涉及知识点

防火墙有哪些及其功能，防火墙的区域划分及工作模式，IDS是什么及其作用？入侵检测系统的分类及原理，软考网络管理员常考知识点，软考网络管理员网络安全，网络管理员考点汇总。
原创于：CSDN博主-《拄杖盲学轻声码》，更多考点汇总可以去他主页查看

文章目录

涉及知识点
前言
一、防火墙
- 1.防火墙的基本功能
- 2.防火墙的区域划分
- 3.防火墙的工作模式
- 4.防火墙的类型
- 5.防火墙的部署
二、入侵检测系统IDS
- 1.入侵检测系统的原理
- 2.入侵检测系统的组成
- 3.入侵检测系统的分类
- 4.入侵检测系统的部署
涨薪支持区

前言

更多考试总结可关注CSDN博主-《拄杖盲学轻声码》

一、防火墙

作为Internet网的安全性保护软件，防火墙已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet边界间设立防火墙软件。从而保护内部网免受非法用户的侵入。攻击防范是防火墙中一种重要的网络安全功能。它可以检测出多种类型的网络攻击行为，例如拒绝服务型攻击、扫描窥探攻击、畸形报文攻击等，并能够采取相应的措施保护内部网络免受恶意攻击，以保证内部网络及系统的正常运行。

1.防火墙的基本功能

防火墙具有如下几个功能：
(1)访问控制功能。这是防火墙最基本也是最重要的功能，通过禁止或允许特定用户访问特定的资源，保护网络的内部资源和数据。需要禁止非授权的访问，防火墙需要识别哪个用户可以访问何种资源。它包括了服务控制、方向控制、用户控制、行为控制等功能。
(2)内容控制功能。根据数据内容进行控制，比如防火墙可以从电子邮件中过滤掉垃圾邮件，可以过滤掉内部用户访问外部服务的图片信息，也可以限制外部访问，使它们只能访问本地Web服务器中一部分信息。简单的数据包过滤路由器不能实现这样的功能,但是代理服务器和先进的数据包过滤技术可以做到。
(3)全面的日志功能。防火墙的日志功能很重要。防火墙需要完整地记录网络访问情况，包括内外网进出的访问，需要记录访问是什么时候进行了什么操作，以检查网络访问情况。正如银行的录像监视系统一样，记录下整体的营业情况，一旦有什么事情发生就可以通过录像査明事实。防火墙的日志系统也有类似的作用，一旦网络发生了入侵或者遭到了破坏，就可以对日志进行审计和査询。日志需要有全面记录和方便查询的功能。
(4)集中管理功能。防火墙是一个安全设备，针对不同的网络情况和安全需要，需要制定不同的安全策略，然后在防火墙上实施，使用中还需要根据情况改变安全策略，而且在一个安全体系中，防火墙可能不止所以防火墙应该是易于集中管理的，这样管理员就可以方便地实施安全策略。
(5)自身的安全和可用性。防火墙要保证自身的安全不被非法侵入，保证正常的工作。如果防火墙被侵入，防火墙的安全策略被修改，这样内部网络就变得不安全。防火墙也要保证可用性，否则网络就会中断，网络连接就会失去意义。另外防火墙还应带有以下等附加功能：
(1)流量控制：针对不同的用户限制不同的流量，可以合理使用带宽资源。
(2)网络地址转换：通过修改数据包的源地址(端口)或者目的地址(端口)来达到节省IP地址资源，隐藏内部IP地址功能的一种技术。
(3)虚拟专用网：只利用数据封装和加密技术，使本来只能在私有网络上传送的数据能够通过公共网络进行传输，使系统费用大大降低。

2.防火墙的区域划分

华为防火墙默认分为4个安全区域。防火墙认为在同一安全区域内部发生的数据流动是可信的，不需要实施任何安全策略。
只有当不同安全区域之间发生数据流动时，才会触发防火墙的安全检查，并实施相应的安全策略。
(1)Trust区域：本区域内的网络受信程度高，通常用来定义内部用户所在的网络。
(2)DMZ区域：本区域内的网络受信程度中等，通常用来定义公共服务器所在的区域。
(3)Untrust区域：本区域代表的是不受信任的网络，通常用来定义Internet等不安全的网络。
(4)LOCAL区域：防火墙自身所在的区域，包括防火墙设备的各接口本身。由于Local区域的特殊性，在很多需要设备本身进行报文收发的应用中，需要开放对端所在安全区域与Local区域之间的安全策略。包括需要对设备本身进行管理的情况下，例如Telnet登录、Web登录、接入SNMP网管等。在华为防火墙中，每个安全区域都有一个安全级别，用1-100表示，数字越大，代表这个区域越可信。默认情况下，LOCAL区域安全级别100、Trust区域为85,DMZ为50,Untrust区域为5o安全域间的数据流动具有方向性，包括入方向(Inbound)和出方向(Outbound)。入方向：数据由低优先级的安全区域向高优先级的安全区域传输。出方向：数据由高优先级的安全区域向低优先级的安全区域传输。

3.防火墙的工作模式

防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。
(1)路由模式当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址。采用路由模式时，可以完成ACL包过滤、ASPF(针对应用层的包动态过滤)、NAT转换等功能。然而，路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等)。
(2)透明模式采用透明模式时，只需在网络中像放置网桥一样放置该防火墙设备即可，无需修改任何已有的配置，可以避免改变拓扑结构造成的麻烦，但透明模式会损失一些功能的支持,比如路由、VPN等。
(3)混合模式如果防火墙既存在工作在路由模式的接口(接口具有IP地址)，又存在工作在透明模式的接口(接口无IP地址)，则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况，此时启动虚拟路由冗余协议VRRP功能的接口需要配置IP地址，其他接口不配置IP地址。

