關於網路入侵監測的主要優點哪個不正確

Ⅰ 比較基本網路和基於主機的入侵檢測系統的優缺點.

話劫持以及拒絕服務攻擊(DoS)都象瘟疫一般影響著無線區域網的安全。無線網路不但因為基於傳統有線網路TCP/IP架構而受到攻擊，還有可能受到基於電氣和電子工程師協會 (IEEE) 發行802.11標准本身的安全問題而受到威脅。為了更好的檢測和防禦這些潛在的威脅，無線區域網也使用了一種入侵檢測系統(IDS)來解決這個問題。以至於沒有配置入侵檢測系統的組織機構也開始考慮配置IDS的解決方案。這篇文章將為你講述，為什麼需要無線入侵檢測系統，無線入侵檢測系統的優缺點等問題。

來自無線區域網的安全

無線區域網容易受到各種各樣的威脅。象802.11標準的加密方法和有線
對等保密（Wired Equivalent Privacy）都很脆弱。在"Weaknesses in the Key Scheling Algorithm of RC-4" 文檔里就說明了WEP key能在傳輸中通過暴力破解攻擊。即使WEP加密被用於無線區域網中，黑客也能通過解密得到關鍵數據。

黑客通過欺騙（rogue）WAP得到關鍵數據。無線區域網的用戶在不知情的情況下，以為自己通過很好的信號連入無線區域網，卻不知已遭到黑客的監聽了。隨著低成本和易於配置造成了現在的無線區域網的流行，許多用戶也可以在自己的傳統區域網架設無線基站(WAPs)，隨之而來的一些用戶在網路上安裝的後門程序，也造成了對黑客開放的不利環境。這正是沒有配置入侵檢測系統的組織機構開始考慮配置IDS的解決方案的原因。或許架設無線基站的傳統區域網用戶也同樣面臨著遭到黑客的監聽的威脅。

基於802.11標準的網路還有可能遭到拒絕服務攻擊(DoS)的威脅，從而使得無線區域網難於工作。無線通訊由於受到一些物理上的威脅會造成信號衰減，這些威脅包括：樹，建築物，雷雨和山峰等破壞無線通訊的物體。象微波爐，無線電話也可能威脅基於802.11標準的無線網路。黑客通過無線基站發起的惡意的拒絕服務攻擊(DoS)會造成系統重起。另外，黑客還能通過上文提到的欺騙WAP發送非法請求來干擾正常用戶使用無線區域網。

另外一種威脅無線區域網的是ever-increasing pace。這種威脅確實存在，並可能導致大范圍地破壞，這也正是讓802.11標准越來越流行的原因。對於這種攻擊，現在暫時還沒有好的防禦方法，但我們會在將來提出一個更好的解決方案。

入侵檢測

入侵檢測系統(IDS)通過分析網路中的傳輸數據來判斷破壞系統和入侵事件。傳統的入侵檢測系統僅能檢測和對破壞系統作出反應。如今，入侵檢測系統已用於無線區域網，來監視分析用戶的活動，判斷入侵事件的類型，檢測非法的網路行為，對異常的網路流量進行報警。

無線入侵檢測系統同傳統的入侵檢測系統類似。但無線入侵檢測系統加入了一些無線區域網的檢測和對破壞系統反應的特性。

無線入侵檢測系統可以通過提供商來購買，為了發揮無線入侵檢測系統的優良的性能，他們同時還提供無線入侵檢測系統的解決方案。如今，在市面上的流行的無線入侵檢測系統是Airdefense RogueWatch 和Airdefense Guard。象一些無線入侵檢測系統也得到了Linux 系統的支持。例如：自由軟體開放源代碼組織的Snort-Wireless 和WIDZ 。

架構

無線入侵檢測系統用於集中式和分散式兩種。集中式無線入侵檢測系統通常用於連接單獨的sensors ，搜集數據並轉發到存儲和處理數據的中央系統中。分散式無線入侵檢測系統通常包括多種設備來完成IDS的處理和報告功能。分散式無線入侵檢測系統比較適合較小規模的無線區域網，因為它價格便宜和易於管理。當過多的sensors需要時有著數據處理sensors花費將被禁用。所以，多線程的處理和報告的sensors管理比集中式無線入侵檢測系統花費更多的時間。

