网络安全设备培训教材课件.ppt

《网络安全设备培训教材课件.ppt》由会员分享，可在线阅读，更多相关《网络安全设备培训教材课件.ppt（43页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全网络安全设备南京师范大学计算机科学与技术学院南京师范大学计算机科学与技术学院南京师范大学计算机科学与技术学院南京师范大学计算机科学与技术学院陈 波$dollars$dollars$dollarsDetection Detection 入侵检测入侵检测入侵检测入侵检测Protect Protect 安全保护安全保护安全保护安全保护Reaction Reaction 安全响应安全响应安全响应安全响应Recovery Recovery 安全备份安全备份安全备份安全备份Management Management 安全管理安全管理安全管理安全管理统一管理、统一管理、统一管理、统一管理、协调协调协

2、调协调PDRRPDRR之之之之间的行动间的行动间的行动间的行动回顾整体性原则：回顾整体性原则：PDRRPDRR安全防护模型安全防护模型2信息安全案例教程：技术与应用信息安全案例教程：技术与应用本讲要点：v1.1.网络安全设备：网络安全设备：防防火墙火墙v2.2.网络安全设备：入侵网络安全设备：入侵检检测测v3.3.网络安全新设备：网络安全新设备：入侵防御、下一代防火墙、统一威胁管理入侵防御、下一代防火墙、统一威胁管理3信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（1 1）防火墙的概念）防火墙的概念v国家标准国家标准GB/T 20281-2006 GB/T

3、20281-2006 信息安全技术信息安全技术 防火防火墙技术要求和测试评价方法墙技术要求和测试评价方法给出的防火墙定义是：给出的防火墙定义是：v设置在不同网络（如可信任的企业内部网络和不可设置在不同网络（如可信任的企业内部网络和不可信的公共网络）或网络安全域之间的一系列部件的信的公共网络）或网络安全域之间的一系列部件的组合。在逻辑上，防火墙是一个分离器，一个限制组合。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，能有效地监控流经防火墙的器，也是一个分析器，能有效地监控流经防火墙的数据，保证内部网络和隔离区（数据，保证内部网络和隔离区（Demilitarized Demilitar

4、ized ZoneZone，DMZDMZ，或译作非军事区）的安全。，或译作非军事区）的安全。4信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（1 1）防火墙的概念）防火墙的概念v防火墙具有以下防火墙具有以下3 3种基本性质：种基本性质：是不同网络或网络安全域之间信息的唯一出入口；是不同网络或网络安全域之间信息的唯一出入口；能根据网络安全策略控制能根据网络安全策略控制(允许、拒绝、监测允许、拒绝、监测)出入网络的出入网络的信息流，且自身具有较强的抗攻击能力；信息流，且自身具有较强的抗攻击能力；本身不能影响网络信息的流通。本身不能影响网络信息的流通。5信息安全案

5、例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（1 1）防火墙的概念）防火墙的概念v防火墙可以是软件、硬件或软硬件的组合。防火墙可以是软件、硬件或软硬件的组合。软件防火墙就像其它的软件产品一样需要在计算机上安装软件防火墙就像其它的软件产品一样需要在计算机上安装并做好配置才可以发挥作用，例如并做好配置才可以发挥作用，例如WindowsWindows系统自带的系统自带的软件防火墙和著名安全公司软件防火墙和著名安全公司Check PointCheck Point推出的推出的ZoneAlarm Pro ZoneAlarm Pro 软件防火墙。软件防火墙。6信息安全案例教程：技

6、术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（1 1）防火墙的概念）防火墙的概念v防火墙可以是软件、硬件或软硬件的组合。防火墙可以是软件、硬件或软硬件的组合。目前市场上大多数防火墙是硬件防火墙。这类防火墙一般目前市场上大多数防火墙是硬件防火墙。这类防火墙一般基于基于PCPC架构，也就是说这类防火墙和普通架构，也就是说这类防火墙和普通PCPC类似。类似。还有基于特定用途集成电路（还有基于特定用途集成电路（Application Specific Application Specific Integrated CircuitIntegrated Circuit，ASICASIC）

