安全技术-防火墙与入侵检测 39页.pptVIP

安全技术 —防火墙与入侵检测 第一节 防火墙 －主流安全防护技术 本节主要内容 一、防火墙概述 二、防火墙技术分析 三、防火墙布置 什么是防火墙 在网络安全领域中，防火墙用来指应用于内部网络（局域网）和外部网络（Internet）之间的，用来保护内部网络免受非法访问和破坏的网络安全系统。 防火墙主要功能 防止不安全的协议和服务； 防止外部对内部网络信息的获取； 提供与外部连接的集中管理； 防火墙不能防范的攻击 来自内部的安全威胁 各种操作系统和应用服务程序的漏洞 特洛伊木马 社会工程 不当配置 本节主要内容 一、防火墙概述 二、防火墙技术分析 三、防火墙布置 常用防火墙技术 包过滤 应用代理 包过滤 普通路由器 当数据包到达时，查看路由表，来决定能否以及如何传送数据包 屏蔽路由器 即在决定能否及如何传送数据包之外，查看其规则集，看是否应该传送该数据包 规则制定的策略 允许任何访问，除非规则特别地禁止 拒绝任何访问，除非被规则特别允许 包过滤所检查的内容 接口和方向 源和目的的IP地址 IP选项 IP的上层协议类型（TCP/UDP/ICMP） TCP和UDP的源及目的端口 ICMP的报文类型和代码 规则举例 上述规则定义了局域网用户可以使用外部网络的发信（SMTP）服务器 包过滤的优缺点 优点： 速度快 价格低 用户透明 缺点： 难于配置 能力有限 规则失效时成为无安全保护状态 应用代理 WEB代理工作原理示意 应用代理防火墙 可以防止攻击者对内部网络信息的探测 实现基于内容的过滤 应用代理的优缺点 优点： 可以隐藏内部网络的信息； 可以具有强大的日志审核； 可以实现内容的过滤； 缺点： 价格高 速度慢 失效时造成网络的瘫痪 本节主要内容 一、防火墙概述 二、防火墙技术分析 三、防火墙布置 包过滤路由 应用代理网关 屏蔽主机 屏蔽子网 常见防火墙产品 比较知名的防火墙产品包括： CheckPoint公司的“FireWall-1” NetScreen公司的“Netscreen系列” 天融信的“网络卫士” 第二节 入侵检测 －主流安全检测技术 本节主要内容 一、入侵检测概述 二、入侵检测基本模型 三、入侵检测结构 什么是入侵检测 入侵检测（IDS）指可以发现网络入侵行为并响应的安全系统。 入侵检测的作用 检测防护部分阻止不了的入侵 检测入侵的前兆 入侵事件的归档 网络受威胁程度的评估 帮助从入侵事件中恢复 本节主要内容 一、入侵检测概述 二、入侵检测基本模型 三、入侵检测结构 入侵检测原理 入侵检测和其它的检测技术一样，其核心任务都是从一组数据中检测出符合某一特点的数据。 入侵检测通用模型 事件收集器 事件分析器 响应单元 事件数据库 事件收集 基于主机 操作系统的审核日志以及应用程序日志 基于网络 网络传输的数据 事件分析 模式匹配（误用检测） 将收集的事件和数据与已知网络入侵和系统误用模式数据库进行比较，检测入侵 准确率高，容易漏报 统计分析（异常检测） 统计正常状态网络和主机的各类数据， 响应单元 主动响应 进一步收集入侵相关信息 阻止入侵 反击 被动响应 报警 事件数据库 数据库保存事件信息，包括正常和入侵事件。 本节主要内容 一、入侵检测概述 二、入侵检测基本模型 三、入侵检测结构 体系结构 单型IDS 主从型IDS 对等型IDS 单型IDS 单型IDS设计简单，适合小型环境，但存在局部性检测的问题 主从型IDS 主从型IDS克服了局部检测问题，但网络性能影响比较大 对等型IDS 对等型IDS设计可以全局检测，也克服了对性能的影响，但实现困难 常见IDS产品 比较知名的IDS产品有： iS_One公司的“ISS RealSecure” Cisco公司的“Security IDS” 事件收集 事件分析 事件收集 信息中心 事件分析 代理： 事件收集 事件分析 * * 1024 25 TCP 无 内部 外部 － 25 1024 TCP 无 外部 内部 － 目标端口 源端口 上层协议 IP选项 目标IP 源IP 方向 页面缓冲文件 HTTP请求 WEB页面 HTTP请求 WEB页面 内部网络 外部网络 包过滤路由器 内部网络 外部网络 应用代理网关 （双宿主主机） 内部网络 外部网络 保护应用代理 内部网络 外部网络 保护内部网络