1、過濾進、出網絡的數(shù)據

2、防止不安全的協議和(hé)服務

3、管理(lǐ)進、出網絡的訪問行(xíng)為(wèi)

4、記錄通(tōng)過防火(huǒ)牆的信息內(nèi)容

5、對網絡攻擊進行(xíng)檢測與警告

6、防止外部對內(nèi)部網絡信息的獲取

1、網絡層防火(huǒ)牆

一般是基于源地址和(hé)目的地址、應用、協議以及每個(gè)IP包的端口來(lái)作(zuò)出通(tōng)過與否的判斷。防火(huǒ)牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有(yǒu)一條規則能符合，防火(huǒ)牆就會(huì)使用默認規則，一般情況下，默認規則就是要求防火(huǒ)牆丢棄該包，其次，通(tōng)過定義基于TCP或UDP數(shù)據包的端口号，防火(huǒ)牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

2、應用層防火(huǒ)牆

傳統防火(huǒ)牆是主動安全的概念；

下一代防火(huǒ)牆

1、不能防止源于內(nèi)部的攻擊，不提供對內(nèi)部的保護

2、不能防病毒

3、不能根據網絡被惡意使用和(hé)攻擊的情況動态調整自己的策略

1、信息收集
  信息收集包括收集系統、網絡、數(shù)據及用戶活動的狀态和(hé)行(xíng)為(wèi)。入侵檢測利用的信息一般來(lái)自：系統和(hé)網絡日志(zhì)文件、非正常的目錄和(hé)文件改變、非正常的程序執行(xíng)這三個(gè)方面。
2、信号分析
  對收集到的有(yǒu)關系統、網絡、數(shù)據及用戶活動的狀态和(hé)行(xíng)為(wèi)等信息，是通(tōng)過模式匹配、統計(jì)分析和(hé)完整性分析這三種手段進行(xíng)分析的。前兩種用于實時(shí)入侵檢測，完整性分析用于事後分析。

3、告警與響應

它能夠提供安全審計(jì)、監視(shì)、攻擊識别和(hé)反攻擊等多(duō)項功能，對內(nèi)部攻擊、外部攻擊和(hé)誤操作(zuò)進行(xíng)實時(shí)監控，在網絡安全技(jì)術(shù)中起到了不可(kě)替代的作(zuò)用。

1、實時(shí)監測：實時(shí)地監視(shì)、分析網絡中所有(yǒu)的數(shù)據報文，發現并實時(shí)處理(lǐ)所捕獲的數(shù)據報文；

2、安全審計(jì)：對系統記錄的網絡事件進行(xíng)統計(jì)分析，發現異常現象，得(de)出系統的安全狀态，找出所需要的證據

1、基于主機的入侵檢測系統(HIDS)：基于主機的入侵檢測系統是早期的入侵檢測系統結構，通(tōng)常是軟件型的，直接安裝在需要保護的主機上(shàng)。其檢測的目标主要是主機系統和(hé)系統本地用戶，檢測原理(lǐ)是根據主機的審計(jì)數(shù)據和(hé)系統日志(zhì)發現可(kě)疑事件。
   這種檢測方式的優點主要有(yǒu)：信息更詳細、誤報率要低(dī)、部署靈活。這種方式的缺點主要有(yǒu)：會(huì)降低(dī)應用系統的性能；依賴于服務器(qì)原有(yǒu)的日志(zhì)與監視(shì)能力；代價較大(dà)；不能對網絡進行(xíng)監測；需安裝多(duō)個(gè)針對不同系統的檢測系統。

  1、誤報率高(gāo)：主要表現為(wèi)把良性流量誤認為(wèi)惡性流量進行(xíng)誤報。還(hái)有(yǒu)些(xiē)IDS産品會(huì)對用戶不關心事件的進行(xíng)誤報。

