網路安全系統

隨著計算機網路的不斷發展，全球信息化已成為人類發展的大趨勢。但由於計算機網路具有聯結形式多樣性、終端分布不均勻性和網路的開放性、互連性等特徵，致使網路易受黑客、怪客、惡意軟體和其他不軌的攻擊。那么，為了防止和避免遭受攻擊和入侵，以確保網上信息的安全，網路安全系統起到了很大的作用。當前套用較為廣泛的三類常見網路安全系統——防火牆、IDS(網路入侵檢測系統)、IPS(入侵防禦系統)。

防火牆是目前最成熟的網路安全技術，也是市場上最常見的網路安全產品，在網際網路上是一種非常有效的網路安全工具。它主要是通過對外界禁止，以保護內部網路的信息和結構。它是設定在內部可信網路和外部不可信網路之間的屏障，可以通過實施比較廣泛的安全策略來控制信息流入可信網路，防止不可預料的潛在的入侵破壞，它也能限制可信網路中的用戶對外部網路的非授權訪問，也因此削弱了網路的功能。

一般的防火牆都可以達到以下目的：一是可以限制他人進入內部網路，過濾掉不安全服務和非法用戶；二是防止入侵者接近你的防禦設施；三是限定用戶訪問特殊站點；四是為監視fnternet安全提供方便。由於防火牆假設了網路邊界和服務，因此適合於相對獨立的網路。目前防火牆已經在Internet上得到了廣泛的套用，而且由於防火牆不限於TCP/IP協定的特點，也使其逐步在fnternet之外更具生命力。

防火牆不是萬能的，它具有如下缺點：一是防火牆可以阻斷攻擊，但不能消滅攻擊源；二是防火牆不能抵抗最新的未設定策略的攻擊漏洞；三是防火牆對伺服器合法開放的連線埠的攻擊大多無法阻止；四是防火牆不能解決來自內部網路的攻擊和安全問題；五是防火牆本身也會出現問題和受到攻擊；六是防火牆不處理病毒，不能防止受病毒感染的檔案的傳輸等等。因此，客觀地講，防火牆並不是解決網路安全問題的萬能藥方，而只是網路安全政策和策略中的一個組成部分。

IDS是繼“防火牆”、“信息加密”等傳統安全保護方法之後的新一代安全保障技術。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術。它通過對計算機網路或計算機系統中的若干關鍵點收集信息並對其進行分析，從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。IDS一般位於內部網的入口處，安裝在防火牆的後面，用於檢測入侵和內部用戶的非法活動，提供對內部攻擊、外部攻擊和誤操作的實時保護，在網路系統受到危害之前進行攔截和入侵處理。它可在不影響網路性能的情況下對網路進行監聽，從而實現對網路的保護。

IDS能檢測到的攻擊類型常見的是：系統掃描(SystemScanning)、拒絕服務(Deny of Service)和系統滲透(System Penetration ) 。IDS對攻擊的檢測方法主要有：被動、非線上地發現和實時、線上地發現計算機網路中的攻擊者。IDS的主要優勢是監聽網路流量，但又不會影響網路的性能。作為對防火牆的有益補充，IDS能夠幫助網路系統快速發現網路攻擊的發生，可擴展系統管理員的安全管理能力，包括安全審計、監視、進攻識別和回響等，從而提高了信息安全基礎結構的完整性，被認為是繼防火牆之後的第二道安全閘門。

IDS技術的一大優點是只需收集相關的數據集合，可顯著減少系統負擔，且技術已相當成熟。它與防火牆採用的方法一樣，檢測準確率和效率都相當高。IDS的缺點是需要不斷升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段，同時其本身的抗攻擊能力差。

由於IDS和防火牆分別用於不同的目的，因此通常情況下可以同時選擇使用IDS和防火牆，以便更好地保護系統。但是IDS和防火牆聯動後，其穩定性並不是很理想，特別是攻擊者有可能利用偽造的包信息，讓IDS錯誤判斷，進而錯誤指揮防火牆，從而將合法的地址禁止掉。

