第12讲网络安全技术课件.ppt

《第12讲网络安全技术课件.ppt》由会员分享，可在线阅读，更多相关《第12讲网络安全技术课件.ppt（72页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1 1第第11讲讲 11.1 防火墙技术防火墙技术11.2 入侵检测技术入侵检测技术11.3 虚拟专用网虚拟专用网VPN技术技术信息安全技术信息安全技术 2 22023/2/8 防火墙的本义原是指古代人们房屋之间修建的墙，这道墙防火墙的本义原是指古代人们房屋之间修建的墙，这道墙防火墙的本义原是指古代人们房屋之间修建的墙，这道墙防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如下图所示。可以防止火灾发生的时候蔓延到别的房屋，如下图所示。可以防止火灾发生的时候蔓延到别的房屋，如下图所示。可以防止火灾发生的时候蔓延到别的房屋，如下图所示。这里所说的防火墙不是指

2、为了防火而造的墙，而是指隔离这里所说的防火墙不是指为了防火而造的墙，而是指隔离这里所说的防火墙不是指为了防火而造的墙，而是指隔离这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。在本地网络与外界网络之间的一道防御系统。在本地网络与外界网络之间的一道防御系统。在本地网络与外界网络之间的一道防御系统。11.1 11.1 防火墙技术防火墙技术2 2信息安全技术信息安全技术 3 32023/2/8 在互联网上，防火墙是一种非常有效的网络安全系统，通过在互联网上，防火墙是一种非常有效的网络安全系统，通过在互联网上，防火墙是一种非常有效的网络安全系统，通过在互联网上

3、，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（它可以隔离风险区域（它可以隔离风险区域（它可以隔离风险区域（Internet Internet 或有一定风险的网络）与安全或有一定风险的网络）与安全或有一定风险的网络）与安全或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的区域（局域网）的连接，同时不会妨碍安全区域对风险区域的区域（局域网）的连接，同时不会妨碍安全区域对风险区域的区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如访问，网络防火墙结构如访问，网络防火墙结构如访问，网络防火墙结构如下图所示。下图所示。下图所示。下图

4、所示。11.1 11.1 防火墙技术防火墙技术3 3信息安全技术信息安全技术 4 42023/2/8 根据不同的需要，防火墙的功能有比较大差异，但是一般根据不同的需要，防火墙的功能有比较大差异，但是一般根据不同的需要，防火墙的功能有比较大差异，但是一般根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能：都包含以下三种基本功能：都包含以下三种基本功能：都包含以下三种基本功能：1 1、可以限制未授权的用户进入内部网络，过滤掉不安全的、可以限制未授权的用户进入内部网络，过滤掉不安全的、可以限制未授权的用户进入内部网络，过滤掉不安全的、可以限制未授权的用户进入内部网络，过滤掉不安

5、全的 服务和非法用户服务和非法用户服务和非法用户服务和非法用户2 2、防止入侵者接近网络防御设施、防止入侵者接近网络防御设施、防止入侵者接近网络防御设施、防止入侵者接近网络防御设施3 3、限制内部用户访问特殊站点、限制内部用户访问特殊站点、限制内部用户访问特殊站点、限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务，因此适合于相对独立由于防火墙假设了网络边界和服务，因此适合于相对独立由于防火墙假设了网络边界和服务，因此适合于相对独立由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如的网络，例如的网络，例如的网络，例如IntranetIntranet等种类相对集中的网络。等种类

6、相对集中的网络。等种类相对集中的网络。等种类相对集中的网络。InternetInternet上的上的上的上的WebWeb网站中，超过三分之一的站点都是有某种防火墙保护的，网站中，超过三分之一的站点都是有某种防火墙保护的，网站中，超过三分之一的站点都是有某种防火墙保护的，网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。任何关键性的服务器，都应该放在防火墙之后。任何关键性的服务器，都应该放在防火墙之后。任何关键性的服务器，都应该放在防火墙之后。11.1 11.1 防火墙技术防火墙技术4 4信息安全技术信息安全技术 5 52023/2/8防火墙的必要性：防