  2、産品适應能力差：傳統的IDS産品在開(kāi)發時(shí)沒有(yǒu)考慮特定網絡環境下的需求，适應能力差。入侵檢測産品要能适應當前網絡技(jì)術(shù)和(hé)設備的發展進行(xíng)動态調整，以适應不同環境的需求。

  3、大(dà)型網絡管理(lǐ)能力差：首先，要确保新的産品體(tǐ)系結構能夠支持數(shù)以百計(jì)的IDS傳感器(qì)；其次，要能夠處理(lǐ)傳感器(qì)産生(shēng)的告警事件；最後還(hái)要解決攻擊特征庫的建立，配置以及更新問題。

  4、缺少(shǎo)防禦功能：大(dà)多(duō)數(shù)IDS産品缺乏主動防禦功能。

  1、串行(xíng)部署的防火(huǒ)牆可(kě)以攔截低(dī)層攻擊行(xíng)為(wèi)，但(dàn)對應用層的深層攻擊行(xíng)為(wèi)無能為(wèi)力。

  2、旁路部署的IDS可(kě)以及時(shí)發現那(nà)些(xiē)穿透防火(huǒ)牆的深層攻擊行(xíng)為(wèi)，作(zuò)為(wèi)防火(huǒ)牆的有(yǒu)益補充，但(dàn)很(hěn)可(kě)惜的是無法實時(shí)的阻斷。

  3、IDS和(hé)防火(huǒ)牆聯動：通(tōng)過IDS來(lái)發現，通(tōng)過防火(huǒ)牆來(lái)阻斷。但(dàn)由于迄今為(wèi)止沒有(yǒu)統一的接口規範，加上(shàng)越來(lái)越頻發的“瞬間(jiān)攻擊”（一個(gè)會(huì)話(huà)就可(kě)以達成攻擊效果，如SQL注入、溢出攻擊等），使得(de)IDS與防火(huǒ)牆聯動在實際應用中的效果不顯著。

入侵檢測系統（IDS）對那(nà)些(xiē)異常的、可(kě)能是入侵行(xíng)為(wèi)的數(shù)據進行(xíng)檢測和(hé)報警，告知使用者網絡中的實時(shí)狀況，并提供相應的解決、處理(lǐ)方法，是一種側重于風險管理(lǐ)的安全産品。

入侵防禦系統（IPS）對那(nà)些(xiē)被明(míng)确判斷為(wèi)攻擊行(xíng)為(wèi)，會(huì)對網絡、數(shù)據造成危害的惡意行(xíng)為(wèi)進行(xíng)檢測和(hé)防禦，降低(dī)或是減免使用者對異常狀況的處理(lǐ)資源開(kāi)銷，是一種側重于風險控制(zhì)的安全産品。

1、入侵防護：實時(shí)、主動攔截黑(hēi)客攻擊、蠕蟲、網絡病毒、後門(mén)木馬、Dos等惡意流量，保護企業信息系統和(hé)網絡架構免受侵害，防止操作(zuò)系統和(hé)應用程序損壞或宕機。

2、Web安全：基于互聯網Web站(zhàn)點的挂馬檢測結果，結合URL信譽評價技(jì)術(shù)，保護用戶在訪問被植入木馬等惡意代碼的網站(zhàn)時(shí)不受侵害，及時(shí)、有(yǒu)效地第一時(shí)間(jiān)攔截Web威脅。

3、流量控制(zhì)：阻斷一切非授權用戶流量，管理(lǐ)合法網絡資源的利用，有(yǒu)效保證關鍵應用全天候暢通(tōng)無阻，通(tōng)過保護關鍵應用帶寬來(lái)不斷提升企業IT産出率和(hé)收益率。

嵌入式運行(xíng)：隻有(yǒu)以嵌入模式運行(xíng)的 IPS 設備才能夠實現實時(shí)的安全防護，實時(shí)阻攔所有(yǒu)可(kě)疑的數(shù)據包，并對該數(shù)據流的剩餘部分進行(xíng)攔截。

