【正文】 當(dāng)不符合規(guī)則時(shí) ,防火墻認(rèn)為該訪問(wèn)是 不安全的 ,不能被接受 ,防火墻將屏蔽外部的連接請(qǐng)求 .網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的 ,不需要用戶進(jìn)行設(shè)置 ,用戶只要進(jìn)行常規(guī)操作即可 . 代理型 代理型防火墻也可以被稱為代理服務(wù)器 ,它的安全性要高于包過(guò)濾型產(chǎn)品 ,并已經(jīng)開(kāi)始向應(yīng)用層發(fā)展 .代理服務(wù)器位于客戶機(jī)與服務(wù)器之間 ,完全阻擋了二者間的數(shù)據(jù)交流 .從客戶機(jī)來(lái)看 ,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器 。而從服務(wù)器來(lái)看 ,代理服務(wù)器又是一臺(tái)真正的客戶機(jī) .當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí) ,首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器 ,代理服務(wù)器再 根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù) ,然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī) .由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道 ,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng) . 代理型防火墻的優(yōu)點(diǎn)是安全性較高 ,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描 ,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效 .其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響 ,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置 ,大大增加了系統(tǒng)管理的復(fù)雜性 . 監(jiān)測(cè)型 監(jiān)測(cè)型防火墻是新一代的產(chǎn)品 ,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義 .監(jiān)測(cè)型防火墻能夠?qū)Ω鲗?的數(shù)據(jù)進(jìn)行主動(dòng)的 ,實(shí)時(shí)的監(jiān)測(cè) ,在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上 ,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入 .同時(shí) ,這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器 ,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中 ,不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊 ,同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用 .據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì) ,在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中 ,有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部 .因此 ,監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義 ,而且在安全性上也超越了前兩代產(chǎn)品 雖然監(jiān)測(cè)型防火墻安全性上已超越了包過(guò)濾型和代理服務(wù)器型防火墻 ,但由于監(jiān)測(cè) 型防火墻技術(shù)的實(shí)現(xiàn)成本較高 ,也不易管理 ,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主 ,但在某些方面也已經(jīng)開(kāi)始使用監(jiān)測(cè)型防火墻 .基于對(duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮 ,用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù) .這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求 ,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本 . 實(shí)際上 ,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì) ,大多數(shù)代理服務(wù)器 (也稱應(yīng)用網(wǎng)關(guān) )也集成了包過(guò)濾技術(shù) ,這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì) .由于這種產(chǎn)品是基于應(yīng)用的 ,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過(guò)濾 .例如 ,它可以過(guò)濾掉FTP 連接中的 PUT 命令 ,而且通過(guò)代理應(yīng)用 ,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄 .正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn) ,使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上 防火墻體系結(jié)構(gòu) 篩選路由式體系結(jié)構(gòu) SHAPE \* MERGEFORMAT 屏蔽子網(wǎng)式結(jié)構(gòu) 雙網(wǎng)主機(jī)式體系結(jié)構(gòu) SHAPE \* MERGEFORMAT 屏蔽主機(jī)式體系結(jié)構(gòu) 入侵檢測(cè)系統(tǒng) 1 概念 當(dāng)前，平均每 20 秒就發(fā)生一次入侵計(jì)算機(jī)網(wǎng)絡(luò)的事件，超過(guò) 1/3 的互聯(lián)網(wǎng)防火墻被攻破！面對(duì)接 2 連 3 的安全問(wèn)題，人們不禁要問(wèn)：到底是安全問(wèn)題本身太復(fù)雜，以至于不可能被徹底解決，還的仍然可以有更大的改善，只不過(guò)我們所采取的安全措施中缺少了某些重要的環(huán)節(jié)。