7、火墙的必要性：防火墙的必要性：防火墙的必要性：（1 1）集中化的安全管理，强化安全策略）集中化的安全管理，强化安全策略）集中化的安全管理，强化安全策略）集中化的安全管理，强化安全策略InternetInternet上每天都有上百万人在上每天都有上百万人在上每天都有上百万人在上每天都有上百万人在 那里收集信息、交换信息，那里收集信息、交换信息，那里收集信息、交换信息，那里收集信息、交换信息，不可避免地会出现个别品德不良的人或违反规则的人，防火墙不可避免地会出现个别品德不良的人或违反规则的人，防火墙不可避免地会出现个别品德不良的人或违反规则的人，防火墙不可避免地会出现个别品德不良的人或违反规则的人

8、，防火墙是为了防止不良现象发生的是为了防止不良现象发生的是为了防止不良现象发生的是为了防止不良现象发生的“交通警察交通警察交通警察交通警察”，它执行站点的安全，它执行站点的安全，它执行站点的安全，它执行站点的安全策略，仅仅容许策略，仅仅容许策略，仅仅容许策略，仅仅容许“认可的认可的认可的认可的”和符合规则的请求通过。和符合规则的请求通过。和符合规则的请求通过。和符合规则的请求通过。（2 2）网络日志及使用统计）网络日志及使用统计）网络日志及使用统计）网络日志及使用统计防火墙是所有进出信息必须通路，非常适用收集关于系统和网防火墙是所有进出信息必须通路，非常适用收集关于系统和网防火墙是所有进出信息

9、必须通路，非常适用收集关于系统和网防火墙是所有进出信息必须通路，非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护络使用和误用的信息。作为访问的唯一点，防火墙能在被保护络使用和误用的信息。作为访问的唯一点，防火墙能在被保护络使用和误用的信息。作为访问的唯一点，防火墙能在被保护网络和外部网络之间进行记录，对网络存取访问进行和统计。网络和外部网络之间进行记录，对网络存取访问进行和统计。网络和外部网络之间进行记录，对网络存取访问进行和统计。网络和外部网络之间进行记录，对网络存取访问进行和统计。11.1 11.1 防火墙技术防火墙技术5 5信息安全技术信息安全技术 6 62

10、023/2/8（3 3）保护那些易受攻击的服务）保护那些易受攻击的服务）保护那些易受攻击的服务）保护那些易受攻击的服务 防火墙能够用来隔开网络中一个网段与另一个网段。这样防火墙能够用来隔开网络中一个网段与另一个网段。这样防火墙能够用来隔开网络中一个网段与另一个网段。这样防火墙能够用来隔开网络中一个网段与另一个网段。这样能够防止影响一个网段的问题通过整个网络传播。能够防止影响一个网段的问题通过整个网络传播。能够防止影响一个网段的问题通过整个网络传播。能够防止影响一个网段的问题通过整个网络传播。（4 4）增强的保密）增强的保密）增强的保密）增强的保密 用来封锁有关网点系统的用来封锁有关网点系统的用

11、来封锁有关网点系统的用来封锁有关网点系统的DNSDNS信息。因此，网点系统名字和信息。因此，网点系统名字和信息。因此，网点系统名字和信息。因此，网点系统名字和IPIP地址都不要提供给地址都不要提供给地址都不要提供给地址都不要提供给InternetInternet。（5 5）实施安全策略）实施安全策略）实施安全策略）实施安全策略 防火墙是一个安全策略的检查站，控制对特殊站点的访问。防火墙是一个安全策略的检查站，控制对特殊站点的访问。防火墙是一个安全策略的检查站，控制对特殊站点的访问。防火墙是一个安全策略的检查站，控制对特殊站点的访问。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的所有进出

12、的信息都必须通过防火墙，防火墙便成为安全问题的所有进出的信息都必须通过防火墙，防火墙便成为安全问题的所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。检查点，使可疑的访问被拒绝于门外。检查点，使可疑的访问被拒绝于门外。检查点，使可疑的访问被拒绝于门外。11.1 11.1 防火墙技术防火墙技术6 6信息安全技术信息安全技术 7 72023/2/8防火墙有以下四方面的局限：防火墙有以下四方面的局限：防火墙有以下四方面的局限：防火墙有以下四方面的局限：（1 1）防火墙不能防范网络内部的攻击。比如：防火墙无法防火墙不能防范网络内部的攻击。比如：防火墙无法防火墙不能

