服务器广告宣传图
  • 建站小子微信
首页 > 程序人生  > 

网络安全系统有哪些?三类常见网络安全系统

企业建网站公司时间:2022-09-28 22:55:21阅读数:0人阅读

network-security-system

  计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。那么,为了防止和避免遭受攻击和入侵,以确保网上信息的安全,网络安全系统起到了很大的作用。当前应用较为广泛的三类常见网络安全系统——防火墙、IDS(网络入侵检测系统)、IPS(入侵防御系统)。

  防火墙

  防火墙是最成熟的网络安全技术,也是市场上最常见的网络安全产品,在互联网上是一种非常有效的网络安全工具。它主要是通过对外界屏蔽,以保护内部网络的信息和结构。它是设置在内部可信网络和外部不可信网络之间的屏障,可以通过实施比较广泛的安全策略来控制信息流入可信网络,防止不可预料的潜在的入侵破坏,它也能限制可信网络中的用户对外部网络的非授权访问,也因此削弱了网络的功能。

  一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视 fnternet 安全提供方便。由于防火墙假设了网络边界和服务,因此适合于相对独立的网络。防火墙已经在 Internet 上得到了广泛的应用,而且由于防火墙不限于 TCP/IP 协议的特点,也使其逐步在 fnternet 之外更具生命力。

  防火墙不是万能的,它具有如下缺点:一是防火墙可以阻断攻击,但不能消灭攻击源;二是防火墙不能抵抗最新的未设置策略的攻击漏洞;三是防火墙对服务器合法开放的端口的攻击大多无法阻止;四是防火墙不能解决来自内部网络的攻击和安全问题;五是防火墙本身也会出现问题和受到攻击;六是防火墙不处理病毒,不能防止受病毒感染的文件的传输等等。因此,客观地讲,防火墙并不是解决网络安全问题的万能药方,而只是网络安全政策和策略中的一个组成部分。

  IDS (网络入侵检测系统)

  IDS 是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。IDS 一般位于内部网的入口处,安装在防火墙的后面,用于检测入侵和内部用户的非法活动,提供对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前进行拦截和入侵处理。它可在不影响网络性能的情况下对网络进行监听,从而实现对网络的保护。

  IDS 能检测到的攻击类型常见的是:系统扫描(SystemScanning)、拒绝服务(Deny of Service)和系统渗透(System Penetration ) 。IDS 对攻击的检测方法主要有:被动、非在线地发现和实时、在线地发现计算机网络中的攻击者。IDS 的主要优势是监听网络流量,但又不会影响网络的性能。作为对防火墙的有益补充,IDS 能够帮助网络系统快速发现网络攻击的发生,可扩展系统管理员的安全管理能力,包括安全审计、监视、进攻识别和响应等,从而提高了信息安全基础结构的完整性,被认为是继防火墙之后的第二道安全闸门。

  IDS 技术的一大优点是只需收集相关的数据集合,可显著减少系统负担,且技术已相当成熟。它与防火墙采用的方法一样,检测准确率和效率都相当高。IDS 的缺点是需要不断升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段,同时其本身的抗攻击能力差。

  由于 IDS 和防火墙分别用于不同的目的,因此通常情况下可以同时选择使用 IDS 和防火墙,以便更好地保护系统。但是 IDS 和防火墙联动后,其稳定性并不是很理想,特别是攻击者有可能利用伪造的包信息,让 IDS 错误判断,进而错误指挥防火墙,从而将合法的地址屏蔽掉。

  IPS (入侵防御系统)

  IPS 是一种主动的、智能的入侵检测、防范、阻止系统,它不但能检测入侵的发生,而且能通过一定的响应方式,实时地终止入侵行为的发生和发展,实时地保护信息系统不受实质性攻击的一种智能化的安全产品。IPS 不仅能实现检测攻击,还能有效阻断攻击,它提供深层防护,注重主动防御,可以说 IPS 是基于 IDS 的、建立在 IDS 发展基础上的新生网络安全产品。

  IPS 实现实时检查和阻止入侵的原理是:IPS 拥有数目众多的过滤器,能够防止各种攻击。针对不同的攻击行为,IPS 设计不同的过滤器。每一种过滤器设置其相应的过滤规则,从而确保其准确性。当有新的攻击手段被发现,IPS 就会创建一个新的过滤器,同时设置其相应的过滤规则。IPS 数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。依据数据包中报头信息,所有流经 IPS 的数据包将被分类,如源 IP 地址和目的 IP 地址、端口号和应用域等。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查,从而确保数据包能够不间断地快速通过系统,不会对速度造成影响。IPS 的关键技术是:主动防御技术、防火墙与 IPS 互动技术、集成多种检测技术和硬件加速系统。其主要技术特征是:嵌入式运行模式、完善的安全策略、高质量的入侵特征库、高效处理数据包的能力和强大的响应功能。

  IPS 在很多方面融合了其他产品的一些特点,并作了很多方面的改进,但 IPS 的技术还不是很成熟,它所面临的挑战主要有:单点故障、性能瓶颈、误报和漏报等。其存在的最大隐患是有可能引起误操作,这种“主动性”误操作会阻塞合法的网络事件,最终影响到商务操作和客户信任度。它比较适合于组织大范围的、针对性不是很强的攻击。


“网络安全系统有哪些?三类常见网络安全系统"来自互联网,一切版权均归源网站或源作者所有。

如果侵犯了你的权益请来信告知我们删除。邮箱:8951154@qq.com

标签:
建站小子头像

建站小子

Hi~如果您正好看到这里,可以扫一扫微信二维码加我为好友,我是从事网站建设工作,我想和您认识哦~

微信