ips和防火墻有哪些區別
IPS(入侵防御系統)
入侵防御系統(IPS: Intrusion Prevention System)是電腦網絡安全設施,是對防病毒軟件(Antivirus Programs)和防火墻(Packet Filter, Application Gateway)的補充。 入侵防御系統(Intrusion-prevention system)是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。
IPS
網絡安全
隨著電腦的廣泛應用和網絡的不斷普及,來自網絡內部和外部的危險和犯罪也日益增多。20年前,電腦病毒主要通過軟盤傳播。后來,用戶打開帶有病毒的電子信函附件,就可以觸發附件所帶的病毒。以前,病毒的擴散比較慢,防毒軟體的開發商有足夠的時間從容研究病毒,開發防病毒、殺病毒軟件。而今天,不僅病毒數量劇增,質量提高,而且通過網絡快速傳播,在短短的幾小時內就能傳遍全世界。有的病毒還會在傳播過程中改變形態,使防毒軟件失效。
目前流行的攻擊程序和有害代碼如 DoS (Denial of Service 拒絕服務),DDoS (Distributed DoS 分布式拒絕服務),暴力猜解(Brut-Force-Attack),端口掃描(Portscan),嗅探,病毒,蠕蟲,垃圾郵件,木馬等等。此外還有利用軟件的漏洞和缺陷鉆空子、干壞事,讓人防不勝防。
網絡入侵方式越來越多,有的充分利用防火墻放行許可,有的則使防毒軟件失效。比如,在病毒剛進入網路的時候,還沒有一個廠家迅速開發出相應的辨認和撲滅程序,于是這種全新的病毒就很快大肆擴散、肆虐于網路、危害單機或網絡資源,這就是所謂Zero Day Attack。
防火墻可以根據IP地址(IP-Addresses)或服務端口(Ports)過濾數據包。但是,它對于利用合法IP地址和端口而從事的破壞活動則無能為力。因為,防火墻極少深入數據包檢查內容。即使使用了DPI技術(Deep Packet Inspection 深度包檢測技術),其本身也面臨著許多挑戰。
每種攻擊代碼都具有只屬于它自己的特征 (signature), 病毒之間通過各自不同的特征互相區別,同時也與正常的應用程序代碼相區別。殺毒軟件就是通過儲存所有已知的病毒特征來辨認病毒的。
在ISO/OSI網絡層次模型(見OSI模型) 中,防火墻主要在第二到第四層起作用,它的作用在第四到第七層一般很微弱。而除病毒軟件主要在第五到第七層起作用。為了彌補防火墻和除病毒軟件二者在第四到第五層之間留下的空檔,幾年前,工業界已經有入侵偵查系統(IDS: Intrusion Detection System)投入使用。入侵偵查系統在發現異常情況后及時向網路安全管理人員或防火墻系統發出警報。可惜這時災害往往已經形成。雖然,亡羊補牢,尤未為晚,但是,防衛機制最好應該是在危害形成之前先期起作用。隨后應運而生的入侵響應系統(IRS: Intrusion Response Systems) 作為對入侵偵查系統的補充能夠在發現入侵時,迅速作出反應,并自動采取阻止措施。而入侵預防系統則作為二者的進一步發展,汲取了二者的長處。
入侵預防系統也像入侵偵查系統一樣,專門深入網絡數據內部,查找它所認識的攻擊代碼特征,過濾有害數據流,丟棄有害數據包,并進行記載,以便事后分析。除此之外,更重要的是,大多數入侵預防系統同時結合考慮應用程序或網路傳輸中的異常情況,來輔助識別入侵和攻擊。比如,用戶或用戶程序違反安全條例、數據包在不應該出現的時段出現、作業系統或應用程序弱點的空子正在被利用等等現象。入侵預防系統雖然也考慮已知病毒特征,但是它并不僅僅依賴于已知病毒特征。
應用入侵預防系統的目的在于及時識別攻擊程序或有害代碼及其克隆和變種,采取預防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵預防系統一般作為防火墻 和防病毒軟件的補充來投入使用。在必要時,它還可以為追究攻擊者的刑事責任而提供法律上有效的證據 (forensic)。
產生原因
A:串行部署的防火墻可以攔截低層攻擊行為,但對應用層的深層攻擊行為無能為力。
B:旁路部署的IDS可以及時發現那些穿透防火墻的深層攻擊行為,作為防火墻的有益補充,但很可惜的是無法實時的阻斷。
C:IDS和防火墻聯動:通過IDS來發現,通過防火墻來阻斷。但由于迄今為止沒有統一的接口規范,加上越來越頻發的“瞬間攻擊”(一個會話就可以達成攻擊效果,如SQL注入、溢出攻擊等),使得IDS與防火墻聯動在實際應用中的效果不顯著。
這就是IPS產品的起源:一種能防御防火墻所不能防御的深層入侵威脅(入侵檢測技術)的在線部署(防火墻方式)安全產品。由于用戶發現了一些無法控制的入侵威脅行為,這也正是IDS的作用。
入侵檢測系統(IDS)對那些異常的、可能是入侵行為的數據進行檢測和報警,告知使用者網絡中的實時狀況,并提供相應的解決、處理方法,是一種側重于風險管理的安全產品。
