入侵检测和防火墙的区别

7.4.1 防火墙技术

1. 防火墙概述

防火墙 (Firewall) 是一个由软件和硬件设备组合而成， 在内部网和外部网之间、 专用网与公共网之间的界面上构造的保护屏障， 目的是实施访问控制策略。 这个访问控制策略是由使用防火墙的单位自行制订的。 这种安全策略应当最适合本单位的需要。

防火墙的功能有两个， 即阻止和允许。 “阻止” 就是阻止某种类型的流量通过防火墙 (从外部网络到内部网络， 或反过来)。 “允许” 的功能与 “阻止” 恰恰相反。 可见防火墙必须能够识别流量的各种类型。 不过在大多数情况下， 防火墙的主要功能是 “阻止”。

但是， “绝对阻止所不希望的通信” 和 “绝对防止信息泄露” 一样， 是很难做到的。 直接使用一个商用的防火墙往往不能得到所需要的保护， 但适当地配置防火墙则可将安全风险降至可以接受的最低水平。

防火墙技术一般可以分为以下两类。

(1) 网络级防火墙。 主要是用来防止整个网络出现的外来非法入侵。 属于这类的有分组过滤和授权服务器。 前者检查所有流入本网络的信息， 然后拒绝不符合事先制定好的一套准则的数据， 而后者则是检查用户的登录是否合法。

(2) 应用级防火墙。 从应用程序来进行访问控制。 通常使用应用网关或代理服务器来区分各种应用。 例如， 可以允许通过访问万维网的应用而阻止FTP应用的通过。

2. 防火墙实现原理及实现方法

1) 防火墙原理

防火墙的主要目的是分隔内网和外网， 以保护内部网络的安全。 因此， 从OSI的网络体系结构来看， 防火墙是建立在不同分层结构之上， 具有一定安全级别和执行效率的通信技术。

基于网络分层结构的思想， 防火墙所采用的通信协议栈越在高层， 所能检测到的通信资源就越多， 其安全级别也就越高， 然而其执行效率反而越差。 反之，如果防火墙所采用的通信协议栈越在低层， 所能检查到的通信资源越少， 其安全级别就越低， 然而执行效率反而越好。

2) 防火墙的实现方法

(1) 包过滤。包过滤是一种安全机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。一个文件要穿过网络，必须将文件分成小块，每个小块文件单独传输。把文件分成小块的做法主要是为了让多个系统共享网络，每个系统可以依次发送文件块。在IP网络中，这些小块称为包。所有的信息传输都以包的方式来实施。

防火墙常常就是一个具备包过滤功能的简单路由器， 支持Internet安全。 这是使Internet连接更加安全的一种简单方法，因为包过滤是路由器的固有属性。

(2) 代理服务器。 在应用中， 如果数据流的实际内容很重要， 并且需要控制， 就应使用代理。 代理服务器在内部网和外部网之间充当 “中间人”， 通过打开堡垒主机上的嵌套字， 允许直接从防火墙后访问Internet并允许通过这个嵌套字进行交流。 代理服务器软件可以独立地在一台服务器上运行， 或者与诸如包过滤器的其他软件一起运行。

3. 防火墙体系结构

一般来说， 防火墙置于内部可信网络和外部不可信网络之间， 作为一个阻塞点来监视和抛弃应用层的网络流量。 防火墙也可运行于网络层与传输层， 它在此处检查接收与传送包的IP和TCP包头， 并且丢弃一些包。 这些包是基于已编程的包过滤器规则而被过滤掉的。

根据防火墙所采用的技术和配置的不同， 可以将常见的防火墙系统分为这样几种类型: 包过滤防火墙、 双目主机结构防火墙、 屏蔽主机结构防火墙、 屏蔽子网结构防火墙和应用层网关。

7.4.2 防病毒技术

网络防病毒技术包括预防病毒、 检测病毒和消毒3类， 它们的相互结合构成了防病毒软件和病毒防范系统的基础。

预防病毒技术可以自身常驻系统内存， 优先获得系统的控制权， 监视和判断系统中是否有病毒存在， 进而阻止计算机病毒进入计算机系统和对系统进行破坏。 这类技术有加密可执行程序、 引导区保护、 系统监控与读写控制 (如防病毒卡) 等。

检测病毒技术通过计算机病毒的特征来进行判断， 如自身校验、 关键字、 文件长度的变化等。 病毒特征代码检测法目前被认为是用来检测已知病毒最简单、开销最小的方法。 利用病毒的特有行为特征来检测病毒也是一种有效的方法， 因为有一些行为是病毒的共同行为， 而且比较特殊。 在正常的程序中， 这些行为比较罕见。 当程序运行时， 监视这些行为， 如果发现了病毒行为， 立即报警。

消毒技术则是在计算机病毒检测和分析的基础上， 安全地删除病毒程序并恢复原文件。

7.4.3 网络入侵与检测技术

近年来，随着Internet的迅速发展，网络攻击事件时有发生， 网络安全问题显得日益重要。作为网络安全防护工具 “防火墙” 的一种重要的补充措施， 入侵检测系统(Intrusion Detection Systen，IDS) 得到了迅速发展。入侵检测系统通过从计算机网络中的若干关键点收集信息并加以分析，检查网络中是否有违反安全策略的行为和遭到袭击的迹象，从而提供对内部攻击和误操作的实时保护。 有两类主要的入侵检测系统，基于主机的入侵检测系统和基于网络的入侵检测系统。 基于网络的入侵检测系统主要是从网络中的关键网段收集网络分组信息， 从而发现入侵证据。它能在不影响网络性能的情况下对网络进行检测，发现入侵事件并作出响应。

