网络安全中防火墙和IDS的作用简介

  • 时间:
  • 浏览:0
  • 来源:10分6合平台-1分6合投注平台_1分彩娱乐平台





作者: 论坛埋点 zdnet网络安全

CNETNews.com.cn

508-01-19 13:39:12

关键词: 攻击防范 网络安全 IDS 防火墙

业界的同行另另有另三个小 说过“安全,是有五种意识,而删改都是有五种的技术就能实现真正的安全。”随着工作的时间渐长,对这句话的体会就太粗 。再防守落细的网络,利用人为的疏忽,管理员的懒惰和社会工程学也肯能被轻易攻破。 

你是什么 ,在这里我介绍的防火墙和IDS技术,可是我你们你们 在网络安全环节中进行的另有另三个小 防御步骤。在网络内进行防火墙与IDS的设置,从那么 保证你们你们 的网络就绝对安全了,你是什么 设置得当的防火墙和IDS,至少会使你们你们 的网络更为坚固你是什么 ,你是什么 能提供更多的攻击信息供 你们你们 分析。 

接下来,你会 们你们 正确地认识一下防火墙和IDS的作用吧。 

 

防火墙 

 

一、防火墙不能作到些哪些地方? 

 

1.包过滤 

具备包过滤的可是我防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的土辦法 ,都算防火墙。早期的防火墙一般可是我利用设置的条件,监测通过的包的社会形态来决定放行肯能阻止的,包过滤是一阵一阵要的有五种社会形态。虽然防火墙技术发展到现在有了什么都有有新的理 念提出,你是什么 包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发另另有另三个小 另有另三个小 交换机的基本功能一样。通过包过滤,防火墙都都要实现阻挡攻击,禁止内控 /内控 访问你是什么 站点,限制每个ip的流量和连接数。 

2.包的透明转发 

事实上,肯能防火墙一般架设在提供你是什么 服务的服务器前。肯能用示意图来表示可是我 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息,都都要经过防火墙的转发,你是什么 ,什么都有有防火墙具备网关的能力。 

3.阻挡内控 攻击 

肯能用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,出理 其进入防火墙前一天的服务器中。 

4.记录攻击 

肯能有必要,虽然防火墙是完什么都有有都要将攻击行为都记录下来的,你是什么 肯能出于传输速率上的考虑,目前一般记录攻击的事情都交给IDS来完成了,你们你们 在上方会提到。 

以上是所有防火墙都具备的基本社会形态,虽然很简单,但防火墙技术可是我在此基础上逐步发展起来的。 

二、防火墙哪些地方地方缺点和过高 ? 



 

1.防火墙都都要阻断攻击,但那么 消灭攻击源。 

“各扫自家门前雪,不管他人瓦上霜”,可是我目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙不能阻挡你们你们 ,你是什么 无法清除攻击源。即使防火墙进行了良好的设置,使得攻击无法穿透防火墙,但各种攻击仍然会源源不 断地向防火墙发出尝试。例如接主干网10M网络传输速率的某站点,其日常流量中平均有512K左右是攻击行为。那么 ,即使成功设置了防火墙后,这512K的攻击流量依然不让有丝毫减少。

 

2.防火墙那么 抵抗最新的未设置策略的攻击漏洞 

就如杀毒软件与病毒一样,突然先总出 病毒,杀毒软件经过分挥发掉社会形态码后加入到病毒库内不能查杀。防火墙的各种策略,也是在该攻击土辦法 经过专家分析后给出其社会形态进而设置的。肯能世界上新发现某个主机漏洞的cracker的把第另有另三个小 攻击对象选中了您的网络,那 么防火墙也那么 土辦法 帮到您的。 

 

3.防火墙的并发连接数限制容易原因分析分析拥塞肯能溢出 

肯能要判断、出理 流经防火墙的每另有另三个小 包,你是什么 防火墙在你是什么 流量大、并发请求多的清况 下,很容易原因分析分析拥塞,成为整个网络的瓶颈影响性能。而当防火墙溢出的前一天,整个防线就如同虚设,另另有另三个小 被禁止的连接不能从容通过了。 

 

4.防火墙对服务器合法开放的端口的攻击大多无法阻止 

你是什么 清况 下,攻击者利用服务器提供的服务进行过高 攻击。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp进程池池进行脚本攻击等。肯能其行为在防火墙一级看来是“合理”和“合法”的,你是什么 就被简单地放行了。 

 

5.防火墙对待内控 主动发起连接的攻击一般无法阻止 

“外紧内松”是一般局域网络的特点。或许一道落细防守的防火墙内控 的网络是一片混乱删改都是肯能。通过社会工程学发送带木马的邮件、带木马的URL等土辦法 ,你是什么 由中木马的机器主动对攻击者连接,将铁壁一样的防火墙瞬间破坏掉。另外,防火墙内控 各主机间的攻击行 为,防火墙也那么 如旁观者一样冷视而爱莫促进。 

 