7、、基于网络处理器）、基于网络处理器（Network ProcessorNetwork Processor，NPNP）以及基于现场可编程门阵）以及基于现场可编程门阵列（列（Field-Programmable Gate ArrayField-Programmable Gate Array，FPGAFPGA）的防）的防火墙。这类防火墙采用专用操作系统，因此防火墙本身的火墙。这类防火墙采用专用操作系统，因此防火墙本身的漏洞比较少，而且由于基于专门的硬件平台，因而处理能漏洞比较少，而且由于基于专门的硬件平台，因而处理能力强、性能高。力强、性能高。7信息安全案例教程：技术与应用信息安全案例教程：技术与应

8、用1.网络安全设备：防火墙v（2 2）防火墙的工作原理）防火墙的工作原理vv包过滤防火墙工作在网络层和传输层，它根据通过防火墙的包过滤防火墙工作在网络层和传输层，它根据通过防火墙的每个数据包的每个数据包的源源IPIP地址、目标地址、目标IPIP地址、端口号、协议类型地址、端口号、协议类型等等信息来决定是将让该数据包通过还是丢弃，从而达到对进出信息来决定是将让该数据包通过还是丢弃，从而达到对进出防火墙的数据进行检测和限制的目的。防火墙的数据进行检测和限制的目的。vv包过滤方式是一种包过滤方式是一种通用通用、廉价廉价和和有效有效的安全手段。的安全手段。vv之所以之所以通用通用，是因为它不是针对各个

9、具体的网络服务采取特，是因为它不是针对各个具体的网络服务采取特殊的处理方式，而是适用于所有网络服务；殊的处理方式，而是适用于所有网络服务；vv之所以之所以廉价廉价，是因为大多数路由器都提供数据包过滤功能，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；所以这类防火墙多数是由路由器集成的；vv之所以之所以有效有效，是因为它能很大程度上满足了绝大多数企业安，是因为它能很大程度上满足了绝大多数企业安全要求。全要求。8信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（2 2）防火墙的工作原理）防火墙的工作原理vv包过滤技术在发展中出现了两种

10、不同版本，第一代称为静态包过滤技术在发展中出现了两种不同版本，第一代称为静态包过滤，第二代称为动态包过滤。包过滤，第二代称为动态包过滤。vv1 1）静态包过滤技术。）静态包过滤技术。vv这类防火墙几乎是与路由器同时产生的，它根据定义好的过这类防火墙几乎是与路由器同时产生的，它根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。则匹配。vv过滤规则基于数据包的包头信息进行制订。过滤规则基于数据包的包头信息进行制订。vv这些规则常称为数据包过滤访问控制列表（这些规则常称为数据包过滤访问控制列表（ACLACL）。）。vv各个厂

11、商的防火墙产品都有自己的语法用于创建规则。各个厂商的防火墙产品都有自己的语法用于创建规则。9信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（2 2）防火墙的工作原理）防火墙的工作原理vv1 1）静态包过滤技术。）静态包过滤技术。序序序序号号号号源源源源IPIP目目目目标标IPIP协议协议源端口源端口源端口源端口目的目的目的目的端口端口端口端口标标志位志位志位志位操作操作操作操作1 1内部网内部网内部网内部网络络地址地址地址地址外部网外部网外部网外部网络络地址地址地址地址TCPTCP任意任意任意任意8080任意任意任意任意允允允允许许2 2外部网外部网外部网外

12、部网络络地址地址地址地址内部网内部网内部网内部网络络地址地址地址地址TCPTCP808010231023ACKACK允允允允许许3 3所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有拒拒拒拒绝绝10信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（2 2）防火墙的工作原理）防火墙的工作原理vv1 1）静态包过滤技术的缺陷。）静态包过滤技术的缺陷。序序序序号号号号源源源源IPIP目目目目标标IPIP协议协议源端口源端口源端口源端口目的目的目的目的端口端口端口端口标标志位志位志位志位操作操作操作操作1 1内部网内部网

13、内部网内部网络络地址地址地址地址外部网外部网外部网外部网络络地址地址地址地址TCPTCP任意任意任意任意8080任意任意任意任意允允允允许许2 2外部网外部网外部网外部网络络地址地址地址地址内部网内部网内部网内部网络络地址地址地址地址TCPTCP808010231023ACKACK允允允允许许3 3所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有所有拒拒拒拒绝绝11信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（2 2）防火墙的工作原理）防火墙的工作原理vv2 2）状态包过滤技术。）状态包过滤技术。vv状态包过滤（

