防火墙
- 防火墙可以实现内部网络(信任网络)与外部不可信任网络(Internet)之间或是内部网络不同区域隔离与访问控制
- 防火墙技术与分类:包过滤、状态化防火墙、应用层网关、应用层DPI
- 根据网络的安全信任程度和需要保护的对象,认为划分若干个安全区域:
- 本地区域(Local):防火墙本身
- 信任区域(Trust):内部安全网络,如:内部服文件服务器、数据库服务器
- 非信任区域(Untrust):外部网络,如:互联网
- 军事缓冲区域(DMZ):内部网络和外部网络之间,常放置公共服务设备,向外提供信息服务
|
安全区域 |
安全级别 |
说明 |
|
Local |
100 |
设备本身,包括设备的各接口本身 |
|
Trust |
85 |
通常用于定义内网终端用户所在区域 |
|
DMZ |
50 |
通常用于定义内网服务器所在区域 |
|
Untrust |
5 |
通常用于定义Internet等不安全网络 |
从低到高:inbound
从高到低:outbound
入侵与防护(IDS与IPS)
入侵检测系统分类
按信息来源分:HIDS、NIDS、DIDS(主机、网络、分布式)
按响应方式分:实时检测和非实时检测
按数据分析技术和处理方式分:异常检测、误用检测和混合检测
- 异常检测:建立并不断更新和维护系统正常行为的轮廓,定义报警阈值,超过阈值则报警。能够检测从未出现的攻击,但误报率高
- 误用检测:对一直的入侵行为特征进行提取,形成入侵模式库,匹配则进行报警。已知入侵检测准确率高,对于未知入侵检测准确率低,高度依赖特征库。专家系统(专家库)和模式匹配(关键字)
入侵防御系统IPS
定义: 是一种抢先的网络安全检测和防御系统。能检测出攻击并积极响应。
- IPS不仅具有入侵检测系统检测攻击行为的能力,而且具有拦截攻击并阻断攻击的功能。
- IPS不是IDS和防火墙功能的简单组合,IPS在攻击响应上采取的是主动的全面深层次的防御
IPS(入侵防御系统)与IDS(入侵检测系统)的区别
- 部署位置不同:
- IPS一般串行部署
- IDS一般旁路部署
- 入侵响应能力不同:
- IPS能检测入侵,并能主动防御
- IDS只能检测记录日志,发出警报