【正文】 基于主機的 IDS IDS的發(fā)展趨勢 在下一代的入侵檢測系統(tǒng)中，將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機這兩種檢測技術(shù)很好地集成起來，提供集成化的攻擊簽名、檢測、報告和事件關(guān)聯(lián)功能。 4 半網(wǎng)關(guān)： 把一個網(wǎng)關(guān)分成兩個部分，選擇兩種不同的半網(wǎng)關(guān)組合，可以靈活地互聯(lián)兩種不同的網(wǎng)絡(luò)。 網(wǎng)關(guān) （ a） 直接轉(zhuǎn)換 （ b） 通過網(wǎng)間報文格式轉(zhuǎn)換 網(wǎng)關(guān)的兩種轉(zhuǎn)換方法 網(wǎng)絡(luò) A→ 網(wǎng)絡(luò) B 網(wǎng)絡(luò) A← 網(wǎng)絡(luò) B 網(wǎng)絡(luò) A 網(wǎng)絡(luò) B 網(wǎng)絡(luò) A→ 網(wǎng)間 網(wǎng)間 → 網(wǎng)絡(luò) B 網(wǎng)絡(luò) A← 網(wǎng)間 網(wǎng)間 ← 網(wǎng)絡(luò) B 網(wǎng)絡(luò) A 網(wǎng)絡(luò) B 應(yīng)用層互聯(lián)設(shè)備 64 1 協(xié)議轉(zhuǎn)換網(wǎng)關(guān)： 可分為雙邊協(xié)議網(wǎng)關(guān)和多邊協(xié)議網(wǎng)關(guān)。在這種情況下，入侵檢測系統(tǒng) IDS（Intrusion Detection System）就成了構(gòu)建網(wǎng)絡(luò)安全體系中不可或缺的組成部分。 動態(tài)路由器能根據(jù)指定的路由器協(xié)議自動修改路由器信息 ,所以一般大型的網(wǎng)間連接均使用動態(tài)路由器。 ⑵ 按傳輸速率劃分： 可分為以太網(wǎng)交換機 、 100M交換機和 1000M交換機 、 FDDI交換機 、 ATM交換機和令牌環(huán)交換機 。交換機的最大特點是可以將一個局域網(wǎng)劃分成多個端口 ,每個端口可以構(gòu)成一個網(wǎng)段，扮演著一個網(wǎng)橋的角色 ,而且每一個連接到交換機上的設(shè)備都可以享用自己的專用帶寬。 2 源路由橋： 采用與透明橋不同的路徑選擇方案，路徑選擇由發(fā)送數(shù)據(jù)幀的源站點負責(zé)。 ③ 特殊總線。無論是普通電腦還是高端服務(wù)器，只要連接到局域網(wǎng)，就都需要安裝一塊網(wǎng)卡。 物理層互聯(lián)設(shè)備 26 集線器的基本結(jié)構(gòu) 端口 1 端口 2 端口 3 端口 4 端口 5 端口 6 端口 7 端口 8 主機 B 主機 A 集線器 線器的工作原理 集線器作為以太網(wǎng)的中心連接設(shè)備時，所有結(jié)點通過非屏蔽雙絞線與集線器連接。 21 中繼器的工作原理如下圖所示 。中繼系統(tǒng)在網(wǎng)間進行協(xié)議和功能轉(zhuǎn)換，具有很強的層次性。 PC LANWANLAN互聯(lián)結(jié)構(gòu)圖 WAN PC PC PC PC PC 路由器 路由器 路由器 LAN LAN LAN 網(wǎng)絡(luò)互聯(lián)類型 13 網(wǎng)絡(luò)互聯(lián)解決方案 使一個網(wǎng)絡(luò)上的用戶能訪問其他網(wǎng)絡(luò)的資源，網(wǎng)絡(luò)互聯(lián)的主要目的是使不同網(wǎng)絡(luò)上的用戶能互相通信，其中最主要的內(nèi)容是網(wǎng)絡(luò)擴展。 