【正文】 跟蹤連接狀態(tài)的方式取決于包通過防火墻的類型： TCP包。當(dāng)建立起一個(gè)TCP連接時(shí)，通過的第一個(gè)包被標(biāo)有包的SYN標(biāo)志。通常情況下，防火墻丟棄所有外部的連接企圖，除非已經(jīng)建立起某條特定規(guī)則來處理它們。對(duì)內(nèi)部的連接試圖連到外部主機(jī)，防火墻注明連接包，允許響應(yīng)及隨后再兩個(gè)系統(tǒng)之間的包，直到連接結(jié)束為止。在這種方式下，傳入的包只有在它是響應(yīng)一個(gè)已建立的連接時(shí)，才會(huì)被允許通過。 UDP包。UDP包比TCP包簡單，因?yàn)樗鼈儾话魏芜B接或序列信息。它們只包含源地址、目的地址、校驗(yàn)和攜帶的數(shù)據(jù)。這種信息的缺乏使得防火墻確定包的合法性很困難，因?yàn)闆]有打開的連接可利用，以測試傳入的包是否應(yīng)被允許通過?？墒牵绻阑饓Ω櫚臓顟B(tài)，就可以確定。對(duì)傳入的包，若它所使用的地址和UDP包攜帶的協(xié)議與傳出的連接請(qǐng)求匹配，該包就被允許通過。和TCP包一樣，沒有傳入的UDP包會(huì)被允許通過，除非它是響應(yīng)傳出的請(qǐng)求或已經(jīng)建立了指定的規(guī)則來處理它。對(duì)其他種類的包，情況和UDP包類似。防火墻仔細(xì)地跟蹤傳出的請(qǐng)求，記錄下所使用的地址、協(xié)議和包的類型，然后對(duì)照保存過的信息核對(duì)傳入的包，以確保這些包是被請(qǐng)求的。 由信息，防火墻可以減少這種方式的攻擊。 應(yīng)用程序代理防火墻實(shí)際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反，它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨(dú)的連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分。 另外，如果不為特定的應(yīng)用程序安裝代理程序代碼，這種服務(wù)是不會(huì)被支持的，不能建立任何連接。這種建立方式拒絕任何沒有明確配置的連接，從而提供了額外的安全性和控制性。 例如，一個(gè)用戶的Web瀏覽器可能在80端口，但也經(jīng)?？赡苁窃?080端口，連接到了內(nèi)部網(wǎng)絡(luò)的HTTP代理防火墻。防火墻然后會(huì)接受這個(gè)連接請(qǐng)求，并把它轉(zhuǎn)到所請(qǐng)求的Web服務(wù)器。 這種連接和轉(zhuǎn)移對(duì)該用戶來說是透明的，因?yàn)樗耆怯纱矸阑饓ψ詣?dòng)處理的。 代理防火墻通常支持的一些常見的應(yīng)用程序有： 應(yīng)用程序代理防火墻可以配置成允許來自內(nèi)網(wǎng)絡(luò)的任何連接，它也可以配置成要求用戶認(rèn)證后才建立連接。要求認(rèn)證的方式由只為已知的用戶建立連接的這種限制，為安全性提供了額外的保證。如果網(wǎng)絡(luò)受到危害，這個(gè)特征使得從內(nèi)部發(fā)動(dòng)攻擊的可能性大大減少。 討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術(shù)上講它根本不是防火墻。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)協(xié)議將內(nèi)部網(wǎng)絡(luò)的多個(gè)IP地址轉(zhuǎn)換到一個(gè)公共地址發(fā)到Internet上。 NAT經(jīng)常用于小型辦公室、家庭等網(wǎng)絡(luò)，多個(gè)用戶分享單一的IP地址，并為Internet連接提供一些安全機(jī)制。 當(dāng)內(nèi)部用戶與一個(gè)公共主機(jī)通信時(shí)，NAT追蹤是哪一個(gè)用戶作的請(qǐng)求，修改傳出的包，這樣包就像是來自單一的公共IP地址，然后再打開連接。一旦建立了連接，在內(nèi)部計(jì)算機(jī)和Web站點(diǎn)之間來回流動(dòng)的通信就都是透明的了。 當(dāng)從公共網(wǎng)絡(luò)傳來一個(gè)未經(jīng)請(qǐng)求的傳入連接時(shí)，NAT有一套規(guī)則來決定如何處理它。如果沒有事先定義好的規(guī)則，NAT只是簡單的丟棄所有未經(jīng)請(qǐng)求的傳入連接，就像包過濾防火墻所做的那樣。 可是，就像對(duì)包過濾防火墻一樣，你可以將NAT配置為接受某些特定端口傳來的傳入連接，并將它們送到一個(gè)特定的主機(jī)地址。 現(xiàn)在網(wǎng)絡(luò)上流傳著很多的個(gè)人防火墻軟件，它是應(yīng)用程序級(jí)的。個(gè)人防火墻是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全的軟件，它可以直接在用戶的計(jì)算機(jī)上運(yùn)行，使用與狀態(tài)/動(dòng)態(tài)檢測防火墻相同的方式，保護(hù)一臺(tái)計(jì)算機(jī)免受攻擊。通常，這些防火墻是安裝在計(jì)算機(jī)網(wǎng)絡(luò)接口的較低級(jí)別上，使得它們可以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。 一旦安裝上個(gè)人防火墻，就可以把它設(shè)置成“學(xué)習(xí)模式”，這樣的話，對(duì)遇到的每一種新的網(wǎng)絡(luò)通信，個(gè)人防火墻都會(huì)提示用戶一次，詢問如何處理那種通信。然后個(gè)人防火墻便記住響應(yīng)方式，并應(yīng)用于以后遇到的相同那種網(wǎng)絡(luò)通信。 例如，如果用戶已經(jīng)安裝了一臺(tái)個(gè)人Web服務(wù)器，個(gè)人防火墻可能將第一個(gè)傳入的Web連接作上標(biāo)志，并詢問用戶是否允許它通過。