無線區域網通常被配置在一個相對大的場所。象這種情況，為了更好的接收信號，需要配置多個無線基站(WAPs)，在無線基站的位置上部署sensors，這樣會提高信號的覆蓋范圍。由於這種物理架構，大多數的黑客行為將被檢測到。另外的好處就是加強了同無線基站(WAPs)的距離，從而，能更好地定位黑客的詳細地理位置。

物理回應

物理定位是無線入侵檢測系統的一個重要的部分。針對802.11 的攻擊經常在接近下很快地執行，因此對攻擊的回應就是必然的了,象一些入侵檢測系統的一些行為封鎖非法的IP。就需要部署找出入侵者的IP,而且,一定要及時。不同於傳統的區域網，黑客可以攻擊的遠程網路,無線區域網的入侵者就在本地。通過無線入侵檢測系統就可以估算出入侵者的物理地址。通過802.11的sensor 數據分析找出受害者的,就可以更容易定位入侵者的地址。一旦確定攻擊者的目標縮小，特別反映小組就拿出Kismet或Airopeek根據入侵檢測系統提供的線索來迅速找出入侵者,

策略執行

無線入侵檢測系統不但能找出入侵者,它還能加強策略。通過使用強有力的策略,會使無線區域網更安全。

威脅檢測

無線入侵檢測系統不但能檢測出攻擊者的行為，還能檢測到rogue WAPS，識別出未加密的802.11標準的數據流量。

為了更好的發現潛在的 WAP 目標，黑客通常使用掃描軟體。Netstumbler 和Kismet這樣的軟體來。使用全球衛星定位系統（Global Positioning System ）來記錄他們的地理位置。這些工具正因為許多網站對WAP的地理支持而變的流行起來。

比探測掃描更嚴重的是，無線入侵檢測系統檢測到的DoS攻擊，DoS攻擊在網路上非常普遍。DoS攻擊都是因為建築物阻擋造成信號衰減而發生的。黑客也喜歡對無線區域網進行DoS攻擊。無線入侵檢測系統能檢測黑客的這種行為。象偽造合法用戶進行泛洪攻擊等。

除了上文的介紹，還有無線入侵檢測系統還能檢測到MAC地址欺騙。它是通過一種順序分析，找出那些偽裝WAP 的無線上網用戶。

無線入侵檢測系統的缺陷

雖然無線入侵檢測系統有很多優點，但缺陷也是同時存在的。因為無線入侵檢測系統畢竟是一門新技術。每個新技術在剛應用時都有一些bug，無線入侵檢測系統或許也存在著這樣的問題。隨著無線入侵檢測系統的飛速發展，關於這個問題也會慢慢解決。

結論

無線入侵檢測系統未來將會成為無線區域網中的一個重要的部分。雖然無線入侵檢測系統存在著一些缺陷，但總體上優大於劣。無線入侵檢測系統能檢測到的掃描，DoS攻擊和其他的802.11的攻擊，再加上強有力的安全策略，可以基本滿足一個無線區域網的安全問題。隨著無線區域網的快速發展，對無線區域網的攻擊也越來越多，需要一個這樣的系統也是非常必要的。

Ⅱ 什麼是入侵檢測

入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。

它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

檢測步驟

(1)信息收集。入侵檢測的第一步是信息收集，內容包括系統、網路、數據及用戶活動的狀態和行為。

而且，需要在計算機網路系統中的若干不同關鍵點(不同網段和不同主機)收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的昂好標識。

當然，入侵檢測很大程度上依賴於收集信息的可靠性和正確性，因此，很有必要只昶用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息，例如替換被程序調用的子程序、庫和其他工具。

黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣，而實際上不是。例如，UNIX系統的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同於指定文件的文件(票客隱藏了初始文件並用另一版本代替)。

這需要保證用來檢測網路系統的軟體的完整性，特別是入侵檢測系統軟體本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。

(2)信號分析。對上述四類收集到的有關系統、網路、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。

Ⅲ 什麼是基於主機的入侵檢測系統，有什麼優缺點

入侵檢測系統（intrusion detection system，簡稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。

