防火墙效率

吞吐量：指防火墙在不丢失数据包的情况下能达到的最大的转发数据报的速率。
时延：能够衡量出防火墙处理数据的快慢。
丢包率：在特定负载下，指应由网络设备传输，但由资源耗尽而丢弃帧的百分比。
背对背：指从空闲状态开始，已达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时所发送的帧数。
并发连接数：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数，并发连接数的测试主要用来测试被防火墙建立和维持TCP连接的性能。

防火墙分类

1. 包过滤防火墙

是防火墙在网络层中根据数据包中包头信息有选择的实施允许或阻断。依据防火墙内实现设定的过滤规则，检查数据流中每个数据包头部，根据数据报的源地址、目的地址、TCP/UDP 源端口号、TCP/UDP目的端口号、以及数据包头部的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤规则的设计。

2. 应用网关技术

是建立在应用层上的协议国旅，它针对数据过滤协议，并能够对数据包进行分析并形成相关报告。
优点是：易于记录并控制所有的进出通信，对Inernet的访问做到内容级的过滤，
缺点是需要为每种应用写不同的代码，维护比较困难，速度慢。

3. 状态检测防火墙

建立在传输层和应用层之间。目前主流防火墙。不限于包过滤防火墙，有不需要应用层网关防火墙，既提供了比包过滤防火墙更高的安全性和更灵活性的处理，也避免了应用层网关防火墙带来的速度降低问题。

核心是实现连接的跟踪功能。

4. 代理防火墙

作用在应用层，用来提供应用层服务的控制，在内部网络向外部网络申请服务时起到中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其他节点的直接请求。

缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制，而每一种网络应用服务的安全问题各不相同，分析困难。

防火墙体系结构

1. 双重宿主主机体系结构

结构比较简单，它连接内部网络和外部网络。相当于内部网络和外部网络的跳板，能够提供级别比较高的控制，可以完全禁止外部网络对内部网络的访问。

2. 被屏蔽主机体系结构

上面的结构没有使用路由器，而被屏蔽主机体系结构防火墙则使用了一个路由器把内部网络和外部网络隔离开，这种体系结构中，主要的安全由数据报过滤提供。

并包括了堡垒主机，堡垒主机是Internet上的主机能连到的唯一的内部网络上的系统。任何外部系统要访问内部系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。

在屏蔽路由器上设置数据包过滤策略，让所有的外部连接只能到达内部堡垒主机，如收发电子邮件。

3. 被屏蔽子网体系结构

被屏蔽子网体系结构将额外的安全层添加到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络隔离开。

周边网络是一个被隔离的独立子网，充当了内部网络和外部网络的缓冲区，在内部网络与外部网络之间形成了一个“隔离带”。这就构成一个所谓的“非军事区（DMZ）”，DMZ就是周边网络。

被屏蔽子网体系结构的最简单的形式是两个屏蔽路由器，每一个都连接到周边网络。一个位于周边网络与内部网络之间，另一个位于周边网络与外部网络之间。

有的屏蔽字网中还设有一个堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。

堡垒主机

在防火墙体系中，堡垒主机要高度暴露，是在Internet上公开的，是网络上最容易遭受非法入侵的设备。
要点如下：

选择合适的操作系统。需要可好性好、支持性好、可配置性好。
堡垒主机的安装位置。应该安装在不传输保密信息的网络上，最好处于一个独立网络中，如DMZ。
需要提供内部网络访问Internet的服务，以及向internt提供服务。
保护系统日志
监测和备份。

入侵检测系统

防火墙试图在入侵行为发生之前阻止所有可以的通信。但是事实不可能阻止所有的入侵行为，有必要采取措施在入侵已经开始，但还没有造成危害或在造成更大危害前，即使检测到入侵，以便尽快阻止入侵，把危害降低到最小。

入侵检测系统IDS正是这样一种技术。IDS对进入网络的分组执行深度分组检查，当观察到可疑分组时，向网络管理员发出告警或执行阻断操作（由于IDS的“误报”率通常较高，多数情况不执行自动阻断）