13、防范网络内部的攻击。比如：防火墙无法防火墙不能防范网络内部的攻击。比如：防火墙无法禁止内部间谍将敏感数据拷贝到软盘上。禁止内部间谍将敏感数据拷贝到软盘上。禁止内部间谍将敏感数据拷贝到软盘上。禁止内部间谍将敏感数据拷贝到软盘上。（2 2）防火墙不能防范不通过它的连接。防火墙能够有效地防火墙不能防范不通过它的连接。防火墙能够有效地防火墙不能防范不通过它的连接。防火墙能够有效地防火墙不能防范不通过它的连接。防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信防止通过它进行传输信息，然而不能防止不通过它而传输的信防止通过它进行传输信息，然而不能防止不通过它而传输的信防止通过它进行传输

14、信息，然而不能防止不通过它而传输的信息。如果用网中有些资源绕过防火墙直接与息。如果用网中有些资源绕过防火墙直接与息。如果用网中有些资源绕过防火墙直接与息。如果用网中有些资源绕过防火墙直接与InternetInternet连通，则连通，则连通，则连通，则得不到防火墙的保护。得不到防火墙的保护。得不到防火墙的保护。得不到防火墙的保护。（3 3）防火墙不能防止传送己感染病毒的软件或文件，不能防火墙不能防止传送己感染病毒的软件或文件，不能防火墙不能防止传送己感染病毒的软件或文件，不能防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。期望防火墙去对每一个文件

15、进行扫描，查出潜在的病毒。期望防火墙去对每一个文件进行扫描，查出潜在的病毒。期望防火墙去对每一个文件进行扫描，查出潜在的病毒。（4 4）防火墙用来防备已知的威胁，不能自动防御所有新的防火墙用来防备已知的威胁，不能自动防御所有新的防火墙用来防备已知的威胁，不能自动防御所有新的防火墙用来防备已知的威胁，不能自动防御所有新的威胁。威胁。威胁。威胁。11.1 11.1 防火墙技术防火墙技术7 7信息安全技术信息安全技术 8 82023/2/8 常见的放火墙有三种类型：数据包过滤、电路层网关、常见的放火墙有三种类型：数据包过滤、电路层网关、常见的放火墙有三种类型：数据包过滤、电路层网关、常见的放火墙有三

16、种类型：数据包过滤、电路层网关、应用层网关。应用层网关。应用层网关。应用层网关。1 1、包过滤包过滤包过滤包过滤(Packet FilteringPacket Filtering)：作用在协议组的网络层和传输层，：作用在协议组的网络层和传输层，：作用在协议组的网络层和传输层，：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志根据分组包头源地址、目的地址和端口号、协议类型等标志根据分组包头源地址、目的地址和端口号、协议类型等标志根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转确定是否允许数据包通过，只有满

17、足过滤逻辑的数据包才被转确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余数据包则从数据流中丢弃。发到相应的目的地的出口端，其余数据包则从数据流中丢弃。发到相应的目的地的出口端，其余数据包则从数据流中丢弃。发到相应的目的地的出口端，其余数据包则从数据流中丢弃。2 2、应用代理应用代理应用代理应用代理(Application ProxyApplication Proxy)：也叫应用网关：也叫应用网关：也叫应用网关：也叫应用网关(Application Application GatewayGateway)，作

18、用在应用层，其特点是完全，作用在应用层，其特点是完全，作用在应用层，其特点是完全，作用在应用层，其特点是完全“阻隔阻隔阻隔阻隔”网络通信流，网络通信流，网络通信流，网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制通过对每种应用服务编制专门的代理程序，实现监视和控制通过对每种应用服务编制专门的代理程序，实现监视和控制通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站应用层通信流的作用。实际中的应用网关通常由专用工作站应用层通信流的作用。实际中的应用网关通常由专用工作站应用层通信流的作用。实际中的应用网关通常由专用工作站实现。实

19、现。实现。实现。11.1 11.1 防火墙技术防火墙技术8 8信息安全技术信息安全技术 9 92023/2/83 3、状态检测状态检测状态检测状态检测（Status DetectionStatus Detection）：直接对分组里的数据进行处）：直接对分组里的数据进行处）：直接对分组里的数据进行处）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允理，并且结合前后分组的数据进行综合判断，然后决定是否允理，并且结合前后分组的数据进行综合判断，然后决定是否允理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。许该数据包通过。许该数据包通过。许该数据

