七层交换和网络安全设备讲座.ppt

  1. 1、本文档共49页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
七层交换和网络安全设备讲座

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 第二节 网络安全设备 IDS和IPS IDS:入侵监测系统 IPS:入侵防护系统 安全事件类型统计 2005 病毒事件 非授权访问 私有信息窃取 拒绝服务攻击 内部网络的滥用 电脑盗窃 电信欺诈 公共web应用的滥用 无线网络的 滥用 金融欺诈 系统渗透 怠工、蓄意破坏 Web页面替换 燃眉之急有哪些? 周末去郊游,没想到周一早晨一来,网络瘫痪了,原来是没及时安装周末刚发布的一个安全补丁,真是个“黑色星期一”; 蠕虫病毒爆发,造成网络瘫痪,无法网上办公,邮件收不了,网页打不开; 有员工使用BT、电驴等P2P下载电影或MP3,造成上网速度奇慢无比; 有员工沉迷在QQ或MSN上聊天,或者玩传奇、魔兽等网络游戏,或者看在线视频,不专心工作,无法有效控制; 电脑被人破坏,公司机密资料被人放在网上,原来都是间谍软件搞的鬼; 防火墙的局限 一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。 两个安全域之间通信流的唯一通道 安全域1 Host A Host B 安全域2 Host C Host D UDP Block Host C Host B TCP Pass Host C Host A Destination Protocol Permit Source 根据访问控制规则决定进出网络的行为 IDS IDS IDS在网络骨干上形成接收网络镜像传输数据并进行分析 IPS IPS IPS IPS部署在流量流经关卡,对流量进行检测,如果发现数据风险,当即将风险化解 IPS与相关产品的区别 IPS与IDS IDS侧重网络监控,注重安全审计 IPS侧重访问控制,注重主动防御 配合使用,优势互补 NIPS防火墙模块是原有防火墙的一个补充 两级过滤,防火墙负责静态规则,NIPS负责动态规则,相互配合,灵活方便 不能完全替代单独的防火墙产品 传统防火墙功能更为强大,访问控制力度细,NAT,IPSec,认证… NIPS与防火墙 IPS与IDS 绿盟-冰之眼产品架构 网络引擎 控制台 升级站点 三大组件 控制台 探测器 升级站点 网络引擎 IDS/IPS产品功能 攻击防护 防御黑客攻击 防御蠕虫、网络病毒 防御拒绝服务攻击 防御间谍软件 管理控制 控制IM即时通讯 控制P2P下载 控制网络在线游戏 控制在线视频 IPS 部署模式 DDOS 拒绝服务 攻击者以消耗WEB资源为主,以至于不能向合法的用户提供服务。攻击者也可以使用户帐号锁定,导致整个应用不能运行。 按照攻击方式可以分为:资源消耗、服务中止和物理破坏。 其中资源消耗是指攻击者试图消耗目标的合法资源,例如:网络带宽、CPU、内存使用率等等。 通常,网络层的拒绝服务攻击是利用网络协议的漏洞,或者抢占网络设备有限的处理能力,造成网络或者服务的瘫痪。 DDoS攻击变得越来越普遍 有意识的攻击 Yahoo、ebay 等网站被拒绝服务攻击,累计损失12亿美元 2001年 CERT 被拒绝服务攻击 2002年 Microsoft被DDoS攻击,造成约5000万美元损失 2002年 CNNIC 被拒绝服务攻击 2003年 全球13台根 DNS 中有8台被大规模拒绝服务 有组织、有预谋的涉及金钱利益的拒绝攻击出现 溯本归原 PK 攻击分析图 Reflector Ddos Attack amplification network Reflectors Ri Attacker Victim V Agents Ai From: V (spoofed) To: Reflector Ri … attack trigger packet From: Xi (spoofed) To: Agent Ai … control packet From: Xi (spoofed) To: Master Mi … control packet From: Ri To: Victim V … attack packet Masters Mi Note: Reflectors are NOT compromised. They simply answer requests. 欺骗 绿盟黑洞产品-串联部署 Server Group 设计目标 部署要点 采用Collap

文档评论(0)

jiqinyu2015 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档