网络安全-防火墙与入侵检测系统_简述防火墙与入侵检测系统-优快云博客

本文链接：https://blog.youkuaiyun.com/vincent_duan/article/details/106715701

本文深入探讨了防火墙的关键性能指标，包括吞吐量、时延等，详细介绍了防火墙的四种类型：包过滤防火墙、应用网关、状态检测防火墙和代理防火墙。此外，还讲解了防火墙体系结构，包括双重宿主主机、被屏蔽主机和被屏蔽子网体系结构，以及IDS（入侵检测系统）的工作原理和技术特点。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

防火墙效率

吞吐量：指防火墙在不丢失数据包的情况下能达到的最大的转发数据报的速率。
时延：能够衡量出防火墙处理数据的快慢。
丢包率：在特定负载下，指应由网络设备传输，但由资源耗尽而丢弃帧的百分比。
背对背：指从空闲状态开始，已达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时所发送的帧数。
并发连接数：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数，并发连接数的测试主要用来测试被防火墙建立和维持TCP连接的性能。

防火墙分类

1. 包过滤防火墙

是防火墙在网络层中根据数据包中包头信息有选择的实施允许或阻断。依据防火墙内实现设定的过滤规则，检查数据流中每个数据包头部，根据数据报的源地址、目的地址、TCP/UDP 源端口号、TCP/UDP目的端口号、以及数据包头部的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤规则的设计。

2. 应用网关技术

是建立在应用层上的协议国旅，它针对数据过滤协议，并能够对数据包进行分析并形成相关报告。
优点是：易于记录并控制所有的进出通信，对Inernet的访问做到内容级的过滤，
缺点是需要为每种应用写不同的代码，维护比较困难，速度慢。

3. 状态检测防火墙

建立在传输层和应用层之间。目前主流防火墙。不限于包过滤防火墙，有不需要应用层网关防火墙，既提供了比包过滤防火墙更高的安全性和更灵活性的处理，也避免了应用层网关防火墙带来的速度降低问题。

核心是实现连接的跟踪功能。

4. 代理防火墙

作用在应用层，用来提供应用层服务的控制，在内部网络向外部网络申请服务时起到中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其他节点的直接请求。

缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制，而每一种网络应用服务的安全问题各不相同，分析困难。

防火墙体系结构

1. 双重宿主主机体系结构

结构比较简单，它连接内部网络和外部网络。相当于内部网络和外部网络的跳板，能够提供级别比较高的控制，可以完全禁止外部网络对内部网络的访问。

2. 被屏蔽主机体系结构

上面的结构没有使用路由器，而被屏蔽主机体系结构防火墙则使用了一个路由器把内部网络和外部网络隔离开，这种体系结构中，主要的安全由数据报过滤提供。

并包括了堡垒主机，堡垒主机是Internet上的主机能连到的唯一的内部网络上的系统。任何外部系统要访问内部系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。

在屏蔽路由器上设置数据包过滤策略，让所有的外部连接只能到达内部堡垒主机，如收发电子邮件。

3. 被屏蔽子网体系结构

被屏蔽子网体系结构将额外的安全层添加到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络隔离开。

周边网络是一个被隔离的独立子网，充当了内部网络和外部网络的缓冲区，在内部网络与外部网络之间形成了一个“隔离带”。这就构成一个所谓的“非军事区（DMZ）”，DMZ就是周边网络。

被屏蔽子网体系结构的最简单的形式是两个屏蔽路由器，每一个都连接到周边网络。一个位于周边网络与内部网络之间，另一个位于周边网络与外部网络之间。

有的屏蔽字网中还设有一个堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。

堡垒主机

在防火墙体系中，堡垒主机要高度暴露，是在Internet上公开的，是网络上最容易遭受非法入侵的设备。
要点如下：

选择合适的操作系统。需要可好性好、支持性好、可配置性好。
堡垒主机的安装位置。应该安装在不传输保密信息的网络上，最好处于一个独立网络中，如DMZ。
需要提供内部网络访问Internet的服务，以及向internt提供服务。
保护系统日志
监测和备份。

入侵检测系统

防火墙试图在入侵行为发生之前阻止所有可以的通信。但是事实不可能阻止所有的入侵行为，有必要采取措施在入侵已经开始，但还没有造成危害或在造成更大危害前，即使检测到入侵，以便尽快阻止入侵，把危害降低到最小。

入侵检测系统IDS正是这样一种技术。IDS对进入网络的分组执行深度分组检查，当观察到可疑分组时，向网络管理员发出告警或执行阻断操作（由于IDS的“误报”率通常较高，多数情况不执行自动阻断）

IDS能用于检测多种网络攻击，包括网络映射、端口扫描、DoS攻击、蠕虫和病毒、系统漏洞攻击等。

入侵检测方法一般可以分为：基于特征的入侵检测和基于异常的入侵检测两种。

**基于特征的IDS（又称基于主机的入侵检测系统）**维护一个所有已知攻击标志性特征的数据库。每个特征是一个与某种入侵活动相关联的规则集，这些规则可能基于单个分组的首部字段值或数据中特定比特串。当发现有与某种攻击特征匹配的分组或分组序列时，则认为可能检测到某种入侵行为。基于特征的IDS只能检测到已知攻击，对于未知攻击则束手无策。

**基于异常的IDS（又称基于网络的入侵检测系统）**通过观察正常运行的网络流量，学习正常流量的统计特性和规律，当检测到网络中流量的某种统计规律不符合正常情况时，则认为可能发生了入侵行为。例如，当攻击者在对内网主机进行ping搜索时，导致ICMP ping报文突然大量增加，与正常的统计规律有明显不同。

但区分正常流和统计异常流是一个非常困难的事情。大部分部署IDS主要是基于特征的，尽管某些IDS包括了某些基于异常特性。