防火墙和IDS简介及联动技术分析.docVIP

防火墙和IDS简介及联动技术分析 　　【摘要】：如何确保网络系统免遭攻击以保证信息的安全，成为了人们无法回避的课题。为此，防火墙、Ids等多种网络安全技术被广泛应用到各个网络系统中，在抵御网络攻击和保护网络安全中发挥着重要的作用，为此我们针对防火墙与IDS两种技术的性质和特征加以识别区分，并将二者的联动技术作出分析。 　　一、防火墙 　　1.防火墙的概念 　　防火墙是目前最为流行也是使用最为广泛的一种网络安全技术，在构建安全网络环境的过程中，防火墙作为第一道安全防线，受到越来越多用户的关注。防火墙并不是真正的墙，它是一类防范措施的总称。典型的防火墙具有以下三个方面的基本特征： 　　(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙，是根据美国国家安全局制定的《信息保障技术框架》实施的。 　　(2)只有符合安全策略的数据流才能通过防火墙。它能确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。 　　(3)防火墙自身应具有非常强的抗攻击免疫力。 　　2．防火墙的常见类型 　　根据防范的方式和侧重点的不同，防火墙可以分为以下几种类型： 　　(1).包过滤型防火墙 　　包过滤型防火墙又称网络级防火墙，它是在网络层对数据包进行选择，根据源地址和目的地址、应用或协议以及每个IP包的端口来做出通过与否的判断。 　　(2).应用级网关防火墙 　　应用级网关防火墙主要工作在应用层，应用代理服务技术能将所有跨越防火墙的网络通信链路分为两段，使得网络内部的客户不直接与外部的服务器通信。 　　(3).电路级网关防火墙 　　电路级网关防火墙是在OSI模型中会话层上来过滤数据包，它用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，以此来决定该会话是否合法。 　　(4).规则检查型防火墙 　　规则检查防火墙结合了上述三种防火墙的特点，既能在OSI网络层上通过IP地址和端口号过滤进出的数据包，也可以在OSI应用层上检查数据包的内容，查看这些内容是否符合内部网络的安全规则，或是像电路级网关防火墙一样，检查SYN和ACK标记和序列数字是否逻辑有序。 　　3．防火墙的安全策略 　　安全策略是防火墙的重要组成部分，它决定了受保护网络的安全性和易用性，一个合理可行的安全策略能够在网络安全需求及用户易用性之间实现良好的平衡。策略设置不当，便会拒绝用户正常请求的合法服务或是给攻击者制造可乘之机。一般防火墙设置有两种策略： 　　(1)凡是未被准许的就是禁止的。防火墙先是封锁所有的信息流，然后对要求通过的信息进行审查，符合条件的就让通过。这是一种安全性高于一切的策略，其代价是网络的方便性受到限制，网络的应用范围和效率会降低在这个策略下，会有很多安全的信息和用户被拒之门外。 　　(2)凡是未被禁止的就是允许的。防火墙先是转发所有的信息，开始时防火墙几乎是不起作用，如同虚设，然后再逐项对有害的内容剔除，被禁止的内容越多，防火墙的作用就越大。在此策略下，网络的灵活性得到完整地保留，但是有可能漏过的信息太多，使安全风险加大，并且网络管理者往往疲于奔命，工作量增大。 　　网络是动态发展的，制定的安全目标也应是动态的，随着网络结构或网络应用范围的调整，防火墙的安全策略也应随之调整或改变。 　　4．防火墙技术存在的问题 　　防火墙产品主要是“身份认证”级的安全产品，只是实现了粗粒度的访问控制，无法成为安全解决方案的全部，仍有诸多方面需要改进和完善，比如： 　　(1)网络上有些攻击可以绕过防火墙，而防火墙却不能对绕过它的攻击提供阻挡。 　　(2)防火墙管理控制的是内部与外部网络之间的数据流，不能防范来自网络内部的攻击。 　　(3)当使用端到端的加密时，防火墙的作用会受到很大的限制。 　　(4)当内部网中存在后门时，将会使防火墙形同虚设。 　　(5)防火墙不能对被病毒感染的程序和文件的传输提供保护。 　　(6)所有防御规则都是事先设置好的，缺乏实时性，对变化的安全形势缺少应变的能力。 　　(7)防火墙不能防止利用标准网络协议中的缺陷进行的攻击。 　　网络安全单靠防火墙是不够的，需要和其他形式的安全防护结合起来，在提高防火墙自身功能和性能的同时，由其他技术完成防火墙所缺乏的功能，协同配合，共同建立一个有效的安全防范体系。 　　二、入侵检测系统（IDS） 　　1．入侵检测系统的概念 　　网络安全技术发展到今天，除了防火墙和杀毒系统的防护，入侵检测技术也成为抵御黑客攻击的有效方式，被认为是防火墙之后的第二道安全闸门。 　　入侵检测系统IDS（Intrusion Detection System）主要是通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中潜在的违反安全策略的行为和被攻击的迹象。 　　一个基本的