IPS是一種主動的、智慧型的入侵檢測、防範、阻止系統，它不但能檢測入侵的發生，而且能通過一定的回響方式，實時地終止入侵行為的發生和發展，實時地保護信息系統不受實質性攻擊的一種智慧型化的安全產品。IPS不僅能實現檢測攻擊，還能有效阻斷攻擊，它提供深層防護，注重主動防禦，可以說IPS是基於IDS的、建立在IDS發展基礎上的新生網路安全產品。

IPS實現實時檢查和阻止入侵的原理是：IPS擁有數目眾多的過濾器，能夠防止各種攻擊。針對不同的攻擊行為，IPS設計不同的過濾器。每一種過濾器設定其相應的過濾規則，從而確保其準確性。當有新的攻擊手段被發現，IPS就會創建一個新的過濾器，同時設定其相應的過濾規則。IPS數據包處理引擎是專業化定製的積體電路，可以深層檢查數據包的內容。依據數據包中報頭信息，所有流經IPS的數據包將被分類，如源IP位址和目的IP位址、連線埠號和套用域等。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。過濾器引擎集合了流水和大規模並行處理硬體，能夠同時執行數千次的數據包過濾檢查，從而確保數據包能夠不間斷地快速通過系統，不會對速度造成影響。IPS的關鍵技術是:主動防禦技術、防火牆與IPS互動技術、集成多種檢測技術和硬體加速系統。其主要技術特徵是：嵌入式運行模式、完善的安全策略、高質量的入侵特徵庫、高效處理數據包的能力和強大的回響功能。

IPS在很多方面融合了其他產品的一些特點，並作了很多方面的改進，但目前IPS的技術還不是很成熟，它所面臨的挑戰主要有：單點故障、性能瓶頸、誤報和漏報等。其存在的最大隱患是有可能引起誤操作，這種“主動性”誤操作會阻塞合法的網路事件，最終影響到商務操作和客戶信任度。它比較適合於組織大範圍的、針對性不是很強的攻擊。

三者相比，防火牆是外圍警戒，充當著防護的第一層，可根據指定的策略決定哪些流量可以通過，哪些不能；IPS的功能則比較單一，它是防護的第二層，它可以檢測出在網路中自由流動的通信中存在的攻擊信息，可對防火牆所不能過濾的攻擊進行過濾，是防火牆的有效補充。IPS與IDS相比較，在入侵檢測技術上它們都採用特徵庫、基於協定分析和異常檢測等方式進行檢測。不同的是，IDS只是在惡意流量傳送時或傳送後才發出報警，其系統的策略更新需要大量的人的參與；而IPS則可提供前瞻性的防護，其設計的宗旨在於預先攔截入侵活動和攻擊性網路流量。IPS增加了線上連線和網路數據阻斷兩個新的特徵，因此IPS的安全策略更新可以是線上的、自動的，類似於通常所說的網橋式防火牆。強大的回響功能即進行主動防禦的保障是IPS區別與IDS的最顯著的特點。

總的來說，目前，防火牆和IDS在網路安全市場中占主導地位。防火牆是網關形式，要求高性能和高可靠性。因此防火牆注重吞吐率、延時、HA等方面的要求，並且其傳輸要求也非常高。但是防火牆不能避免蠕蟲的泛濫、垃圾郵件、病毒傳播、拒絕服務等，在新出現的安全攻擊事件中，顯得無能為力。IDS是主流的入侵檢測技術。它是一個以檢測和發現為特徵的技術行為，其追求的是漏報率和誤報率的降低，具有較高的技術特徵，但其最大的問題在於只能檢測攻擊，不能阻止攻擊。而IPS可以說是將防火牆，IDS、防病毒和脆弱性評估等技術的優點與自動防止攻擊的功能融為一體的安全產品，其最顯著的特徵是具有主動防禦功能。但由於當前其技術發展的不成熟，因此將IPS與防火牆、IDS等網路安全技術相結合才能有效保證網路的安全。