防火墙与入侵检测

防火墙是一种特殊编程的路由器，安装在一个站点和网络的其余部分之间，为了实施访问控制策略。一般分为两类：

1.分组过滤路由器，一种具有分组过滤功能的路由器，根据过滤规则对进出内部网络的分组执行转发或丢弃。过滤规则基于分组的网络层或运输层首部信息。

2.应用网关，也称代理服务器，在应用层打开报文，查看该报文是否合法。

入侵检测系统分为

基于特征的 IDS维护一个所有已知攻击标志性特征的数据库。每个特征是一个与某种 入侵活动相关联的规则集，这些规则可能基于单个分组的首部字段值或数据中特定比特串， 或者与一系列分组有关。当发现有与某种攻击特征匹配的分组或分组序列时，则认为可能检 测到某种入侵行为。这些特征和规则通常由网络安全专家生成，机构的网络管理员定制并将 其加入到数据库中。

基于特征的 IDS只能检测已知攻击，对于未知攻击则束手无策。基于异常的 IDS 通过观 察正常运行的网络流量，学习正常流量的统计特性和规律，当检测到网络中流量的某种统计 规律不符合正常情况时，则认为可能发生了入侵行为。例如，当攻击者在对内网主机进行 ping 搜索时，或导致 ICMP ping 报文突然大量增加，与正常的统计规律有明显不同。但区分 正常流和统计异常流是一件非常困难的事情。至今为止，大多数部署的IDS 主要是基于特征 的,尽管某些IDS包括了某些基于异常的特性。