防火墙的主要功能

电路级网关型防火墙

它监视两主机建立连接时的握手信息，从而判断该会话请求是否合法，它工作于会话层

状态包检测

网络层拦截输入包，并利用足够的企图连接的状态信息做出决策

包过滤防火墙

入侵者总是把他们伪装成来自于内部网。要用包过滤路由器来实现我们设计的安全规则，唯一的方法是通过参数网络上的包过滤路由器。只有处在这种位置上的包过滤路由器才能通过查看包的源地址，从而辨认出这个包到底是来自于内部网还是来自于外部网。

优点仅用一个放置在重要位置上的包过滤路由器就可保护整个网络

缺点包过滤规则配置和测试，找一个比较完整的包过滤产品比较困难

应用代理服务

运行在防火墙主机上的一些特定的应用程序或者服务程序。位于内部用户和外部服务之间。代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。

优点许用户“直接”访问因特网，适合于做日志

缺点落后于非代理服务，每个代理服务要求不同的服务器，要求对客户或程序进行修改，对某些服务来说是不合适，不能保

护你不受协议本身缺点的限制

PPTP与L2TP的比较

同PTP和L2TP都使用PPP协议对数据进行封装然后添加附加包头用于数据在互联网络上的传输

异：PPTP要求互联网络为IP网络，L2TP只要求隧道媒介提供面向数据包的点对点的连接。

PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。

L2TP可以提供包头压缩。当压缩包头时，系统开销占用4个字节，而PPTP协议下要占用6个字节。

L2TP可以提供隧道验证，而PPTP则不支持隧道验证。

GRE协议有如下优点缺点：

通过GRE，用户可以利用公共IP网络连接非IP网络VPN

通过GRE，还可以使用保留地址进行网络互联，或者对公网隐藏企业网的IP地址。

扩大了网络的工作范围，包括那些路由网关有限的协议。

只封装不加密，路由器性能影响较小，设备档次要求相对较低。

缺点只封装不加密，不能防止网络监听和攻击，所以在实际环境中经常与IPSec一起使用。

基于隧道的VPN实现方式，所以IPSec VPN在管理、组网上的缺陷，GRE VPN也同样具有。

对原有IP报文进行了重新封装，所以同样无法实施IP QoS策略。防火墙的主要功能

访问控制，内容控制，全面的日志

集中管理，自身的安全和可用性，

流量控制，NAT，VPN

防火墙的局限性

不能防范不经防火墙的攻击；不能防止感染病毒的软件或文件的传输；不能防止数据驱动式攻击；不能防止内部用户的破坏；不能防备不断更新的攻击

入侵检测就是通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出响应。

检测和分析系统事件以及用户的行为；测试系统设置的安全状态；系统的安全状态为基础，跟踪对系统安全的修改操作；通过模式识别等技术从通信行为中检测出已知的攻击行为；对网络通信行为进行统计检测分析；管理操作系统认证和日志机制并对产生的数据进行分析处理；在检测到攻击的时候，通过适当的方式进行适当报警处理；通过对分析引擎的配置对网络安全进行评估和监督；允许非安全领域的管理人员对重要的安全事件进行有效的处理。

异常检测技术和误用检测技术的比较

同：要搜集总结有关网络入侵行为的各种知识，或者系统及其用户的各种行为的知识。

异常检测：掌握被保护系统已知行为和预期行为的所有信息，不断地学习并更新已有的行为轮廓。

误用检测：拥有入侵行为的先验知识，识别入侵行为的过程细节，特征模式，检测出已有的入侵模式，不断地对新出现的入侵行为进行总结和归纳。

2配置方面，异常做的工作少，配置难度大，需要对系统和用户的行为轮廓进行不断的学习更新，需要大量的数据分析处理工作，要求管理员能够总结出被保护系统的所有正常行为状态，对系统的已知和期望行为进行全面的分析，但是误用检测允许管理员对入侵特征数据库进行修改，甚至允许管理员自己根据所发现的攻击行为创建新的网络入侵特征规则记录，工作量会显著增加。

3异常输出的检测结果，通常是在对实际行为与行为轮廓进行异常分析等相关处理后得出的，检测报告具有更多的数据量，误用将当前行为模式与已有行为模式进行匹配后产生检测结论，其输出内容是列举出入侵行为的类型和名称，以及提供相应的处理建议。ESP的传输模式与隧道模式比较

报文结构不同；ESP头部中的SPI和序号都不被加密；ESP隧道外部IP不加密也不验证；ESP隧道比传输更加安全；隧道占用更多的带宽

ESP与AN比较

ESP比AH多了数据包和数据流加密

传输模式中ESP不会对整个IP包进行验证，IP包头部不被验证，因此ESP无AH中的NA T模式冲突