20、包通过。11.1 11.1 防火墙技术防火墙技术9 9信息安全技术信息安全技术 10102023/2/8包过滤防火墙：包过滤防火墙：包过滤防火墙：包过滤防火墙：数据包过滤可以在网络层截获数据。使用一些规则来确定数据包过滤可以在网络层截获数据。使用一些规则来确定数据包过滤可以在网络层截获数据。使用一些规则来确定数据包过滤可以在网络层截获数据。使用一些规则来确定 是否转发或丢弃所各个数据包。是否转发或丢弃所各个数据包。是否转发或丢弃所各个数据包。是否转发或丢弃所各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出入，通常情况下，如果规则中没有明确允许指定数据包的出入，通常情况下，如果规则中

21、没有明确允许指定数据包的出入，通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃那么数据包将被丢弃那么数据包将被丢弃那么数据包将被丢弃11.1 11.1 防火墙技术防火墙技术1010信息安全技术信息安全技术 11112023/2/8 一个可靠的包过滤防火墙依赖于规则集，下表列出了几条一个可靠的包过滤防火墙依赖于规则集，下表列出了几条一个可靠的包过滤防火墙依赖于规则集，下表列出了几条一个可靠的包过滤防火墙依赖于规则集，下表列出了几条 典型的规则集。一：主机典型的规则集。一：主机典型的规则集。一：主机典型的规则集。一：主机10.1.1.110.1.1.1任何端口访问任何主机的任

22、何端口访问任何主机的任何端口访问任何主机的任何端口访问任何主机的 任何端口，基于任何端口，基于任何端口，基于任何端口，基于TCPTCP协议的数据包都允许通过。二：任何协议的数据包都允许通过。二：任何协议的数据包都允许通过。二：任何协议的数据包都允许通过。二：任何 主机的主机的主机的主机的2020端口访问主机端口访问主机端口访问主机端口访问主机10.1.1.110.1.1.1的任何端口，基于的任何端口，基于的任何端口，基于的任何端口，基于TCPTCP协议的协议的协议的协议的 数据包允许通过。三：任何主机的数据包允许通过。三：任何主机的数据包允许通过。三：任何主机的数据包允许通过。三：任何主机的2

23、020端口访问主机端口访问主机端口访问主机端口访问主机10.1.1.110.1.1.1 小于小于小于小于10241024的端口，如果基于的端口，如果基于的端口，如果基于的端口，如果基于TCPTCP协议的数据包都禁止通过。协议的数据包都禁止通过。协议的数据包都禁止通过。协议的数据包都禁止通过。组序号组序号组序号组序号动作动作动作动作源源源源IPIPIPIP目的目的目的目的IPIPIPIP源端口源端口源端口源端口目的端口目的端口目的端口目的端口协议类型协议类型协议类型协议类型1 1 1 1允许允许允许允许10.1.1.110.1.1.110.1.1.110.1.1.1*TCPTCPTCPTCP2

24、2 2 2允许允许允许允许*10.1.1.110.1.1.110.1.1.110.1.1.120202020*TCPTCPTCPTCP3 3 3 3禁止禁止禁止禁止*10.1.1.110.1.1.110.1.1.110.1.1.1202020201024102410241024TCPTCPTCPTCP11.1 11.1 防火墙技术防火墙技术1111信息安全技术信息安全技术 12122023/2/8 包过滤防火墙包过滤防火墙包过滤防火墙包过滤防火墙优点优点优点优点：价格较低、对用户透明、对网络性能：价格较低、对用户透明、对网络性能：价格较低、对用户透明、对网络性能：价格较低、对用户透明、对网络性

25、能 的影响很小、速度快、易于维护。的影响很小、速度快、易于维护。的影响很小、速度快、易于维护。的影响很小、速度快、易于维护。包过滤防火墙包过滤防火墙包过滤防火墙包过滤防火墙缺点缺点缺点缺点：包过滤配置起来比较复杂、它对：包过滤配置起来比较复杂、它对：包过滤配置起来比较复杂、它对：包过滤配置起来比较复杂、它对IPIP 欺骗式攻击比较敏感、它没有用户的使用记录，这样就欺骗式攻击比较敏感、它没有用户的使用记录，这样就欺骗式攻击比较敏感、它没有用户的使用记录，这样就欺骗式攻击比较敏感、它没有用户的使用记录，这样就 不能从访问记录中发现黑客的攻击记录。而攻击一个单纯不能从访问记录中发现黑客的攻击记录。而