用戶可能允許所有的Web連接、來自某些特定IP地址范圍的連接等，個(gè)人防火墻然后把這條規(guī)則應(yīng)用于所有傳入的Web連接。 基本上，你可以將個(gè)人防火墻想象成在用戶計(jì)算機(jī)上建立了一個(gè)虛擬網(wǎng)絡(luò)接口。不再是計(jì)算機(jī)的操作系統(tǒng)直接通過網(wǎng)卡進(jìn)行通信，而是以操作系統(tǒng)通過和個(gè)人防火墻對(duì)話，仔細(xì)檢查網(wǎng)絡(luò)通信，然后再通過網(wǎng)卡通信。 P204內(nèi)容比對(duì)自當(dāng)越來越多的公司將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移的時(shí)候，網(wǎng)絡(luò)安全作為一個(gè)無法回避的問題呈現(xiàn)在人們面前。傳統(tǒng)上，公司一般采用防火墻作為安全的第一道防線。而隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無法滿足對(duì)安全高度敏感的部門的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。與此同時(shí)，當(dāng)今的網(wǎng)絡(luò)環(huán)境也變得越來越復(fù)雜，各式各樣的復(fù)雜的設(shè)備，需要不斷升級(jí)、補(bǔ)漏的系統(tǒng)使得網(wǎng)絡(luò)管理員的工作不斷加重，不經(jīng)意的疏忽便有可能造成安全的重大隱患。在這種環(huán)境下，入侵檢測系統(tǒng)成為了安全市場上新的熱點(diǎn)，不僅愈來愈多的受到人們的關(guān)注，而且已經(jīng)開始在各種不同的環(huán)境中發(fā)揮其關(guān)鍵作用。 　　 　　本文中的“入侵”（Intrusion）是個(gè)廣義的概念，不僅包括被發(fā)起攻擊的人（如惡意的黑客）取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕訪問（Denial of Service）等對(duì)計(jì)算機(jī)系統(tǒng)造成危害的行為。 　　 　　入侵檢測（Intrusion Detection），顧名思義，便是對(duì)入侵行為的發(fā)覺。它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中得若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（Intrusion Detection System,簡稱IDS）。與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測系統(tǒng)能大大的簡化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。 　　 　　具體說來，入侵檢測系統(tǒng)的主要功能有： 　　 　?。?　?。?　??； 　?。?　??； 　　，并識(shí)別違反安全策略的用戶活動(dòng)。 　　由于入侵檢測系統(tǒng)的市場在近幾年中飛速發(fā)展，許多公司投入到這一領(lǐng)域上來。除了國外的ISS、axent、NFR、cisco等公司外，國內(nèi)也有數(shù)家公司（如中聯(lián)綠盟，中科網(wǎng)威等）推出了自己相應(yīng)的產(chǎn)品。但就目前而言，入侵檢測系統(tǒng)還缺乏相應(yīng)的標(biāo)準(zhǔn)。目前，試圖對(duì)IDS進(jìn)行標(biāo)準(zhǔn)化的工作有兩個(gè)組織：IETF的Intrusion Detection Working Group (idwg)和Common Intrusion Detection Framework (CIDF)，但進(jìn)展非常緩慢，尚沒有被廣泛接收的標(biāo)準(zhǔn)出臺(tái)。 　　P208內(nèi)容比對(duì)來源入侵檢測系統(tǒng)簡介主機(jī)型入侵檢測系統(tǒng)往往以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測系統(tǒng)保護(hù)的一般是所在的系統(tǒng)。ur0eMh x0 +tum7P
r8@OWH!r0　　網(wǎng)絡(luò)型入侵檢測系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺(tái)機(jī)子的網(wǎng)卡設(shè)于混雜模式（promisc mode）,監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)。hn Tqr
Iu0IXPUB技術(shù)博客5Z[1N6x4{ 　　不難看出，網(wǎng)絡(luò)型IDS的優(yōu)點(diǎn)主要是簡便：一個(gè)網(wǎng)段上只需安裝一個(gè)或幾個(gè)這樣的系統(tǒng)，便可以監(jiān)測整個(gè)網(wǎng)段的情況。且由于往往分出單獨(dú)的計(jì)算機(jī)做這種應(yīng)用，不會(huì)給運(yùn)行關(guān)鍵業(yè)務(wù)的主機(jī)帶來負(fù)載上的增加。但由于現(xiàn)在網(wǎng)絡(luò)的日趨復(fù)雜和高速網(wǎng)絡(luò)的普及，這種結(jié)構(gòu)正受到越來越大的挑戰(zhàn)。一個(gè)典型的例子便是交換式以太網(wǎng)。IXPUB技術(shù)博客5yqSJB jP209內(nèi)容比對(duì)自 信息與網(wǎng)絡(luò)安全(楊茂云)電子書第08章 入侵檢測技術(shù) 誤用檢測模型（Misuse Detection）：檢測與已知的不可接受行為之間的匹配程度。 如果可以定義所有的不可接受行為， 那么每種能夠與之匹配的行為都會(huì)引起告警。 收集非.……IXPUB技術(shù)博客%C7G,tl(f_) 15