什麼是防火牆？

防火牆是指設置在不同網絡（如可信任的企業内部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它可以通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網絡内部的信息、結構和運行狀況，以此來實現網絡的安全保護。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了内部網和Internet之間的任何活動，保證了内部網絡的安全。

防火牆（Firewall），是一種硬件設備或軟件系統，主要架設在内部網絡和外部網絡間，為了防止外界惡意程式對内部系統的破壞，或者阻止内部重要信息向外流出，有雙向監督功能。藉由防火牆管理員的設定，可以彈性的調整安全性的等級。

防火牆分類及原理

防火牆總體上分為包過濾、應用級網關和代理服務器等幾大類型。包含如下幾種核心技術：

1、包過濾技術

包過濾技術是一種簡單、有效的安全控制技術，它工作在網絡層，通過在網絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口号等規則，對通過設備的數據包進行檢查，限制數據包進出内部網絡。

包過濾的最大優點是對用戶透明，傳輸性能高。但由于安全控制層次在網絡層、傳輸層，安全控制的力度也隻限于源地址、目的地址和端口号，因而隻能進行較為初步的安全控制，對于惡意的擁塞攻擊、内存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。

2、應用代理技術

應用代理防火牆工作在OSI的第七層，它通過檢查所有應用層的信息包，并将檢查的内容信息放入決策過程，從而提高網絡的安全性。

應用網關防火牆是通過打破客戶機／服務器模式實現的。每個客戶機／服務器通信需要兩個連接：一個是從客戶端到防火牆，另一個是從防火牆到服務器。另外，每個代理需要一個不同的應用進程，或一個後台運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網關防火牆具有可伸縮性差的缺點。

3、狀态檢測技術

狀态檢測防火牆工作在OSI的第二至四層，采用狀态檢測包過濾的技術，是傳統包過濾功能擴展而來。狀态檢測防火牆在網絡層有一個檢查引擎截獲數據包并抽取出與應用層狀态有關的信息，并以此為依據決定對該連接是接受還是拒絕。這種技術提供了高度安全的解決方案，同時具有較好的适應性和擴展性。狀态檢測防火牆一般也包括一些代理級的服務，它們提供附加的對特定應用程序數據内容的支持。

狀态檢測防火牆基本保持了簡單包過濾防火牆的優點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網絡的數據包，不關心數據包狀态的缺點，在防火牆的核心部分建立狀态連接表，維護了連接，将進出網絡的數據當成一個個的事件來處理。主要特點是由于缺乏對應用層協議的深度檢測功能，無法徹底的識别數據包中大量的垃圾郵件、廣告以及木馬程序等等。

4、完全内容檢測技術

完全内容檢測技術防火牆綜合狀态檢測與應用代理技術，并在此基礎上進一步基于多層檢測架構，把防病毒、内容過濾、應用識别等功能整合到防火牆裡，其中還包括IPS功能，多單元融為一體，在網絡界面對應用層掃描，把防病毒、内容過濾與防火牆結合起來，這體現了網絡與信息安全的新思路，(因此也被稱為“下一代防火牆技術”)。它在網絡邊界實施OSI第七層的内容掃描，實現了實時在網絡邊緣布署病毒防護、内容過濾等應用層服務措施。完全内容檢測技術防火牆可以檢查整個數據包内容，根據需要建立連接狀态表，網絡層保護強，應用層控制細等優點，但由于功能集成度高，對産品硬件的要求比較高。

防火牆作用

保護脆弱的服務通過過濾不安全的服務，Firewall可以極大地提高網絡安全和減少子網中主機的風險。例如，Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。

控制對系統的訪問Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，Firewall允許外部訪問特定的Mail Server和Web Server。

集中的安全管理Firewall對企業内部網實現集中的安全管理，在Firewall定義的安全規則可以運行于整個内部網絡系統，而無須在内部網每台機器上分别設立安全策略。Firewall可以定義不同的認證方法，而不需要在每台機器上分别安裝特定的認證軟件。外部用戶也隻需要經過一次認證即可訪問内部網。

