深度分组检查,当观察到可疑分组时,向网络管理员发出告警或执行阻断操作(由于 IDS 的“误报”率通常较高,多数情况不执行自动阻断)。IDS 能用于检测多种网络攻击,包括网络映射、端口扫描、Dos 攻击、蠕虫和病毒、系统漏洞攻击等。

入侵检测方法一般可以分为基于特征的入侵检测和基于异常的入侵检测两种。

2.1 基于特征的 IDS

基于特征的 IDS 只能检测已知攻击,维护一个所有己知攻击标志性特征的数据库。

每个特征是一个与某种入侵活动相关联的规则集,这些规则可能基于单个分组的首部字段值或数据中特定比特串,或者与一系列分组有关。当发现有与某种攻击特征匹配的分组或分组序列时,则认为可能检测到某种入侵行为。

2.2 基于异常的 IDS

基于异常的IDS通过观察正常运行的网络流量,学习正常流量的统计特性和规律,当检测到网络中流量的某种统计规律不符合正常情况时,则认为可能发生了入侵行为。

至今为止,大多数部署的 IDS 主要是基于特征的,尽管某些 IDS 包括了某些基于异常的特性。