入侵防御系統(IPS)對那些被明確判斷為攻擊行為,會對網絡、數據造成危害的惡意行為進行檢測和防御,降低或是減免使用者對異常狀況的處理資源開銷,是一種側重于風險控制的安全產品。
這也解釋了IDS和IPS的關系,并非取代和互斥,而是相互協作:沒有部署IDS的時候,只能是憑感覺判斷,應該在什么地方部署什么樣的安全產品,通過IDS的廣泛部署,了解了網絡的當前實時狀況,據此狀況可進一步判斷應該在何處部署何類安全產品(IPS等)。
入侵預防技術
* 異常偵查。正如入侵偵查系統, 入侵預防系統知道正常數據以及數據之間關系的通常的樣子,可以對照識別異常。
* 在遇到動態代碼(ActiveX, JavaApplet,各種指令語言script languages等等)時,先把它們放在沙盤內,觀察其行為動向,如果發現有可疑情況,則停止傳輸,禁止執行。
* 有些入侵預防系統結合協議異常、傳輸異常和特征偵查,對通過網關或防火墻進入網路內部的有害代碼實行有效阻止。
* 核心基礎上的防護機制。用戶程序通過系統指令享用資源 (如存儲區、輸入輸出設備、中央處理器等)。入侵預防系統可以截獲有害的系統請求。
* 對Library、Registry、重要文件和重要的文件夾進行防守和保護。
入侵預防系統類型
投入使用的入侵預防系統按其用途進一步可以劃分為單機入侵預防系統
(HIPS: Hostbased Intrusion Prevension System)和網路入侵預防系統
(NIPS: Network Intrusion Prevension System)兩種類型。
網絡入侵預防系統作為網路之間或網路組成部分之間的獨立的硬體設備,切斷交通,對過往包裹進行深層檢查,然后確定是否放行。網路入侵預防系統藉助病毒特征和協議異常,阻止有害代碼傳播。有一些網路入侵預防系統還能夠跟蹤和標記對可疑代碼的回答,然后,看誰使用這些回答信息而請求連接,這樣就能更好地確認發生了入侵事件。
根據有害代碼通常潛伏于正常程序代碼中間、伺機運行的特點,單機入侵預防系統監視正常程序,比如Internet Explorer,Outlook,等等,在它們(確切地說,其實是它們所夾帶的有害代碼)向作業系統發出請求指令,改寫系統文件,建立對外連接時,進行有效阻止,從而保護網路中重要的單個機器設備,如伺服器、路由器、防火墻等等。這時,它不需要求助于已知病毒特征和事先設定的安全規則。總地來說,單機入侵預防系統能使大部分鉆空子行為無法得逞。我們知道,入侵是指有害代碼首先到達目的地,然后干壞事。然而,即使它僥幸突破防火墻等各種防線,得以到達目的地,但是由于有了入侵預防系統,有害代碼最終還是無法起到它要起的作用,不能達到它要達到的目的。
2000年:Network ICE公司在2000年9月18日推出了業界第一款IPS產品—BlackICE Guard,它第一次把基于旁路檢測的IDS技術用于在線模式,直接分析網絡流量,并把惡意包丟棄。 2002~2003年:這段時期IPS得到了快速發展。當時隨著產品的不斷發展和市場的認可,歐美一些安全大公司通過收購小公司的方式獲得IPS技術,推出自己的IPS產品。比如ISS公司收購Network ICE公司,發布了Proventia;NetScreen公司收購OneSecure公司,推出NetScreen-IDP;McAfee公司收購Intruvert公司,推出IntruShield。思科、賽門鐵克、TippingPoint等公司也發布了IPS產品。
2005年9月綠盟科技發布國內第一款擁有完全自主知識產權的IPS產品,2007年聯想網御、啟明星辰、天融信等國內安全公司分別通過技術合作、OEM等多種方式發布各自的IPS產品。
防火墻
防火墻(Firewall),也稱防護墻,是由Check Point創立者Gil Shwed于1993年發明并引入國際互聯網(US5606668(A)1993-12-15)。它是一種位于內部網絡與外部網絡之間的網絡安全系統。一項信息安全的防護系統,依照特定的規則,允許或是限制傳輸的數據通過。
詳細解釋
所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說法,它是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成,防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻。
在網絡中,所謂“防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說,如果不通過防火墻,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
什么是防火墻
XP系統相比于以往的Windows系統新增了許多的網絡功能(Windows 7的防火墻一樣很強大,可以很方便地定義過濾掉數據包),例如Internet連接防火墻(ICF),它就是用一段“代碼墻”把電腦和Internet分隔開,時刻檢查出入防火墻的所有數據包,決定攔截或是放行那些數據包。防火墻可以是一種硬件、固件或者軟件,例如專用防火墻設備就是硬件形式的防火墻,包過濾路由器是嵌有防火墻固件的路由器,而代理服務器等軟件就是軟件形式的防火墻。
