【正文】 的方式取決于包通過防火墻的類型： TCP包。當建立起一個TCP連接時，通過的第一個包被標有包的SYN標志。通常情況下，防火墻丟棄所有外部的連接企圖，除非已經建立起某條特定規(guī)則來處理它們。對內部的連接試圖連到外部主機，防火墻注明連接包，允許響應及隨后再兩個系統(tǒng)之間的包，直到連接結束為止。在這種方式下，傳入的包只有在它是響應一個已建立的連接時，才會被允許通過。 UDP包。UDP包比TCP包簡單，因為它們不包含任何連接或序列信息。它們只包含源地址、目的地址、校驗和攜帶的數據。這種信息的缺乏使得防火墻確定包的合法性很困難，因為沒有打開的連接可利用，以測試傳入的包是否應被允許通過?？墒牵绻阑饓Ω櫚臓顟B(tài)，就可以確定。對傳入的包，若它所使用的地址和UDP包攜帶的協議與傳出的連接請求匹配，該包就被允許通過。和TCP包一樣，沒有傳入的UDP包會被允許通過，除非它是響應傳出的請求或已經建立了指定的規(guī)則來處理它。對其他種類的包，情況和UDP包類似。防火墻仔細地跟蹤傳出的請求，記錄下所使用的地址、協議和包的類型，然后對照保存過的信息核對傳入的包，以確保這些包是被請求的。 由信息，防火墻可以減少這種方式的攻擊。 應用程序代理防火墻實際上并不允許在它連接的網絡之間直接通信。相反，它是接受來自內部網絡特定用戶應用程序的通信，然后建立于公共網絡服務器單獨的連接。網絡內部的用戶不直接與外部的服務器通信，所以服務器不能直接訪問內部網的任何一部分。 另外，如果不為特定的應用程序安裝代理程序代碼，這種服務是不會被支持的，不能建立任何連接。這種建立方式拒絕任何沒有明確配置的連接，從而提供了額外的安全性和控制性。 例如，一個用戶的Web瀏覽器可能在80端口，但也經常可能是在1080端口，連接到了內部網絡的HTTP代理防火墻。防火墻然后會接受這個連接請求，并把它轉到所請求的Web服務器。 這種連接和轉移對該用戶來說是透明的，因為它完全是由代理防火墻自動處理的。 代理防火墻通常支持的一些常見的應用程序有： 應用程序代理防火墻可以配置成允許來自內網絡的任何連接，它也可以配置成要求用戶認證后才建立連接。要求認證的方式由只為已知的用戶建立連接的這種限制，為安全性提供了額外的保證。如果網絡受到危害，這個特征使得從內部發(fā)動攻擊的可能性大大減少。 討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術上講它根本不是防火墻。網絡地址轉換(NAT)協議將內部網絡的多個IP地址轉換到一個公共地址發(fā)到Internet上。 NAT經常用于小型辦公室、家庭等網絡，多個用戶分享單一的IP地址，并為Internet連接提供一些安全機制。 當內部用戶與一個公共主機通信時，NAT追蹤是哪一個用戶作的請求，修改傳出的包，這樣包就像是來自單一的公共IP地址，然后再打開連接。一旦建立了連接，在內部計算機和Web站點之間來回流動的通信就都是透明的了。 當從公共網絡傳來一個未經請求的傳入連接時，NAT有一套規(guī)則來決定如何處理它。如果沒有事先定義好的規(guī)則，NAT只是簡單的丟棄所有未經請求的傳入連接，就像包過濾防火墻所做的那樣。 可是，就像對包過濾防火墻一樣，你可以將NAT配置為接受某些特定端口傳來的傳入連接，并將它們送到一個特定的主機地址。 現在網絡上流傳著很多的個人防火墻軟件，它是應用程序級的。個人防火墻是一種能夠保護個人計算機系統(tǒng)安全的軟件，它可以直接在用戶的計算機上運行，使用與狀態(tài)/動態(tài)檢測防火墻相同的方式，保護一臺計算機免受攻擊。通常，這些防火墻是安裝在計算機網絡接口的較低級別上，使得它們可以監(jiān)視傳入傳出網卡的所有網絡通信。 一旦安裝上個人防火墻，就可以把它設置成“學習模式”，這樣的話，對遇到的每一種新的網絡通信，個人防火墻都會提示用戶一次，詢問如何處理那種通信。然后個人防火墻便記住響應方式，并應用于以后遇到的相同那種網絡通信。 例如，如果用戶已經安裝了一臺個人Web服務器，個人防火墻可能將第一個傳入的Web連接作上標志，并詢問用戶是否允許它通過。用戶可能允許所有的Web連接、來自某些特定IP地址范圍的連接等，個人防火墻然后把這條規(guī)則應用于所有傳入的Web連接。 基本上，你可以將個人防火墻想象成在用戶計算機上建立了一個虛擬網絡接口。