優點是：1、IDS是一種積極主動的安全防護技術。

2、實時監視系統。
3、在沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。

Ⅳ 什麼叫做入侵檢測入侵檢測系統的基本功能是什麼

入侵檢測系統（Intrusion-detection system，下稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。它與其他網路安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。 IDS最早出現在1980年4月。該年，James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術報告，在其中他提出了IDS的概念。 1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。 1990年，IDS分化為基於網路的IDS和基於主機的IDS。後又出現分布式IDS。目前，IDS發展迅速，已有人宣稱IDS可以完全取代防火牆。 我們做一個形象的比喻：假如防火牆是一幢大樓的門衛，那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況並發出警告。 IDS入侵檢測系統以信息來源的不同和檢測方法的差異分為幾類。根據信息來源可分為基於主機IDS和基於網路的IDS，根據檢測方法又可分為異常入侵檢測和濫用入侵檢測。不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在： （1）盡可能靠近攻擊源 （ 2）盡可能靠近受保護資源 這些位置通常是： ·伺服器區域的交換機上 ·Internet接入路由器之後的第一台交換機上 ·重點保護網段的區域網交換機上 由於入侵檢測系統的市場在近幾年中飛速發展，許多公司投入到這一領域上來。Venustech(啟明星辰）、Internet Security System（ISS）、思科、賽門鐵克等公司都推出了自己的產品。系統分類根據檢測對象的不同，入侵檢測系統可分為主機型和網路型。

Ⅳ 根據數據的來源不同，入侵檢測系統可以分為哪些種類，各有什麼優缺點

根據檢測數據的採集來源，入侵檢測系統可以分為：基於網路的入侵檢測系統(NIDS) 和基於主機的入侵檢測系統(HIDS)。

Ⅵ 入侵檢測系統的優缺點有哪些

入侵檢測系統的優點：
1.能夠使現有的安防體系更完善。
2.能夠更好地掌握系統的情況。
3.能夠追蹤攻擊者的攻擊線路。
4.界面友好，便於建立安防體系。
5.能夠抓住肇事者。

入侵檢測系統的缺點：
1. 不能夠在沒有用戶參與的情況下對攻擊行為展開調查。
2. 不能夠在沒有用戶參與的情況下阻止攻擊行為的發生。
3. 不能克服網路協議方面的缺陷。
4.不能克服設計原理方面的缺陷。
5. 響應不夠及時，簽名資料庫更新得不夠快。
6.經常是事後才檢測到，適時性不好。

Ⅶ 網路入侵問題題

根據檢測對象的不同，入侵檢測系統可分為主機型和網路型。
系統通信協議
IDS系統內部各組件之間需要通信，不同廠商的IDS系統之間也需要通信。因此，有必要定義統一的協議。目前，IETF目前有一個專門的小組Intrusion Detection Working Group （IDWG）負責定義這種通信格式，稱作Intrusion Detection Exchange Format（IDEF），但還沒有統一的標准。
以下是設計通信協議時應考慮的問題：
1.系統與控制系統之間傳輸的信息是非常重要的信息，因此必須要保持數據的真實性和完整性。必須有一定的機制進行通信雙方的身份驗證和保密傳輸（同時防止主動和被動攻擊）。
2.通信的雙方均有可能因異常情況而導致通信中斷，IDS系統必須有額外措施保證系統正常工作。
入侵檢測技術
對各種事件進行分析，從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上，入侵檢測分為兩類：一種基於標志（signature-based），另一種基於異常情況（anomaly-based）。
對於基於標識的檢測技術來說，首先要定義違背安全策略的事件的特徵，如網路數據包的某些頭信息。檢測主要判別這類特徵是否在所收集到的數據中出現。此方法非常類似殺毒軟體。
而基於異常的檢測技術則是先定義一組系統「正常」情況的數值，如CPU利用率、內存利用率、文件校驗和等（這類數據可以人為定義，也可以通過觀察系統、並用統計的辦法得出），然後將系統運行時的數值與所定義的「正常」情況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在於如何定義所謂的「正常」情況。
兩種檢測技術的方法、所得出的結論有非常大的差異。基於異常的檢測技術的核心是維護一個知識庫。對於已知的攻擊，它可以詳細、准確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新。基於異常的檢測技術則無法准確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發覺的攻擊。
[編輯本段]
IDS缺點
1998年2月，Secure Networks Inc.指出IDS有許多弱點，主要為：IDS對數據的檢測；對IDS自身攻擊的防護。由於當代網路發展迅速，網路傳輸速率大大加快，這造成了IDS工作的很大負擔，也意味著IDS對攻擊活動檢測的可靠性不高。而IDS在應對對自身的攻擊時，對其他傳輸的檢測也會被抑制。同時由於模式識別技術的不完善，IDS的高虛警率也是它的一大問題。