深入分析和(hé)控制(zhì)：IPS必須具有(yǒu)深入分析能力，以确定哪些(xiē)惡意流量已經被攔截，根據攻擊類型、策略等來(lái)确定哪些(xiē)流量應該被攔截。

入侵特征庫：高(gāo)質量的入侵特征庫是IPS高(gāo)效運行(xíng)的必要條件，IPS還(hái)應該定期升級入侵特征庫，并快速應用到所有(yǒu)傳感器(qì)。

1．基于特征的IPS

這是許多(duō)IPS解決方案中最常用的方法。把特征添加到設備中，可(kě)識别當前最常見的攻擊。也被稱為(wèi)模式匹配IPS。特征庫可(kě)以添加、調整和(hé)更新，以應對新的攻擊。

2. 基于異常的IPS

也被稱為(wèi)基于行(xíng)規的IPS。基于異常的方法可(kě)以用統計(jì)異常檢測和(hé)非統計(jì)異常檢測。

3、基于策略的IPS：

它更關心的是是否執行(xíng)組織的安保策略。如果檢測的活動違反了組織的安保策略就觸發報警。使用這種方法的IPS，要把安全策略寫入設備之中。

4.基于協議分析的IPS

可(kě)以對網站(zhàn)、系統、數(shù)據庫、端口、應用軟件等一些(xiē)網絡設備應用進行(xíng)智能識别掃描檢測，并對其檢測出的漏洞進行(xíng)報警提示管理(lǐ)人(rén)員進行(xíng)修複。同時(shí)可(kě)以對漏洞修複情況進行(xíng)監督并自動定時(shí)對漏洞進行(xíng)審計(jì)提高(gāo)漏洞修複效率。

1、定期的網絡安全自我檢測、評估

安全檢測可(kě)幫助客戶最大(dà)可(kě)能的消除安全隐患，盡可(kě)能早地發現安全漏洞并進行(xíng)修補，有(yǒu)效的利用已有(yǒu)系統，提高(gāo)網絡的運行(xíng)效率。

2、安裝新軟件、啓動新服務後的檢查

由于漏洞和(hé)安全隐患的形式多(duō)種多(duō)樣，安裝新軟件和(hé)啓動新服務都有(yǒu)可(kě)能使原來(lái)隐藏的漏洞暴露出來(lái)，因此進行(xíng)這些(xiē)操作(zuò)之後應該重新掃描系統，才能使安全得(de)到保障。

   3、網絡承擔重要任務前的安全性測試

4、網絡安全事故後的分析調查

網絡安全事故後可(kě)以通(tōng)過網絡漏洞掃描/網絡評估系統分析确定網絡被攻擊的漏洞所在，幫助彌補漏洞，盡可(kě)能多(duō)得(de)提供資料方便調查攻擊的來(lái)源。

5、重大(dà)網絡安全事件前的準備

1. 主機掃描：

确定在目标網絡上(shàng)的主機是否在線。

2. 端口掃描：

發現遠程主機開(kāi)放的端口以及服務。

3. OS識别技(jì)術(shù):

根據信息和(hé)協議棧判别操作(zuò)系統。

4. 漏洞檢測數(shù)據采集技(jì)術(shù)：

按照網絡、系統、數(shù)據庫進行(xíng)掃描。

5.智能端口識别、多(duō)重服務檢測、安全優化掃描、系統滲透掃描

  1.針對網絡的掃描器(qì)：基于網絡的掃描器(qì)就是通(tōng)過網絡來(lái)掃描遠程計(jì)算(suàn)機中的漏洞。價格相對來(lái)說比較便宜；在操作(zuò)過程中，不需要涉及到目标系統的管理(lǐ)員，在檢測過程中不需要在目标系統上(shàng)安裝任何東西；維護簡便。

