IDS和防火墙的区别联系

　　随着互联网的兴起，网络服务、媒体的多元化发展，网络与越来越多的商业应用和经济领域的联系越来越多，与此同时，安全问题也渐渐浮出了水面。业界的同行曾经说过“安全，是一种意识，而不是某种的技术就能实现真正的安全。”随着工作的时间渐长，对这句话的体会就越深。再防守严密的网络，利用人为的疏忽，管理员的懒惰和社会工程学也可能被轻易攻破。那么，怎么才能做到安全?

　　引言

　　保持获取信息。你是否知晓几乎每天都有病毒和安全警告出现?如果你的机器上没有安装病毒防护软件，你最好还是安装一个。如果你是一个家庭或者个人用户，下载任何一个排名最佳的程序都相当容易，而且可以按照安装向导进行操作。如果你在一个网络中，首先咨询你的网络管理员，安装上之后你会体会到安全感是很容易找到的!

　　一. 概念

　　1) 防火墙：防火墙是设置在被保护网络(本地网络)和外部网络(主要是Internet)之间的一道防御系统，以防止发生不可预测的、潜在的破坏性的侵入。它可以通过检测、限制、更改跨越防火墙的数据流，尽可能的对外部屏蔽内部的信息、结构和运行状态，以此来保护内部网络中的信息、资源等不受外部网络中非法用户的侵犯。

　　2) 入侵检测系统：IDS是对入侵行为的发觉，通过从计算机网络或计算机的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

　　3) 总结：从概念上我们可以看出防火墙是针对黑客攻击的一种被动的防御，IDS则是主动出击寻找潜在的攻击者;防火墙相当于一个机构的门卫，收到各种限制和区域的影响，即凡是防火墙允许的行为都是合法的，而IDS则相当于巡逻兵，不受范围和限制的约束，这也造成了ISO存在误报和漏报的情况出现。

　　二. 功能

　　防火墙的主要功能：

　　1) 过滤不安全的服务和非法用户：所有进出内部网络的信息都是必须通过防火墙，防火墙成为一个检查点，禁止未授权的用户访问受保护的网络。

　　2) 控制对特殊站点的访问：防火墙可以允许受保护网络中的一部分主机被外部网访问，而另一部分则被保护起来。

　　3) 作为网络安全的集中监视点：防火墙可以记录所有通过它的访问，并提供统计数据，提供预警和审计功能。

　　入侵检测系统的主要任务：

　　1) 监视、分析用户及系统活动

　　2) 对异常行为模式进行统计分析，发行入侵行为规律

　　3) 检查系统配置的正确性和安全漏洞，并提示管理员修补漏洞

　　4) 能够实时对检测到的入侵行为进行响应

　　5) 评估系统关键资源和数据文件的完整性

　　6) 操作系统的审计跟踪管理，并识别用户违反安全策略的行为

　　三.网络安全

　　1.不要轻易打开附件中的文档文件

　　对方发送过来的电子函件及相关附件的文档，首先要用“另存为…”命令(“Save As…”)保存到本地硬盘，待用查杀计算机病毒软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档，会自动启用Word或Excel，如有附件中有计算机病毒则会立刻传染;如有“是否启用宏”的提示，那绝对不要轻易打开，否则极有可能传染上电子函件计算机病毒。

　　2.不要直接运行附件

　　对于文件扩展名很怪的附件，或者是带有脚本文件如*.VBS、*.SHS等的附件，千万不要直接打开，一般可以删除包含这些附件的电子函件，以保证计算机系统不受计算机病毒的侵害。

　　3.定期扫描你的系统

　　如果你刚好是第一次启动防病毒软件，最好让它扫描一下你的整个系统。干净并且无病毒问题地启动你的电脑是很好的一件事情。通常，防病毒程都能够设置成在计算机每次启动时扫描系统或者在定期计划的基础上运行。一些程序还可以在你连接到互联网上时在后台扫描系统。定期扫描系统是否感染有病毒，最好成为你的习惯。