不再是計算機的操作系統(tǒng)直接通過網卡進行通信，而是以操作系統(tǒng)通過和個人防火墻對話，仔細檢查網絡通信，然后再通過網卡通信。 P204內容比對自當越來越多的公司將其核心業(yè)務向互聯網轉移的時候，網絡安全作為一個無法回避的問題呈現在人們面前。傳統(tǒng)上，公司一般采用防火墻作為安全的第一道防線。而隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻策略已經無法滿足對安全高度敏感的部門的需要，網絡的防衛(wèi)必須采用一種縱深的、多樣的手段。與此同時，當今的網絡環(huán)境也變得越來越復雜，各式各樣的復雜的設備，需要不斷升級、補漏的系統(tǒng)使得網絡管理員的工作不斷加重，不經意的疏忽便有可能造成安全的重大隱患。在這種環(huán)境下，入侵檢測系統(tǒng)成為了安全市場上新的熱點，不僅愈來愈多的受到人們的關注，而且已經開始在各種不同的環(huán)境中發(fā)揮其關鍵作用。 　　 　　本文中的“入侵”（Intrusion）是個廣義的概念，不僅包括被發(fā)起攻擊的人（如惡意的黑客）取得超出合法范圍的系統(tǒng)控制權，也包括收集漏洞信息，造成拒絕訪問（Denial of Service）等對計算機系統(tǒng)造成危害的行為。 　　 　　入侵檢測（Intrusion Detection），顧名思義，便是對入侵行為的發(fā)覺。它通過對計算機網絡或計算機系統(tǒng)中得若干關鍵點收集信息并對其進行分析，從中發(fā)現網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（Intrusion Detection System,簡稱IDS）。與其他安全產品不同的是，入侵檢測系統(tǒng)需要更多的智能，它必須可以將得到的數據進行分析，并得出有用的結果。一個合格的入侵檢測系統(tǒng)能大大的簡化管理員的工作，保證網絡安全的運行。 　　 　　具體說來，入侵檢測系統(tǒng)的主要功能有： 　　 　??； 　??； 　?。?　?。?　??； 　　，并識別違反安全策略的用戶活動。 　　由于入侵檢測系統(tǒng)的市場在近幾年中飛速發(fā)展，許多公司投入到這一領域上來。除了國外的ISS、axent、NFR、cisco等公司外，國內也有數家公司（如中聯綠盟，中科網威等）推出了自己相應的產品。但就目前而言，入侵檢測系統(tǒng)還缺乏相應的標準。目前，試圖對IDS進行標準化的工作有兩個組織：IETF的Intrusion Detection Working Group (idwg)和Common Intrusion Detection Framework (CIDF)，但進展非常緩慢，尚沒有被廣泛接收的標準出臺。 　　P208內容比對來源入侵檢測系統(tǒng)簡介主機型入侵檢測系統(tǒng)往往以系統(tǒng)日志、應用程序日志等作為數據源，當然也可以通過其他手段（如監(jiān)督系統(tǒng)調用）從所在的主機收集信息進行分析。主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)。ur0eMh x0 +tum7P
r8@OWH!r0　　網絡型入侵檢測系統(tǒng)的數據源則是網絡上的數據包。往往將一臺機子的網卡設于混雜模式（promisc mode）,監(jiān)聽所有本網段內的數據包并進行判斷。一般網絡型入侵檢測系統(tǒng)擔負著保護整個網段的任務。hn Tqr
Iu0IXPUB技術博客5Z[1N6x4{ 　　不難看出，網絡型IDS的優(yōu)點主要是簡便：一個網段上只需安裝一個或幾個這樣的系統(tǒng)，便可以監(jiān)測整個網段的情況。且由于往往分出單獨的計算機做這種應用，不會給運行關鍵業(yè)務的主機帶來負載上的增加。但由于現在網絡的日趨復雜和高速網絡的普及，這種結構正受到越來越大的挑戰(zhàn)。一個典型的例子便是交換式以太網。IXPUB技術博客5yqSJB jP209內容比對自 信息與網絡安全(楊茂云)電子書第08章 入侵檢測技術 誤用檢測模型（Misuse Detection）：檢測與已知的不可接受行為之間的匹配程度。 如果可以定義所有的不可接受行為， 那么每種能夠與之匹配的行為都會引起告警。 收集非.……IXPUB技術博客%C7G,tl(f_) 15