  2.針對主機的掃描器(qì)：基于主機的掃描器(qì)則是在目标系統上(shàng)安裝了一個(gè)代理(lǐ)或者是服務，以便能夠訪問所有(yǒu)的文件與進程，這也使得(de)基于主機的掃描器(qì)能夠掃描到更多(duō)的漏洞。

 3.針對數(shù)據庫的掃描器(qì)：數(shù)據庫漏掃可(kě)以檢測出數(shù)據庫的DBMS漏洞、缺省配置、權限提升漏洞、緩沖區(qū)溢出、補丁未升級等自身漏洞。

1、獨立式部署：

在網絡中隻部署一台漏掃設備，接入網絡并進行(xíng)正确的配置即可(kě)正常使用，其工作(zuò)範圍通(tōng)常包含用戶企業的整個(gè)網絡地址。用戶可(kě)以從任意地址登錄漏掃系統并下達掃描評估任務，檢查任務的地址必須在産品和(hé)分配給此用戶的授權範圍內(nèi)。

2、多(duō)級式部署：

1、優點

  有(yǒu)利于及早發現問題，并從根本上(shàng)解決安全隐患。

2、不足

安全隔離閘門(mén)的功能模塊有(yǒu)：

1、阻斷網絡的直接物理(lǐ)連接：物理(lǐ)隔離網閘在任何時(shí)刻都隻能與非可(kě)信網絡和(hé)可(kě)信網絡上(shàng)之一相連接，而不能同時(shí)與兩個(gè)網絡連接；

2、阻斷網絡的邏輯連接：物理(lǐ)隔離網閘不依賴操作(zuò)系統、不支持TCP/IP協議。兩個(gè)網絡之間(jiān)的信息交換必須将TCP/IP協議剝離，将原始數(shù)據通(tōng)過P2P的非TCP/IP連接方式，通(tōng)過存儲介質的“寫入”與“讀出”完成數(shù)據轉發；

3、安全審查：物理(lǐ)隔離網閘具有(yǒu)安全審查功能，即網絡在将原始數(shù)據“寫入”物理(lǐ)隔離網閘前，根據需要對原始數(shù)據的安全性進行(xíng)檢查，把可(kě)能的病毒代碼、惡意攻擊代碼消滅幹淨等；

4、原始數(shù)據無危害性：物理(lǐ)隔離網閘轉發的原始數(shù)據，不具有(yǒu)攻擊或對網絡安全有(yǒu)害的特性。就像txt文本不會(huì)有(yǒu)病毒一樣，也不會(huì)執行(xíng)命令等。

5、管理(lǐ)和(hé)控制(zhì)功能：建立完善的日志(zhì)系統。

6、根據需要建立數(shù)據特征庫：在應用初始化階段，結合應用要求，提取應用數(shù)據的特征，形成用戶特有(yǒu)的數(shù)據特征庫，作(zuò)為(wèi)運行(xíng)過程中數(shù)據校(xiào)驗的基礎。當用戶請(qǐng)求時(shí)，提取用戶的應用數(shù)據，抽取數(shù)據特征和(hé)原始數(shù)據特征庫比較，符合原始特征庫的數(shù)據請(qǐng)求進入請(qǐng)求隊列，不符合的返回用戶，實現對數(shù)據的過濾。

7、根據需要提供定制(zhì)安全策略和(hé)傳輸策略的功能：用戶可(kě)以自行(xíng)設定數(shù)據的傳輸策略，如：傳輸單位（基于數(shù)據還(hái)是基于任務）、傳輸間(jiān)隔、傳輸方向、傳輸時(shí)間(jiān)、啓動時(shí)間(jiān)等。

