入侵检测

IETF将入侵检测分为四个组件：事件数据库(EventDataBases)，事件产生器(EventGenerators)，响应单元 (ResponseUnits)和事件分析器(EventAnalyzers)。事件产生器的作用是从整个系统环境中获得事件，并向的其他组件提供此事件。事件分析器分析获得的数据，并生成分析结果。响应单元是对分析结果做出处理的功能单元，它可以进行切断连接、改变属性等强烈操作，也可能只是简单报警。事件数据库是存储中间数据和最终数据的地方，它可能是复杂的数据仓库，也可能是简单的文本文件。

根据检测对象不同，入侵检测可以分为网络型和主机型。网络型的数据源来自于网络数据包。往往将一台机器的网卡设为混杂模式 (PromiseMode)，对本网段内的所有数据包进行信息收集和判断。一般来说，网络型入侵检测肩负着保护全网段的任务。主机型入侵检测是以应用程序日志、系统日志等作为数据源，也可以通过其他方式(如监控系统调用)从主机收集信息并进行分析。主机型入侵检测主要保护的是本机系统，这种系统经常运行于被监测系统之上，用来监测系统内正在运行进程的合法性。

入侵检测系统的核心功能是对事件进行分析，并从中发现不符合安全策略的行为。从技术上，入侵检测分为两类：一种是基于标志(CSignature—Based)，另一种是基于异常情况(Abnormally-Based)。

防火墙

防火墙是建立在信息安全技术和通信网络技术基础上的安全技术，越来越多地被应用丁公用网络和专用网络的环境之中，尤其广泛应用在Intemet网络接入方面。

防火墙是设置在不同网络之间的一系列安全部件的组合，它是不同网络之间信息传输的唯出入口，可以根据企业的安全策略控制出入网络的数据流，且本身具有很强的抗攻击性，它是企业实现信息和网络安的基础设施。在逻辑上，防火墙即是限制器、分离器，也是分析器，它有效地监控了内网和公网之间的任何数据活动，为内部网络安全提供了有效保证。

作为网络安全的屏障，防火墙能够极大地提高内部网络安全性，通过过滤不安全的数据而降低风险。由于只有经过精心筛选的应用数据才能通过防火墙，网络环境才变得加更安全。