IDS能用于检测多种网络攻击，包括网络映射、端口扫描、DoS攻击、蠕虫和病毒、系统漏洞攻击等。

入侵检测方法一般可以分为：基于特征的入侵检测和基于异常的入侵检测两种。

**基于特征的IDS（又称基于主机的入侵检测系统）**维护一个所有已知攻击标志性特征的数据库。每个特征是一个与某种入侵活动相关联的规则集，这些规则可能基于单个分组的首部字段值或数据中特定比特串。当发现有与某种攻击特征匹配的分组或分组序列时，则认为可能检测到某种入侵行为。基于特征的IDS只能检测到已知攻击，对于未知攻击则束手无策。

**基于异常的IDS（又称基于网络的入侵检测系统）**通过观察正常运行的网络流量，学习正常流量的统计特性和规律，当检测到网络中流量的某种统计规律不符合正常情况时，则认为可能发生了入侵行为。例如，当攻击者在对内网主机进行ping搜索时，导致ICMP ping报文突然大量增加，与正常的统计规律有明显不同。

但区分正常流和统计异常流是一个非常困难的事情。大部分部署IDS主要是基于特征的，尽管某些IDS包括了某些基于异常特性。

网络安全-防火墙与入侵检测系统相关推荐

检查数据报：防火墙和入侵检测系统
当攻击者知道我们的IP地址范围后,可以很方便地在此范围种发送IP数据报进行寻址.这些数据报能够做各种不正当地事情.例如用ping搜索和端口扫描形成我们的网络图:用恶意分装使易受攻击的主机崩溃:用纷至沓 ...
防火墙与入侵检测系统
防火墙与入侵检测系统的区别(为什么说有了防火墙就不需要入侵检测系统这个说法是错误的?) 1.def: 防火墙:设置在被保护网络与外部网络之间,用来防止发生不可预测的,潜在的破坏行为.它通过检测通过防火 ...
计算机网络4小时速成：网络安全，被动攻击，主动攻击，对称加密，公钥秘钥，数字签名，鉴别，网络层安全协议IPsec，传输层安全协议SSL，防火墙，入侵检测系统
计算机网络4小时速成:网络安全,被动攻击,主动攻击,对称加密,公钥秘钥,数字签名,鉴别,网络层安全协议IPsec,传输层安全协议SSL,防火墙,入侵检测系统 2022找工作是学历.能力和运气的超强结合 ...
网络安全之入侵检测系统
一入侵检测定义入侵:指一系列试图破坏信息资源机密性.完整性和可用性的行为.对信息系统的非授权访问及(或)未经许可在信息系统中进行操作. 入侵检测:是通过从计算机网络系统中的若干关键节点收集信息,并 ...
网络安全实验-入侵检测-基于网络入侵检测系统
实验目的: 1.掌握snort IDS工作机理 2.应用snort三种方式工作 3.熟练编写snort规则实验原理: 一．snort IDS概述 snort IDS(入侵检测系统)是一个强大的网络 ...
防火墙／入侵防护系统IPS
不断增加和黑客攻击数据的不断提高,使得传统的防火墙或入侵检测技术无法满足现代网络安全的需要,而入侵防护技术的产生正是适应了这种要求. 防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符 ...
【计算机系统和网络安全技术】第九章：防火墙与入侵防御系统
第九章:防火墙与入侵防御系统 1.防火墙的必要性与Internet的连接性的非常重要的 • 会对机构产生威胁 • 保护局域网的一种有效方式 • 防火墙设置在驻地网和 Internet 之间,以建立二 ...
信息安全体系建设☞开源入侵检测系统NIDS
我们之前提到在边界处搭建信息安全体系,需要依赖防火墙,但是防火墙就像我们生活当中的一扇门,只是负责开和关我们不能够感知到是谁进来或者谁出去.比如说我们在制定防火墙策略的时候,我们制定的规则是人可以出去 ...
计算机网络安全中应用入侵检测技术
1.计算机网络常见入侵方式针对计算机网络的入侵主要指通过相应计算机程序在物理设施上进行的破坏,又或者编写的程序代码或计算机指令实现对未授权文件或网络的非法访问.继而入侵至网络中的行为.当前常见的计算 ...

网络安全-防火墙与入侵检测系统