防火墙与HIPS的区别?

Posted 2023-04-28

简单的讲一下：防火墙是别人定义好了规则然后按部就班的去执行，而hips是认为的去定义规则，而且可以主观的判断值不执行，更加智能化人性化。但是这个要一定的基础的。 普通防火墙注重网络防御，防范外部网络；hips注重系统防御（应用程序防御体系、注册表防御体系、文件防御体系），自定义规则，也有智能的。 防火墙也有集成hips的，如瑞星；hips也有4d的。
记得采纳啊 参考技术A NIPS 英文名:Network Intrusion Prevention System 中文名:网络入侵防御系统 俗称:网络防火墙 NIPS具备以下特征: 1.提供针对各类攻击的检测和防御功能,同时提供丰富的访问控制能力; 2.准确识别各种网 络流量,降低漏报和误报率,避免影响正常的业务通讯; 3.满足高性能的要求,提供强大的分析和处理能力,保证正常网络通信的质量; 4.具 备良好的可靠性,提供硬件BYPASS或HA等可靠性保障措施; 5.提供灵活的部署方式,支持在线模式部署,第一时间把攻击阻断在企业网络之外, 同时也支持旁路模式部署,用于攻击检测,适合不同用户需要; 6.支持分级部署、集中管理,满足不同规模网络的使用和管理需求。 我们熟知的 PC TOOL防火墙、金山网镖、天网防火墙等都属于NIPS网络防火墙,传统的NIPS网络防火墙说白了就是只有在你使用网络的时候能够用上,通过特定的 tcp/ip协议来限定用户访问某一ip地址,或者也可以限制互联网用户 访问个人用户和服务器终端,在不联网的情况下是没有什么用处的,而且浏览恶意网站、运行捆绑木马的文件,或者下载的文件中包含病毒等,这种防火墙可是干涉 不到的,你的电脑就这样暴露出来了。 现在的网络防火墙可分为病毒库型防火墙(淘汰类型)和行为跟踪型防火墙,例如瑞星的防火墙采用的技术就是早已 被国外抛弃的病毒库型防火墙,这类防火墙必须依靠定时升级防火墙内部的病毒库来阻挡攻击,如果遇到了新型攻击,病毒库中没有相应的特征代码,那么防火墙就 成了摆设,不过 升级病毒库是要收费的,这就是瑞星赚钱的门路之一,金山也一样。 国外普遍采用的是行为跟踪型防火墙,这类防火墙没有病毒库,因而 体积小且内存占用少,有些防火墙甚至连更新功能都没有,即使是有更新功能的,也只是修复防 火墙的漏洞或发布新版本时进行版本升级。 行为跟踪型防 火墙所采用的是根据连接到计算机上面的数据行为进行放行或拦截,因为虽然现在发动攻击的黑客、木马种类等千变万化,但是他们的行为是固定的,防火墙就是依 照这些行为进行阻挡。 HIPS 英文名:Host-based Intrusion Prevention System 中文名:主机入侵防范系统 俗称:系统防火墙 这种防火墙一般人不知道,但比较知名的独立HIPS有 Safe'n'Sec Personal、System Safety Monitor、EQSecure(国产,现在是超级兔子魔法盾)、Ghost Security Suite、Malware Defender(奇虎360出品)。 我们个人用的HIPS可以分为3D: AD(Application Defend)应用程序防御体系 RD(Registry Defend)注册表防御体系 FD(File Defend)文件防御体系 HIPS系统防火墙就是限制诸如a进程调用b进程,或者禁止更改或者添加注册表文件--打个比方说,也就是当 某进程或者程序试图偷偷运行的时候总是会调用 系统的一些其他的资源,这个行为就会被hips检测到然后弹出警告询问用户是否允许运行,用户根据自己的经验来判断该行为是否正确安全,是则放行允许运 行,否就不使之运行,一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个HIPS软件能非常有效的防止木马或者病毒的偷偷运行,这样对于个人用 户来说,中毒插马的可能性就基本上很低很低了。但是,只是装上个HIPS也不是最安全的,毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的 人偷窥去用户的个人隐私的,所以,选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重 要)! 现在的HIPS分为智能HIPS(病毒库型)和非智能HIPS(人工型),智能HIPS系统防火墙就是依赖升级病毒库判定程序行为是否有害 或浏览的网页是否有害,但有一定的误报几率,不过对于新手来说规则设置简单的智能HIPS系统防火墙是很好的选择。 非智能HIPS系统防火墙检测 到某一程序(即使是正常的程序)的动作时,不能自动判别是否有害,因为它根本没有那个功能,只会向用户弹出提示,所以程序规则设置较多,也较复 杂,高手使用HIPS软件甚至可以不用杀毒软件、U盘防火墙、注册表防火墙、网盾等,而新手用起来,除了晕头转向还是晕头转向。 之所以HIPS不 能做成行为跟踪型是因为我们使用的windows系统本身就是一个巨大的间谍软件,1996年,澳大利亚海军就发现舰艇使用的Windows 95会悄悄向微软发送机器中的信息;1999年3月,人们发现Windows 98会根据用户计算机的硬件配置情况,生成与用户名和地址相关的、全球唯一的识别码,通过操作系统的注册程序自动传送给微软;在Vista的开发中,美国 国家安全局扮演了重要角色,并坦言参与测试出于美国国家利益考虑,且留有后门,而且越新系统后门越多,而大部分带有木马行为的后门程序本身也是重要的系统 文件,如果采用行为跟踪型HIPS系统防火墙,那么无法避免的会有大量的系统程序被阻止无法运行,那么结果只是windows直接关机并再也无法启动。 参考技术B 一个是关于网络的，一个是关于系统的。都是防止你的电脑遭到入侵的东西 参考技术C 防火墙是别人定义好了规则然后按部就班的去执行，而hips是认为的去定义规则，而且可以主观的判断值不执行，更加智能化人性化。但是这个要一定的基础的。 普通防火墙注重网络防御，防范外部网络；hips注重系统防御（应用程序防御体系、注册表防御体系、文件防御体系），自定义规则，也有智能的。 防火墙也有集成hips的，如瑞星；hips也有4d的。