26、攻击一个单纯不能从访问记录中发现黑客的攻击记录。而攻击一个单纯不能从访问记录中发现黑客的攻击记录。而攻击一个单纯 的包过滤式的防火墙对黑客来说是比较容易的，他们在的包过滤式的防火墙对黑客来说是比较容易的，他们在的包过滤式的防火墙对黑客来说是比较容易的，他们在的包过滤式的防火墙对黑客来说是比较容易的，他们在 这一方面已经积累了大量的经验。这一方面已经积累了大量的经验。这一方面已经积累了大量的经验。这一方面已经积累了大量的经验。11.1 11.1 防火墙技术防火墙技术1212信息安全技术信息安全技术 13132023/2/8应用代理防火墙：应用代理防火墙：应用代理防火墙：应用代理防火墙：应用代理（

27、应用代理（应用代理（应用代理（Application ProxyApplication Proxy）是运行在防火墙上的一种）是运行在防火墙上的一种）是运行在防火墙上的一种）是运行在防火墙上的一种 服务器程序，防火墙主机可以是一个具有两个网络接口的服务器程序，防火墙主机可以是一个具有两个网络接口的服务器程序，防火墙主机可以是一个具有两个网络接口的服务器程序，防火墙主机可以是一个具有两个网络接口的 双重宿主主机，也可以是一个堡垒主机。代理服务器被双重宿主主机，也可以是一个堡垒主机。代理服务器被双重宿主主机，也可以是一个堡垒主机。代理服务器被双重宿主主机，也可以是一个堡垒主机。代理服务器被 放置在内

28、部服务器和外部服务器之间，用于转接内外主机放置在内部服务器和外部服务器之间，用于转接内外主机放置在内部服务器和外部服务器之间，用于转接内外主机放置在内部服务器和外部服务器之间，用于转接内外主机 之间的通信，它可以根据安全策略来决定是否为用户进行之间的通信，它可以根据安全策略来决定是否为用户进行之间的通信，它可以根据安全策略来决定是否为用户进行之间的通信，它可以根据安全策略来决定是否为用户进行 代理服务。代理服务器运行在应用层，因此又被称为代理服务。代理服务器运行在应用层，因此又被称为代理服务。代理服务器运行在应用层，因此又被称为代理服务。代理服务器运行在应用层，因此又被称为“应用应用应用应用

29、网关网关网关网关”。11.1 11.1 防火墙技术防火墙技术1313信息安全技术信息安全技术 14142023/2/8 应用代理防火墙的应用代理防火墙的应用代理防火墙的应用代理防火墙的优点优点优点优点：可以将被保护的网络内部结构：可以将被保护的网络内部结构：可以将被保护的网络内部结构：可以将被保护的网络内部结构 屏蔽起来，增强网络的安全性；可用于实施较强的数据流屏蔽起来，增强网络的安全性；可用于实施较强的数据流屏蔽起来，增强网络的安全性；可用于实施较强的数据流屏蔽起来，增强网络的安全性；可用于实施较强的数据流 监控、过滤、记录和报告等。监控、过滤、记录和报告等。监控、过滤、记录和报告等。监控、

30、过滤、记录和报告等。应用代理防火墙应用代理防火墙应用代理防火墙应用代理防火墙缺点缺点缺点缺点：使访问速度变慢，因为它不允许：使访问速度变慢，因为它不允许：使访问速度变慢，因为它不允许：使访问速度变慢，因为它不允许 用户直接访问网络；应用级网关需要针对每一个特定用户直接访问网络；应用级网关需要针对每一个特定用户直接访问网络；应用级网关需要针对每一个特定用户直接访问网络；应用级网关需要针对每一个特定 的的的的InternetInternet服务安装相应的代理服务器软件，用户不能使用服务安装相应的代理服务器软件，用户不能使用服务安装相应的代理服务器软件，用户不能使用服务安装相应的代理服务器软件，用户

31、不能使用 未被服务器支持的服务，这就意味着用户可能会花费一定未被服务器支持的服务，这就意味着用户可能会花费一定未被服务器支持的服务，这就意味着用户可能会花费一定未被服务器支持的服务，这就意味着用户可能会花费一定 的时间等待新服务器软件的安装；并不是所有的的时间等待新服务器软件的安装；并不是所有的的时间等待新服务器软件的安装；并不是所有的的时间等待新服务器软件的安装；并不是所有的InternetInternet 应用软件都可以使用代理服务器。应用软件都可以使用代理服务器。应用软件都可以使用代理服务器。应用软件都可以使用代理服务器。11.1 11.1 防火墙技术防火墙技术1414信息安全技术信息安