14、状态包过滤（Stateful Packet FilterStateful Packet Filter）是一种基于连接的状）是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，对接收到的数据包进行分析，判断其是否属于当前流看待，对接收到的数据包进行分析，判断其是否属于当前合法连接，从而进行动态的过滤。合法连接，从而进行动态的过滤。vv跟传统包过滤只有一张过滤规则表不同，状态包过滤同时维跟传统包过滤只有一张过滤规则表不同，状态包过滤同时维护过滤规则表和状态表。过滤规则表是静态的，而状态表中护过滤规则表和状态表。过滤规则表

15、是静态的，而状态表中保留着当前活动的合法连接，它的内容是动态变化的，随着保留着当前活动的合法连接，它的内容是动态变化的，随着数据包来回经过设备而实时更新。当新的连接通过验证，在数据包来回经过设备而实时更新。当新的连接通过验证，在状态表中则添加该连接条目，而当一条连接完成它的通信任状态表中则添加该连接条目，而当一条连接完成它的通信任务后，状态表中的该条目将自动删除。务后，状态表中的该条目将自动删除。12信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（2 2）防火墙的工作原理）防火墙的工作原理vv2 2）状态包过滤技术的局限。）状态包过滤技术的局限。vv基于网络

16、层和传输层实现的包过滤防火墙难以实现对应用层基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤。服务的过滤。vv访问控制列表的配置和维护困难。访问控制列表的配置和维护困难。vv对安全管理人员的要求高，在建立安全规则时，必须对协议对安全管理人员的要求高，在建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的了解。本身及其在不同应用程序中的作用有较深入的了解。vv包过滤防火墙难以详细了解主机之间的会话关系。包过滤防火墙难以详细了解主机之间的会话关系。vv大多数过滤器中缺少审计和报警机制，只能依据包头信息，大多数过滤器中缺少审计和报警机制，只能依据包头信息，而不能对用户身份

17、进行验证，很容易遭受欺骗型攻击。而不能对用户身份进行验证，很容易遭受欺骗型攻击。13信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（2 2）防火墙的工作原理）防火墙的工作原理vv3 3）应用代理技术）应用代理技术vv采用应用代理技术的防火墙工作在应用层。其特点是完全采用应用代理技术的防火墙工作在应用层。其特点是完全“阻隔阻隔”了网络通信流，通过对每种应用服务编制专门的代理了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。程序，实现监视和控制应用层通信流的作用。vv应用代理技术的发展也经历了两个版本，第一代的应用层网应用代理

18、技术的发展也经历了两个版本，第一代的应用层网关（关（Application GatewayApplication Gateway）技术，第二代的自适应代理）技术，第二代的自适应代理（Adaptive ProxyAdaptive Proxy）技术。）技术。14信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（2 2）防火墙的工作原理）防火墙的工作原理vv3 3）应用代理技术）应用代理技术vv应用层网关可分应用层网关可分3 3种类型：种类型：双宿主主机网关；双宿主主机网关；屏蔽主机网关；屏蔽主机网关；屏蔽子网网关。屏蔽子网网关。这三种网关都要求有一台主机，通常称为

19、这三种网关都要求有一台主机，通常称为“堡垒主机堡垒主机”（Bastion HostBastion Host），它起着防火墙的作用，即隔离内），它起着防火墙的作用，即隔离内外网的作用。外网的作用。15信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（2 2）防火墙的工作原理）防火墙的工作原理vv3 3）应用代理技术：）应用代理技术：双宿主主机网关双宿主主机网关vv特点特点：堡垒主机充当应用层网关。在主机中需要插入：堡垒主机充当应用层网关。在主机中需要插入两块网卡，用于将主机分别连接到被保护的内网和外两块网卡，用于将主机分别连接到被保护的内网和外网上。在主机上运行