ICF工作原理
ICF被視為狀態防火墻,狀態防火墻可監視通過其路徑的所有通訊,并且檢查所處理的每個消息的源和目標地址。為了防止來自連接公用端的未經請求的通信進入專用端,ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中,ICF將跟蹤源自該計算機的通信。與ICS一起使用時,ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網絡計算機的通信。所有Internet傳入通信都會針對于該表中的各項進行比較。只有當表中有匹配項時(這說明通訊交換是從計算機或專用網絡內部開始的),才允許將傳入Internet通信傳送給網絡中的計算機。
源自外部源ICF計算機的通訊(如Internet)將被防火墻阻止,除非在“服務”選項卡上設置允許該通訊通過。ICF不會向你發送活動通知,而是靜態地阻止未經請求的通訊,防止像端口掃描這樣的常見黑客襲擊。
防火墻的種類防火墻從誕生開始,已經歷了四個發展階段:基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統上的防火墻、具有安全操作系統的防火墻。常見的防火墻屬于具有安全操作系統的防火墻,例如NETEYE、NETSCREEN、TALENTIT等。
從結構上來分,防火墻有兩種:即代理主機結構和路由器+過濾器結構,后一種結構如下所示:內部網絡過濾器(Filter)路由器(Router)Internet
從原理上來分,防火墻則可以分成4種類型:特殊設計的硬件防火墻、數據包過濾型、電路層網關和應用級網關。安全性能高的防火墻系統都是組合運用多種類型防火墻,構筑多道防火墻“防御工事”。[1]
吞吐量
網絡中的數據是由一個個數據包組成,防火墻對每個數據包的處理要耗費資源。吞吐量是指在沒有幀丟失的情況下,設備能夠接受的最大速率。其測試方法是:在測試中以一定速率發送一定數量的幀,并計算待測設備傳輸的幀,如果發送的幀與接收的幀數量相等,那么就將發送速率提高并重新測試;如果接收幀少于發送幀則降低發送速率重新測試,直至得出最終結果。吞吐量測試結果以比特/秒或字節/秒表示。
吞吐量和報文轉發率是關系防火墻應用的主要指標,一般采用FDT(Full Duplex Throughput)來衡量,指64字節數據包的全雙工吞吐量,該指標既包括吞吐量指標也涵蓋了報文轉發率指標。
ips和防火墻的區別
ips和防火墻區別1、模式匹配
模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,來發現違背安全策略的入侵行為。一種進攻模式可以利用一個過程或一個輸出來表示。這種檢測方法只需收集相關的數據集合就能進行判斷,能減少系統占用,并且技術已相當成熟,檢測準確率和效率也相當高。但是,該技術需要不斷進行升級以對付不斷出現的攻擊手法,并且不能檢測未知攻擊手段。
ips和防火墻區別2、異常檢測
異常檢測首先給系統對象(用戶、文件、目錄和設備等)創建一個統計描述,包括統計正常使用時的測量屬性,如訪問次數、操作失敗次數和延時等。測量屬性的平均值被用來與網絡、系統的行為進行比較,當觀察值在正常值范圍之外時,IDS就會判斷有入侵發生。異常檢測的優點是可以檢測到未知入侵和復雜的入侵,缺點是誤報、漏報率高。
ips和防火墻區別3、完整性分析
完整性分析關注文件或對象是否被篡改,主要根據文件和目錄的內容及屬性進行判斷,這種檢測方法在發現被更改和被植入特洛伊木馬的應用程序方面特別有效。完整性分析利用消息摘要函數的加密機制,能夠識別微小變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要攻擊導致文件或對象發生了改變,完整性分析都能夠發現。完整性分析一般是以批處理方式實現,不用于實時響應。入侵檢測面臨的問題
非常好我支持^.^
(385) 90.2%
不好我反對
(42) 9.8%
相關閱讀:
- [電子說] 中國統一威脅管理硬件技術評估報告顯示:華為防火墻唯一8大維度五星評價, 2023-10-24
- [電子說] 淺談常見的隧道技術之IPSec 2023-10-22
- [汽車電子] 如何保護自動駕駛系統的數據安全? 2023-10-18
- [安全設備/系統] 汽車網絡安全機制關鍵技術 2023-10-18
- [電子說] server2019服務器搭建的方法步驟 2023-10-18
- [電子說] 不用Nginx,只用Tomcat的Http請求流程 2023-10-17
- [汽車電子] 錦圖推出基于Telechips Dolphin3的智能座艙平臺 2023-10-17
- [電子說] 基于IPSec VPN隧道技術的國密加密網關保障電力工控數據安全 2023-10-16
( 發表人:龔婷 )