從網路管理員的角度來看,世界可以很清楚地分為兩個陣營。一部分是好人,他們屬於機構網路,可以以相對不受限制的方式訪問該機構網路中的資源;另一部分是惡意攻擊者,必須經過仔細審查才能確定是否允許他們訪問網路資源。那麼這些安全工作,都是由防火牆、入侵檢測系統和入侵防止系統的執行裝置完成。
防火牆是乙個硬體和軟體的結合體,它將乙個機構的內部網路與整個網際網路隔離開,允許一些資料分組通過而阻止另一些通過。防火牆具有3個目標:
第一,從外部到內部和從內部到外部的所有流量都通過防火牆。
第二,僅被批准的流量(由本地安全策略定義)允許通過。
第三,防火牆自身免於滲透。
防火牆能夠分為3類:傳統的分組過濾器、狀態分組過濾器和應用程式集閘道器。
傳統的分組過濾器,是逐個檢查每個資料報,然後基於管理員規定的規則,以決定是丟棄該資料報還是允許該資料報通過,過濾方式一般採用下列因素,ip位址,ip資料報協議欄位中的型別:tcp、udp、icmp等,埠,tcp標誌位元syn、ack等,對不同路由器介面的不同規則。一般路由器中使用訪問控制列表來實現。
狀態分組過濾器實際跟蹤tcp連線,並使用這種知識作出過濾決定。一般是使用連線表和訪問控制表聯合工作的。
應用程式閘道器,前面兩類是通過分組級過濾使得乙個機構可以根據ip的內容和tcp/udp首部執行粗粒度過濾,但是如果乙個機構僅為內部使用者的乙個受限集合提供telnet服務該怎麼做呢?這些任務超出了傳統過濾器和狀態過濾器的能力。實際上,有關內部使用者的身份資訊是應用資料,並不包括在tcp/udp/ip首部中。為了得到更高水平的安全性,防火牆必須把分組過濾器和應用程式閘道器結合起來。乙個應用程式閘道器,它是乙個應用程式特定的伺服器,所有應用程式資料都必須通過應用程式閘道器。多個應用程式閘道器可以在同一主機上執行,但是每乙個閘道器都是具有其單獨程序的單獨伺服器。
不過應用閘道器也有其缺陷。首先,每乙個應用程式都需要乙個不同的應用程式閘道器。第二,還要以效能的損失為代價,因為所有資料都由閘道器**。當多個使用者或應用程式使用同乙個閘道器計算機時這個問題尤其嚴重。
入侵檢測系統
傳統的過濾器檢查ip、tcp、udp和icmp的首部字段,然而,為了檢測多種攻擊型別,我們需要執行深度分組檢查,即檢視首部字段以外部分,檢視分組攜帶的實際應用資料。能夠觀察到潛在惡意流量並產生警告的裝置稱為入侵檢測系統(ids)。過濾可疑流量的裝置稱為入侵防止系統(ips)。ids能夠用於檢測範圍廣泛的攻擊,包括網路對映、埠掃瞄、tcp棧掃瞄、dos頻寬洪氾攻擊等。
一般企業都會部署多個ids感測器,為什麼呢?因為ids不僅需要做深度分組檢查,而且必須要將每個過往分組與數萬個「特徵」進行比較,這可能導致極大的處理量。
ids系統大致可分類為基於特徵的系統或基於異常的系統。乙個基於特徵的ids維護了乙個存有廣泛攻擊特徵的資料庫。通過與資料庫中的特徵進行匹配,來產生告警。但是它也有缺陷,第一是如果特徵記錄沒有,那麼它將失去判斷力,第二是即使與乙個特徵匹配,它也可能不是乙個攻擊,因此產生了乙個虛假告警。
防火牆與入侵檢測系統,待更新
防火牆的作用 功能及分類 包過濾技術 狀態檢測技術和應用 技術等防火牆主要技術原理 防火牆的典型部署方式 防火牆的侷限性 入侵檢測系統的作用 功能及分類 入侵檢測系統的主要技術原理 入侵檢測系統的典型部署方式 入侵檢測系統的侷限性 了解安全隔離與資訊交換系統的原理 特點及適用場景 了解入侵防禦系統 ...
防火牆的侷限與入侵檢測系統的特徵
防火牆主要有兩個方面的侷限 1 防火牆是訪問控制裝置 acl 主要基於源目ip位址來現實訪問控制,實現了網路層的安全,但不能檢測或攔截注入在普通流量中的惡意攻擊 如web服務中的注入攻擊等。2 防火牆無法發現或攔截內部網路中發生的攻擊。防火牆是實現網路安全第一道防線,入侵檢測系統是對防火牆有益的補充...
防火牆 防火牆安全
作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...