20、防火墙软件，被保护内网与外网网上。在主机上运行防火墙软件，被保护内网与外网间的通信必须通过主机，因而可以将内网很好地屏蔽间的通信必须通过主机，因而可以将内网很好地屏蔽起来。内网可以通过堡垒主机获得外网提供的服务。起来。内网可以通过堡垒主机获得外网提供的服务。vv优点优点：这种应用层网关能有效地保护和屏蔽内网，且：这种应用层网关能有效地保护和屏蔽内网，且要求的硬件较少，因而是应用较多的一种防火墙；要求的硬件较少，因而是应用较多的一种防火墙；vv缺点缺点：但堡垒主机本身缺乏保护，容易受到攻击。：但堡垒主机本身缺乏保护，容易受到攻击。16信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网

21、络安全设备：防火墙v（2 2）防火墙的工作原理）防火墙的工作原理vv3 3）应用代理技术：）应用代理技术：屏蔽主机网关屏蔽主机网关vv特点特点：为了保护堡垒主机而将它置入被保护网的范围中，：为了保护堡垒主机而将它置入被保护网的范围中，在被保护内网与外网之间设置一个屏蔽路由器。它不允在被保护内网与外网之间设置一个屏蔽路由器。它不允许外网用户对被保护内网进行直接访问，只允许对堡垒许外网用户对被保护内网进行直接访问，只允许对堡垒主机进行访问，屏蔽路由器也只接收来自堡垒主机的数主机进行访问，屏蔽路由器也只接收来自堡垒主机的数据。与前述的双宿主主机网关类似，也在堡垒主机上运据。与前述的双宿主主机网关类似

22、，也在堡垒主机上运行防火墙软件。行防火墙软件。vv优点优点：屏蔽主机网关是一种更为灵活的防火墙软件，它：屏蔽主机网关是一种更为灵活的防火墙软件，它可以利用屏蔽路由器来做更进一步的安全保护。可以利用屏蔽路由器来做更进一步的安全保护。vv缺点缺点：此时的路由器又处于易受攻击的地位。此外，网：此时的路由器又处于易受攻击的地位。此外，网络管理员应该管理在路由器和堡垒主机中的访问控制表，络管理员应该管理在路由器和堡垒主机中的访问控制表，使两者协调一致，避免出现矛盾。使两者协调一致，避免出现矛盾。17信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（2 2）防火墙的工作原

23、理）防火墙的工作原理vv3 3）应用代理技术：）应用代理技术：屏蔽子网网关屏蔽子网网关vv特点特点：使用一个或者更多的屏蔽路由器和堡垒主机，同：使用一个或者更多的屏蔽路由器和堡垒主机，同时在内外网间建立一个被隔离的子网时在内外网间建立一个被隔离的子网DMZDMZ。18信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（2 2）防火墙的工作原理）防火墙的工作原理vv3 3）应用代理技术：）应用代理技术：屏蔽子网网关屏蔽子网网关vv优点优点：这种防火墙系统的安全性很好，因为来自外部网：这种防火墙系统的安全性很好，因为来自外部网络将要访问内部网络的流量，必须经过这个由

24、屏蔽路由络将要访问内部网络的流量，必须经过这个由屏蔽路由器和堡垒主机组成的器和堡垒主机组成的DMZDMZ子网络；可信网络内部流向外子网络；可信网络内部流向外界的所有流量，也必须首先接收这个子网络的审查。界的所有流量，也必须首先接收这个子网络的审查。vv堡垒主机上运行代理服务，它是一个连接外部非信任网堡垒主机上运行代理服务，它是一个连接外部非信任网络和可信网络的络和可信网络的“桥梁桥梁”。堡垒主机是最容易受侵袭的，。堡垒主机是最容易受侵袭的，万一堡垒主机被控制，如果采用了屏蔽子网体系结构，万一堡垒主机被控制，如果采用了屏蔽子网体系结构，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内入侵者仍然不

25、能直接侵袭内部网络，内部网络仍受到内部屏蔽路由器的保护。部屏蔽路由器的保护。19信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（2 2）防火墙的工作原理）防火墙的工作原理vv4 4）自适应代理技术：）自适应代理技术：vv特点：特点：采用这种技术的防火墙有两个基本组件：自适应采用这种技术的防火墙有两个基本组件：自适应代理服务器（代理服务器（Adaptive Proxy ServerAdaptive Proxy Server）与动态包过滤）与动态包过滤器（器（Dynamic Packet FilterDynamic Packet Filter）。）。vv在在“自