Ⅷ 分析防火牆技術和入侵檢測技術的優缺點。

防火牆的概念
所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。
防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。
防火牆，英語為firewall，《英漢證券投資詞典》的解釋為：金融機構內部將銀行業務與證券業務嚴格區分開來的法律屏障，旨在防止可能出現的內幕消息共享等不公平交易出現。使用防火牆比喻不要引火燒身。
當然，既然打算由淺入深的來了解，就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。在電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網路中，所謂「防火牆」，顧名思義，是一種隔離設備。防火牆是一種高級訪問控制設備，置於不同網路安全域之間的一系列部件的組合，它是不同網路安全域之間通信流的唯一通道，能根據用戶有關的安全策略控制進出網路的訪問行為。從專業角度講，防火牆是位於兩個或多個網路間，實施網路訪問控制的組件集合。從用戶角度講，防火牆就是被放置在用戶計算機與外網之間的防禦體系，網路發往用戶計算機的所有數據都要經過其判斷處理，才決定能否將數據交給計算機，一旦發現數據異常或有害，防火牆就會將數據攔截，從而實現對計算機的保護。防火牆是網路安全策略的組成部分，它只是一個保護裝置，通過監測和控制網路間的信息交換和訪問行為來實現對網路安全的有效管理，其主要目的就是保護內部網路的安全。
1.2 防火牆的功能
（1）訪問控制：
■ 限制未經授權的用戶訪問本企業的網路和信息資源的措施，訪問者必需要能適用現行所有的服務和應用。網路衛士防火牆支持多種應用、服務和協議，支持所有的internet服務，包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等，還支持如oracle、sybase、sql伺服器資料庫訪問和real audio，vodlive、netmeeting和internet phone等這樣的多媒體應用及internet廣播服務。
■ 提供基於狀態檢測技術的ip地址、埠、用戶和時間的管理控制；
■ 訪問控制對象的多種定義方式支持多種方式定義訪問控制對象: ip/mask(如202.100.100.0/24)，ip區間(如202.100.100.1-202.100.100.254)，ip/mask與通配符，ip區間與通配符等，使配置防火牆的安全策略極為方便。
■ 高效的url和文件級細粒度應用層管理控制；應用層安全控制策略主要針對常用的網路應用協議http和ftp，控制策略可以實現定義訪問源對象到目標對象間的常用協議命令通過防火牆的許可權，源對象可以是網段、主機。http和ftp的協議埠用戶可根據實際情況在策略中定義，協議命令為http和ftp的主要常用命令。通過應用層策略實現了url和文件級的訪問控制。
■ 雙向nat，提供ip地址轉換和ip及tcp/udp埠映射，實現ip復用和隱藏網路結構：nat在ip層上通過地址轉換提供ip復用功能，解決ip地址不足的問題，同時隱藏了內部網的結構，強化了內部網的安全。網路衛士防火牆提供了nat功能，並可根據用戶需要靈活配置。當內部網用戶需要對外訪問時，防火牆系統將訪問主體轉化為自己，並將結果透明地返回用戶，相當於一個ip層代理。防火牆的地址轉換是基於安全控制策略的轉換，可以針對具體的通信事件進行地址轉換。internet用戶訪問對內部網路中具有保留ip主機的訪問，可以利用反向nat實現，即為內部網路主機在防火牆上映射一注冊ip地址，這樣internet 用戶就可以通過防火牆系統訪問主機了。映射類型可以為ip級和埠級。埠映射可以通過一個注冊ip地址的不同tcp/udp埠映射到多個保留的ip主機。
■ 用戶策略:可以根據企業安全策略，將一次性口令認證與防火牆其它安全機制結合使用，實現對用戶訪問許可權的控制。用戶控制策略可以實現用戶之間、用戶與ip網段或主機間的訪問行為，如協議類型、訪問時間等，策略控制對象十分靈活。一次性口令認證方式用於控制內部網與外部網之間的高安全級訪問行為。
■ 介面策略:防止外部機器盜用內部機器的ip地址，這通過防火牆的介面策略實現。網路衛士防火牆將介面策略加在相應的介面上，以防止其它介面區域的ip被此介面區域內的主機冒用。如在正常情況下，內部ip不可能在防火牆的外部介面作為通信源地址出現，因此可以在外部介面上禁止所有的內部ip作為源地址的通信行為。