增強的保密性使用Firewall可以阻止攻擊者獲取攻擊網絡系統的有用信息，如Figer和DNS。

記錄和統計網絡利用數據以及非法使用數據Firewall可以記錄和統計通過Firewall的網絡通訊，提供關于網絡使用的統計數據，并且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。

策略執行Firewall提供了制定和執行網絡安全策略的手段。未設置Firewall時，網絡安全取決于每台主機的用戶。

1. 什麼是IDS？

IDS是英文"Intrusion Detection Systems"的縮寫，中文意思是"入侵檢測系統"。

大家還記得「網絡安全」安全設備篇（1）——防火牆嗎？做一個形象的比喻：假如防火牆是一幢大樓的門鎖，那麼IDS就是這幢大樓裡的監視系統。一旦小偷爬窗進入大樓，或内部人員有越界行為，隻有實時監視系統才能發現情況并發出警告。

在本質上，入侵檢測系統是一個典型的"窺探設備"。它不跨接多個物理網段（通常隻有一個監聽端口），無須轉發任何流量，而隻需要在網絡上被動的、無聲息的收集它所關心的報文即可。對收集來的報文，入侵檢測系統提取相應的流量統計特征值，并利用内置的入侵知識庫，與這些流量特征進行智能分析比較匹配。根據預設的閥值，匹配耦合度較高的報文流量将被認為是進攻，入侵檢測系統将根據相應的配置進行報警或進行有限度的反擊。

2. IDS模型

按侵檢測的手段，IDS的入侵檢測模型可分為基于網絡和基于主機兩種。

基于主機模型也稱基于系統的模型，它是通過分析系統的審計數據來發現可疑的活動，如内存和文件的變化等。其輸入數據主要來源于系統的審計日志，一般隻能檢測該主機上發生的入侵。這種模型有以下優點：

性能價格比高：在主機數量較少的情況下，這種方法的性能價格比更高；更加細緻：可以很容易地監測一些活動，如敏感文件、目錄、程序或端口的存取，而這些活動很難基于協議的線索發現；視野集中：一旦入侵者得到了一個主機用戶名和口令，基于主機的代理是最有可能區分正常活動和非法活動的；易于用戶剪裁：每一個主機有自己的代理，當然用戶剪裁更加方便；較少的主機：基于主機的方法有時不需要增加專門的硬件平台；對網絡流量不敏感：用代理的方式一般不會因為網絡流量的增加而丢掉對網絡行為的監視。基于網絡模型即通過連接在網絡上的站點捕獲網上的包，并分析其是否具有已知的攻擊模式，以此來判别是否為入侵者。當該模型發現某些可疑的現象時，也一樣會産生告警，并會向一個中心管理站點發出告警信号。這種模型有以下優點：

偵測速度快：基于網絡的監測器，通常能在微秒或秒級發現問題。而大多數基于主機的産品則要依靠最近幾分鐘内審計記錄的分析；隐蔽性好：一個網絡上的監測器不像主機那樣顯眼和易被存取，因而也不那麼容易遭受攻擊；視野更寬：基于網絡的方法甚至可以作用在網絡邊緣上，即攻擊者還沒能接入網絡時就被制止；較少的監測器：由于使用一個監測器可以保護一個共享的網段，所以不需要很多的監測器；占資源少：在被保護的設備上不占用任何資源，這點較主機模型最為突出。3. IDS分類

根據模型和部署方式的不同，IDS分為基于主機的IDS、基于網絡的IDS，以及由兩者取長補短發展而來的新一代分布式IDS。

基于主機的IDS輸入數據來源于系統的審計日志，即在每個要保護的主機上運行一個代理程序，一般隻能檢測該主機上發生的入侵。它在重要的系統服務器、工作站或用戶機器上運行，監視操作系統或系統事件級别的可疑活動（如嘗試登錄失敗）。此類系統需要定義清楚哪些是不合法的活動，然後把這種安全策略轉換成入侵檢測規則。

