[Giới thiệu] Personal Software Firewall

DDos

VIP Members
22/10/2013
524
2.191 bài viết
[Giới thiệu] Personal Software Firewall
Personal Firewall là những ứng dụng mà có khả năng bảo vệ máy tính cá nhân từ những lưu lượng Internet không mong muốn. Ví dụ: windows firewall ZoneAlarm, ipfirewall (Mac OS).
Personal Firewall sẽ nhắc nhở người dùng về việc cho phép bất kỳ một ứng dụng nào để có thể truy cập tới Internet và cũng có khả năng phát hiện xâm phạm tới một máy tính và khóa xâm phạm này.

Thông thường Personal Firewall chia ra làm 2 loại:
  1. Host-Based intrusion detection systems
Một hệ thống phát hiện xâm phạm ( An Intrusion Detection) được sử dụng để dám sát một hệ thống máy tính riêng lẻ hoặc một mạng, hoặc một phần của mạng và phân tích dữ liệu mà được đi qua mạng để xác định sự cố, tấn công....
Host-Based intrusion detection system (HIDS) được đặt trên hệ thống máy tính cá nhân, nó phân tích và dám sát những thứ xảy ra bên trong máy tính này. Một hệ thống phát hiện xâm phạm được cài đặt trực tiếp bên trong một hệ điều hành. Lợi thế của việc sử dụng HIDS là nó có thể dịch (interpret) lưu lượng mạng được mã hóa. Điểm bất lợi của nó bao gồm giá cả, yêu cầu tài nguyên hệ thống, và theo mặc định cơ sở dữ liệu HIDS được lưu trên máy tính, do đó nếu có bất cứ vấn đề gì xảy ra trên máy tính thì cơ sở dữ liệu sẽ không khả dụng.

2. Network intrusion detection system (NIDS) có thể được load trên máy tính, hoặc có thể là một ứng dụng độc lập, nhưng nó kiểm tra tất cả các gói tin mà đi qua mạng. Lợi thế của NIDS là nó rẻ hơn, ít tốn tài nguyên hệ thống hơn và toàn bộ mạng có thể được quét cho các hoạt động độc hại so với việc chỉ quét được một máy tính đơn lẻ. Bất lợi của NIDS là nó không thể giám sát được những gì xảy ra bên trong hệ điều hành.

Có hai loại chính của việc dám sát mà một hệ thống phát hiện xâm phạm (IDS) có thể thực hiện:
  • Thống kê những điều bất thường (statistical anomaly)- đầu tiên là thiết lập một đường gốc của các hoạt động trên máy tính và mạng dựa trên đánh giá lưu lượng mạng ở mức bình thường. Sau đó nó sẽ so sánh với hoạt động của lưu lượng mạng với đường gốc này để phát hiện bất cứ một điều khác thường nào.
  • Dựa trên trữ ký (Signature-based) Lưu lượng mạng sẽ được phân tích cho những mẫu tấn công đã được xác định trước, nó được biết như là một chữ ký. Chữ ký này được lưu trên một cơ sở dữ liệu mà phải được cập nhật thường xuyên để có hiệu quả cao nhất.

Có hai lỗi sai mà hệ thống phát hiện xâm phạm (IDS) thường gặp phải:
  • False positive- Nếu hệ thống phát hiện xâm phạm xác định một hoạt động hợp phát trên máy tính như một hoạt động độc hại.
  • False negative- Nuế hệ thống phát hiện xâm phạm không có chữ ký của một tấn công nào đó trong cơ sở dữ liệu, và đương nhiên là hoạt động độc hại này sẽ hoạt động như là một hoạt động hợp pháp.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên