七、入侵检测技术与防火墙

　　1、入侵检测技术

　　入侵者分为3类：假冒者(外部人员，未经授权使用计算机资源的人)、非法者(内部人员，越权访问的人)、秘密用户(夺取超级控制并利用控制逃避审计或抑制审计的人)

　　入侵检测技术分为两种：

　　统计异常检测：收集一段时间的合法用户的行为，然后统计测试观测其行为，判断是否违法。从阈值检测和基于轮廓两个方面。

　　基于规则检测：包括异常检测和渗透规则两个方面。

　　2、防火墙特性

　　防火墙设计目标：所有由外道内或由内到外必须经过防火墙，只有被授权的通信才能通过防火墙。

　　用来控制访问和执行站点安全策略的4种常用技术：

　　服务控制(确定可以访问的Internet服务类型)、方向控制(决定哪些特定方向上服务请求可以被发起并通过防火墙)、用户控制(根据哪个用户尝试访问服务来控制对一个服务的访问)和行为控制(控制怎样使用特定的服务)。

　　防火墙的功能：

　　防火墙定义了单个阻塞点，将未授权的用户隔离在被保护的网络之外。不能放拨号上网。

　　提供了安全与监视有关事件的场所

　　是一些与安全无关的Internet功能的方便平台

　　可用作IPSEC(网络层安全)平台。

　　3、防火墙的分类

　　常用的防火墙有包过滤路由器、应用级网关和电路级网关。

　　包过滤路由器：根据一套规则对收到的IP数据报进行处理，决定转发还是丢弃。

　　应用级网关：也称代理服务器，在应用级的通信中扮演着一个消息传递者的角色。

　　电路级网关：是一个独立系统，或说它是某项具体功能，也可由应用级网关在某个应用中执行，但不允许建立一个端到端的直接TCP连接，由网关建立两个链接，一个是网关到网内的TCP用户，一个是网关到外部TCP用户，网关仅是一个中继作用。

　　堡垒主机：作为应用级网关和电路级网关的服务平台。