26、适应代理服务器自适应代理服务器”与与“动态包过滤器动态包过滤器”之间存在之间存在一个控制通道。一个控制通道。vv在对防火墙进行配置时，用户仅仅将所需要的服务类型、在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应代理的管理界面进行设置就可安全级别等信息通过相应代理的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤发包。如果是后者，它将动态地通知包过滤器增减过滤规则

27、，满足用户对速度和安全性的双重要求。规则，满足用户对速度和安全性的双重要求。20信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（2 2）防火墙的工作原理）防火墙的工作原理vv4 4）自适应代理技术：）自适应代理技术：vv优点：优点：vv安全性高。由于它工作于最高层，所以它可以对网络中安全性高。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。只是对网络层的数据进行过滤。vv它可以为每一种应用服务建立一个专门的代理，所以内它可以为每一种应用服务建

28、立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。了入侵者使用数据驱动类型的攻击方式入侵内部网。21信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙v（2 2）防火墙的工作原理）防火墙的工作原理vv4 4）自适应代理技术：）自适应代理技术：vv缺点：缺点：vv

29、速度相对比较慢，当用户对内外部网络网关的吞吐量要速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。颈。vv因为防火墙需要为不同的网络服务建立专门的代理服务，因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不时间，所以给系统性能带来了一些负面影响，但通常不会很明显。会很明显。22信息安全案例教程：技术与应用信息安全案例教程：技术与应用1.网络安全设备：防火墙

30、v（3 3）防火墙的部署）防火墙的部署处于外部不可信网络（包括因特网、广域处于外部不可信网络（包括因特网、广域网和其他公司的专用网）与内部可信网络网和其他公司的专用网）与内部可信网络之间，控制来自外部不可信网络对内部可之间，控制来自外部不可信网络对内部可信网络的访问，防范来自外部网络的非法信网络的访问，防范来自外部网络的非法攻击。同时，保证攻击。同时，保证DMZDMZ区服务器的相对安区服务器的相对安全性和使用便利性。全性和使用便利性。处于内部不同可信等级安全域之间，起到处于内部不同可信等级安全域之间，起到隔离内网关键部门、子网或用户的目的。隔离内网关键部门、子网或用户的目的。应用于广大的个人主

31、机用户，通常为软件应用于广大的个人主机用户，通常为软件防火墙，安装于单台主机中，防护的也只防火墙，安装于单台主机中，防护的也只是单台主机。是单台主机。23信息安全案例教程：技术与应用信息安全案例教程：技术与应用本讲要点：v1.1.网络安全设备：网络安全设备：防防火墙火墙v2.2.网络安全设备：入侵网络安全设备：入侵检检测测v3.3.网络安全新设备：网络安全新设备：入侵防御、下一代防火墙、统一威胁管理入侵防御、下一代防火墙、统一威胁管理24信息安全案例教程：技术与应用信息安全案例教程：技术与应用2.网络安全设备：入侵检测系统v（1 1）入侵检测的概念）入侵检测的概念vv入侵（入侵（Intrusi

32、onIntrusion）是指任何企图危及资源的完整性、机是指任何企图危及资源的完整性、机密性和可用性的活动。不仅包括发起攻击的人（如恶意密性和可用性的活动。不仅包括发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务等对计算机系统产生危害的行漏洞信息，造成拒绝服务等对计算机系统产生危害的行为。为。vv入侵检测入侵检测顾名思义，是指通过对计算机网络或计算机系顾名思义，是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违

33、反安全策略的行为和被攻击的迹网络或系统中是否有违反安全策略的行为和被攻击的迹象。象。25信息安全案例教程：技术与应用信息安全案例教程：技术与应用2.网络安全设备：入侵检测系统v（1 1）入侵检测的概念）入侵检测的概念vv入侵检测的软件与硬件的组合便是入侵检测的软件与硬件的组合便是入侵检测系统入侵检测系统（Intrusion Detection SystemIntrusion Detection System，IDSIDS）。）。vv与防火墙类似，除了有基于与防火墙类似，除了有基于PCPC架构、主要功能由软件实架构、主要功能由软件实现的现的IDSIDS，还有基于，还有基于ASICASIC、NPN

