安全技术-防火墙与入侵检测.ppt

《安全技术-防火墙与入侵检测.ppt》由会员分享，可在线阅读，更多相关《安全技术-防火墙与入侵检测.ppt（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、安全技术安全技术-防火墙与入防火墙与入侵检测侵检测第一节 防火墙主流安全防护技术本节主要内容一、防火墙概述二、防火墙技术分析三、防火墙布置什么是防火墙n在网络安全领域中，防火墙用来指应用于内部网络（局域网）和外部网络（Internet）之间的，用来保护内部网络免受非法访问和破坏的网络安全系统。防火墙主要功能n防止不安全的协议和服务；n防止外部对内部网络信息的获取；n提供与外部连接的集中管理；防火墙不能防范的攻击n来自内部的安全威胁n各种操作系统和应用服务程序的漏洞n特洛伊木马n社会工程n不当配置本节主要内容一、防火墙概述二、防火墙技术分析三、防火墙布置常用防火墙技术n包过滤n应用代理包过滤n普

2、通路由器n当数据包到达时，查看路由表，来决定能否以及如何传送数据包 n屏蔽路由器n即在决定能否及如何传送数据包之外，查看其规则集，看是否应该传送该数据包 规则制定的策略n允许任何访问，除非规则特别地禁止 n拒绝任何访问，除非被规则特别允许 包过滤所检查的内容n接口和方向 n源和目的的IP地址 nIP选项 nIP的上层协议类型（TCP/UDP/ICMP）nTCP和UDP的源及目的端口 nICMP的报文类型和代码 规则举例n上述规则定义了局域网用户可以使用外部网络的发信（SMTP）服务器方向 源IP 目标IP IP选项上层协议源端口目标端口 内部外部无TCP1024251024包过滤的优缺点n优点

3、：n速度快n价格低n用户透明 n缺点：n难于配置n能力有限 n规则失效时成为无安全保护状态应用代理nWEB代理工作原理示意页面缓冲文件HTTP请求WEB页面HTTP请求WEB页面应用代理防火墙n可以防止攻击者对内部网络信息的探测n实现基于内容的过滤应用代理的优缺点n优点：n可以隐藏内部网络的信息；n可以具有强大的日志审核；n可以实现内容的过滤；n缺点：n价格高n速度慢 n失效时造成网络的瘫痪本节主要内容一、防火墙概述二、防火墙技术分析三、防火墙布置包过滤路由内部网络外部网络包过滤路由器应用代理网关内部网络外部网络应用代理网关（双宿主主机）屏蔽主机内部网络外部网络保护应用代理屏蔽子网内部网络外部

4、网络保护内部网络常见防火墙产品n比较知名的防火墙产品包括：nCheckPoint公司的“FireWall-1”nNetScreen公司的“Netscreen系列”n天融信的“网络卫士”第二节 入侵检测主流安全检测技术本节主要内容一、入侵检测概述二、入侵检测基本模型三、入侵检测结构什么是入侵检测n入侵检测（IDS）指可以发现网络入侵行为并响应的安全系统。入侵检测的作用n检测防护部分阻止不了的入侵 n检测入侵的前兆 n入侵事件的归档 n网络受威胁程度的评估 n帮助从入侵事件中恢复 本节主要内容一、入侵检测概述二、入侵检测基本模型三、入侵检测结构入侵检测原理n入侵检测和其它的检测技术一样，其核心任务

5、都是从一组数据中检测出符合某一特点的数据。入侵检测通用模型n事件收集器n事件分析器n响应单元n事件数据库事件收集n基于主机n操作系统的审核日志以及应用程序日志n基于网络n网络传输的数据事件分析n模式匹配（误用检测）n将收集的事件和数据与已知网络入侵和系统误用模式数据库进行比较，检测入侵n准确率高，容易漏报n统计分析（异常检测）n统计正常状态网络和主机的各类数据，响应单元n主动响应n进一步收集入侵相关信息n阻止入侵n反击n被动响应n报警事件数据库n数据库保存事件信息，包括正常和入侵事件。本节主要内容一、入侵检测概述二、入侵检测基本模型三、入侵检测结构体系结构n单型IDSn主从型IDSn对等型IDS单型IDS事件收集事件分析n单型IDS设计简单，适合小型环境，但存在局部性检测的问题主从型IDS事件收集信息中心事件分析n主从型IDS克服了局部检测问题，但网络性能影响比较大对等型IDS代理：事件收集事件分析n对等型IDS设计可以全局检测，也克服了对性能的影响，但实现困难常见IDS产品n比较知名的IDS产品有：niS_One公司的“ISS RealSecure”nCisco公司的“Security IDS”