32、全技术 15152023/2/8状态检测防火墙：状态检测防火墙：状态检测防火墙：状态检测防火墙：状态检测防火墙安全特性非常好，它采用了一个在网关上状态检测防火墙安全特性非常好，它采用了一个在网关上状态检测防火墙安全特性非常好，它采用了一个在网关上状态检测防火墙安全特性非常好，它采用了一个在网关上 执行网络安全策略的软件引擎，称之为检测模块。检测模块执行网络安全策略的软件引擎，称之为检测模块。检测模块执行网络安全策略的软件引擎，称之为检测模块。检测模块执行网络安全策略的软件引擎，称之为检测模块。检测模块 在不影响网络正常工作的前提下，采用抽取相关数据的方法在不影响网络正常工作的前提下，采用抽取相

33、关数据的方法在不影响网络正常工作的前提下，采用抽取相关数据的方法在不影响网络正常工作的前提下，采用抽取相关数据的方法 对网络通信的各层实施监测，抽取部分数据，即状态信息，对网络通信的各层实施监测，抽取部分数据，即状态信息，对网络通信的各层实施监测，抽取部分数据，即状态信息，对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参考。并动态地保存起来作为以后指定安全决策的参考。并动态地保存起来作为以后指定安全决策的参考。并动态地保存起来作为以后指定安全决策的参考。状态检测防火墙的状态检测防火墙的状态检测防火墙的状态检测防火墙的优点优点优点优点：检测模块支持多种

34、协议和应用：检测模块支持多种协议和应用：检测模块支持多种协议和应用：检测模块支持多种协议和应用 程序，并可以很容易地实现应用和服务的扩充；它会程序，并可以很容易地实现应用和服务的扩充；它会程序，并可以很容易地实现应用和服务的扩充；它会程序，并可以很容易地实现应用和服务的扩充；它会 监测监测监测监测RPCRPC和和和和UDPUDP之类的端口信息，而包过滤和代理网关都之类的端口信息，而包过滤和代理网关都之类的端口信息，而包过滤和代理网关都之类的端口信息，而包过滤和代理网关都 不支持此类端口；性能坚固。不支持此类端口；性能坚固。不支持此类端口；性能坚固。不支持此类端口；性能坚固。状态检测防火墙状态检

35、测防火墙状态检测防火墙状态检测防火墙缺点缺点缺点缺点：配置非常复杂；会降低网络的速度。：配置非常复杂；会降低网络的速度。：配置非常复杂；会降低网络的速度。：配置非常复杂；会降低网络的速度。11.1 11.1 防火墙技术防火墙技术1515信息安全技术信息安全技术 16162023/2/8 防火墙有三种体系结构：双宿多宿主机结构、屏蔽主机体防火墙有三种体系结构：双宿多宿主机结构、屏蔽主机体防火墙有三种体系结构：双宿多宿主机结构、屏蔽主机体防火墙有三种体系结构：双宿多宿主机结构、屏蔽主机体系结构、屏蔽子网体系结构系结构、屏蔽子网体系结构系结构、屏蔽子网体系结构系结构、屏蔽子网体系结构1 1、双宿多宿

36、主机结构双宿多宿主机结构双宿多宿主机结构双宿多宿主机结构：多宿主机通常是一台具有多块网卡：多宿主机通常是一台具有多块网卡：多宿主机通常是一台具有多块网卡：多宿主机通常是一台具有多块网卡 的堡垒主机。堡垒主机可以充当与这些接口相连的网络之间的堡垒主机。堡垒主机可以充当与这些接口相连的网络之间的堡垒主机。堡垒主机可以充当与这些接口相连的网络之间的堡垒主机。堡垒主机可以充当与这些接口相连的网络之间 的防火墙，从一个网络到另一个网络发送的防火墙，从一个网络到另一个网络发送的防火墙，从一个网络到另一个网络发送的防火墙，从一个网络到另一个网络发送IPIP数据包必须经过数据包必须经过数据包必须经过数据包必须