9 網(wǎng)絡(luò)互聯(lián)類型 按照地理覆蓋范圍對網(wǎng)絡(luò)進行分類，網(wǎng)絡(luò)互聯(lián)主要有以下 4種類型： ① 局域網(wǎng)與局域網(wǎng)互連（ LANLAN），例如以太網(wǎng)與令牌環(huán)之間的互連。如何把這些 LAN互連起來，像使用電話系統(tǒng)那樣方便地使用計算機網(wǎng)絡(luò)，是網(wǎng)絡(luò)互聯(lián)要解決的問題。 網(wǎng)絡(luò)互聯(lián)概述 167。 “互通”指兩個網(wǎng)絡(luò)之間可以交換數(shù)據(jù)，它僅僅涉及通信的兩個網(wǎng)絡(luò)之間的端端連接與數(shù)據(jù)交換，為互操作提供條件。其連接如下圖所示。網(wǎng)絡(luò)互聯(lián)主要是將不同網(wǎng)段、網(wǎng)絡(luò)或子網(wǎng)之間通過網(wǎng)絡(luò)互聯(lián)設(shè)備連接起來。 中繼器的主要功能 中繼器的功能就是將因傳輸而衰減和畸變的信號進行放大 、 整形和轉(zhuǎn)發(fā) ， 以延長信號的傳輸距離 。中繼器通常帶有兩個端口 ,用于連接一對同軸電纜，而隨著雙絞線以太網(wǎng)的出現(xiàn) ,中繼器被做成具有多個端口的裝置，用在星型布線系統(tǒng)中 ,并稱其為集線器。物理層設(shè)備為終端設(shè)備間提供傳輸媒介及連接，但通訊設(shè)備之間的傳輸連接只在通訊時暫時連接的。 適用于符合工業(yè)總線標準 ISA的網(wǎng)卡。 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 36 網(wǎng)橋的工作原理 網(wǎng)橋主要用來連接兩個局域網(wǎng)，通過接收數(shù)據(jù)幀、地址過濾、存儲與轉(zhuǎn)發(fā)數(shù)據(jù)幀方式實現(xiàn)多個局域網(wǎng)系統(tǒng)的互聯(lián)。 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 41 交換機 交換機 (Switch)也稱為交換器活交換式集線器，是專門為計算機之間能夠相互通信且獨享帶寬而設(shè)計的一種包交換設(shè)備。按應(yīng)用領(lǐng)域劃分： 1 直接交換方式 2 存儲轉(zhuǎn)發(fā)方式 改進的直接交換方式 3 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 49 交換機的基本類型 自 1993年局域網(wǎng)交換機出現(xiàn)后 ,隨著交換機技術(shù)的發(fā)展 ， 其產(chǎn)品的類型也越來越多 ， 通常分類方法有 3種 。 網(wǎng)絡(luò)層互聯(lián)設(shè)備 53 路由器1 路由器3 路由器的工作原理 路由器是在網(wǎng)絡(luò)層實現(xiàn)多個網(wǎng)絡(luò)互聯(lián)的設(shè)備，它除了應(yīng)具有網(wǎng)橋的功能外，還具有路徑選擇功能，下圖給出了用三個路由器實現(xiàn)互聯(lián)的四個不同類型的網(wǎng)絡(luò)。公司一般采用防火墻作為安全的第一道防線。顯然，網(wǎng)關(guān)互聯(lián)的網(wǎng)絡(luò)數(shù)越多，編寫協(xié)議轉(zhuǎn)換程序模塊的工作量越大 。 網(wǎng)絡(luò)互聯(lián)的基本設(shè)備有網(wǎng)橋、路由器和網(wǎng)關(guān)。網(wǎng)關(guān)支持不同協(xié)議之間的通信的方式有 3種： ⑴ 遠端業(yè)務(wù)協(xié)議封裝： 外部業(yè)務(wù)數(shù)據(jù)采用本地網(wǎng)絡(luò)數(shù)據(jù)格式進行封裝，當(dāng)數(shù)據(jù)到達接收端用戶后，去掉本地網(wǎng)絡(luò)的封裝格式，將原有的數(shù)據(jù)內(nèi)容提交給應(yīng)用系統(tǒng)。 