■ ip與mac地址綁定：防止防火牆廣播域內主機的ip地址不被另一台機器盜用。也就是說，如果要保護的主機與防火牆直接相連，可以將此機器的ip與其物理網卡地址捆綁，這樣其他內部機器就不可能使用這個ip通過防火牆。
■ ip與用戶綁定：綁定一次性口令用戶到定義ip列表上，防止綁定用戶的從非許可區域通過防火牆。
■ 支持流量管理：流量管理與控制.
■ 可擴展支持計費功能：計費功能可以定義內部網路ip，記錄內部網路與外部網路的方向性通信流量，並可依據ip及用戶統計查詢計費信息。計費模塊還可以提供用戶化計 費信息介面，將計費信息導出到用戶自的計費處理軟體中。
■ 基於優先順序的帶寬管理：用戶帶寬最大用量限制，用戶帶寬用量保障，多級用戶優先順序設置流量控制功能為用戶提供全部監測和管理網路的信息。
（2）防禦功能
■ 防tcp、udp等埠掃描：網路衛士防火牆可以檢測到對網路或內部主機的所有tcp/udp掃描。
■ 抗dos/ddos攻擊：拒絕服務攻擊(dos)就是攻擊者過多的佔用共享資源，導致伺服器超載或系統崩潰，而使正常用戶無法享有服務或沒有資源可用。防火牆通過控制、檢測與報警機制，阻止dos黑客攻擊。
■ 可防禦源路由攻擊、ip碎片包攻擊、dns/rip/icmp攻擊、syn等多種攻擊：網路衛士防火牆系統可以檢測對網路或內部主機的多種拒絕服務攻擊。
■阻止activex、java、javascript等侵入：屬於http內容過濾，防火牆能夠從http頁面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測出危險的代碼，同時，能夠過濾用戶上載的cgi、asp等程序。
■ 提供實時監控、審計和告警功能：網路衛士防火牆提供對網路的實時監控，當發現攻擊和危險行為時，防火牆提供告警等功能。
■ 可擴展支持第三方ids入侵檢測系統，實現協同工作：網路衛士防火牆支持topsec協議，可與第三方ids產品實現無縫集成，協同工作。
（3）用戶認證
因為企業網路為本地用戶、移動用戶和各種遠程用戶提供信息資源，所以為了保護網路和信息安全，必須對訪問連接用戶採用有效的許可權控制和身份識別，以確保系統安全。
■ 提供高安全強度的一次性口令(otp)用戶認證：一次性口令認證機制是高強度的認證機制，能極大地提高了訪問控制的安全性，有效阻止非授權用戶進入網路，保證網路系統的合法使用。一次性口令用戶認證的基本過程是：首先用戶向防火牆發送身份認證請求，並指明自己的用戶名，防火牆收到請求後，向用戶提出挑戰及同步信息，用戶收到此信息後，結合自己的口令，產生一次性口令並發送給防火牆，防火牆判斷用戶答復是否正確以鑒別用戶的合法性，為防止口令猜測，如果用戶連續三次認證失敗則在一定時間內禁止該用戶認證。由於採用一次性的口令認證機制，即使竊聽者在網路上截取到口令，由於該口令的有效期僅為一次，故也無法再利用這個口令進行認證鑒別。在實際應用中，用戶採用一次性口令登錄程序登陸時，防火牆向用戶提供一個種子及同步次數，登錄程序根據用戶輸入的口令、種子、同步次數計算出一次性口令並傳給防火牆.用戶可以在不同的伺服器上使用不同的種子而口令相同，每次在網路上傳輸的口令也不同， 用戶可以定期改變種子來達到更高的安全目標.
■ 可擴展支持第三方認證和支持智能ic卡、ikey等硬體方式認證：網路衛士防火牆有很好的擴展性，可擴展支持radius等認證，提供撥號用戶等安全訪問。也可通過擴展支持支持職能ic卡、ikey等硬體方式認證。
（4）安全管理
■ 提供基於otp機制的管理員認證。
■ 提供分權管理安全機制；提供管理員和審計員分權管理的安全機制，保證安全產品的安全管理。
■ 遠程管理提供加密機制；在進行遠程管理時，管理機和防火牆之間的通訊可進行加密以保證安全，真正實現遠程管理。
■ 遠程管理安全措施:管理源主機限定;並發管理連接數限定;管理介面icmp開關控制;管理介面開關;遠程登錄嘗試鎖定;
■ 提供安全策略檢測機制：網路衛士防火牆提供規則測試功能，實現策略的控制邏輯檢查，及時發現控制邏輯的錯誤，為用戶檢查規則配置的正確性，完善控制策略提供方便、快捷、有效的工具。
■ 提供豐富完整的審計機制；網路衛士防火牆產品的日誌審計功能十分完善，有對系統管理體系的分類日誌(管理日誌、通信事件日誌)，也有按日期對應的運行日誌。日誌內容包括事件時間及事件摘要等。
