防火墙与入侵检测基本知识点

1.网络安全是指网络系统的软件、硬件及其存储的数据处于保护状态，网络系统不会由于偶然的或者恶意的冲击而受到破坏，网络系统能够连续可靠地运行。

网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论等多研究领域的综合性学科。

2.凡是涉及网络系统的保密性、完整性、可用性和可控性的相关技术和理论都是网络安全的研究内容。

网络安全研究内容

密码技术防火墙技术入侵检测计算机病毒学网络安全管理规范

3.能完整地解决信息安全性中的机密性、数据完整性、认证、身份识别以及不可抵赖等问题中的一个或多个。

密码技术不能解决所有的网络安全问题，它需要与信息安全的其他技术如访问控制技术、网络监控技术等互相融合，形成综合的信息网络安全保障。

4.防火墙

建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中。

特征：网络位置特性内部网络和外部网络之间的所有网络数据都必须经过防火墙

工作原理特性只有符合安全策略的数据才能通过防火墙

先决条件防火墙自身应具有非常强的扛攻击能力

5.入侵检测

80%以上的入侵来自于网络内部

由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于来自内部网络的攻击，防火墙形同虚设

入侵检测是对防火墙及其有益的补充

在入侵攻击对系统发生危害前检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击

在入侵攻击过程中，能减少入侵攻击所造成的损失

在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加到知识库中，增强防范能力，避免系统再次受到入侵。

6.病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”

7.反病毒技术病毒预防技术病毒检测技术病毒清除技术

8.网络安全管理规范

信息网络安全策略实体可信、行为可控、资源可管、事件可查、运行可靠

信息网络管理机制谁主管谁负责、谁运行谁负责

安全事件响应机制

9.网络安全内容密码技术防火墙技术入侵检测计算机病毒学网络安全管理规范

10.从广泛、宏观的意义上说，防火墙是隔离在内部网络与外部网络之间的一个防御系统。

A T&T的工程师William Cheswick 和Steven Bellovin给出了防火墙的明确定义，他们认为防火墙是位于两个网络之间的一组构件或一个系统，具有以下属性：

防火墙是不同网络或者安全域之间信息流的唯一通道，所有双向数据流必须经过防火墙。只有经过授权的合法数据，即防火墙安全策略允许的数据才可以通过防火墙。

防火墙系统应该具有很高的抗攻击能力，其自身可以不受各种攻击的影响。

简而言之，防火墙是位于两个(或多个)网络间，实施访问控制策略的一个或一组组件集合。

11.物理位置从设备部署位置上看，防火墙要部署在本地受保护区域与外部网络的交界点上。

从具体的实现上看，防火墙运行在任何要实现访问控制功能的设备上。

防火墙的逻辑位置指的是防火墙与网络协议相对应的逻辑层次关系。处于不同网络层次的防火墙实现不同级别的网络过滤功能，表现出来的特性也不同。

所有防火墙均依赖于对ISO OSI/RM网络七层模型中各层协议所产生的信息流进行检查。一般说来，防火墙越是工作在ISO OSI/RM模型的上层，能检查的信息就越多，其提供的安全保护等级就越高。