6.防火墙有五种也会总出 问题和受到攻击 

防火墙也是另有另三个小 os,删改都是着其硬件系统和软件,你是什么 依然有着漏洞和bug。什么都有有其有五种也肯能受到攻击和总出 软/硬件方面的故障。 

 

7.防火墙没得理 病毒 

不管是funlove病毒也好,还是CIH也好。在内控 网络用户下载外网的带毒文件的前一天,防火墙是不为所动的(这里的防火墙删改都是指单机/企业级的杀毒软件中的实时监控功能,虽然它们不少都叫“病毒防火墙”)。 

看一遍这里,或许您另另有另三个小 心目中的防火墙肯能被我拉下了神台。是的,防火墙是网络安全的重要一环,但不代表设置了防火墙就能一定保证网络的安全。“真正的安删改都是有五种意识,而非技术!”请牢记这句话。 

不管为啥样,防火墙仍然有其积极的一面。在构建任何另有另三个小 网络的防御工事时,除了物理上的隔离和目前新近提出的网闸概念外,首要的挑选绝对是防火墙。那么 ,为啥挑选都要的防火墙呢? 

 

防火墙的分类 

 

首先至少说一下防火墙的分类。就防火墙(本文的防火墙都指商业用途的网络版防火墙,非我其他人使用的那种)的组成社会形态而言,可分为以下有五种: 

 

第有五种:软件防火墙 

 

软件防火墙运行于特定的计算机上,它都要客户预先安装好的计算机操作系统的支持,一般来说这台计算机可是我整个网络的网关。软件防火墙就象其它的软件产品一样都要先在计算机上安装并做好配置才都都要使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Chec kpoint。使用例如防火墙,都要网管对所工作的操作系统平台比较熟悉。 

第二种:硬件防火墙 

 

这里说的硬件防火墙是指所谓的硬件防火墙。有五种再加"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是是否基于专用的硬件平台。目前市场上大多数防火墙删改都是你你是什么 所谓的硬件防火墙,你们你们 都基于PC架构,可是我说,它们和普通的家庭用的PC那么 那么 来不要 区别。在哪些地方地方PC架构计算机上运行你是什么 经过裁剪和僵化 的操作系统 ,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,肯能此类防火墙采用的依然是别人的内核,你是什么 依然会受到os有五种的安全性影响。国内的你是什么 防火墙产品就属于此类,肯能采用的是经过裁减内核和定制组件的平台,你是什么 国内防火墙的你是什么 销售人员常常吹嘘其产品是“专用的os”等等,虽然是另有另三个小 概念 误导,下面你们你们 提到的第有五种防火墙才是真正的os专用。 

 

第有五种:芯片级防火墙 

 

它们基于专门的硬件平台,那么 操作系统。专有的ASIC芯片促进它们比你是什么 种类的防火墙传输速率很快,出理 能力更强,性能更高。做例如防火墙最出名的厂商莫过于NetScreen.你是什么 的品牌还有FortiNet,是否后起之秀了。例如防火墙肯能是专用OS, 你是什么 防火墙有五种的漏洞比较少,不过价格相对比较高昂,什么都有有一般那么 在“虽然都要”的清况 下才考虑。 

在这里,一阵一阵纠正十2个 不正确的观念: 

 

1.在性能上,芯片级防火墙>硬件防火墙>软件防火墙。 

 

在价格上看来,的确倒是那么 的关系。你是什么 性能上却从不。防火墙的“好”,是看其支持的并发数、最大流量等等性能,而删改都是用软件硬件来区分的。事实上除了芯片级防火墙外,软件防火墙与硬件防火墙在硬件上基本是删改一样的。目前国内的防火墙厂商肯能大多采用硬 件防火墙而删改都是软件防火墙,原因分析分析1是考虑到用户网络管理员的素质等原因分析分析,还有可是我基于我国大多数民众对“看得见的硬件值钱,看那么 的软件不值钱”另另有另三个小 有五种错误观点的迎合。不少硬件防火墙厂商大肆诋毁软件防火墙性能,不外是为了让我其他人那再加了外壳的普通pc +另有另三个小 被修改后的内核+一套防火墙软件不能卖出另有另三个小 好价钱来而已。而为哪些地方不作芯片级防火墙呢?坦白说,国内那么 公司有技术实力。你是什么 在中国市场上来看,你是什么 国内的所谓硬件防火墙的硬件质量连diy的兼容机都比不上。看看国内XX的硬件防火墙那拙劣的硬盘 和网卡,使用过的人都能猜到是哪家,我能 不点名了。真正看防火墙,应该看其稳定性和性能,而删改都是用软、硬来区分的。至少,肯能笔者我其他人选购,我会挑选购买CheckPoint而非你是什么 所谓的硬件防火墙的。 

 

2.在效果上,芯片防火墙比你是什么 有五种防火墙好 

 