基于网络的入侵检测实际上也是一种信息识别与检测技术。 网络入侵活动的实际体现就是数据包， 它作为信息输入到检测系统之中。 检测系统对其进行分析和处理之后， 得到的就是网络入侵的判断。 因此， 传统的信息识别技术也可以用到入侵检测中。

在基于网络的入侵检测中， 不但数据包的先后次序十分重要， 数据包产生的时间也要作为一个重要的变量输入到识别系统之中， 如DOS攻击， 其完全是依靠短时间内大量的网络活动来耗尽系统资源的。 此外， 入侵检测比一般的信息识别有更强的上下文和环境相关性。 在不同的环境下， 有完全不同的结果。

1. 入侵方式

(1) 探测。 探测方式有很多， 包括Ping扫描、 探测操作系统类别、 系统及应用软件的弱账号扫描、 侦探电子邮件、 TCP/UDP端口扫描、 探测Web服务器CGI漏洞等。

(2) 漏洞利用。 指入侵者利用系统的隐藏功能或漏洞尝试取得系统控制权。主要包括CGI漏洞、 Web服务器漏洞、 Web浏览器漏洞、 STMP漏洞、 IMAP漏洞、 IP地址欺骗和缓冲区溢出等。

(3) DOS或DDOS (拒绝服务攻击或分布式拒绝服务攻击)。 这种攻击是真正的 “损人不利己”， 不需要别人的数据， 只想等别人出错看热闹。 这种攻击行为越来越多， 常见的DOS有死亡之Ping、 SYN淹没、 Land攻击。

2. 入侵检测技术

对付网络 “黑客” 的反攻击手段有两大类: 主动型和被动型。 被动型反攻击手段的典型代表是防火墙， 它主要是基于各种形式的禁止策略。 主动型反攻击手段的典型代表就是入侵检测系统， 它是一种能够自动识别系统中异常操作和未授权访问、 检测各种已知攻击的技术。

1) 入侵检测技术的原理

入侵检测是一种主动保护自己免受攻击的网络安全技术。 作为防火墙的合理补充， 入侵检测技术能够帮助系统对付网络攻击， 扩展了系统管理员的安全管理能力 (包括安全审计、 监视、 攻击识别和响应)， 提高了信息安全基础结构的完整性。 它从计算机网络系统中的若干关键点收集信息， 并分析这些信息， 达到发现网络系统中是否有违反安全策略的行为和被攻击的迹象等目的， 它可以防止或减轻上述的网络威胁。 入侵检测和其他检测技术运用同样的原理， 就是从一组数据中检测出符合某些入侵特点的数据。 入侵者进行攻击的时候会留下痕迹， 这些痕迹和系统正常运行时产生的数据混在一起。 入侵检测系统就是从这些混合数据中找出是否有入侵的痕迹， 如果有入侵的痕迹就报警有入侵事件发生。

2) 入侵检测系统的分类

根据不同的分类标准， 可以从以下几个方面对入侵检测系统进行分类。

(1) 根据检测方法可划分为基于行为的入侵检测系统 (也称为异常检测)、基于特征的入侵检测系统 (也称为滥用检测) 和混合检测。

(2) 根据数据来源的不同可分为基于主机的入侵检测系统和基于网络的入侵检测系统。 前者适用于主机环境， 而后者适用于网络环境。

(3) 根据入侵检测系统对入侵攻击的响应方式可分为主动的入侵检测系统(又称为实时入侵检测系统) 和被动入侵检测系统 (又称为事后入侵检测系统)。

(4) 根据入侵检测系统的分析数据来源可以分为主机系统的审计迹 (系统日志)、 网络数据报、 应用程序的日志及其他人入侵检测系统的报警信息等。

3) 入侵检测系统的局限性

虽然入侵检测系统及其相关技术已经得到了很大的发展， 但关于入侵检测系统的性能检测及其相关评测工具、 标准及测试环境等方面的研究工作还很缺乏。评判一个入侵检测系统性能的好坏， 还没有一个统一的国际标准。 目前， 评价入侵检测系统的性能指标主要有准确性、 处理性能、 完备性、 容错性和及时性。

7.4.4 加密技术

在计算机网络中， 数据报文的传输过程存在许多不安全因素， 数据有可能被截获、 修改或伪造。 对付这些攻击并保证数据的保密性和完整性的安全技术主要是对所传送的数据加密。 所谓加密是把报文进行编码使其意义变得不明显的过程； 而解密则是加密的逆过程， 即把报文从加密形式变换成原始形式的过程。 将报文的原始形式称为明文， 而报文的加密形式称为密文。

网络加密具体的实施方式有三种。一是链路加密，要求在任何一对相邻节点之间使用相同的密码机通信，这种方式需要大量的密码机设备， 此外信息在节点机内是以明文出现的。第二种方式是端到端加密，不同于链路加密， 端到端加密通信的用户双方采用密文通信，节省了许多加密设备。但是这种方式也有缺点， 它的报文头部是以明文方式出现的。结合以上两种方式的优点，也就出现了第三种加密， 即混合加密，这样使得信息在传输过程中的头部和数据部分都以密文来传递。

在计算机网络中使用的密码算法可分为两类: 常规密码算法和公钥密码算法。 比较有名的常规密码算法有美国的DES及其各种变形， 比如Triple DES、GDES， 欧洲的IDEA， 日本的FEAL-N、 LOKI-91、 RC5等。 在众多的常规密码算法中影响最大的是DES算法。 在公钥密码算法中， 有RSA、 背包密码、 Diffe-Hellman、 Rabin、 零知识证明的算法、 椭圆曲线、 EIGamal算法等。 最有影响的公钥密码算法是RSA， 它能抵抗到目前为止已知的所有密码攻击。