centos6下防火墙命令与centos7下防火墙命令区别

一、centos6防火墙命令
1、查看防火墙规则
#iptables -L

2、状态、开启、关闭、重启防火墙
#service iptables status
#service iptables start
#service iptables stop
#service iptables restart
永久关闭防火墙
#chkconfig iptables off
永久关闭后重启
#chkconfig iptables on

3、开启一个80端口实验
#vi /etc/sysconfig/iptables
新增如下内容
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
CentOS7 防火墙（firewall）的操作命令
安装：yum install firewalld

二、centos7下防火墙命令
1、firewalld的基本使用
启动： systemctl start firewalld
查看状态： systemctl status firewalld
禁用，禁止开机启动： systemctl disable firewalld
停止运行： systemctl stop firewalld

2.配置firewalld-cmd
查看版本： firewall-cmd --version
查看帮助： firewall-cmd --help
显示状态： firewall-cmd --state
查看所有打开的端口： firewall-cmd --zone=public --list-ports
更新防火墙规则： firewall-cmd --reload
更新防火墙规则，重启服务： firewall-cmd --completely-reload
查看已激活的Zone信息: firewall-cmd --get-active-zones
查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0
拒绝所有包：firewall-cmd --panic-on
取消拒绝状态： firewall-cmd --panic-off
查看是否拒绝： firewall-cmd --query-panic

3.信任级别，通过Zone的值指定
drop: 丢弃所有进入的包，而不给出任何响应
block: 拒绝所有外部发起的连接，允许内部发起的连接
public: 允许指定的进入连接
external: 同上，对伪装的进入连接，一般用于路由转发
dmz: 允许受限制的进入连接
work: 允许受信任的计算机被限制的进入连接，类似 workgroup
home: 同上，类似 homegroup
internal: 同上，范围针对所有互联网用户
trusted: 信任所有连接

4.firewall开启和关闭端口
以下都是指在public的zone下的操作，不同的Zone只要改变Zone后面的值就可以
添加：
firewall-cmd --zone=public --add-port=80/tcp --permanent （--permanent永久生效，没有此参数重启后失效）
重新载入：
firewall-cmd --reload
查看：
firewall-cmd --zone=public --query-port=80/tcp
删除：
firewall-cmd --zone=public --remove-port=80/tcp --permanent

5.管理服务
以smtp服务为例， 添加到work zone
添加：
firewall-cmd --zone=work --add-service=smtp
查看：
firewall-cmd --zone=work --query-service=smtp
删除：
firewall-cmd --zone=work --remove-service=smtp

6.配置 IP 地址伪装
查看：
firewall-cmd --zone=external --query-masquerade
打开：
firewall-cmd --zone=external --add-masquerade
关闭：
firewall-cmd --zone=external --remove-masquerade

7.端口转发
打开端口转发，首先需要打开IP地址伪装
　　firewall-cmd --zone=external --add-masquerade

转发 tcp 22 端口至 3753：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toport=3753
转发端口数据至另一个IP的相同端口：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toaddr=192.168.1.112
转发端口数据至另一个IP的 3753 端口：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:：toport=3753:toaddr=192.168.1.112

8.systemctl是CentOS7的服务管理工具中主要的工具，它融合之前service和chkconfig的功能于一体。
启动一个服务：systemctl start firewalld.service
关闭一个服务：systemctl stop firewalld.service
重启一个服务：systemctl restart firewalld.service
显示一个服务的状态：systemctl status firewalld.service
在开机时启用一个服务：systemctl enable firewalld.service
在开机时禁用一个服务：systemctl disable firewalld.service
查看服务是否开机启动：systemctl is-enabled firewalld.service
查看已启动的服务列表：systemctl list-unit-files|grep enabled
查看启动失败的服务列表：systemctl --failed