防火墙

防火墙指的是位于网络之间，以安全策略为核心，实施网间访问控制的一组安全组件的集合。

按照技术划分，可以分为：包过滤防火墙、状态防火墙、代理防火墙。

按体系结构划分为屏蔽路由结构、屏蔽主机结构、双穴主机结构和屏蔽子网结构。

Character

• 双重宿主主机体系结构；

堡垒机具有两个接口，可以同时连接两个网络，无需在包过滤防火墙做规则配置，即可迫使内部网络与外部网络的通信经过堡垒机，避免了包过滤防火墙失效导致内部网络可能与外网直接通信，比单穴堡垒主机结构安全性更高。

主要缺点在于这种体系结构的主要防护点是双穴主机，一旦双穴主机被攻陷，被配置为内、外网转发数据包，那么外网主机则可直接访问内网，防火墙体系结构的防护功能完全丧失。

• （被）屏蔽主机体系结构；

在此结构下，外网的攻击者要攻击内部网络，攻击数据包需要穿越包过滤防火墙和堡垒主机，实施攻击的难度很高。

问题时堡垒主机直接暴露在攻击者面前，一旦堡垒主机被攻陷，整个内部网络则受到威胁。

• （被）屏蔽子网体系结构；

根据安全等级将内网划分为不同的子网，内网1的安全性更高，若想攻击内网1，则需要入侵两个包过滤防火墙和一台堡垒机，攻击难度增加。

缺点是管理复杂。

内部包过滤器使内网免受DMZ和外网的入侵，也限制内网主机只能通过DMZ堡垒机与外网通信，避免内网和外网直接通信。

外部包过滤器限制外网主机只能访问DMZ特定的服务，使内网对外网用户完全不可见。

Difference

包过滤VS状态检测

从配置方式和端口开放两个角度作答：

因此包过滤与状态检测防火墙的主要区别是：

1、包过滤防火墙需要双向静态配置，配置后一直存在；状态检测防火墙仅需单向静态配置，另外一个方向由防火墙自动动态建立临时会话放行——用过后会自动删除。

2、包过滤防火墙，服务器到客户端的目的端口需要全部打开；状态检测防火墙，服务器到客户端的目的端口仅按需开放

入侵检测系统

What is IDS：用于检测网络内部的入侵行为和不经过防火墙的违反安全策略的行为。

检测方法主要有两种：滥用检测和异常检测（异常检测的基本原理就是通过建立正常轮廓，当用户行为与正常轮廓存在较大差异时，通过检查这些差异就可以检测出入侵）。

滥用检测VS异常检测：
滥用检测比较准确，但是不能检测未知的攻击，误报率低，但是漏报率较高。

异常检测能够检测未知的攻击，但是需要更强的智能性。

通用流程（感觉跟流量检测差不多）：数据提取、数据分析、结果处理。可以不包括响应。

根据系统数据来源的不同，可以分为：基于主机的入侵检测系统和基于网络的入侵检测系统。

HIDS:优：能够根据受保护主机的实际情况进行针对性的定制，使工作有效，误报率低；缺点是数据或系统的准确性或完整性可能被攻击者威胁（通过系统特权Bypass审计），并且HIDS会影响主机性能。

NIDS优：检测范围是整个网段；无需登录或者审计机制，只需配置网络接口；缺点是只能检测经过本网络的活动，并且精度较差，在交换式网络下难以配置，防欺骗能力较差；并且无法防御主机内部的威胁，也不能对经过加密的数据流进行有效审查。

衡量指标：误报率和漏报率。

Q&A

WHY DMZ

DMZ为网络的受信任程度中等，通常用来定义内部服务器所在的网络，若不跨域，则相关流量不会被保护。