基于網絡的IDS基于網絡的IDS的輸入數據來源于網絡的信息流，該類系統一般被動地在網絡上監聽整個網段上的信息流，通過捕獲網絡數據包，進行分析，能夠檢測該網絡段上發生的網絡入侵。

分布式IDS一般由多個部件組成，分布在網絡的各個部分，完成相應功能，分别進行數據采集、數據分析等。通過中心的控制部件進行數據彙總、分析、産生入侵警報等。在這種結構下，不僅可以檢測到針對單獨主機的入侵，同時也可以檢測到針對整網絡上的主機的入侵。

4. IDS作用

監控、分析用戶及系統活動。對系統構造和弱點的審計。識别反映已知進攻的活動模式并報警。異常行為模式的統計分析。評估重要系統和數據文件的完整性。對操作系統的審計追蹤管理，并識别用戶違反安全策略的行為。

1. 什麼是IPS？

IPS是英文"Intrusion Prevention Systems"的縮寫，中文意思是"入侵防禦系統"，IPS實現實時檢查和阻止入侵。

上文「網絡安全」安全設備篇（2）——IDS提到的IDS入侵檢測系統大多是被動防禦，而不是主動的，在攻擊實際發生之前，它們往往無法預先發出警報。而IPS入侵防禦系統，則傾向于提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送後發出警報。

2. IPS原理

IPS引擎原理圖

IPS是通過直接嵌入到網絡流量中實現主動防禦的，即通過一個網絡端口接收來自外部系統的流量，經過檢查确認其中不包含異常活動或可疑内容後，再通過另一個端口将它傳送到内部系統中。通過這個過程，有問題的數據包以及所有來自同一數據流的後續數據包，都将在IPS設備中被清除掉。

IPS擁有衆多過濾器，能夠防止各種攻擊。當新的攻擊手段被發現後，IPS就會創建一個新的過濾器。所有流經IPS的數據包都被分類，分類的依據是數據包中的報頭信息，如源IP地址和目的IP地址、端口号和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續前進，包含惡意内容的數據包就會被丢棄，被懷疑的數據包需要接受進一步的檢查。

3. IPS分類

基于主機的入侵防護(HIPS)HIPS通過在主機/服務器上安裝軟件代理程序，防止網絡攻擊入侵操作系統以及應用程序。基于主機的入侵防護能夠保護服務器的安全弱點不被不法分子所利用。基于主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對服務器、主機發起的惡意入侵。HIPS可以阻斷緩沖區溢出、改變登錄口令、改寫動态鍊接庫以及其他試圖從操作系統奪取控制權的入侵行為，整體提升主機的安全水平。

基于網絡的入侵防護(NIPS)NIPS通過檢測流經的網絡流量，提供對網絡系統的安全保護。由于它采用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網絡會話，而不僅僅是複位會話。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網絡的瓶頸，因此NIPS通常被設計成類似于交換機的網絡設備，提供線速吞吐速率以及多個網絡端口。

NIPS必須基于特定的硬件平台，才能實現千兆級網絡流量的深度數據包檢測和阻斷功能。這種特定的硬件平台通常可以分為三類：一類是網絡處理器(網絡芯片)，一類是專用的FPGA編程芯片，第三類是專用的ASIC芯片。

應用入侵防護(AIP)NIPS産品有一個特例，即應用入侵防護(Application Intrusion Prevention，AIP)，它把基于主機的入侵防護擴展成為位于應用服務器之前的網絡設備。AIP被設計成一種高性能的設備，配置在應用數據的網絡鍊路上，以确保用戶遵守設定好的安全策略，保護服務器的安全。NIPS工作在網絡上，直接對數據包進行檢測和阻斷，與具體的主機/服務器操作系統平台無關。

NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。随着處理器性能的提高，每一層次的交換機都有可能集成入侵防護功能。

4. IPS作用

IPS是對防病毒軟件和防火牆的補充，能有效阻止蠕蟲、病毒、木馬、拒絕服務攻擊、間諜軟件、VOIP攻擊以及點到點應用濫用。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!