入侵者分爲3類:假冒者(外部人員,未經授權使用計算機資源的人)、非法者(內部人員,越權訪問的人)、祕密用戶(奪取超級控制並利用控制逃避審計或抑制審計的人)
入侵檢測技術分爲兩種:
統計異常檢測:收集一段時間的合法用戶的行爲,然後統計測試觀測其行爲,判斷是否違法。從閾值檢測和基於輪廓兩個方面。
基於規則檢測:包括異常檢測和滲透規則兩個方面。
2、防火牆特性
防火牆設計目標:所有由外道內或由內到外必須經過防火牆,只有被授權的通信才能通過防火牆。
用來控制訪問和執行站點安全策略的4種常用技術:
服務控制(確定可以訪問的`Internet服務類型)、方向控制(決定哪些特定方向上服務請求可以被髮起並通過防火牆)、用戶控制(根據哪個用戶嘗試訪問服務來控制對一個服務的訪問)和行爲控制(控制怎樣使用特定的服務)。
防火牆的功能:
防火牆定義了單個阻塞點,將未授權的用戶隔離在被保護的網絡之外。不能放撥號上網。
提供了安全與監視有關事件的場所
是一些與安全無關的Internet功能的方便平臺
可用作IPSEC(網絡層安全)平臺。
3、防火牆的分類
常用的防火牆有包過濾路由器、應用級網關和電路級網關。
包過濾路由器:根據一套規則對收到的IP數據報進行處理,決定轉發還是丟棄。
應用級網關:也稱代理服務器,在應用級的通信中扮演着一個消息傳遞者的角色。
電路級網關:是一個獨立系統,或說它是某項具體功能,也可由應用級網關在某個應用中執行,但不允許建立一個端到端的直接TCP連接,由網關建立兩個鏈接,一個是網關到網內的TCP用戶,一個是網關到外部TCP用戶,網關僅是一箇中繼作用。
堡壘主機:作爲應用級網關和電路級網關的服務平臺。