34、P以及以及FPGAFPGA架构开发的架构开发的IDSIDS。26信息安全案例教程：技术与应用信息安全案例教程：技术与应用2.网络安全设备：入侵检测系统v（2 2）入侵检测的工作原理）入侵检测的工作原理vv事件产生器：从整个计算环境中获得事件，并向系统的其他部分提事件产生器：从整个计算环境中获得事件，并向系统的其他部分提供此事件。供此事件。vv事件分析器：分析得到的数据，并产生分析结果。事件分析器：分析得到的数据，并产生分析结果。vv响应单元：对分析结果作出反应的功能单元，它可以作出切断连接、响应单元：对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警

35、。改变文件属性等强烈反应，也可以只是简单的报警。vv事件数据库：是存放各种中间和最终数据的地方的统称，它可以是事件数据库：是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。复杂的数据库，也可以是简单的文本文件。事件来源事件来源事件来源事件来源事件产生器事件产生器事件产生器事件产生器事件分析器事件分析器事件分析器事件分析器响应单元响应单元响应单元响应单元事件数据库事件数据库事件数据库事件数据库27信息安全案例教程：技术与应用信息安全案例教程：技术与应用2.网络安全设备：入侵检测系统v（2 2）入侵检测的工作原理）入侵检测的工作原理vv根据检测数据的不同，根据检测

36、数据的不同，IDSIDS分为分为主机型主机型和和网络型网络型入侵检测入侵检测系统。系统。vv1 1）基于主机的）基于主机的IDSIDS（HIDSHIDS），通过监视和分析主机的审），通过监视和分析主机的审计记录检测入侵。计记录检测入侵。vv2 2）基于网络的）基于网络的IDSIDS（NIDSNIDS），通过在共享网段上对通信），通过在共享网段上对通信数据进行侦听，检测入侵。数据进行侦听，检测入侵。28信息安全案例教程：技术与应用信息安全案例教程：技术与应用2.网络安全设备：入侵检测系统v（2 2）入侵检测的工作原理）入侵检测的工作原理vv根据其采用的分析方法可分为根据其采用的分析方法可分为异常

37、检测异常检测和和误用检测误用检测。vv1 1）异常检测）异常检测。需要建立目标系统及其用户的正常活动模。需要建立目标系统及其用户的正常活动模型，然后基于这个模型对系统和用户的实际活动进行审型，然后基于这个模型对系统和用户的实际活动进行审计，当主体活动违反其统计规律时，则将其视为可疑行计，当主体活动违反其统计规律时，则将其视为可疑行为。该技术的关键是异常阈值和特征的选择。为。该技术的关键是异常阈值和特征的选择。vv优点优点是可以发现新型的入侵行为，漏报少。是可以发现新型的入侵行为，漏报少。vv缺点缺点是容易产生误报。是容易产生误报。29信息安全案例教程：技术与应用信息安全案例教程：技术与应用2.

38、网络安全设备：入侵检测系统v（2 2）入侵检测的工作原理）入侵检测的工作原理vv根据其采用的分析方法可分为根据其采用的分析方法可分为异常检测异常检测和和误用检测误用检测。vv2 2）误用检测。）误用检测。假定所有入侵行为和手段假定所有入侵行为和手段(及其变种及其变种)都能都能够表达为一种模式或特征，系统的目标就是检测主体活够表达为一种模式或特征，系统的目标就是检测主体活动是否符合这些模式。该技术的关键是模式匹配。动是否符合这些模式。该技术的关键是模式匹配。vv优点优点是可以有针对性地建立高效的入侵检测系统，其精是可以有针对性地建立高效的入侵检测系统，其精确性较高，误报少。确性较高，误报少。vv