有關(guān)數(shù)據(jù)表明，后一種解釋更說(shuō)明問(wèn)題。有權(quán)威機(jī)構(gòu)做過(guò)入侵行為統(tǒng)計(jì)，發(fā)現(xiàn)他、有 80%來(lái)自于網(wǎng)絡(luò)內(nèi)部，也就是說(shuō)， “ 堡壘 ” 是從內(nèi)部被攻破的。另外，在相當(dāng)一部分黑客攻擊當(dāng)中，黑客都能輕易地繞過(guò)防火墻而攻擊網(wǎng)站服務(wù)器。這就使人們認(rèn)識(shí)到：僅靠防火墻仍然遠(yuǎn)遠(yuǎn)不能將 “ 不速之客 ” 拒 之門外，還必須借助于一個(gè) “ 補(bǔ)救 ” 環(huán)節(jié) 入侵檢測(cè)系統(tǒng)。 入侵檢測(cè)系統(tǒng)（ Intrusion detection system,簡(jiǎn)稱 IDS）是指監(jiān)視（或者在可能的情況下阻止）入侵或者試圖控制你的系統(tǒng)或者網(wǎng)絡(luò)資源的行為的系統(tǒng)。作為分層安全中日益被越普遍采用的成份，入侵檢測(cè)系統(tǒng)能有效地提升黑客進(jìn)入網(wǎng)絡(luò)系統(tǒng)的門檻。入侵檢測(cè)系統(tǒng)能夠通過(guò)向管理員發(fā)出入侵或者入侵企圖來(lái)加強(qiáng)當(dāng)前存取控制系統(tǒng)，例如防火墻；識(shí)別防火墻通常用不能識(shí)別的攻擊，如來(lái)自企業(yè)內(nèi)部的攻擊；在發(fā)現(xiàn)入侵企圖之后提供必要 的信息。 入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干個(gè)關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢測(cè)網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。它的作用是監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)是否出現(xiàn)被入侵或?yàn)E用的征兆。 作為監(jiān)控和識(shí)別攻擊的標(biāo)準(zhǔn)解決方案， IDS 系統(tǒng)已經(jīng)成為安防體系的重要組成部分。 IDS 系統(tǒng)以后臺(tái)進(jìn)程的形式運(yùn)行。發(fā)現(xiàn)可疑情況，立即通知有關(guān)人員。 防火墻為網(wǎng)絡(luò)提供了 第一道防線，入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤解操作的實(shí)時(shí)保護(hù)。由于入侵檢測(cè)系統(tǒng)是防火墻后的又一道防線，從二可以極大地減少網(wǎng)絡(luò)免受各種攻擊的損害。 假如說(shuō)防火墻是一幢大樓的門鎖，那入侵檢測(cè)系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。門鎖可以防止小偷進(jìn)入大樓，但不能保證小偷 100%地被拒之門外，更不能防止大樓內(nèi)部個(gè)別人員的不良企圖。而一旦小偷爬入大樓，或內(nèi)部人員有越界行為，門鎖就沒(méi)有任何作用了，這時(shí)，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告 。入侵檢測(cè)系統(tǒng)不僅僅針對(duì)外來(lái)的入侵者，同時(shí)也針對(duì)內(nèi)部的入侵行為。 2 侵檢測(cè)的主要技術(shù) ———— 入侵分析技術(shù) 入侵分析技術(shù)主要有三大類：簽名、統(tǒng)計(jì)和數(shù)據(jù)完整性。 簽名分析法 名分析法主要用來(lái)檢測(cè)有無(wú)對(duì)系統(tǒng)的已知弱點(diǎn)進(jìn)行的攻擊行為。這類攻擊可以通過(guò)監(jiān)視有無(wú)針對(duì)特定對(duì)象的某種行為而被檢測(cè)到。 主要方法：從攻擊模式中歸納出其簽名，編寫到 IDS 系統(tǒng)的代碼里，再由IDS 系統(tǒng)對(duì)檢測(cè)過(guò)程中收集到的信息進(jìn)行簽名分析。 簽名分析實(shí)際上是一個(gè)模板匹配操作，匹配的一方是系統(tǒng)設(shè)置情況和用戶操作動(dòng)作，一方是已知攻擊模 式的簽名數(shù)據(jù)庫(kù)。 統(tǒng)計(jì)分析法 統(tǒng)計(jì)分析法是以系統(tǒng)正常使用情況下觀察到的動(dòng)作為基礎(chǔ)，如果某個(gè)操作偏離了正常的軌道，此操作就值得懷疑。 主要方法：首先根據(jù)被檢測(cè)系統(tǒng)的正常行為定義一個(gè)規(guī)律性的東西，在此稱為 “ 寫照 ” ，然后檢測(cè)有沒(méi)有明顯偏離 “ 寫照 ” 的行為。 統(tǒng)計(jì)分析法的理論經(jīng)常是統(tǒng)計(jì)學(xué)，此方法中， “ 寫照 ” 的確定至關(guān)重要。 數(shù)據(jù)完整分析法 數(shù)據(jù)完整分析法主要用來(lái)查證文件或?qū)ο笫欠癖恍薷倪^(guò)，它的理論經(jīng)常是密碼學(xué)。 3 侵檢測(cè)系統(tǒng)的分類： 現(xiàn)有的 IDS 的分類，大都基于信息源和分析方法。為了體現(xiàn)對(duì) IDS 從布局、采集、分析、響應(yīng)等各個(gè)層次及系統(tǒng)性研究方面的問(wèn)題，在這里采用五類標(biāo)準(zhǔn)：控制策略、同步技術(shù)、信息源、分析方法、響應(yīng)方式。 按照控制策略分類 控制策略描述了 IDS 的各元素是如何控制的，以及 IDS 的輸入和輸出是如何管理的。按照控制策略 IDS 可以劃分為，集中式 IDS、部分分布式 IDS 和全部分布式 IDS。在集中式 IDS 中，一個(gè)中央節(jié)點(diǎn)控制系統(tǒng)中所有的監(jiān)視、檢測(cè)和報(bào)告。在部分分布式 IDS 中，監(jiān)控和探測(cè)是由本地的一個(gè)控制點(diǎn)控制，層次似的將報(bào)告發(fā)向一個(gè)或多個(gè)中心站。在全分布式 IDS 中，監(jiān)控和探測(cè)是使用 一種叫 “ 代理 ” 的方法，代理進(jìn)行分析并做出響應(yīng)決策。 按照同步技術(shù)分類 同步技術(shù)是指被監(jiān)控的事件以及對(duì)這些事件的分析在同一時(shí)間進(jìn)行。按照同步技中，信息源是以文件的形式傳給分析器，一次只處理特定時(shí)間段內(nèi)產(chǎn)生的信息，并在入侵發(fā)生時(shí)將結(jié)果反饋給用戶。很多早期的基于主機(jī)的 IDS 都采用這種方案。在實(shí)時(shí)連續(xù)型