## 8.9 防火墙和入侵检测系统 防火墙、入侵检测系统（IDS）和入侵防止系统（IPS）：对通信流量进入/离开网络时执行安全检查、做记录、丢弃或转发。 ### 8.9.1 防火墙 防火墙（Firewall）：一个硬件和软件的结合体，它将一个机构的内部网络与整个因特网隔离开，允许一些数据分组通过，而阻止另一些。  防火墙的三个目标： * 从内部和外部之间所有流量都通过防火墙。 * 仅被授权的流量允许通过。 * 防火墙自身免于渗透。 Linux 套件，iptables可以产生一个防火墙。 #### 传统的分组过滤器 传统的分组过滤器（Traditional Packet Filter）：网关路由器作为分组过滤器，独立地检查每个数据报。检查内容包括：IP源或目的地址、IP数据报的协议类型、TCP或UDP的源和目的端口、TCP标志比特、ICMP类型、数据报离开和进入网络的不同规则、对不同路由器接口的不同规则。 #### 状态分组过滤器 状态分组过滤器（Stateful Filter）：实际地跟踪TCP连接，并作出过滤决定。 #### 应用程序网关 应用程序网关（Application Gateway）：基于应用数据来做策略决定，作为一个应用程序特定的服务器，所有应用程序数据都必须通过该服务器。缺陷在于： * 每个应用程序都需要一个不同的应用程序网关。 * 所有数据都由网关转发，付出性能负担。 ### 8.9.2 入侵检测系统 深度分组检查（Deep Packet Inspection）：检查首部字段以外部分，深入查看分组携带的实际应用数据。 * 入侵检测系统（Intrusion Detection System，IDS）：当检测到潜在恶意流量时产生告警的设备。 * 入侵防止系统（Intrusion Prevention System，IPS）：滤除可疑流量的设备。 入侵检测系统和入侵防止系统统称IDS系统，可用于检测多种攻击，例如：网络映射、端口扫描、TCP栈扫描、DoS带宽泛洪攻击、蠕虫和病毒、操作系统脆弱性攻击和应用程序脆弱性攻击。 两类IDS： * 基于特征的系统（Signature-based System）：维护一个范围广泛的攻击特征数据库。 * 基于异常的系统（Anomaly-based System）：观察正常流量时，产生流量概况文件，需找统计上不寻常的分组流。