《计算机网络安全基础(第4版)》课件第7章.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 7.3 防火墙技术 （3）堡垒主机的选择 ●堡垒主机操作系统的选择 ●堡垒主机速度的选择 （4）堡垒主机提供的服务 ●无风险服务。 ●低风险服务。 ●高风险服务。 ●禁用服务。 计算机网络安全基础（第4版） * 7.3 防火墙技术 4. 代理服务 代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求（诸如文件传输FTP和远程登录Telnet等），并按照安全策略转发它们到实际的服务。 所谓代理就是一个提供替代连接并且充当服务的网关。代理也称之为应用级网关。 计算机网络安全基础（第4版） * 7.3 防火墙技术 计算机网络安全基础（第4版） * 代理的实现过程 7.3 防火墙技术 5. 防火墙体系结构 （1）双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络到另一个网络发送IP数据包。 防火墙内部的网络系统能与双重宿主主机通信，同时防火墙外部的网络系统（在因特网上）也能与双重宿主主机通信。通过双重宿主主机，防火墙内外的计算机便可进行通信了，但是这些系统不能直接互相通信，它们之间的IP通信被完全阻止。 计算机网络安全基础（第4版） * 7.3 防火墙技术 双重宿主主机的防火墙体系结构是相当简单的，双重宿主主机位于两者之间，并且被连接到因特网和内部的网络。右图显示这种体系结构。 计算机网络安全基础（第4版） * 7.3 防火墙技术 （2）主机过滤体系结构 在主机过滤体系结构中提供安全保护的主机仅仅与内部网相连。另外，主机过滤结构还有一台单独的过滤路由器。在这种体系结构中，主要的安全由数据包过滤提供。 计算机网络安全基础（第4版） * 7.3 防火墙技术 （3）子网过滤体系结构 子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与因特网隔离开。 子网过滤体系结构的最简单的形式为两个过滤路由器，每一个都连接到参数网，一个位于参数网与内部的网络之间，另一个位于参数网与外部网络之间。 计算机网络安全基础（第4版） * 7.4 入侵检测技术 1. 入侵检测技术概述 入侵定义为任何试图破坏信息系统的完整性、必威体育官网网址性或有效性的活动的集合。 入侵检测就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 入侵检测系统（IDS）被认为是防火墙之后的第二道安全闸门，能够检测来自网络内部的攻击。 计算机网络安全基础（第4版） * 7.4 入侵检测技术 （1）基本概念 入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。 （2）入侵检测系统的分类 异常检测模型：检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。 误用检测模型：检测与已知的不可接受行为之间的匹配程度。 计算机网络安全基础（第4版） * 7.4 入侵检测技术 按照监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统以及混合型入侵检测系统。 ●基于主机的入侵检测系统 ●基于网络的入侵检测系统 ●混合型入侵检测系统 按照工作方式分为离线检测系统与在线检测系统。 ●离线检测系统 ●在线检测系统 计算机网络安全基础（第4版） * 7.4 入侵检测技术 （3）入侵检测的过程 ●信息收集：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。 ●信息分析：收集到的信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。 ●结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。 计算机网络安全基础（第4版） * 7.4 入侵检测技术 （4）入侵检测系统的结构 由于入侵检测环境和系统安全策略的不同，IDS在具体实现上也存在差