所谓入侵是指非法用户通过非法手段登录内部网络或个人计算机并获取控制权或窃取资料的行为。

1．防火墙

防火墙是阻止网络外面的人访问网络的设备，此设备可以是软件和硬件的组合，它通常通过根据制定的安全规则来选择可以通过防火墙的计算机的地址。

防火墙通常是网络互联中的第一道屏障。防火墙能解决如下问题：

（1）控制对系统的访问。防火墙可以提供对系统的访问控制。如允许从外部访问某些主机同时禁止访问某些主机。

（2）增强保密性。使用防火墙可以阻止攻击者攻击网络系统的有用信息，如Finger和DNS等。

（3）记录和统计网络利用数据以及非法使用数据。防火墙可以记录和统计通过防火墙的网络通信，提供关于网络使用的统计数据，并且，防火墙可以提供统计数据来判断可能的攻击和探测。

（4）防火墙还提供许多的流量控制及防攻击检测等手段，直接将攻击挡在外面，充分保障网络安全。

目前成熟的防火墙的产品很多，国外产品主要有NetScreen、Cisco公司的PIX、CheckPoint 和Nokia公司的产品。

国内的产品主要有：联想公司的联想网御系列防火墙、天融信公司的网络卫士防火墙、北大方正的方御防火墙以及北大青鸟防火墙等。

2．入侵检测

由于性能的限制，防火墙本身并不能提供实时的入侵检测能力，对于网络内部的攻击以及绕过防火墙对网络的攻击，防火墙难以有大的作为。

入侵检测是对防火墙有益的补充。入侵检测系统能实时检测网络和主机的运行，对网络中出现的各种攻击行为给予响应，为网络安全提供实时保护。

目前入侵检测的产品很多，既有软件也有把整个入侵检测系统做成一个硬件产品的，比较出名的产品有美国ISS公司的RealSecuro、CA公司的eTrust以及国产的启明星辰公司的天阗入侵检测系统、联想公司的网御入侵检测系统等。

（1）入侵检测的行为有很多种。入侵行为既指来自外部的入侵活动，也指来自内部未授权的活动。入侵检测的非法对象包括：企图潜入系统或已成功潜入者、冒充合法用户、违反安全策略、合法用户的信息泄露、资源挤占以及恶意攻击或非法使用等行为。

（2）入侵检测系统原理说明如下：当数据源头由外部传送信息到内部来，或内部数据信息流正常传递时，网络系统的信息传递是稳定运行的。入侵检测系统的感应器作为检测设备，依应用环境而有所不同，一般用来审计记录、网络数据包和其他可监视的行为特征。这些入侵行为诱发的事件序列构成了检测的基础。而由管理员制定的安全策略对感应器、分析器和管理器进行指导和监控。这些安全策略包括了检测内容、检测技术分类、审计、匹配规则等。一旦事件形成，分析器负责对事件的行为特征进行统计分析和模式匹配。出现吻合或接近匹配特征结果，发出警报提示，管理器则记录和显示警报结果，以便通知操作员处理。操作员可根据入侵行为的破坏程度和威胁情况，迅速做出应急反应，阻止入侵行为的蔓延和扩散，或者变更控制机制来防范入侵行为的再次发生。当然，模式匹配的内容可以不断地更新和修改，从而就出现各种不同的入侵检测方法。

（3）入侵检测技术主要是审计记录、模式匹配和信息分析。因此，入侵检测的具体任务可以分为：监视、分析用户及系统活动；审计系统结构及缺陷；鉴别进攻活动模式、识别违反安全策略的行为并及时报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；进行操作系统的实际跟踪管理。由此，入侵检测的步骤主要包括两个方面。第一是收集信息，即多方位收集检测对象的原始信息，包括系统、网络、数据及用户活动的状态和行为，保证真实性、可靠性和完整性。在保证测试技术手段正确和安全的条件下，防止因技术原因造成获取信息不准确，或被篡改而收集到错误的信息。第二是数据分析，即根据采集到的原始信息，进行基本的模式匹配、统计分析和完整性分析。这也就是通常所说的三种技术手段，模式匹配和统计分析用于实时的入侵检测，完整性分析则更多用于事后分析。

（4）入侵检测方法分析有很多形式，有的按照行为检测或知识控制来分。目前较习惯的主要是按分析方法来分，第一是异常检测模型，第二是误用检测模型。前者是给定正常操作所具有的稳定特征作参照，当用户活动与正常行为发生较大或重大偏差时，即被认为是异常入侵现象。后者首先收集非正常操作的行为特征，并建立相关的特征库。当监测的用户或系统行为与标准库中的记录相匹配时，系统就认为这种行为是入侵现象。