■ 提供日誌下載、備份和查詢功能；防火牆的日誌管理方式包括日誌下載、備份和日誌查詢，這為用戶進行日誌的審計和分析提供了方便。防火牆還提供日誌導出工具，將各種日誌信息導出到管理伺服器，方便進一步處理。
■ 可擴展支持計費功能。計費模塊提供較強的計費功能。防火牆上設置計費功能可以避免防火牆所保護的內部網計費時，可能因防火牆策略未許可而導致某些用戶計費信息與實際使用的不一致，也彌補了防火牆作地址轉換時，外部網難以計費的缺陷。計費功能可以定義內部網路ip，記錄內部網路與外部網路的方向性通信流量，並可依據ip及用戶統計查詢計費信息。計費模塊還可以提供用戶化計費信息介面，將計費信息導出到用戶自己的計費處理軟體中。
（5）雙機熱備份
提供防火牆的雙機熱備份功能，提高應用系統可靠性和性能。熱備份通過多種方式觸發工作模式切換，模式切換時間短。
（6）操作管理
■ 提供靈活的本地、遠程管理方式；
■ 支持gui和命令行多種操作方式；
■ 可提供基於命令行和gui的本地和遠程配置管理。
1.3 防火牆的分類
（1）從軟、硬體形式上分類
如果從防火牆的軟、硬體形式來分的話，防火牆可以分為軟體防火牆和硬體防火牆以及晶元級防火牆。
■ 軟體防火牆
軟體防火牆運行於特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這台計算機就是整個網路的網關。俗稱「個人防火牆」。軟體防火牆就像其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於Checkpoint。使用這類防火牆，需要網管對所工作的操作系統平台比較熟悉。
■ 硬體防火牆
這里說的硬體防火牆是指「所謂的硬體防火牆」。之所以加上「所謂」二字是針對晶元級防火牆說的了。它們最大的差別在於是否基於專用的硬體平台。目前市場上大多數防火牆都是這種所謂的硬體防火牆，他們都基於PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是，由於此類防火牆採用的依然是別人的內核，因此依然會受到OS（操作系統）本身的安全性影響。
■ 晶元級防火牆
晶元級防火牆基於專門的硬體平台，沒有操作系統。專有的ASIC晶元促使它們比其他種類的防火牆速度更快，處理能力更強，性能更高。做這類防火牆最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火牆由於是專用OS（操作系統），因此防火牆本身的漏洞比較少，不過價格相對比較高昂。
（2）從防火牆技術上分類
防火牆技術雖然出現了許多，但總體來講可分為「包過濾型」和「應用代理型」兩大類。前者以以色列的Checkpoint防火牆和美國Cisco公司的PIX防火牆為代表，後者以美國NAI公司的Gauntlet防火牆為代表。
■ 包過濾（Packet filtering）型
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網路服務採取特殊的處理方式，適用於所有網路服務；之所以廉價，是因為大多數路由器都提供數據包過濾功能，所以這類防火牆多數是由路由器集成的；之所以有效，是因為它能很大程度上滿足了絕大多數企業安全要求。
在整個防火牆技術的發展過程中，包過濾技術出現了兩種不同版本，稱為「第一代靜態包過濾」和「第二代動態包過濾」。
包過濾方式的優點是不用改動客戶機和主機上的應用程序，因為它工作在網路層和傳輸層，與應用層無關。但其弱點也是明顯的：過濾判別的依據只是網路層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規則的數目是有限制的，且隨著規則數目的增加，性能會受到很大地影響；由於缺少上下文關聯信息，不能有效地過濾如UDP、RPC（遠程過程調用）一類的協議；另外，大多數過濾器中缺少審計和報警機制，它只能依據包頭信息，而不能對用戶身份進行驗證，很容易受到「地址欺騙型」攻擊。對安全管理人員素質要求高，建立安全規則時，必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網關配合使用，共同組成防火牆系統。
■ 應用代理（Application Proxy）型
應用代理型防火牆是工作在OSI的最高層，即應用層。其特點是完全「阻隔」了網路通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。其典型網路結構如圖所示。

