防火墙：

　　防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。

　　防火墙内的网络称为“可信的网络”(trusted network)，而将外部的因特网称为“不可信的网络”(untrusted network)。

　　防火墙可用来解决内联网和外联网的安全问题。

　　防火墙在互连网络中的位置：

　　　　　　　　　　

 

防火墙的功能：

　　防火墙的功能有两个：阻止和允许。

　　“阻止”就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）。

　　“允许”的功能与“阻止”恰好相反。

　　防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。

 

 

防火墙技术一般分为两类：

　　(1) 网络级防火墙——用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制订好的一套准则的数据，而后者则是检查用户的登录是否合法。

　　(2) 应用级防火墙——从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止FTP 应用的通过。

 

 

入侵检测系统：

　　入侵检测系统 IDS (Intrusion Detection System)能够在入侵已经开始，但还没有造成危害或在造成更大危害前，及时检测到入侵，以便尽快阻止入侵，把危害降低到最小。  

　　基于特征的 IDS 维护一个所有已知攻击标志性特征的数据库。

　　基于特征的IDS只能检测已知攻击，对于未知攻击则束手无策。