5.3网络入侵防范

入侵检测，防御是确保网络安全的重要手段。

网络入侵

入侵检测（Intrusion Detection ID） 国标GB/T 18336
是一种积极主动的安全防护技术
内部攻击，外部攻击和误操作（删，改）的实时保护

增，删，改，查

扩展了系统管理员的安全管理能力（安全审计，监视，进攻识别和相应）

入侵检测系统（IDS System）
从计算机网络系统的若干关键点收集信息，并分析这些信息。
由 事件产生器 事件分析器 事件数据库 相应单元组成。
主要功能如下：

• 监测并分析用户的系统活动
• 检查系统配置和漏洞
• 评估系统关键资源和数据文件的完整性
• 识别已知的攻击行为
• 统计分析异常行为
• 操作系统日志管理。识别违反安全策略的用户活动

入侵防御系统（IPS Intrusion Prevention System）
IPS结合应用程序或网络传输中的异常情况，辅助识别入侵和攻击。
IPS提供法律上的有效证据
核心价值在于安全策略的实施。

IDS需要部署在网络内部，监控范围覆盖整个子网，包括来自外部数据和内部终端之间传输的数据
IPS需要部署在网络边界，抵御来自外部的入侵，但是对内部攻击无能为力。

网络防火墙

是隔离本地网络与其他网络之间的一道防御系统
通过分析进出网络的通信来防止非授权访问
位于计算机和网络之间的防火墙称为个人防火墙

1、防火墙的功能

• 实施安全策略：有效限制入侵者进入内部网络，过滤不安全服务和非法用户。关闭不使用的端口或禁止特定端口的流出通信
• 实时监控网络访问：所有流入流出的网络数据流都经过防火墙，防火墙扫描这些通信数据，过滤攻击。提供网络使用及安全事件日志和网络使用统计数据。
• 部署地址转换机制：通过地址转换部署，可以缓解IP地址空间短缺，隐藏内部网络，提高网络安全性。

2、防火墙的分类
工作方式的不同：包过滤防火墙，代理防火墙和状态监测防火墙
实现方式不同：软件防火墙和硬件防火墙

软件防火墙：以软件的形式安装余特定的计算机系统中，（安装配置灵活，易于使用，升级方便且成本低廉，功能配置灵活并能二次开发等优点）
常用的商用软件防火墙有：以色列Check Point公司的Firewall,微软的企业级网络安全解决方案
个人软件防火墙：Windows防火墙等

硬件防火墙的优势：
1、由硬件执行功能，减轻CPU的负担，使系统功能更加稳定
2、经专业厂家定制，充分考虑了吞吐量和并发连接数的问题。
3、采用状态监测机制，除了包过滤还有其他安全功能。
品牌有：华为 H3C 思科等。
技术指标：吞吐量，安全过滤带宽，并发连接数和网络接口数量等。