在代理型防火牆技術的發展過程中，它也經歷了兩個不同的版本：第一代應用網關型代理防火和第二代自適應代理防火牆。
代理類型防火牆的最突出的優點就是安全。由於它工作於最高層，所以它可以對網路中任何一層數據通信進行篩選保護，而不是像包過濾那樣，只是對網路層的數據進行過濾。
另外代理型防火牆採取是一種代理機制，它可以為每一種應用服務建立一個專門的代理，所以內外部網路之間的通信不是直接的，而都需先經過代理伺服器審核，通過後再由代理伺服器代為連接，根本沒有給內、外部網路計算機任何直接會話的機會，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網

Ⅸ 在當前網路環境下，普通的基於校園網的入侵檢測系統有存在哪些問題

入侵檢測系統的優點：1.能夠使現有的安防體系更完善。2.能夠更好地掌握系統的情況。3.能夠追蹤攻擊者的攻擊線路。4.界面友好，便於建立安防體系。5.能夠抓住肇事者。入侵檢測系統的缺點：1.不能夠在沒有用戶參與的情況下對攻擊行為

Ⅹ 入侵報警系統的四種類型----匯流排制、多線制、無線制、公共網路型各自的特點和優缺點

根據信號傳輸方式的不同，入侵報警系統組建模式宜分為以下模式：
1 分線制：探測器、緊急報警裝置通過多芯電纜與報警控制主機之間採用一對一專線相連。
2 匯流排制：探測器、緊急報警裝置通過其相應的編址模塊與報警控制主機之間採用報警匯流排(專線)相連。
3 無線制：探測器、緊急報警裝置通過其相應的無線設備與報警控制主機通訊，其中一個防區內的緊急報警裝置不得大於4個。
4 公共網路：探測器、緊急報警裝置通過現場報警控制設備和/或網路傳輸接人設備與報警控制主機之間採用公共網路相連。公共網路可以是有線網路，也可以是有線一無線一有線網路。

1、 探測
入侵報警系統應對下列可能的入侵行為進行准確、實時的探測並產生報警狀態：
a) 打開門、窗、空調百葉窗等；
b) 用暴力通過門、窗、天花板、牆及其他建築結構；
c) 破碎玻璃；
d) 在建築物內部移動；
e) 接觸或接近保險櫃或重要物品；
f) 緊急報警裝置的觸發。
2、 當一個或多個設防區域產生報警時，入侵報警系統的響應時間應符合下列要求：
a) 分線制入侵報警系統：不大於2s;
b) 無張和匯流排制入侵報警系統的任一個防區首次報警：不大於3s;
其他防區後續報警：不大於2s;
3、 指示
入侵報警系統應能對下列狀態的事件來源和發生的時間給出指示；
a) 正常狀態；
b) 試驗狀態；
c) 入侵行為產生的報警狀態；
d) 防拆報警狀態；
e) 故障狀態；
f) 主電源掉電、備用電源欠壓；
g) 調協警戒（布防）/解除警戒（撤防）狀態；
h) 傳輸信息失敗。
4、 控制
入侵報警系統應能對下列功能進行編程設置；
a) 瞬時防區和延時防區；
b) 全部或部分探測迴路設備警戒（布防）與解除警戒（撤防）；
c) 向遠程中心傳輸信息或取消；
d) 向輔助裝置發激厴信號；
e) 系統試驗應在系統的正常運轉受到最小中斷的情況下進行。
5、 記錄和查詢
入侵報警系統應能對下列事件記錄和事後查詢：
a) 4.3.3所列事件、4.3.4所列編程設置；
b) *作人員的姓名、開關機時間；#p#分頁標題#e#
c) 警情的處理；
d) 維修。
6 、傳輸
a) 報警信號的傳輸可採用有線和/或無線傳輸方式；
b) 報警傳輸系統應具有自檢、巡檢功能；
c) 入侵報警系統應有與遠程中心進行有線和/或無線通信的介面，並能對通信線路故障進行監控；
d) 報警信號傳輸系統的技術要求應符合IEC 60839-5;
e) 報警傳輸系統串列數據介面的信息格式和協議，應符合IEC 60839-7的要求。