网络安全基础教程幻灯片.pptVIP

* 防火墙的构筑原则 构筑防火墙要从以下几方面考虑： 体系结构的设计 安全策略的制定 安全策略的实施 * 天融信公司的网络卫士是我国第一套自主版权的防火墙系统，是一种基于硬件的防火墙 ，目前有FW-2000和 NG FW-3000两种产品。 网络卫士防火墙由多个模块组成，包括包过滤、 应用代理、NAT、VPN、防攻击等功能模块，各模块可分离、裁剪和升级，以满足不同用户的 需求。管理器的硬件平台为能运行Netscape 4.0浏览器的Intel兼容微机，软件平台采用Win 9x操作系统。 主要特色： 　　 网络卫士防火墙采用了领先一步的SSN（安全服务器网络）技术，安全性高于其他防火墙 普遍采用的DMZ（非军事区）技术。SSN与外部网之间有防火墙保护，与内部网之间也有防火 墙保护，一旦SSN受到破坏，内部网络仍会处于防火墙的保护之下。 　　 网络卫士防火墙系统集中了包过滤防火墙、应用代理、网络地址转换（NAT）、用户身份 鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等 功能，可以为不同类型的Internet接入网络提供全方位的网络安全服务。该系统在增强传统 防火墙安全性的同时，还通过VPN架构，为企业网提供一整套从网络层到应用层的安全解决方 案，包括访问控制、身份验证、授权控制、数据加密、数据完整性等安全服务。 * 入侵监测系统 本节将分以下几部分介绍入侵监测系统： 入侵监测系统的概念 入侵监测的主要技术 入侵监测系统的主要类型 入侵监测系统的优点和不足 含入侵监测系统的网络体系结构 入侵监测系统的发展 * 入侵监测系统的概念 现在平均每20秒就发生一次入侵计算机网络的事件，超过1/3的互联网防火墙被攻破！面对接二连三的安全问题，人们不禁要问：到底是安全问题本身太复杂，以至于不可能被彻底解决，还是仍然可以有更大的改善，只不过我们所采取安全措施中缺少了某些重要的环节？有关数据表明后一种解释更有助于解决问题。有权威机构做过入侵行为统计，发现有80%来自于网络内部，也就是说，“堡垒”是被从内部攻破的。另外，在相当一部分黑客攻击中，黑客都能轻易地绕过防火墙而攻击网站服务器。这就使人们认识到：仅靠防火墙仍然远远不能将“不速之客”拒之门外，还必须借助于一个“补救”环节——入侵监测系统（IDS）。 入侵监测系统的概念 “入侵监测系统”（Intrusion detection system，简称IDS）的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。 作为监控和识别攻击的标准解决方案，IDS系统已经成为安防体系的重要组成部分。 IDS系统以后台进程的形式运行。发现可疑情况，立即通知有关人员。 防火墙为网络提供了第一道防线，入侵监测系统是在防火墙后又增加了一道防线，从而可以减少网络免受各种攻击的损害。 假如说防火墙是一幢大楼的门锁，那入侵监测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼，但不能保证小偷100％地被拒之门外，更不能防止大楼内部个别人员的不良企图。而一旦小偷爬窗进入大楼，或内部人员有越界行为，门锁就没有任何作用了，这时，只有实时监视系统才能发现情况并发出警告。入侵监测系统不仅仅针对外来的入侵者，同时也针对内部的入侵行为。 * 入侵监测系统的概念 好的入侵监测系统应具有如下特点： 不需要人工干预即可不间断运行。 有容错功能。即使系统发生了崩溃，也不会丢失数据，或者在系统重起时重建自己的知识库。 不需要占用大量的系统资源。 能够发现异于正常行为的操作。如果某个IDS系统使系统由“跑”变成了“爬”，就不要考虑使用。 能够适应系统行为的长期变化。例如系统中增加了一个新的应用软件，系统写照就会发生变化，IDS必须能适应这种变化。 判断准确。 灵活定制。解决方案必须能够满足要求。 保持领先。能及时升级。 其中判断准确十分重要，IDS系统很容易出现判断失误，这些判断失误分为：正误判 负误判和失控误判三类。下面将详细介绍。 * 入侵监测的主要技术——入侵分析技术 入侵分析技术主要有三大类：签名、统计及数据完整性。 签名分析法 “签名分析法”主要用来监测有无对系统的已知弱点进行的攻击行为。这类攻击可以通过监视有无针对特定对象的某种行为而被监测到。 主要方法：从攻击模式中归纳出其签名，编写到IDS系统的代码里，在由IDS系统对监测过程中收集到的信息进行签名分析。 签名分析实际上是一个模板匹配操作，匹配的一方是系统设置情况和用户操作动作，一方是已知攻击模式的签名数据库 统计分析法 “统计分析法”是以系统正常使用情况下观察到的动作为基础，如果某个操作偏离了正常的轨道，此操作就值得怀疑。 主要方法：首先