安全隔離網閘的組成：

安全隔離網閘是實現兩個(gè)相互業務隔離的網絡之間(jiān)的數(shù)據交換，通(tōng)用的網閘模型設計(jì)一般分三個(gè)基本部分：

1、 內(nèi)網處理(lǐ)單元：包括內(nèi)網接口單元與內(nèi)網數(shù)據緩沖區(qū)。接口部分負責與內(nèi)網的連接，并終止內(nèi)網用戶的網絡連接，對數(shù)據進行(xíng)病毒檢測、防火(huǒ)牆、入侵防護等安全檢測後剝離出“純數(shù)據”，作(zuò)好交換的準備，也完成來(lái)自內(nèi)網對用戶身份的确認，确保數(shù)據的安全通(tōng)道(dào)；數(shù)據緩沖區(qū)是存放并調度剝離後的數(shù)據，負責與隔離交換單元的數(shù)據交換。

2、 外網處理(lǐ)單元：與內(nèi)網處理(lǐ)單元功能相同，但(dàn)處理(lǐ)的是外網連接。

3、 隔離與交換控制(zhì)單元（隔離硬件）：是網閘隔離控制(zhì)的擺渡控制(zhì)，控制(zhì)交換通(tōng)道(dào)的開(kāi)啓與關閉。控制(zhì)單元中包含一個(gè)數(shù)據交換區(qū)，就是數(shù)據交換中的擺渡船(chuán)。對交換通(tōng)道(dào)的控制(zhì)的方式目前有(yǒu)兩種技(jì)術(shù)，擺渡開(kāi)關與通(tōng)道(dào)控制(zhì)。擺渡開(kāi)關是電(diàn)子倒換開(kāi)關，讓數(shù)據交換區(qū)與內(nèi)外網在任意時(shí)刻的不同時(shí)連接，形成空(kōng)間(jiān)間(jiān)隔GAP，實現物理(lǐ)隔離。通(tōng)道(dào)方式是在內(nèi)外網之間(jiān)改變通(tōng)訊模式，中斷了內(nèi)外網的直接連接，采用私密的通(tōng)訊手段形成內(nèi)外網的物理(lǐ)隔離。該單元中有(yǒu)一個(gè)數(shù)據交換區(qū)，作(zuò)為(wèi)交換數(shù)據的中轉。

其中，三個(gè)單元都要求其軟件的操作(zuò)系統是安全的，也就是采用非通(tōng)用的操作(zuò)系統，或改造後的專用操作(zuò)系統。一般為(wèi)Unix BSD或Linux的經安全精簡版本，或者其他是嵌入式操作(zuò)系統等，但(dàn)都要對底層不需要的協議、服務删除，使用的協議優化改造，增加安全特性，同時(shí)提高(gāo)效率。

1、與物理(lǐ)隔離卡的區(qū)别

安全隔離網閘與物理(lǐ)隔離卡最主要的區(qū)别是，安全隔離網閘能夠實現兩個(gè)網絡間(jiān)的自動的安全适度的信息交換，而物理(lǐ)隔離卡隻能提供一台計(jì)算(suàn)機在兩個(gè)網之間(jiān)切換，并且需要手動操作(zuò)，大(dà)部分的隔離卡還(hái)要求系統重新啓動以便切換硬盤。

2、網絡交換信息的區(qū)别

安全隔離網閘在網絡間(jiān)進行(xíng)的安全适度的信息交換是在網絡之間(jiān)不存在鏈路層連接的情況下進行(xíng)的。安全隔離網閘直接處理(lǐ)網絡間(jiān)的應用層數(shù)據，利用存儲轉發的方法進行(xíng)應用數(shù)據的交換，在交換的同時(shí)，對應用數(shù)據進行(xíng)的各種安全檢查。路由器(qì)、交換機則保持鏈路層暢通(tōng)，在鏈路層之上(shàng)進行(xíng)IP包等網絡層數(shù)據的直接轉發，沒有(yǒu)考慮網絡安全和(hé)數(shù)據安全的問題。

3、與防火(huǒ)牆的區(qū)别

1、涉密網與非涉密網之間(jiān)

2、局域網與互聯網之間(jiān)（內(nèi)網與外網之間(jiān)）

3、辦公網與業務網之間(jiān)