12.安全威胁

●通过更改防火墙配置参数和其它相关安全数据而展开的攻击。

●攻击者利用高层协议和服务对内部受保护网络或主机进行的攻击。

●绕开身份认证和鉴别机制，伪装身份，破坏已有连接。

●任何通过伪装内部网络地址进行非法内部资源访问的地址欺骗攻击。

●未经授权访问内部网络中的目标数据。

●用户对防火墙等重要设备未经授权的访问。

●破坏审计记录。

13.理论特性

创建阻塞点强化网络安全策略，提供集成功能实现网络隔离记录和审计内联网络和外联网络之间的活动自身具有相当强的抵御攻击的能力

14.防火墙的实际功能

包过滤代理网络地址转换虚拟专用网用户身份认证记录、报警、分析与审计管理功能其他特殊功能

15.防火墙的规则

规则的作用：系统的网络访问政策。

规则内容的分类：高级政策；低级政策。

规则的特点：规则是系统安保策略的实现和延伸；与网络访问行为紧密相关；在严格安全管理和充分利用网络之间取得较好的平衡；防火墙可以实施各种不同的服务访问政策。

规则的设计原则：拒绝访问一切未予特许的服务；允许访问一切未被特别拒绝的服务。规则的顺序问题：必须仔细考虑规则的顺序，防止出现系统漏洞。

16.分类按防火墙采用的主要技术划分包过滤型静态包过滤防火墙动态包过滤防火墙状态检测防火墙代理型应用网关电路级网关自适应代理

按防火墙的具体实现划分多重宿主主机、筛选路由器、屏蔽主机、屏蔽子网、其他实现结构按防火墙部署的位置划分单接入点的传统防火墙、混合式防火墙、分布式防火墙

按防火墙的形式划分软件防火墙、独立硬件防火墙、模块化防火墙

按受防火墙保护的对象划分单机防火墙网络防火墙

按防火墙的使用者划分企业级防火墙个人防火墙

17．好处防火墙允许网络管理员定义一个“检查点”来防止非法用户进入内部网络并抵抗各种攻击，增加了网络的安全性。防火墙通过过滤存在着安全缺陷的网络服务来降低受保护网络遭受攻击的威胁。防火墙可以增强受保护节点的保密性，强化私有权。防火墙有能力较精确地控制对内部子系统的访问。防火墙系统具有集中安全性。在防火墙上可以很方便地监视网络的通信流，并产生告警信息。防火墙是审计和记录网络行为最佳的地方。防火墙可以作为向客户发布信息的地点。防火墙为系统整体安全策略的执行提供了重要的实施平台。

18.不足限制网络服务、对内部用户防范不足、不能防范旁路连接、不适合进行病毒检测、无法防范数据驱动型攻击、无法防范所有的威胁、防火墙配置比较困难、无法防范内部人员泄露机密信息、防火墙对网络访问速度有影响、单失效点

19.防火墙的关键技术TCP/IP简介（IP协议、TCP协议、UDP协议、ICMP协议）、包过滤技术、状态检测技术、代理技术

20.状态监测的优缺点优点优点；安全性比静态包过滤技术高。状态检测机制可以区分连接的发起方与接收方；可以通过状态分析阻断更多的复杂攻击行为；可以通过分析打开相应的端口而不是“一刀切”，要么全打开要么全不打开。与静态包过滤技术相比，提升了防火墙的性能。状态检测机制对连接的初始报文进行详细检查，而对后续报文不需要进行相同的动作，只需快速通过即可。缺点；主要工作在网络层和传输层，对报文的数据部分检查很少，安全性还不够高。检查内容多，对防火墙的性能提出了更高的要求。

21.代理技术具体作用保护电子邮件身份认证信息重方向

22.防火墙的三种主要的访问控制技术：静态包过滤技术、状态检测技术、代理技术

防火墙是位于内联网络和外联网络交界处的隔离系统，它通过限制内联网络和外联网络之间的信息交换来保证系统的安全性。

防火墙的设置和7层结构的安全模型相互对应，在7层模型的不同层次实现不同级别的安全控制功能。

防火墙具有阻塞点、隔离内联网络和外联网络、限制外联网络对内联网络的访问、网络安全功能集成平台、审计和记录网络通信量等功能。

防火墙的规则是防火墙的灵魂，是系统整体安全策略在防火墙中的具体实施。

总之，防火墙具有加强网络安全、实现对进出内联网络的通信量的精细控制等优点，同时也存在着对内防范不严、影响网络访问速度、限制网络服务等不足。23.防火墙的部署与实现过滤路由器、堡垒主机、多重宿主主机、屏蔽主机、屏蔽子网、其他结构

24.不同的防火墙实现结构讲直接影响防火墙执行访问控制策略的有效性，也影响到防火墙系统所能提供的安全性。最主要的安全防护部署方案都是基于非军事区技术的。虽然其结构及由此带来的配置、维护和管理操作复杂了一些，但是它能够为用户网络提供较高的安全等级。25.入侵检测系统的性能指标有效性指标、可用性指标、安全性指标

26.将基于主机的入侵检测技术和基于网络的入侵检测技术进行结合是入侵检测系统发展的主要方向，用户的需求促进了入侵检测能力的不断提高，但同时还要兼顾易用性、可管理性等方面的要求27.攻击技术的发展趋势攻击行为（GJXW）的复杂化和综合化、gjxw的扩大化、gjxw的隐密性、对防护系统的gj、gjxw的网络化

28.入侵检测技术的发展趋势标准化的入侵检测、高速入侵检测、大规模分布式的入侵检测、多种技术的融合、实时入侵响应、入侵检测的评测、与其他安全技术的联动