安全技術(shù)和防火墻

1.1 安全技術(shù)

• 入侵檢測與管理系統(tǒng)（Intrusion Detection Systems）：特點是不阻斷任何網(wǎng)絡(luò)訪問，量化、定位來自內(nèi)外網(wǎng)絡(luò)的威脅情況，主要以提供報告和事后監(jiān)督為主，提供有針對性的指導(dǎo)措施和安全決策依據(jù)。一般采用旁路部署方式
• 入侵防御系統(tǒng)（Intrusion Prevention System）：以透明模式工作，分析數(shù)據(jù)包的內(nèi)容如：溢出攻擊、拒絕服務(wù)攻擊、木馬、蠕蟲、系統(tǒng)漏洞等進行準確的分析判斷，在判定為攻擊行為后立即予以阻斷，主動而有效的保護網(wǎng)絡(luò)的安全，一般采用在線部署方式
• 防火墻（ FireWall ）：隔離功能，工作在網(wǎng)絡(luò)或主機邊緣，對進出網(wǎng)絡(luò)或主機的數(shù)據(jù)包基于一定的規(guī)則檢查，并在匹配某規(guī)則時由規(guī)則定義的行為進行處理的一組功能的組件，基本上的實現(xiàn)都是默認情況下關(guān)閉所有的通過型訪問，只開放允許訪問的策略

1.2 防火墻的分類

按保護范圍劃分：

• 主機防火墻：服務(wù)范圍為當前一臺主機
• 網(wǎng)絡(luò)防火墻：服務(wù)范圍為防火墻一側(cè)的局域網(wǎng)

按實現(xiàn)方式劃分:

• 硬件防火墻：在專用硬件級別實現(xiàn)部分功能的防火墻；另一個部分功能基于軟件實現(xiàn)，如：華為，天融信Checkpoint，NetScreen等
• 軟件防火墻：運行于通用硬件平臺之上的防火墻的應(yīng)用軟件，ISA –> Forefront TMG

按網(wǎng)絡(luò)協(xié)議劃分：

• 網(wǎng)絡(luò)層防火墻：OSI模型下四層，又稱為包過濾防火墻
• 應(yīng)用層防火墻/代理服務(wù)器：代理網(wǎng)關(guān)，OSI模型七層

包過濾防火墻

網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制列表（ACL），通過檢查數(shù)據(jù)流中每個數(shù)據(jù)的源地址，目的地址，所用端口號和協(xié)議狀態(tài)等因素，或他們的組合來確定是否允許該數(shù)據(jù)包通過
優(yōu)點：對用戶來說透明，處理速度快且易于維護
缺點：無法檢查應(yīng)用層數(shù)據(jù)，如病毒等

應(yīng)用層防火墻

應(yīng)用層防火墻/代理服務(wù)型防火墻，也稱為代理服務(wù)器（Proxy Server)
將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段
內(nèi)外網(wǎng)用戶的訪問都是通過代理服務(wù)器上的“鏈接”來實現(xiàn)
優(yōu)點：在應(yīng)用層對數(shù)據(jù)進行檢查，比較安全
缺點：增加防火墻的負載

提示：現(xiàn)實生產(chǎn)環(huán)境中所使用的防火墻一般都是二者結(jié)合體，即先檢查網(wǎng)絡(luò)數(shù)據(jù)，通過之后再送到應(yīng)用層去檢查

參考鏈接：http://www.yunweipai.com/35035.html

與50位技術(shù)專家面對面20年技術(shù)見證，附贈技術(shù)全景圖

總結(jié)

以上是生活随笔為你收集整理的Linux安全技术和防火墙介绍的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。