防火墙系统

 防火墙最根本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始说起，原始的防火墙是一台双穴主机，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照TCP/IP 协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防护墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。

入侵检测系统

入侵检测是防火墙的合理补充，帮助系统快速发现网络攻击的发生，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。在本质上，入侵检测系统是一个典型的“窥探设备”。它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。在收集上来的报文基础上，入侵检测系统提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是攻击，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

(2.1)入侵检测系统的工作流程大致分为以下几个步骤： 

a.信息收集   入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。 

b.信号分析   对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。具体的技术形式如下所述： 

模式匹配  模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

统治分析    统计分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。 

完整性分析    完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。这种方式主要应用于基于主机的入侵检测系统（HIDS）。 

c. 实时记录、报警或有限度反击  

IDS 根本的任务是要对入侵行为作出适当的反应，这些反应包括详细日志记录、实时报警和有限度的反击攻击源。

防火墙与IDS 在功能上的互补

如上所述，防火墙是一个跨接多个物理网段的报文转发设备，因此它如同一个关守一样，可以对所有流经它的流量进行各种各样最直接的操作处理，如无通告拒绝、ICMP 拒绝、转发通过（可转发至任何端口）、各层报头检查修改、各层报文内容检查修改、链路带宽资源管理、流量统计、访问日志记录、协议转换等。由于网络入侵检测系统（IDS）不必为它所连接的链路转发业务流量，所以 IDS可以把大部分的系统资源用于对采集报文的分析，这正是IDS最眩目的亮点。IDS 通过独特的数据收集功能，将网段上的流量全部（或有选择的）收集上来，然后在此基础上进行协议恢复、内容分析等基本操作。通过这些操作，IDS 可以轻易做到很多有益的工作，如入侵活动报警、不同业务类别的网络流量统计、网络多种流量协议恢复（实时监控功能）。IDS 高智能的数据分析技术、详尽的入侵知识描述库可以提供比防火墙更准确、更严格、更全面的访问行为审查功能。

防火墙与IDS 在企业网络中的经典部署

a、防火墙经典部署

 防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，防火墙才能对此实行检查、防护等功能。因此，在网络拓扑上，防火墙应当处在网络的出口处和不同安全等级区域的结合点处。这些位置通常位于：

  企业内部网Internet出口链路处 

  主干交换机至服务器区域工作组交换机的骨干链路上 

  办公内部网与高安全等级的企业涉密网的连接点 

  远程拨号服务器与企业骨干交换机或路由器之间 

b、经典入侵检测部署 

不同于防火墙，IDS 入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS 的部署，唯一的要求是：IDS 应当挂接在所有所关注流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS 在交换式网络中的位置一般选择在： 

（1）尽可能靠近攻击源  （2）尽可能靠近受保护资源 

这些位置通常是： INTERNET 路由器防火墙交换机服务器用户服务器服务器内部网 DMZ区 NetEyeTech Note2002060601 l 服务器区域的交换机上 l Internet接入路由器之后的第一台交换机上 l 重点保护网段的局域网交换机上

总结

  经过以上的分析，我们又想起了对防火墙和入侵检测系统的一个经典的分析：防火墙相当于一个把门的门卫，对于所有进出大门的人员进行审核：只有符合安全要求的人，就是那些有入门许可证的人才可以进、出大门；但是对于那些本身就在大门内部的，以及那些具备入门证的、以合法身份进入了大门的人，是否做好事就无法监控，这时候就需要依靠入侵检测系统来进行审计和控制。希望通过以上的分析，可以使大家对防火墙和入侵检测系统的作用有一个更加清晰的认识，在选择安全产品的时候具备一双“慧眼”。

更多>>...