这同样也是有五种有失公允的观点。事实上芯片防火墙肯能硬件的独立,的确在OS有五种出漏洞的肯能上比较少,你是什么 肯能其固化,原因分析分析在面对新兴的你是什么 攻击土辦法 时,无法及时应对;而另外有五种防火墙,则都都要简单地通过升级os的内核来获取系统新社会形态,通过灵活地策略 设置来满足不断变化的要求,不过其OS总出 漏洞的概率相对高你是什么 。 

 

3.唯技术指标论 

 

请以“防火墙买来是使用的”为第一前提进行购买。防火墙有五种的质量如可是我一回事,是是否习惯使用又是另一回事。肯能对一款产品的界面不熟悉,策略设置土辦法 不理解,那么 即使用世界最顶级的防火墙也那么 多大作用。就如小说中武林中人无不向往的“倚天剑”、“屠龙 刀”被我拿到,肯定也敌不过乔峰赤手的少林长拳是一般道理。防火墙技术发展至今,市场肯能很心智心智心智心智成熟是什么的句子了,各类产品的占据 ,自然有其生存于市场的理由。如可把产品用好,远比盲目地比较各类产品好。 

 

IDS 

 

哪些地方是IDS呢?早期的IDS仅仅是另有另三个小 监听系统,在这里,我能 把监听理解成窃听的意思。基于目前局网的工作土辦法 ,IDS都都要将用户对占据 与IDS同一交换机/HuB的服务器的访问、操作删改记录下来以供分析使用,跟你们你们 常用的widnows操作系统的事件查看器例如。再你会 ,肯能IDS的记录那么 来不要 了,什么都有有新一代的IDS提供了将记录的数据进行分析,仅仅列出有危险的一要素记录,你你是什么 点上跟目前windows所 用的策略审核上很象;目前新一代的IDS,更是增加了分析应用层数据的功能,使得其能力大大增加;而更新一代的IDS,就颇有“路见不平,拔刀相助”的味道了,配合上防火墙进行联动,将IDS分挥发掉有敌意的地址阻止其访问。 

就如理论与实际的区别一样,IDS虽然具有上方所说的众多社会形态,但在实际的使用中,目前大多数的入侵检测的接入土辦法 删改都是采用pass-by土辦法 来侦听网络上的数据流,什么都有有这就限制了IDS有五种的阻断功能,IDS那么 靠发阻断数据包来阻断当前行为,你是什么 IDS的阻断范围也很小,那么 阻断建立在TCP基础之上的你是什么 行为,如Telnet、FTP、HTTP等,而对于你是什么 建立在UDP基础之上 就无能为力了。肯能防火墙的策略删改都是前一天设置好的,无法动态设置策略,缺少针对攻击的必要的灵活性,那么 更好的保护网络的安全,什么都有有IDS与防火墙联动的目的可是我更有效地阻断所占据 的攻击事件,从而使网络隐患降至较低限度。 

接下来,我简单介绍一下IDS与防火墙联动工作原理 

入侵检测系统在捕捉到某一攻击事件后,按策略进行检查,肯能策略中对该攻击事件设置了防火墙阻断,那么 入侵检测系统就会发给防火墙另有另三个小 相应的动态阻断策略,防火墙根据该动态策略中的设置进行相应的阻断,阻断的时间、阻断时间间隔、源端口、目的端口、源IP 和目的IP等信息,删改依照入侵检测系统发出的动态策略来执行。一般来说,什么都有有清况 下,不少用户的防火墙与IDS从删改都是同一家的产品,你是什么 在联动的协议上方大都遵从 opsec 肯能 topsec协议进行通信,不过删改都是你是什么 厂家我其他人开发相应的通信规范的。目前总得来说,联动有一定效果,你是什么 稳定性不理想,一阵一阵是攻击者利用伪造的包信息,让IDS错误判断,进而错误指挥防火墙将合法的地址无辜屏蔽掉。 

肯能诸多过高 ,在目前而言,IDS主要起的还是监听记录的作用。用个借喻来形容:网络就好比一片黑暗,到处充满着危险,冥冥中那么 另有另三个小 出口;IDS就象一支手电筒,虽然手电筒不一定能照到正确的出口,但至少有总比那么 要好你是什么 。称职的网管,都都要从IDS中 得到你是什么 关于网络使用者的来源和访问土辦法 ,进而土辦法 我其他人的经验进行主观判断(注意,的确是主观判断。例如用户连续ping了服务器半个小时,到底是意图攻击,还是无意中的行为?这都土辦法 网络管理员的主观判断和网络对安全性的要求来挑选对应土辦法 。)对IDS 的挑选,跟上方谈到的防火墙的挑选例如,根据我其他人的实际要求和使用习惯,挑选另有另三个小 我其他人够用的,会使用的就足够了。 

最后,要说的依然是那句“世界上那么 有五种技术能真正保证绝对地安全。”安全问题,是从设备到人,从服务器上的每个服务进程池池到防火墙、IDS等安全产品的综合问题;任何另有另三个小 环节工作,可是我迈向安全的步骤。