4.防火墙的类型

防火墙有3种基本类型：包过滤防火墙、应用代理型防火墙、状态监测型防火墙。
(1)包过滤防火墙
包过滤防火墙通过配置访问控制列表ACL实施数据包的过滤。实施过滤主要是基于数据包中的IP层所承载的上层协议的协议号、源/目的IP地址、源/目的端口号和报文传递的方向等信息。包过滤应用在防火墙中，对需要转发的数据包，先获取数据包的包头信息，然后和设定的ACL规则进行比较，根据比较的结果决定对数据包进行转发或者丢弃。这种防火墙的缺点也是显而易见的，由于无法对数据报的内容进行核查，一次无法过滤或审核数据报的内容；无法提供描述细致事件的日志系统；所有可能用到的端口都必须开放，对外界暴露，增加了被攻击的可能性。
(2)应用代理型防火墙
应用代理型防火墙的优点是安全性较高。可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。
(3)状态检测型防火墙
在状态检测防火墙出现之前，包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过，它认为报文都是无状态的孤立个体，不关注报文产生的前因后果，这就要求包过滤防火墙必须针对每一个方向上的报文都配置一条规则,转发效率低下而且容易带来安全风险。而状态检测防火墙的出现正好弥补了包过滤防火墙的这个缺陷。状态检测防火墙使用基于连接状态的检测机制，将通信双方之间交互的属于七连接的所有报文都作为整个的数据流来对待。在状态检测防火墙看来，同一个数据流内的报文不再是孤立的个体，而是存在联系的。例如，为数据流的第一个报文建立会话，数据流内的后续报文就会直接匹配会话转发，不需要再进行规则的检查，提高了转发效率。现在市面上的防火墙基本是三种防火墙的综合体。

5.防火墙的部署

防火墙作为网络边界防护系统。防火墙部署位置一般为外联出口或者区域性出口位置,对内外流量进行安全隔离。大多情况下防火墙以直路方式连接到网络环境中，另外防火墙也可以以&挂模式进行部署，可以在不改变现有网络物理拓扑的情况下，将防火墙部署到网络中，可以有选择地将通过汇聚交换机的流量引导到防火墙上，即对需要进行安全检测的流量引导到防火墙上进行处理，对不需要进行安全检测的流量直接通过汇聚交换机转发到核心交换机。

二、入侵检测系统IDS

入侵检测系统IDS可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据、跟踪入侵、恢复或断开网络连接等。

1.入侵检测系统的原理

入侵检测系统工作原理分为以下几步。
(1)收集待检测的原始数据，原始数据包括：原始网络数据包、系统调用记录、日志文件等；
(2)检测入侵行为，利用误用入侵检测方法或异常入侵检测方法对收集到的数据进行分析，检测这些数据中是否含有入侵企图或入侵行为；
(3)响应攻击，入侵检测系统将相关攻击数据记录在数据库或日志文件中，同时发出报警信息，并采取进一步的响应行为，如拒绝接收来自该数据源的数据、追踪入侵行为等。

2.入侵检测系统的组成

为了提高IDS产品、组件及与其他安全产品之间的互操作性，美国国防高级研究计划署(DARPA)和互联网工程任务组(IETF)的入侵检测工作组(IDWG)发起制订了一系列建议草案，从体系结构、API、通信机制、语言格式等方面对IDS进行了规范化。其中的CIDF体系结构将入侵检测系统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。其结构图如下所示。
图入侵检测系统结构
在这里插入图片描述

(1)事件产生器，负责从网络中抓取数据或者从主机读取各种日志，并进行预处理，例如协议数据包的解析、多余日志信息的去除等，形成原始的事件数据。
(2)事件分析器，根据一定的检测规则，从事件数据库读取相关记录，并与事件产生器传来的数据进行匹配，然后把匹配的结果发送给响应单元。
(3)事件数据库，事件数据库保存了各种恶意事件的特征或者正常事件的特征，并为事件分析器提供这些特征，共同完成事件的判别。
(4)响应单元，根据分析器的处理结果，进行一系列操作，包括记录事件、告警、通过、与防火墙进行通信、进行进一步处理等。

3.入侵检测系统的分类

从部署位置来看，入侵检测系统基本上分为以下几类：基于网络和基于主机的入侵检测系统。混合入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。有时候，文件的完整性检査工具也可看作是一类入侵检测产品。入侵检测是基于入侵者的行为不同于一个合法用户的行为。通过可以量化的方式表现出来的假定。当然，不能期望入侵者的攻击行为和授权用户对资源的正常使用之间存在一个清楚的、确切的界限。相反，是存在着某些重叠的。入侵检测技术可分为特征检测、异常检测。特征检测：又称为基于知识的检测，其前提是假定所有可能的入侵检测都是能被识别和表示的。对已知的攻击方法用一种特定的模式来表示，称为攻击签名。然后通过判断这些攻击签名是否出现来判断入侵行为是否发生，是一种直接的方法。异常检测：又被称为基于行为的检测，其前提是假设所有的入侵行为都是“不同寻常”的。首先要建立系统或用户的正常行为特征，通过比较当前系统或用户的行为是否偏离正常值来判断是否发生了入侵，是一种间接的检测方法。

4.入侵检测系统的部署

IDS入侵检测系统与防火墙不同，没有也不需要跨接在任何链路上，只是一个旁路监听设备，无须网络流量流经它便可以工作。
如图所示。IDS杀毒蜜罐PC
在这里插入图片描述

图入侵检测系统在网络中的部署IDS典型部署于企业网络核心节点，通过交换机镜像端口获得对目标流量的复制，进行攻击检测、内容恢复和应用审计等深层检测作业。网络边界流量、重要服务器流量都应纳入IDS系统的检测范围。在交换式网络中，IDS的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。