39防火墙

概念:
（1）防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施访问控制策略。

（2）访问控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。

（3）防火墙内的网络称为“可信的网络”(trusted network)，而将外部的因特网称为“不可信的网络”(untrusted network)。

（4）防火墙可用来解决内联网和外联网的安全问题。

防火墙的功能有两个：阻止和允许。

“阻止”就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）。

“允许”的功能与“阻止”恰好相反。

防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。

防火墙技术

1.分组过滤路由器

（1）是一种具有分组过滤功能的路由器，它根据过滤规则对进出内部网络的分组执行转发或者丢弃（即过滤）。过滤规则基于分组的网络层或运输层首部的信息，例如：源/目的 IP 地址、源/目的端口、协议类型（TCP 或 UDP）等。

（2）分组过滤可以是无状态的，即独立地处理每一个分组。也可以是有状态的，即要跟踪每个连接或会话的通信状态，并根据这些状态信息来决定是否转发分组.

2. 应用网关也称为代理服务器(proxy server)

（1）它在应用层通信中扮演报文中继的角色。

（2）一种网络应用需要一个应用网关，例如 万维网缓存就是一种万维网应用的代理服务器。

（3）在应用网关中，可以实现基于应用层数据的过滤和高层用户鉴别。

（4）所有进出网络的应用程序报文都必须通过应用网关。

应用网关也有一些缺点：

首先，每种应用都需要一个不同的应用网关。

其次，在应用层转发和处理报文，处理负担较重。

另外，对应用程序不透明，需要在应用程序客户端配置应用网关地址。

入侵检测系统

概念：

（1）防火墙试图在入侵行为发生之前阻止所有可疑的通信。

（2）入侵检测系统 IDS (Intrusion Detection System)能够在入侵已经开始，但还没有造成危害或在造成更大危害前，及时检测到入侵，以便尽快阻止入侵，把危害降低到最小。 

（3）IDS 对进入网络的分组执行深度分组检查，当观察到可疑分组时，向网络管理员发出告警或执行阻断操作（由于 IDS 的“误报”率通常较高，多数情况不执行自动阻断）。

（4）IDS 能用于检测多种网络攻击，包括网络映射、端口扫描、DoS 攻击、蠕虫和病毒、系统漏洞攻击。

两个入侵检测方式：

（1）基于特征的 IDS 维护一个所有已知攻击标志性特征的数据库。

这些特征和规则通常由网络安全专家生成，机构的网络管理员定制并将其加入到数据库中。

基于特征的 IDS 只能检测已知攻击，对于未知攻击则束手无策。 

（2）基于异常的 IDS

通过观察正常运行的网络流量，学习正常流量的统计特性和规律。当检测到网络中流量某种统计规律不符合正常情况时，则认为可能发生了入侵行为。