39、主要主要缺陷缺陷是只能发现攻击库中已知的攻击，不能检测未是只能发现攻击库中已知的攻击，不能检测未知的入侵，也不能检测已知入侵的变种，因此可能发生知的入侵，也不能检测已知入侵的变种，因此可能发生漏报。且其复杂性将随着攻击数量的增加而增加。漏报。且其复杂性将随着攻击数量的增加而增加。30信息安全案例教程：技术与应用信息安全案例教程：技术与应用2.网络安全设备：入侵检测系统v（3 3）入侵检测的部署）入侵检测的部署vv与防火墙不同，入侵检测主要是一个监听和分析设备，与防火墙不同，入侵检测主要是一个监听和分析设备，不需要跨接在任何网络链路上，无需网络流量流经它，不需要跨接在任何网络链路上，无需网络流量

40、流经它，便可正常工作。便可正常工作。vv对入侵检测系统的部署，唯一的要求是：应当挂接在所对入侵检测系统的部署，唯一的要求是：应当挂接在所有所关注的流量都必须流经的链路上，即有所关注的流量都必须流经的链路上，即IDSIDS采用旁路部采用旁路部署方式接入网络。这些流量通常是指需要进行监视和统署方式接入网络。这些流量通常是指需要进行监视和统计的网络报文。计的网络报文。vvIDSIDS和防火墙均具备对方不可代替的功能，因此在很多应和防火墙均具备对方不可代替的功能，因此在很多应用场景中，用场景中，IDSIDS与防火墙共存，形成互补。与防火墙共存，形成互补。31信息安全案例教程：技术与应用信息安全案例教程

41、：技术与应用2.网络安全设备：入侵检测系统v（3 3）入侵检测的部署）入侵检测的部署32信息安全案例教程：技术与应用信息安全案例教程：技术与应用2.网络安全设备：入侵检测系统v（3 3）入侵检测的部署）入侵检测的部署检测引擎检测引擎检测引擎控制台33信息安全案例教程：技术与应用信息安全案例教程：技术与应用本讲要点：v1.1.网络安全设备：网络安全设备：防防火墙火墙v2.2.网络安全设备：入侵网络安全设备：入侵检检测测v3.3.网络安全新设备：网络安全新设备：入侵防御、下一代防火墙、统一威胁管理入侵防御、下一代防火墙、统一威胁管理34信息安全案例教程：技术与应用信息安全案例教程：技术与应用3.网

42、络安全新设备v（1 1）入侵防御系统）入侵防御系统v主动防御能力的需求主动防御能力的需求v主动防御能力是指：系统不仅要具有入侵检测系主动防御能力是指：系统不仅要具有入侵检测系统的入侵发现能力和防火墙的静态防御能力，还统的入侵发现能力和防火墙的静态防御能力，还要有针对当前入侵行为动态调整系统安全策略，要有针对当前入侵行为动态调整系统安全策略，阻止入侵和对入侵攻击源进行主动追踪和发现的阻止入侵和对入侵攻击源进行主动追踪和发现的能力。能力。v入侵防御系统入侵防御系统IPSIPS（Intrusion Prevention Intrusion Prevention SystemSystem，也有称作，也

43、有称作Intrusion Detection Intrusion Detection PreventionPrevention，即，即IDPIDP）作为）作为IDSIDS的替代技术诞生的替代技术诞生了。了。35信息安全案例教程：技术与应用信息安全案例教程：技术与应用3.网络安全新设备v（1 1）入侵防御系统）入侵防御系统vIPSIPS的概念的概念vIPSIPS是一种主动的、智能的入侵检测、防范、阻是一种主动的、智能的入侵检测、防范、阻止系统，其设计旨在预先对入侵活动和攻击性网止系统，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是络流量进行拦截，避免其造成任何损失，

44、而不是简单地在恶意流量传送时或传送后才发出警报。简单地在恶意流量传送时或传送后才发出警报。它部署在网络的进出口处，当它检测到攻击企图它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。源阻断。36信息安全案例教程：技术与应用信息安全案例教程：技术与应用3.网络安全新设备v（2 2）下一代防火墙）下一代防火墙vv著名市场分析咨询机构著名市场分析咨询机构GartnerGartner于于20092009年发布的一份名年发布的一份名为为Defining the Next-Generation FirewallDefini

