信息与网络安全概论(第三版) 教学课件 作者 978 7 302 21524 0k CHD12.ppt

网 络 安 全(Network Security) 本章內容 12.3.1 入侵检测系统的功能 入侵检测系统判定是否为异常行为，有以下4种情况： 正确判定正常(True Positives) 当一个正常的行为发生，入侵检测系统可以正确地判定其为正常行为。 正确判定异常(True Negatives) 当一个异常的行为发生，入侵检测系统可以正确地判定其为异常行为。 误判正常(False Positives) 当一个异常的行为发生，入侵检测系统却将此异常行为误判为正常行为。 误判异常(False Negatives) 当一个正常的行为发生，入侵检测系统却将此正常行为误判为异常行为。 * 信息与网络安全概论(第三版) * 12.1 网络的安全威胁 12.2 防 火 墙 12.3 入侵检测系统 常见的网络系统安全威胁来自以下3个方面： (1) 来自外部的黑客(Hackers)：黑客可能通过网络登录到未经授权的主机去窃取机密或进行破坏。 (2) 恶意的信息：恶意的信息可以是病毒或垃圾信息，通过其使系统瘫痪。 (3) 内部恶意的用户：所谓家贼难防，安全威胁可能是经由授权的合法用户所引起。 12.1 网络的安全威胁 计算机网络攻击的流程 攻击者(Attackers)：依攻击者的身份、所代表的团体或攻击的动机，可将攻击者分为黑客、间谍、恐怖分子、合作入侵、职业犯罪及恶意破坏等类型。 工具(Tools)：包含用户指令、宏、JavaScripts、程序或套装软件等。 访问(Access)：攻击者会利用主机在操作、设计或管理上的疏忽来非法取得使用权或访问权。 结果(Results)：攻击者获得系统的使用权或访问权的结果，其攻击结果可能是系统内的数据被窃取、篡改或破坏，也可能因占有系统资源而造成系统瘫痪。 目的(Objectives)：攻击者的目的不外乎是报复、窃取情报、获得报酬或满足其成就感等。 计算机网络攻击的完整流程 通常网络安全威胁分为截断(Interruption)、窃取(Interception)、篡改(Modification)和伪造(Fabrication)4种。 通常网络的攻击 12.2 防火墙 Internal Net Screen Router 接收或发送的封包是否阻挡或发送由网站的安全策略決定 Internet 12.2.1 防火墙安全策略 任何进出的数据封包都要经过防火墙过滤 ，控制封包进入的方式可分为 ： 服务控制 （Service Control) 决定网络上的哪些服务可以被访问 。 (2) 流向控制 （Direction Control) 决定哪些特定方面的服务可以被允许通过防火墙 。 (3) 用户控制 (User Control) 根据用户的访问权限来控制用户所能取得的网络服务，但在执行这项服务前先对用户的身份进行认证 。 (4) 行为控制 (Behavior Control) 针对某些特定的事件来进行控制 。 12.2.2 防火墙的种类 防火墙的种类 ： ? 包过滤防火墙 (Packet Filtering) ? 状态检测防火墙 (Stateful Inspection Firewalls)  ? 应用层网关 (Application Level Gateways)  ? 网络地址转换 (Network Address Translation, NAT) 包过滤 利用过滤封包的方式来判定封包是否能进入内部网络。 检查的项目包含： - 来源端IP地址与目的IP地址 - 所使用的传输协议 - 来源/目的端的端口(Port Number) ，如TCP/UDP 封包过滤防火墙 状态检测防火墙 又称为动态封包检测防火墙(Dynamic Packet Filter) 不仅检查封包的报头内容，而且会去检查封包传送的前后关联性 。 这种类型的防火墙会建立一个连接状态表(Connection State Table)，用于记录每一个数据流中封包的前后关联，每一笔记录代表一个已建立的连接，之后根据前后关联来检查每一个新收到的封包，并判断此封包是新连接还是现有连接的延续。 状态检测防火墙(续) 应用层网关 封包过滤无法防止伪造IP地址。 应用层网关防火墙的主要目的在于防止这类的攻击发生，它针对每一种不同的网络协议均利用代理程序(Proxy)来模拟网络连接的来源和目的端。当内部用户与外部网络间要进行通信连线时，双方不直接进行封包交换，而是将之连接到一个代理者或中继站来完成封包交换，以此避免直接收到封包。 应用层网关(续) 网络地址转换 网络地址转换防火墙的主要功能是将内部网络服务器的主要位置隐藏起来，以避免成为黑客下手攻击的目标 。 两个优点：