主动响应,一般也都是断开可疑攻击的网络连接,或是阻塞可疑的系统调用,若失败,则终止该进程。但由于系统暴露于拒绝服务攻击
下,这种防御一般也难以实施。
5.数据收集地点:审计数据源可能来自某单一节点,也可能来自于网络中多个分布式节点。
6.数据处理地点:审计数据可以集中处理,也可以分布处理。
7.安全性:指系统本身的抗攻击能力。
8.互操作性:不同的IDS运行的操作系统平台往往不一样,其数据来源、通信机制、消息格式也不尽相同,一个IDS与其他IDS或其他安全产品之间的互操作性是衡量其先进与否的
一个重要标志。
系统特征IDS分类如表3所示。
根据体系结构分类
按照体系结构,IDS可分为集中式、等级式和协作式三种,如表4所示。
1.集中式。这种结构的IDS可能有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。但这
种结构的IDS在可伸缩性、可配置性方面存在致命缺陷:第一,随着网络规模的增加,主机审计程序和服务器之间传送的数据量就会骤增,导致网络性能大大降低;第二,系统安
全性脆弱,一旦中央服务器出现故障,整个系统就会陷入瘫痪;第三,根据各个主机不同需求配置服务器也非常复杂。
2.等级式。它用来监控大型网络,定义了若干个分等级的监控区,每个IDS负责一个区,每一级IDS只负责所监控区的分析,然后将当地的分析结果传送给上一级IDS。这种结构仍
存两个问题:首先,当网络拓扑结构改变时,区域分析结果的汇总机制也需要做相应的调整;第二,这种结构的IDS最后还是要把各地收集到的结果传送到最高级的检测服务器进
行全局分析,所以系统的安全性并没有实质性的改进。
3.协作式。将中央检测服务器的任务分配给多个基于主机的IDS,这些IDS不分等级,各司其职,负责监控当地主机的某些活动。所以,其可伸缩性、安全性都得到了显著的提高,
但维护成本却高了很多,并且增加了所监控主机的工作负荷,如通信机制、审计开销、踪迹分析等。
DMZ
全称DemilitarizedZone(隔离区或非军事化区)。该功能主要是为了解决安装防火墙之后外部网络不能访问局域网服务器的问题,比如FTP服务器、视频会议、网络游戏等,DMZ其
实就相当于一个网络缓冲区,通过该区域可以有效保护内部网络。目前,市场上的防火墙一般都提供DMZ端口。
VPN
全称VirtualPrivateNetwork(虚拟专用网络)。它是指在专用和公共网络(比如Inter)上创建的临时的、安全的专用网络连接,又称为“隧道”,并不是真的专用网络。在防
火墙中使用VPN功能可以创建临时连接,在网络中进行数据的安全传输。目前,大部分防火墙产品都支持该功能。
SPI
全称StatefulPaspe(状态封包检测)。防火墙通过该功能可以过滤掉一些不正常的包,防止恶意攻击,比如DoS攻击。
访问控制
通过防火墙的访问控制功能可以对内网的计算机进行访问限制,比如限制访问的Inter网站,限制使用的端口号,这样可以保证局域网的安全性
网络术语
1.什么是voip?
VoIP(VoiceoverInterProtocol)是一种以IP电话为主,并推出相应的增值业务的技术。VoIP最大的优势是能广泛地采用Inter和全球IP互连的环境,提供比传统业务
更多、更好的服务。VoIP可以在IP网络上便宜的传送语音、传真、视频、和数据等业务,如统一消息、虚拟电话、虚拟语音传真邮箱、查号业务、Inter呼叫中心、Inter
呼叫管理、电视会议、电子商务、传真存储转发和各种信息的存储转发等。
2.什么是网关?
网关(Gateway)又称网间连接器、协议转换器。网关在传输层上以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似
,不同的是互连层。网关既可以用于广域网互连,也可以用于局域网互连。
3.什么是网守?
网守:是对网络端终网关等呼叫和管理功能,它是Voip网络系统的重要组成部分。
4.什么是公网?
公网就是普通电路交换网,即现在的网通,电信,铁通等架设的骨干及分支网络。