入侵检测系统与防火墙的联动分析.pdfVIP

圜 黑黑 Secu—tv 内部资源和数据 。 制，在 内部网络向外部网络 申请服务时起到中间转接作用。 (2)内容控制功能：根据数据内容进行控制，比如防火 内部网络只接受代理提出的服务请求，拒绝外部网络其他节 墙可以从电子邮件中过滤掉垃圾邮件，可以过滤内部用户访 点的直接请求。具体地说，代理服务器是运行在防火墙主机 问外部服务的图片信息，也可以限制外部访问，使它们只能 上的专 门的应用程序或者服务器程序 防火墙主机可以是一 访 问本地Web服务器中的一部分信息。 个具有一个 内部网络接 口和一个外部网络接 口的双宿主主机， (3)全面的 日志功能：防火墙的日志功能很重要。防火 也可以是一些可以访 问Internet并被内部主机访问的堡垒主 墙需要完整地记录网络访问情况，包括内外网进出的访问，需 机。这些程序接受用户对Intemet服务的请求，并按照一定的 要记录访问是什么时候进行了什么操作，以检查网络访问情况。 安全策略将他们转发到实际的服务中。代理提供代替连接并 (4)集中管理功能：防火墙是一个安全设备，针对不同 且充当服务的网关。 的网络情况和安全需要 ，需要制定不同的安全策略，然后在 1．4 防火墙的缺点 防火墙上实施，使用中还需要根据情况改变安全策略，而且 防火墙系统本质上是一种访 问控制系统 ，它也存在着以 在一个安全体系中，防火墙可能不止一台，所 以防火墙应 下一些缺点： 该是易于集中管理的，这样管理员就能很方便地实施安全 (1)防火墙提供的是静态防御，其规则需事先设置，需 策略。 要人工来实施和维护，对于实时的攻击或异常的行为不能做 (5)自身的安全和可用性：防火墙要保证 自身的安全， 出实时反应，不能主动跟踪入侵者 不被非法侵入 ，保证正常的工作。如果防火墙被侵入，防 (2)防火墙规则的制定，更多的是一种粗粒度的检查，对 火墙 的安全策略被修改，这样 内部网络就变得不安全 。防 一 些协议细节无法做到完全解析 ，不能预防来 自应用层的攻 火墙也要保证可用性，否则网络就会 中断，网络连接就失 击，也不能预防病毒攻击 。 去 了意义 。 (3)防火墙无法 自动调整策略设置来阻断正在进行的攻 1．3 防火墙的常用技术 击，也无法防范基于协议的攻击。 (1)包过滤技术 (4)防火墙具有防外不防内的局限性，对于内部用户的 包过滤(PacketFiltering)技术是防火墙在网络层中根据数 非法行为或已经渗透的攻击无法检查和响应。 据包中包头信息有选择地实施允许通过或阻断。依据防火墙 由于性能的限制，防火墙通常不能提供有效的入侵检测 内事先设定的过滤规则，检查数据流中每个数据包头部，根 能力。 据数据包的源地址、目标地址、TCP~P源端 口号、TCP／UDP 2 入侵检测技术的概述 以及其缺点 目的端 口号及数据包头中的各种标志位等因素来确定是否允 2．1入侵检测技术的基本概念 许数据包通过，其核心是安全策略即过滤规则的设计。 入侵(Intrusion)，是指任何试 图危及计算机资源 的完整 (2)应用网关技术 性、机密性或可用性的行为。入侵检测(IntrusionDetection)， 应用网关(ApplicationGateway)技术是建立在网络应用层 是对入侵行为的发觉，它通过从计算机网络或系统中的