防火墙的局限与入侵检测系统的特征

防火墙主要有两个方面的局限:

1、防火墙是访问控制设备(ACL),主要基于源目IP地址来现实访问控制,实现了网络层的安全,但不能检测或拦截注入在普通流量中的恶意攻击代码,如WEB服务中的注入攻击等。

2、防火墙无法发现或拦截内部网络中发生的攻击。

防火墙是实现网络安全第一道防线,入侵检测系统是对防火墙有益的补充,是第二道防线,可以对流量进行深层次、多层次的分析检测,提供对内部攻击、外部攻击、误操作等的实时监控,动态的保护大大提高了网络的安全性。入侵检测系统主要有3个方面特点:

1、事前警告:能在恶意攻击对网络系统造成损害之前检测到攻击行为的发生,进行报警。2、事中防御:入侵攻击行为发生时,可以联动防火墙、或TCP KILLer等进行防御。

3、事后取证:被入侵攻击后可以提供攻击信息,以便取证分析。

关于防火墙和入侵检测系统比较,有一个贴切的比喻:防火墙相当于门卫,对进入的每一个人员进行检测,入侵检测系统相当于闭路监控系统,监控关键位置如库房、财务室等的安全状况,仅有门卫是无法发现内部人员的非法行为的,而闭路监控系统可以对内部实时监控,发现异常情况及时发出警告,两者结合才能保证安全。

时间: 2024-10-17 06:07:29

防火墙的局限与入侵检测系统的特征的相关文章

Linux -- 入侵检测系统(IDS)介绍及应用(1)

一.入侵检测工具简介 Internet上的服务器一般都会被安置在防火墙的DMZ(Demilitarized Zone)区,受到防火墙的保护.这在一定程度可以防止具有已知非法特征的危险连接和恶意攻击,但是却防止不了合法用户的非法访问.什 么 时候会出现合法用户的非法访问呢?举例说明,比如,合法用户的机器被他人控制,成为了黑客的攻击跳 板,或者是合法用户想做一些别有用心的探测等.除此之外,有些攻击者还会用端口扫描程序扫描服务器的所有端口,以收集有用的信息(比 如,哪些端口是打开的?哪些是关闭的? )

构建LINUX下的入侵检测系统——LIDS 系统管理命令--vlock

构建LINUX下的入侵检测系统——LIDS   系统管理命令--vlock http://blog.chinaunix.net/uid-306663-id-2440200.html LIDS的组成两个用户态工具和一些文件,和一个内核补丁/sbin/目录 存放LIDSADM命令和LIDSCONF命令 /etc/lids/lids.conf #ACLS配置文件/etc/lids/lids.cap #LIDS capabilities(功能)配置文件/etc/lids/lids.pw #LIDS密码文

[入侵检测系统][IDS]CentOS6.6搭建基于snort+barnyard2+base的入侵检测系统

CentOS6.6搭建基于snort+barnyard2+base的入侵检测系统 由于网上对于linux下搭建基于snort的入侵检测系统不是很详细,这里我写个文档给大家参考参考: 本文档主要使用的软件已上传至百度云:http://pan.baidu.com/s/1qWui0c0 密码:y80f,其他软件可以根据文档中的命令在线下载安装: 文档中的命令大多可以直接使用(除非时间太久导致系统/软件/链接失去支持等),顺利的话,可以在2小时内搭建完毕: 如果安装报错,请检查步骤是否正确,然后百度/g

在CentOS上配置基于主机的入侵检测系统(IDS)

所有系统管理员想要在他们生产服务器上首先要部署的安全手段之一,就是检测文件篡改的机制——不仅仅是文件内容,而且也包括它们的属性. AIDE (“高级入侵检测环境”的简称)是一个开源的基于主机的入侵检测系统.AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整 性,这些文件属性包括权限.文件类型.索引节点.链接数.链接名.用户.组.文件大小.块计数.修改时间.添加时间.创建时间.acl.SELinux安 全上下文.xattrs,以及md5/sha校验值在内的各种特征. A

snort for snorby 入侵检测系统搭建

搭建一个入侵检测系统 简单介绍一下:Snorby是一个Ruby on Rails的Web应用程序,网络安全监控与目前流行的入侵检测系统(Snort的项目Suricata和Sagan)的接口.该项目的目标是创建一个免费的,开源和竞争力的网络监控应用,为私人和企业使用 1.在安装snorby之前,需要安装Ruby, ImageMagick, Rails 和 Wkhtmltopdf,安装包位置可以随便放.但是最好是要有一个统一的位置,比如/usr/local/srcyum -y groupinstal

IDS(入侵检测系统)

IDS 入侵检测系统 intrusion detection system,简称“IDS”.实时监视系统,通过网络系统中关键节点收集并分析.属监听设备,监控网络中是否有违反安全策略的行为或者入侵行为并发出警报或主动反应处理的安全设备. 功能模块:信息收集,分析引擎,响应组件. 适用以旁路接入方式部署在重要业务系统或内网网络出口处 类型 基于主机的入侵检测系统:是早期的入侵检测系统结构,通常是软件型,直接安装在需要保护的主机上面,监测目标主要是主机系统和本地用户行为,原理是根据主机上的审计数据和系

11. IDS (Intrusion detection systems 入侵检测系统 6个)

Snort该网络入侵检测和防御系统擅长于IP网络上的流量分析和数据包记录. 通过协议分析,内容研究和各种预处理器,Snort可以检测到数千个蠕虫,漏洞利用尝试,端口扫描和其他可疑行为. Snort使用灵活的基于规则的语言来描述应该收集或通过的流量,以及模块化检测引擎. 还可以查看免费的基本分析和安全引擎(BASE)http://secureideas.sourceforge.net/ ,这是一个用于分析Snort警报的Web界面.虽然Snort本身是免费和开放源代码,但母公司SourceFire

OSSEC入侵检测系统的安装部署

前言 OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中.包括了日志分析,全面检测,root-kit检测.作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中.另外有时候不需要安装完全版本得OSSEC,如果有多台电脑都安装了OSSEC,那么就可以采用C/S模式来运行.客户机通过客户端程序将数据发回到服务器端进行分析. OSSEC服务端IP:192.168.1.107 OSSEC Agent

在CentOS6.5上配置基于主机的入侵检测系统(IDS)

项目背景: AIDE ("高级入侵检测环境"的简称)是一个开源的基于主机的入侵检测系统.AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性,这些文件属性包括权限.文件类型.索引节点.链接数.链接名.用户.组.文件大小.块计数.修改时间.添加时间.创建时间.acl.SELinux安全上下文.xattrs,以及md5/sha校验值在内的各种特征. AIDE通过扫描一台(未被篡改)的Linux服务器的文件系统来构建文件属性数据库,以后将服务器文件属性与数据库中的