艾銻無限干貨集：入侵檢測系統和防火墻的區別和聯系

2020-03-05 18:03 作者：艾銻無限 瀏覽量：

3月2日早晨,這個世界上最偉大的CEO,前通用電器的掌舵人杰克韋爾奇因病逝世。在他執掌通用電器的19年中，公司一路迅跑，并因此連續三年在

美國<<財富雜志>>全美最受推崇公司評選中名列前茅。

通用電器在他的執掌時市場資本增長30多倍，達到了4500億美元，排名從世界第10提升到第1名。已有12個事業部，在其各自的市場上數一數二。

如果單獨排名，通用電器有9個事業部能入選財富500強，從一家制造業巨頭轉變為以服務業和電子商務為導向的企業巨人，使百年歷史的通用電器

成為真正的業界領袖級企業。
   
本人喜歡杰克韋爾奇，并不是因為他創造了這樣一家偉大的企業，貢獻了這樣一個讓人難以啟迪的高度，而是因為他的管理哲學以及管理理念，他

認為在你沒有成為領導者之前,最大的成功就是自己的成長，而成為領導者之后，最大的成功就是幫助他人成長,培養更多的優秀人才才是領導者重之

之重的工作。  
在一次電視訪談中,主持人問杰克,除了你的這些管理理念,還有什么對于一個CEO來說是非常重要的,杰克韋爾奇說偉大的CEO就是偉大的教練，作為

一名CEO,不只是去管理你的企業,更需要幫助你的管理者成為領導者,讓他們的潛能發揮出來,這才是一名CEO該做的事.

杰克為什么會這么推崇一位CEO要成為一名教練,我想也是源于他和管理學大師德魯克先生的一段故事.
 
當年，杰克·韋爾奇出任通用電氣總裁伊始，他去求見德魯克，咨詢有關企業成長的課題。德魯克送給他一個簡單的問題：假設你是投資人，通用電

氣這家公司有哪些事業，你會想要買？這個大乎哉的問題對韋爾奇產生了決定性的影響。經過反復思考，韋爾奇作出了著名的策略決定：通用電氣

旗下的每個事業，都要成為市場領導者，“不是第一，就是第二，否則退出市場”。
 
透過這個故事我們發現,管理學的大師德魯克先生并沒有給杰克什么解決方案,而只是僅僅提出了一個問題,讓杰克從更高維度上來思考通用這家公司,

到底作為CEO你想要的是什么,他就立刻知道自己接下來如何干了.

作為企業CEO的你又是如何做的呢?

 
一、    入侵檢測系統和防火墻的區別
1. 概念
1) 防火墻：防火墻是設置在被保護網絡（本地網絡）和外部網絡（主要是Internet）之間的一道防御系統，以防止發生不可預測的、潛在的破壞性的侵入。它可以通過檢測、限制、更改跨越防火墻的數據流，盡可能的對外部屏蔽內部的信息、結構和運行狀態，以此來保護內部網絡中的信息、資源等不受外部網絡中非法用戶的侵犯。

2) 入侵檢測系統：IDS是對入侵行為的發覺，通過從計算機網絡或計算機的關鍵點收集信息并進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。

3) 總結：從概念上我們可以看出防火墻是針對黑客攻擊的一種被動的防御，IDS則是主動出擊尋找潛在的攻擊者；防火墻相當于一個機構的門衛，收到各種限制和區域的影響，即凡是防火墻允許的行為都是合法的，而IDS則相當于巡邏兵，不受范圍和限制的約束，這也造成了ISO存在誤報和漏報的情況出現。
2. 功能

防火墻的主要功能：
1) 過濾不安全的服務和非法用戶：所有進出內部網絡的信息都是必須通過防火墻，防火墻成為一個檢查點，禁止未授權的用戶訪問受保護的網絡。
2) 控制對特殊站點的訪問：防火墻可以允許受保護網絡中的一部分主機被外部網訪問，而另一部分則被保護起來。
3) 作為網絡安全的集中監視點：防火墻可以記錄所有通過它的訪問，并提供統計數據，提供預警和審計功能。

入侵檢測系統的主要任務：
1) 監視、分析用戶及系統活動
2) 對異常行為模式進行統計分析，發行入侵行為規律
3) 檢查系統配置的正確性和安全漏洞，并提示管理員修補漏洞
4) 能夠實時對檢測到的入侵行為進行響應
5) 評估系統關鍵資源和數據文件的完整性
6) 操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為

總結：防火墻只是防御為主，通過防火墻的數據便不再進行任何操作，IDS則進行實時的檢測，發現入侵行為即可做出反應，是對防火墻弱點的修補；防火墻可以允許內部的一些主機被外部訪問，IDS則沒有這些
功能，只是監視和分析用戶和系統活動。

二、 入侵檢測系統和防火墻的聯系
1. IDS是繼防火墻之后的又一道防線，防火墻是防御，IDS是主動檢測，兩者相結合有力的保證了內部系統的安全；

2. IDS實時檢測可以及時發現一些防火墻沒有發現的入侵行為，發行入侵行為的規律，這樣防火墻就可以將這些規律加入規則之中，提高防火墻的防護力度。