37、经过 主机检查。主机检查。主机检查。主机检查。11.1 11.1 防火墙技术防火墙技术1616信息安全技术信息安全技术 17172023/2/82 2、屏蔽主机结构屏蔽主机结构屏蔽主机结构屏蔽主机结构：该结构防火墙需要一个带数据分组过滤功能：该结构防火墙需要一个带数据分组过滤功能：该结构防火墙需要一个带数据分组过滤功能：该结构防火墙需要一个带数据分组过滤功能 的路由器和一台堡垒主机。使用一个单独的路由器控制所有的路由器和一台堡垒主机。使用一个单独的路由器控制所有的路由器和一台堡垒主机。使用一个单独的路由器控制所有的路由器和一台堡垒主机。使用一个单独的路由器控制所有 出入内部网的访问，并使堡垒主

38、机成为外部网络唯一可直接出入内部网的访问，并使堡垒主机成为外部网络唯一可直接出入内部网的访问，并使堡垒主机成为外部网络唯一可直接出入内部网的访问，并使堡垒主机成为外部网络唯一可直接 到达的主机。它实现了网络层和应用层安全，提供的安全级到达的主机。它实现了网络层和应用层安全，提供的安全级到达的主机。它实现了网络层和应用层安全，提供的安全级到达的主机。它实现了网络层和应用层安全，提供的安全级 别相对较高。别相对较高。别相对较高。别相对较高。11.1 11.1 防火墙技术防火墙技术1717信息安全技术信息安全技术 18182023/2/83 3、屏蔽子网体系结构屏蔽子网体系结构屏蔽子网体系结构屏蔽子

39、网体系结构：该结构防火墙需要两个分组过滤路由器：该结构防火墙需要两个分组过滤路由器：该结构防火墙需要两个分组过滤路由器：该结构防火墙需要两个分组过滤路由器 和一台堡垒主机。在内部网络与和一台堡垒主机。在内部网络与和一台堡垒主机。在内部网络与和一台堡垒主机。在内部网络与InternetInternet之间有一个小型的之间有一个小型的之间有一个小型的之间有一个小型的 独立网络，称为周边网。两个分组过滤路由器，一个位于独立网络，称为周边网。两个分组过滤路由器，一个位于独立网络，称为周边网。两个分组过滤路由器，一个位于独立网络，称为周边网。两个分组过滤路由器，一个位于 周边网与内部的网络之间，另一个位

40、于周边网与外部网络周边网与内部的网络之间，另一个位于周边网与外部网络周边网与内部的网络之间，另一个位于周边网与外部网络周边网与内部的网络之间，另一个位于周边网与外部网络 之间。内部路由器（有时被称为阻塞路由器）保护内部的之间。内部路由器（有时被称为阻塞路由器）保护内部的之间。内部路由器（有时被称为阻塞路由器）保护内部的之间。内部路由器（有时被称为阻塞路由器）保护内部的 网络使之免受网络使之免受网络使之免受网络使之免受 Internet Internet 和周边网的侵犯。外部路由器起着和周边网的侵犯。外部路由器起着和周边网的侵犯。外部路由器起着和周边网的侵犯。外部路由器起着 保护周边网和内部网免

41、受来自保护周边网和内部网免受来自保护周边网和内部网免受来自保护周边网和内部网免受来自Internet Internet 的攻击。的攻击。的攻击。的攻击。11.1 11.1 防火墙技术防火墙技术1818信息安全技术信息安全技术 19192023/2/8 入侵检测技术是动态安全技术的最核心技术之一。传统的入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。技术，对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测是防火墙的合理补充入侵检测是防火墙的

42、合理补充，帮助系统对付网络攻击，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息、分析信息，查看计算机网络系统中的若干关键点收集信息、分析信息，查看是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线，提供对内部攻击、外部认为是防火墙之后的第二道安全防线，提供对内部攻击、外部攻击和误操作的实时

43、保护。攻击和误操作的实时保护。11.2 11.2 入侵检测技术入侵检测技术1919信息安全技术信息安全技术 20202023/2/8 什么是入侵检测什么是入侵检测什么是入侵检测什么是入侵检测 入侵检测是指对入侵行为的发现、报警和响应，它通过对入侵检测是指对入侵行为的发现、报警和响应，它通过对入侵检测是指对入侵行为的发现、报警和响应，它通过对入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中若干关键点收集信息，并对收集到计算机网络或计算机系统中若干关键点收集信息，并对收集到计算机网络或计算机系统中若干关键点收集信息，并对收集到计算机网络或计算机系统中若干关键点收集信息，并