45、ng the Next-Generation Firewall的文的文档给出了下一代防火墙档给出了下一代防火墙NGFW(Next-Generation NGFW(Next-Generation Firewall)Firewall)的定义。的定义。vv1 1）传统防火墙。）传统防火墙。vv2 2）支持与防火墙自动联动的集成化）支持与防火墙自动联动的集成化IPSIPS。vv3 3）应用识别、控制与可视化。）应用识别、控制与可视化。vv4 4）智能化联动。）智能化联动。37信息安全案例教程：技术与应用信息安全案例教程：技术与应用3.网络安全新设备v（3 3）统一威胁管理）统一威胁管理UTMUTMv市

46、场分析咨询机构市场分析咨询机构IDCIDC这样定义这样定义UTMUTM：这是一类：这是一类集成了常用安全功能的设备，必须包括传统防火集成了常用安全功能的设备，必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。且可能会集成其他一些安全或网络特性。vUTMUTM可以说是将防火墙、可以说是将防火墙、IDSIDS系统、防病毒和脆系统、防病毒和脆弱性评估等技术的优点与自动阻止攻击的功能融弱性评估等技术的优点与自动阻止攻击的功能融为一体。为一体。38信息安全案例教程：技术与应用信息安全案例教程：技术与应用3.网络安全新设

47、备v（3 3）统一威胁管理）统一威胁管理UTMUTMv市场分析咨询机构市场分析咨询机构IDCIDC这样定义这样定义UTMUTM：这是一类：这是一类集成了常用安全功能的设备，必须包括传统防火集成了常用安全功能的设备，必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。且可能会集成其他一些安全或网络特性。vUTMUTM可以说是将防火墙、可以说是将防火墙、IDSIDS系统、防病毒和脆系统、防病毒和脆弱性评估等技术的优点与自动阻止攻击的功能融弱性评估等技术的优点与自动阻止攻击的功能融为一体。为一体。v应当说，应当说，U

48、TMUTM和和NGFWNGFW只是针对不同级别用户只是针对不同级别用户的需求，对宏观意义上的防火墙的功能进行了更的需求，对宏观意义上的防火墙的功能进行了更有针对性的归纳总结，是互为补充的关系。有针对性的归纳总结，是互为补充的关系。39信息安全案例教程：技术与应用信息安全案例教程：技术与应用3.网络安全新设备v发展趋势发展趋势v由于网络攻击技术的不确定性，靠单一的产品往由于网络攻击技术的不确定性，靠单一的产品往往不能够满足不同用户的不同安全需求。信息安往不能够满足不同用户的不同安全需求。信息安全产品的发展趋势是不断地走向融合，走向集中全产品的发展趋势是不断地走向融合，走向集中管理。管理。v通过采

49、用协同技术，让网络攻击防御体系更加有通过采用协同技术，让网络攻击防御体系更加有效地应对重大网络安全事件，实现多种安全产品效地应对重大网络安全事件，实现多种安全产品的统一管理和协同操作、分析，从而实现对网络的统一管理和协同操作、分析，从而实现对网络攻击行为进行全面、深层次的有效管理，降低安攻击行为进行全面、深层次的有效管理，降低安全风险和管理成本，成为网络攻击防护产品发展全风险和管理成本，成为网络攻击防护产品发展的一个主要方向。的一个主要方向。40信息安全案例教程：技术与应用信息安全案例教程：技术与应用本讲要点：v1.1.网络安全设备：网络安全设备：防防火墙火墙v2.2.网络安全设备：入侵网络安

50、全设备：入侵检检测测v3.3.网络安全新设备：网络安全新设备：入侵防御、下一代防火墙、统一威胁管理入侵防御、下一代防火墙、统一威胁管理41信息安全案例教程：技术与应用信息安全案例教程：技术与应用本讲思考与练习vv名词解释：名词解释：FWFWFWFW、NGFWNGFWNGFWNGFW、IDSIDSIDSIDS、IPSIPSIPSIPS、UTMUTMUTMUTMvv操作操作实验实验：vv1.1.1.1.网络防火墙的使用和攻防测试。实验内容：学习使用网络网络防火墙的使用和攻防测试。实验内容：学习使用网络网络防火墙的使用和攻防测试。实验内容：学习使用网络网络防火墙的使用和攻防测试。实验内容：学习使用网