④ 防火墙技术

防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域与安全区域的连接，同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量，仅让安全、核准了的信息进入，同时又抵制对企业构成威胁的数据。目前的防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙3种类型，并在计算机网络得到了广泛的应用。 

一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成的。屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志以及另外一些IP选项，对IP包进行过滤。代理服务器是防火墙中的一个服务器进程，它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关，一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用，比如Telnet或者FTP，同代理服务器打交道，代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后，代理服务器连通远程主机，为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。 

随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络。防火墙可以达到以下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近你的防御设施；三是限定用户访问特殊站点；四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务，因此更适合于相对独立的网络，例如Intranet等种类相对集中的网络。 

⑤ 入侵检测技术

随着网络安全风险系数不断提高，作为对防火墙及其有益的补充，IDS（入侵检测系统）能够帮助网络系统快速发现攻击的发生，它扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。 

入侵检测系统是一种对网络活动进行实时监测的专用系统，该系统处于防火墙之后，可以和防火墙及路由器配合工作，用来检查一个LAN网段上的所有通信，记录和禁止网络活动，可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析，通过集中控制台来管理、检测。

理想的入侵检测系统的功能主要有： 

— 用户和系统活动的监视与分析； 

— 系统配置极其脆弱性分析和审计； 

— 异常行为模式的统计分析； 

— 重要系统和数据文件的完整性监测和评估； 

— 操作系统的安全审计和管理； 

— 入侵模式的识别与响应，包括切断网络连接、记录事件和报警等。 

本质上，入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动地、无声息地收集它所关心的报文即可。目前，IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析：特征库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。 

各种相关网络安全的黑客和病毒都是依赖网络平台进行的，而如果在网络平台上就能切断黑客和病毒的传播途径，那么就能更好地保证安全。这样，就出现了网络设备与IDS设备的联动。IDS与网络交换设备联动，是指交换机或防火墙在运行的过程中，将各种数据流的信息上报给安全设备，IDS系统可根据上报信息和数据流内容进行检测，在发现网络安全事件的时候，进行有针对性的动作，并将这些对安全事件反应的动作发送到交换机或防火墙上，由交换机或防火墙来实现精确端口的关闭和断开，这就是入侵防御系统（IPS）。IPS技术是在IDS监测的功能上又增加了主动响应的功能，力求做到一旦发现有攻击行为，立即响应，主动切断连接。