44、对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的信息进行分析，从而判断网络或系统中是否有违反安全策略的信息进行分析，从而判断网络或系统中是否有违反安全策略的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。的行为和系统被攻击的征兆。的行为和系统被攻击的征兆。的行为和系统被攻击的征兆。入侵检测的目标是识别系统内部人员和外部入侵者的非法入侵检测的目标是识别系统内部人员和外部入侵者的非法入侵检测的目标是识别系统内部人员和外部入侵者的非法入侵检测的目标是识别系统内部人员和外部入侵者的非法使用、滥用计算机系统的行为。使用、滥用计算机系统的行为。使用、滥用计算机

45、系统的行为。使用、滥用计算机系统的行为。11.2 11.2 入侵检测技术入侵检测技术2020信息安全技术信息安全技术 21212023/2/8 入侵检测系统功能入侵检测系统功能入侵检测系统功能入侵检测系统功能 入侵检测系统能主动发现网络中正在进行的针对被保护目标入侵检测系统能主动发现网络中正在进行的针对被保护目标入侵检测系统能主动发现网络中正在进行的针对被保护目标入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵，并能采取相应的措施及时中止这些危的恶意滥用或非法入侵，并能采取相应的措施及时中止这些危的恶意滥用或非法入侵，并能采取相应的措施及时中止这些危的恶意滥用或非法入侵

46、，并能采取相应的措施及时中止这些危害，如提示报警、阻断连接、通知网管等。害，如提示报警、阻断连接、通知网管等。害，如提示报警、阻断连接、通知网管等。害，如提示报警、阻断连接、通知网管等。其主要功能是监测并分析用户和系统的活动、核查系统配置其主要功能是监测并分析用户和系统的活动、核查系统配置其主要功能是监测并分析用户和系统的活动、核查系统配置其主要功能是监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别中的安全漏洞、评估系统关键资源与数据文件的完整性、识别中的安全漏洞、评估系统关键资源与数据文件的完整性、识别中的安全漏洞、评估系统关键资源与数据文件的完

47、整性、识别现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统日志的管理维护。日志的管理维护。日志的管理维护。日志的管理维护。11.2 11.2 入侵检测技术入侵检测技术2121信息安全技术信息安全技术 22222023/2/8 入侵检测系统入侵检测系统入侵检测系统入侵检测系统1DS1DS（Intrusion Detection SystemIntrusion Detection System）是负责入侵）是负责入侵）是负责

48、入侵）是负责入侵检测的软检测的软检测的软检测的软/硬件组合体，该系统对系统资源的非授权使用能够做硬件组合体，该系统对系统资源的非授权使用能够做硬件组合体，该系统对系统资源的非授权使用能够做硬件组合体，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。出及时的判断、记录和报警。出及时的判断、记录和报警。出及时的判断、记录和报警。简单的简单的简单的简单的入侵检测系统入侵检测系统入侵检测系统入侵检测系统报警报警攻击模式库攻击模式库配置系统库配置系统库入侵分析引擎入侵分析引擎 响应处理响应处理 数据采集数据采集安全控制安全控制 主机系统主机系统系统操作系统操作审计记录审计记录/协议数据协议数

49、据11.2 11.2 入侵检测技术入侵检测技术2222信息安全技术信息安全技术 23232023/2/8 入侵检测的三个基本步骤：入侵检测的三个基本步骤：入侵检测的三个基本步骤：入侵检测的三个基本步骤：信息收集、数据分析和响应信息收集、数据分析和响应信息收集、数据分析和响应信息收集、数据分析和响应。1 1、信息收集：收集的内容包括整个计算机网络中系统、网络、信息收集：收集的内容包括整个计算机网络中系统、网络、信息收集：收集的内容包括整个计算机网络中系统、网络、信息收集：收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。数据及用户活动的状态和行为。数据及用户活动的状态和行为。

50、数据及用户活动的状态和行为。入侵检测在很大程度上依赖于收集信息的可靠性、正确性和入侵检测在很大程度上依赖于收集信息的可靠性、正确性和入侵检测在很大程度上依赖于收集信息的可靠性、正确性和入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠完备性。因此，要确保采集、报告这些信息的软件工具的可靠完备性。因此，要确保采集、报告这些信息的软件工具的可靠完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而性，这些软件本身应具有相当强的坚固性，能够防止被篡改而性，这些软件本身应具有相当强的坚固性，能