隨著安全性問題上的失誤和缺陷越來越普遍,對網絡的入侵不僅來自高超的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。因此,防火牆的作用是防止不希望的、未授權的通信進出被保護的網絡。防火牆可以達到以下目的:一是可以限制他人進入內部網絡,過濾掉不安全服務和非法用戶;二是防止入侵者接近你的防御設施;三是限定用戶訪問特殊站點;四是為監視Internet安全提供方便。由於防火牆假設了
隨著網絡安全風險系數不斷提高,作為對防火牆及其有益的補充,IDS(入侵檢測系統)能夠幫助網絡系統快速發現攻擊的發生,它擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。
.
入侵檢測系統是一種對網絡活動進行實時監測的專用系統,該系統處於防火牆之後,可以和防火牆及路由器配合工作,用來檢查一個LAN網段上的所有通信,記錄和禁止網絡活動,可以通過重新配置來禁止從防火牆外部進入的惡意流量。入侵檢測系統能夠對網絡上的信息進行快速分析或在主機上對用戶進行審計分析,通過集中控制台來管理、檢測。 .
理想的入侵檢測系統的功能主要有:
.
(1)用戶和系統活動的監視與分析; .
(2)系統配置極其脆弱性分析和審計;
.
(3)異常行為模式的統計分析; .
(4)重要系統和數據文件的完整性監測和評估; .
(5)操作系統的安全審計和管理; .
(6)入侵模式的識別與響應,包括切斷網絡連接、記錄事件和報警等。 .
本質上,入侵檢測系統是一種典型的“窺探設備”。它不跨接多個物理網段(通常只有一個監聽端口),無須轉發任何流量,而只需要在網絡上被動地、無聲息地收集它所關心的報文即可。目前,IDS分析及檢測入侵階段一般通過以下幾種技術手段進行分析:特征庫匹配、基於統計的分析和完整性分析。其中前兩種方法用於實時的入侵檢測,而完整性分析則用於事後分析。 .
各種相關網絡安全的黑客和病毒都是依賴網絡平台進行的,而如果在網絡平台上就能切斷黑客和病毒的傳播途徑,那麼就能更好地保證安全。這樣,就出現了網絡設備與IDS設備的聯動。IDS與網絡交換設備聯動,是指交換機或防火牆在運行的過程中,將各種數據流的信息上報給安全設備,IDS系統可根據上報信息和數據流內容進行檢測,在發現網絡安全事件的時候,進行有針對性的動作,並將這些對安全事件反應的動作發送到交換機或防火牆上,由交換機或防火牆來實現精確端口的關閉和斷開,這就是入侵防御系統(IPS)。IPS技術是在IDS監測的功能上又增加了主動響應的功能,力求做到一旦發現有攻擊行為,立即響應,主動切斷連接。 .