防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它能够最终靠监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运作状况，以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

  防火墙（Firewall），是一种硬件设备或软件系统，主要架设在内部网络和外部网络间，为避免外界恶意程式对内部系统的破坏，或者阻止内部重要信息向外流出，有双向监督功能。藉由防火墙管理员的设定，可以弹性的调整安全性的等级。

  防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。包含如下几种核心技术：

  包过滤技术是一种简单、有效的安全控制技术，它工作在网络层，通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行全方位检查，限制数据包进出内部网络。

  包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。

  应用代理防火墙工作在OSI的第七层，它通过检查所有应用层的信息包，并将检查的内容信息放入决策过程，来提升网络的安全性。

  应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不可以使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。

  状态检测防火墙工作在OSI的第二至四层，采用状态检测包过滤的技术，是传统包过滤功能扩展而来。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。

  状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅度的提高。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。主要特征是由于缺乏对应用层协议的深度检验测试功能，无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。

  完全内容检验测试技术防火墙综合状态检测与应用代理技术，并在此基础上进一步基于多层检测架构，把防病毒、内容过滤、应用识别等功能整合到防火墙里，其中还包括IPS功能，多单元融为一体，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路，(因此也被称为“下一代防火墙技术”)。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。完全内容检验测试技术防火墙能检查整个数据包内容，根据自身的需求建立连接状态表，网络层保护强，应用层控制细等优点，但由于功能集成度高，对产品硬件的要求比较高。

  保护脆弱的服务通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时能拒绝源路由和ICMP重定向封包。

  控制对系统的访问Firewall能够给大家提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server。

  集中的安全管理Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。

  增强的保密性使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。

  记录和统计网络利用数据及非法使用数据Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall能够给大家提供统计数据，来判断可能的攻击和探测。

  策略执行Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。

  大家还记得「网络安全」安全设备篇（1）——防火墙吗？做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

  在本质上，入侵检测系统是一个典型的窥探设备。它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文，入侵检测系统提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将依据相应的配置进行报警或进行有限度的反击。

  基于主机模型也称基于系统的模型，它是通过分析系统的审计数据来发现可疑的活动，如内存和文件的变化等。其输入数据主要来自于系统的审计日志，一般只能检测该主机上发生的入侵。这种模型有以下优点：

  性能价格比高：在主机数量较少的情况下，这种方法的性能价格比更高；更加细致：可以很容易地监测一些活动，如敏感文件、目录、程序或端口的存取，而这些活动很难基于协议的线索发现；视野集中：一旦入侵者得到了一个主机用户名和口令，基于主机的代理是最大有可能区分正常活动和非法活动的；易于用户剪裁：每一个主机有自己的代理，当然用户剪裁更便利；较少的主机：基于主机的方法有时不要增加专门的硬件平台；对网络流量不敏感：用代理的方式正常情况下不会因为网络流量的增加而丢掉对网络行为的监视。基于网络模型即通过连接在网络上的站点捕获网上的包，并分析其有没有已知的攻击模式，以此来判别是否为入侵者。当该模型发现某些可疑的现象时，也一样会产生告警，并会向一个中心管理站点发出告警信号。这种模型有以下优点：

  侦测速度快：基于网络的监测器，通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠最近几分钟内审计记录的分析；隐蔽性好：一个网络上的监测器不像主机那样显眼和易被存取，因而也不那么容易遭受攻击；视野更宽：基于网络的方法还可以作用在网络边缘上，即攻击者还没能接入网络时就被制止；较少的监测器：由于使用一个监测器可保护一个共享的网段，所以不需要很多的监测器；占资源少：在被保护的设备上不占用任何资源，这点较主机模型最为突出。3. IDS分类

  根据模型和部署方式的不同，IDS分为基于主机的IDS、基于网络的IDS，以及由两者取长补短发展而来的新一代分布式IDS。

  基于主机的IDS输入数据来源于系统的审计日志，即在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵。它在重要的系统服务器、工作站或用户机器上运行，监视操作系统或系统事件级别的可疑活动（如尝试登录失败）。此类系统要定义清楚哪些是不合法的活动，然后把这种安全策略转换成入侵检测规则。

  基于网络的IDS基于网络的IDS的输入数据来自互联网的信息流，该类系统一般被动地在网络上监听整个网段上的信息流，通过捕获网络数据包，做多元化的分析，能够检测该网络段上发生的网络入侵。

  分布式IDS一般由多个部件组成，分布在网络的每个部分，完成相应功能，分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、产生入侵警报等。在这种结构下，不但可以检测到针对单独主机的入侵，同时也可以检测到针对整网络上的主机的入侵。

  监控、分析用户及系统活动。对系统构造和弱点的审计。识别反映已知进攻的活动模式并报警。异常行为模式的统计分析。评估重要系统和数据文件的完整性。对操作系统的审计追踪管理，并识别用户违反安全策略的行为。

  上文「网络安全」安全设备篇（2）——IDS提到的IDS入侵检测系统大多是被动防御，而不是主动的，在攻击实际发生之前，它们往往无法预先发出警报。而IPS入侵防御系统，则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后发出警报。

  IPS是通过直接嵌入到网络流量中实现主动防御的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另一个端口将它传送到内部系统中。通过这一个过程，有问题的数据包以及所有来自同一数据流的后续数据包，都将在IPS设备中被清除掉。

  IPS拥有众多过滤器，能预防各种攻击。当新的攻击手段被发现后，IPS就会创建一个新的过滤器。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包能够继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。

  基于主机的入侵防护(HIPS)HIPS通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统和应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。基于主机的入侵防护技术能根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。

  基于网络的入侵防护(NIPS)NIPS通过检验测试流经的网络流量，提供对网络系统的安全保护。由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以去除整个网络会话，而不单单是复位会话。同样由于实时在线，NIPS需要具备很高的性能，以免成为网络的瓶颈，因此NIPS通常被设计成类似于交换机的网络设备，提供线速吞吐速率以及多个网络端口。

  NIPS必须基于特定的硬件平台，才能实现千兆级网络流量的深度数据包检测和阻断功能。这种特定的硬件平台通常可大致分为三类：一类是网络处理器(网络芯片)，一类是专用的FPGA编程芯片，第三类是专用的ASIC芯片。

  应用入侵防护(AIP)NIPS产品有一个特例，即应用入侵防护(Application Intrusion Prevention，AIP)，它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备，配置在应用数据的网络链路上，以确保用户遵守设定好的安全策略，保护服务器的安全。NIPS工作在网络上，直接对数据包进行仔细的检测和阻断，与具体的主机/服务器操作系统平台无关。

  NIPS的实时检测与阻断功能有很大的可能性出现在未来的交换机上。随着CPU性能的提高，每一层次的交换机都可能会集成入侵防护功能。

  IPS是对防病毒软件和防火墙的补充，能有效阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。