　　4.更新你的防病毒软件

　　既然你安装了病毒防护软件，就应该确保它是最新的。一些防病毒程序带有自动连接到互联网上，并且只要软件厂商发现了一种新的威胁就会添加新的病毒探测代码的功能。你还可以在此扫描系统查找最新的安全更新文件。

　　5.不要轻易执行附件中的EXE和COM等可执行程序

　　这些附件极有可能带有计算机病毒或是黑客程序，轻易运行，很可能带来不可预测的结果。对于认识的朋友和陌生人发过来的电子函件中的可执行程序附件都必须检查，确定无异后才可使用。

　　6.邮件设置

　　如果是使用Outlook作为收发电子邮件软件的话，应当进行一些必要的设置。选择“工具”菜单中的“选项”命令，在“安全”中设置“附件的安全性”为“高”;在“其他”中按“高级选项”按钮，按“加载项管理器”按钮，不选中“服务器脚本运行”。最后按“确定”按钮保存设置。

　　7.慎用预览功能

　　如果是使用Outlook Express作为收发电子函件软件的话，也应当进行一些必要的设置。选择“工具”菜单中的“选项”命令，在“阅读”中不选中“在预览窗格中自动显示新闻邮件”和“自动显示新闻邮件中的图片附件”。这样可以防止有些电子函件计算机病毒利用Outlook Express的缺省设置自动运行，破坏系统。

　　8.卸载Scripting Host

　　对于使用Windows 98操作系统的计算机，在“控制面板”中的“添加/删除程序”中选择检查一下是否安装了Windows Scripting Host。如果已经安装，请卸载，并且检查Windows的安装目录下是否存在Wscript.exe文件，如果存在的话也要删除。因为有些电子函件计算机病毒就是利用Windows Scripting Host进行破坏的。

　　9.警惕发送出去的邮件

　　对于自己往外传送的附件，也一定要仔细检查，确定无毒后，才可发送。虽然电子函件计算机病毒相当可怕，只要防护得当，还是完全可以避免传染上计算机病毒的，仍可放心使用。

　　通过以上对蠕虫病毒的种种描述及其爆发的症状，相信大家已经对其有了较深的理解。由于蠕虫病毒是通过网络传播的，在如今网络高度发达的时期，蠕虫病毒是防不胜防的，我们只有筑好自己电脑上的防火墙和养成良好的上网习惯，才能把危害降到最低。

　　四.接下来，我简单介绍一下IDS与防火墙联动工作原理

　　入侵检测系统在捕捉到某一攻击事件后，按策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统就会发给防火墙一个相应的动态阻断策略，防火墙根据该动态策略中的设置进行相应的阻断，阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵检测系统发出的动态策略来执行。一般来说，很多情况下，不少用户的防火墙与IDS并不是同一家的产品，因此在联动的协议上面大都遵从 opsec 或者 topsec协议进行通信，不过也有某些厂家自己开发相应的通信规范的。目前总得来说，联动有一定效果，但是稳定性不理想，特别是攻击者利用伪造的包信息，让IDS错误判断，进而错误指挥防火墙将合法的地址无辜屏蔽掉。

　　因为诸多不足，在目前而言，IDS主要起的还是监听记录的作用。用个比喻来形容：网络就好比一片黑暗，到处充满着危险，冥冥中只有一个出口;IDS就象一支手电筒，虽然手电筒不一定能照到正确的出口，但至少有总比没有要好一些。称职的网管，可以从IDS中得到一些关于网络使用者的来源和访问方式，进而依据自己的经验进行主观判断(注意，的确是主观判断。例如用户连续ping了服务器半个小时，到底是意图攻击，还是无意中的行为?这都依据网络管理员的主观判断和网络对安全性的要求来确定对应方式。)对IDS的选择，跟上面谈到的防火墙的选择类似，根据自己的实际要求和使用习惯，选择一个自己够用的，会使用的就足够了。

　　最后，要说的依然是那句“世界上没有一种技术能真正保证绝对地安全。”安全问题，是从设备到人，从服务器上的每个服务程序到防火墙、IDS等安全产品的综合问题;任何一个环节工作，只是迈向安全的步骤。这一讲，希望能带给各位一些我的安全理念。更多内容，就在课课家!