使用第三層交換機作為主干的校園網(wǎng) VLAN1 VLAN3 VLAN1 VLAN3 VLAN4 VLAN4 Cisco 2950 Cisco 2948GL3 Cisco 2950 Cisco 2950 Cisco 2950 VLAN1 VLAN2 VLAN2 VLAN4 VLAN1 VLAN2 網(wǎng)絡(luò)層互聯(lián)設(shè)備 57 防火墻 防火墻的基本特性 典型的防火墻具有以下三個方面的基本特性： ⑴內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻 ： 這是防火墻所處網(wǎng)絡(luò)位置特性，只有當(dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護企業(yè)內(nèi)部網(wǎng)絡(luò)不受侵害。 Ether FDDI Token Bus Token Ring 路由器 1 路由器 3 路由器 2 路由器 4 路由器與網(wǎng)關(guān)是局域網(wǎng)與廣域網(wǎng)互聯(lián)的主要設(shè)備。 交換機的 MAC地址表為空表 MAC地址表 （開機時， MAC 地址表是空的） E3 E2 E0 E1 A C B D 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 45 ② 當(dāng)終端 A第一次向終端 C發(fā)送數(shù)據(jù)幀時，由于首次發(fā)送時不知道終端 C在何處，所以向其它各端口復(fù)制轉(zhuǎn)發(fā)這個數(shù)據(jù)幀，這個過程稱為泛洪，如下圖所示。 網(wǎng)橋并不了解其轉(zhuǎn)發(fā)幀中高層協(xié)議的信息，這使它可以同時以同種方式處理 IP、 IPX等協(xié)議，它還提供了將無路由協(xié)議的網(wǎng)絡(luò)（如 NetBEUI）分段的功能。網(wǎng)橋是為各種局域網(wǎng)存儲轉(zhuǎn)發(fā)數(shù)據(jù)而設(shè)計的，可以將不同的局域網(wǎng)連在一起，組成一個擴展的局域網(wǎng)。 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 31 數(shù)據(jù)鏈路層互聯(lián)設(shè)備 PC總線 數(shù) 據(jù) 轉(zhuǎn) 換 拆 裝 數(shù) 據(jù) 幀 數(shù) 據(jù) 緩 沖 訪 問 控 制 編 碼 與 譯 碼 收 發(fā) 器 連 接 器 網(wǎng) 絡(luò) 電 纜 網(wǎng)卡的基本功能示意圖 網(wǎng)卡的功能 網(wǎng)卡的功能主要有并行到串行的數(shù)據(jù)轉(zhuǎn)換、包的裝配和拆裝、網(wǎng)絡(luò)存取控制，數(shù)據(jù)緩存和網(wǎng)絡(luò)信號。 ⑷ 按集線器結(jié)構(gòu)不同分類， 可分為： 獨立式集線器、堆疊式集線器和模塊式集線器三種。另外，中繼器工作在物理層，因此它要求所連接的網(wǎng)段在物理層以上使用相同或兼容協(xié)議。也就是說，中繼器接收從一個網(wǎng)段傳來的所有信號，放大后發(fā)送到另一個網(wǎng)段。網(wǎng)絡(luò)中的信息單元被獨立對待，這些信息單元經(jīng)過一系列的網(wǎng)絡(luò)和路由器，最終到達目的節(jié)點 。 目前，不同類型的網(wǎng)絡(luò)之間的互聯(lián)大多是異構(gòu)網(wǎng)互聯(lián)。 互聯(lián)（ i