10、防火墙高级规则、入侵检测与性能优化全解析

防火墙高级规则、入侵检测与性能优化全解析

1. 高级规则设置注意事项

在设置高级规则时，务必充分理解规则的处理方式。过于具体的拒绝规则，例如明确规定适用对象、时间、协议、内容类型以及互联网来源站点等，可能很容易被绕过，攻击者只需改变互联网请求的某一个方面即可。而且，你原本可能希望在多个条件中的任何一个匹配时就阻止请求，但规则往往只有在所有条件都匹配时才会生效。

同时，特定规则可能会不必要地阻止原本可接受的网络流量。比如，防火墙不应仅仅因为数据包包含“warez”这个词就进行拦截。虽然禁止“warez”的防火墙规则可能会增加非法软件下载的难度，但也会产生不良影响，比如导致关于“warez”的电子邮件讨论无法进行。

2. 入侵检测系统概述

2.1 入侵检测的定义

过滤数据包和检查 IP 数据包的应用部分可以在一定程度上决定哪些网络流量可以进入内部网络。然而，现代防火墙能够发挥更积极的作用，它可以监控到达防火墙的数据包，并分析其中是否存在安全问题的迹象，这就是入侵检测系统，类似于防火墙的防盗警报。

2.2 入侵检测系统的组成

仅仅分析防火墙处的数据包以寻找入侵迹象是不够的，入侵检测系统还必须包含报告或警报机制，甚至可以设置防火墙在凌晨 2 点向你发送寻呼消息，提醒你正在发生安全事件。

2.3 入侵检测系统与数据包过滤的区别

数据包过滤主要基于逐个数据包来决定哪些网络流量可以进入内部网络，而基于检查的入侵检测并不控制网络流量，而是试图识别一个或多个数据包（无论是否被阻止）中的模式或条件，以发现正在进行的入侵。

2.4 入侵检测系统的