安全技術和防火墻

1.1 安全技術

• 入侵檢測與管理系統（Intrusion Detection Systems）：特點是不阻斷任何網絡訪問，量化、定位來自內外網絡的威脅情況，主要以提供報告和事后監督為主，提供有針對性的指導措施和安全決策依據。一般采用旁路部署方式
• 入侵防御系統（Intrusion Prevention System）：以透明模式工作，分析數據包的內容如：溢出攻擊、拒絕服務攻擊、木馬、蠕蟲、系統漏洞等進行準確的分析判斷，在判定為攻擊行為后立即予以阻斷，主動而有效的保護網絡的安全，一般采用在線部署方式
• 防火墻（ FireWall ）：隔離功能，工作在網絡或主機邊緣，對進出網絡或主機的數據包基于一定的規則檢查，并在匹配某規則時由規則定義的行為進行處理的一組功能的組件，基本上的實現都是默認情況下關閉所有的通過型訪問，只開放允許訪問的策略

1.2 防火墻的分類

按保護范圍劃分：

• 主機防火墻：服務范圍為當前一臺主機
• 網絡防火墻：服務范圍為防火墻一側的局域網

按實現方式劃分:

• 硬件防火墻：在專用硬件級別實現部分功能的防火墻；另一個部分功能基于軟件實現，如：華為，天融信Checkpoint，NetScreen等
• 軟件防火墻：運行于通用硬件平臺之上的防火墻的應用軟件，ISA –> Forefront TMG

按網絡協議劃分：

• 網絡層防火墻：OSI模型下四層，又稱為包過濾防火墻
• 應用層防火墻/代理服務器：代理網關，OSI模型七層

包過濾防火墻

網絡層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯，被稱為訪問控制列表（ACL），通過檢查數據流中每個數據的源地址，目的地址，所用端口號和協議狀態等因素，或他們的組合來確定是否允許該數據包通過
優點：對用戶來說透明，處理速度快且易于維護
缺點：無法檢查應用層數據，如病毒等

應用層防火墻

應用層防火墻/代理服務型防火墻，也稱為代理服務器（Proxy Server)
將所有跨越防火墻的網絡通信鏈路分為兩段
內外網用戶的訪問都是通過代理服務器上的“鏈接”來實現
優點：在應用層對數據進行檢查，比較安全
缺點：增加防火墻的負載

提示：現實生產環境中所使用的防火墻一般都是二者結合體，即先檢查網絡數據，通過之后再送到應用層去檢查

參考鏈接：http://www.yunweipai.com/35035.html

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的Linux安全技术和防火墙介绍的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。