中职 网络安全实例教程单元六电子课件.pptx

《中职 网络安全实例教程单元六电子课件.pptx》由会员分享，可在线阅读，更多相关《中职 网络安全实例教程单元六电子课件.pptx（106页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中职 网络安全实例教程单元六电子课件高教版中职 网络安全实例教程单元六电子课件高教版单元六单元六 网络安全产品应用网络安全产品应用任务一任务一 了解常用的网络安全产品了解常用的网络安全产品任务描述任务描述 网络管理员小王为了提高本公司网络的安全防范能力，决定购买一些网络安全产品。至于哪些安全产品是目前自己必须的，小王并不十分清楚，因此，小王决定先全面了解常用的网络安全产品的防护能力和工作原理，然后再有目的的选择购买网络安全防护设备。任务分析任务分析 要想购买到满足需要且性价比较高的网络安全产品，可以参考成功的网络安全产品应用案例，从中既可以借鉴别人的经验，也可以吸取某些教训，因此，可以考虑将了

2、解常用网络安全产品的任务分解成以下活动：网络安全产品应用案例研讨；了解防火墙的基本工作原理；了解入侵检测技术。活动一活动一 网络安全产品应用案例研讨网络安全产品应用案例研讨1.网络安全产品应用案例展示网络安全产品应用案例展示案例案例1：某高校使用硬件防火墙提高网络安全性：某高校使用硬件防火墙提高网络安全性思考：防火墙在网络安全防护中起什么作用？案例案例2：入侵检测产品的应用：入侵检测产品的应用思考：安装入侵检测系统主要能够解决什么问题？2.网络安全产品应用案例讨论网络安全产品应用案例讨论讨论可以围绕以下问题展开：（1）为什么要在网络中安装网络安全产品？（2）安装网络安全产品后网络是不是就安全了

3、？（3）网络安全产品在使用和功能上有没有本质上的区别？（4）防火墙和入侵检测的功能差异是什么？活动二活动二 了解防火墙的基本工作原理了解防火墙的基本工作原理1.防火墙的基本概念防火墙的基本概念 在网络中，防火墙是一种由计算机硬件和软件组成的一个或一组系统，用于控制外部网络对内部网络的访问。防火墙决定了哪些内部服务可以被外部访问，内部人员可以访问哪些外部服务等等。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控制的过滤网络通信，只允许授权的通信，保护网络不被外界侵扰。通常防火墙是指在两个网络之间的一个或一系列网络设备，是安装了防火墙软件的主机、路由器或多机系统。广义上讲

4、，防火墙还包括整个网络的安全策略和安全行为，是一整套保障网络安全的手段。按产品形式分类，防火墙分为硬件防火墙和软件防火墙。从用户的角度看，防火墙可以分为企业防火墙和个人防火墙。硬件防火墙是一种以物理形式存在的专用设备，通常架设在两个网络的连接处，直接从网络设备上检查过滤有害的数据报文，位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据，主机不必另外分出CPU资源进行数据检测，因此，可以大大提高主机工作效率。软件防火墙俗称“个人防火墙”，软件防火墙像其他的软件产品一样，需要在计算机上安装并配置后才能使用，软件防火墙在用户的计算机和互联网之间建立了一道安全屏障。可以拒绝恶意

5、攻击，使连接到互联网上的计算机得到基本的保护。2.防火墙的基本工作原理防火墙的基本工作原理（1）包过滤型防火墙（2）电路级网关防火墙（3）应用级网关防火墙（4）状态监测防火墙（5）混合型防火墙3.防火墙的不足防火墙的不足（1）防火墙把外部网络当成不可信任的网络，把内部网络当成可信任的网络，主要用来预防来自外部网络的攻击。（2）防火墙系统常常需要特殊的网络拓扑结构支持，使提升网络安全功能以牺牲网络服务的灵活性、多样性和开放性为代价。（3）防火墙系统仅防范经过防火墙的攻击行为，对绕开防火墙的攻击，如通过SLIP或PPP的拨号攻击，防火墙无能为力。（4）防火墙只允许符合规则要求的通信服务通过，必然抑

6、制没有明确允许的一些正常的信息通信，从某种意义上说防火墙消弱了网络应有的功能。4.防火墙工作原理相关问题的讨论防火墙工作原理相关问题的讨论讨论可以围绕以下问题展开：（1）防火墙位于网络拓扑中的哪个位置更合适？（2）硬件防火墙和软件防火墙在防护能力上有什么不同？（3）包过滤和应用级网关的数据包检查有什么不同？（4）电路级网关控制的内容是什么？活动三活动三 了解入侵检测技术了解入侵检测技术1.入侵检测的种类入侵检测的种类（1）基于主机的入侵检测系统 基于主机的入侵检测系统是以单个主机上的数据为依据，进行入侵检测分析，所以仅能检测单个主机系统。驻留在主机上的检测模块对主机系统的设置和日志进行安全审计

7、，以发现不正当的更改和入侵行为。（2）基于网络的入侵检测系统 基于网络的入侵检测系统通过网络监视获取数据，网络监视可以获取所有的网络信息数据，只要时间允许，就可以在庞大的数据中提取和分析可疑数据，发现异常网络行为。2.入侵检测的分析方法入侵检测的分析方法目前，常用的入侵检测分析方法有异常检测和误用检测。（1）异常检测 任何的正常行为都有一定的规律，而入侵和滥用行为与正常的行为有严重的差异，检测网络行为差异可以发现非法的入侵行为和用户滥用行为。这种分析方法的基础是用户行为的规律性和规律性的数据描述，关键是数据分析模块对数据提取模块提取的数据进行分析。（2）误用检测 误用检测的前提是预先定义入侵行

8、为，系统中出现符合定义规则的行为，视为入侵行为。使用某种模式或信号标志表示攻击，进而发现相同攻击的方法可以检测许多甚至全部已知的攻击行为，但是对于未知的攻击行为无能为力。3.入侵响应入侵响应 入侵响应是指发现入侵或攻击行为时，采取措施阻止入侵或攻击行为继续危害。检测到入侵行为后，可以采取的具体响应技术很多，根据响应行为可分成被动入侵响应技术和主动入侵响应技术两类。4.入侵检测系统的组成入侵检测系统的组成 4个基本组件：数据产生器、数据分析器、入侵响应和数据库。入侵检测系统的工作原理框图5.入侵检测技术相关问题的讨论入侵检测技术相关问题的讨论讨论可以围绕以下问题展开：（1）网络型入侵检测系统和主

9、机型入侵检测系统哪个好，为什么？（2）入侵判断规则制定的越多系统越安全吗？（3）入侵响应都有哪些保护措施？（4）自适应入侵检测系统的核心是什么？任务小结任务小结 本任务主要介绍了防火墙和入侵检测设备的基本知识。防火墙是一种由计算机硬件和软件组成的一个或一组系统，用于控制外部网络对内部网络的访问。防火墙分为硬件防火墙和软件防火墙两种，硬件防火墙多安装在企事业单位的局域网中，用于防范来自外网的非授权行为，软件防火墙多安装在个人计算机上，用于防范黑客对个人用户的入侵。入侵检测系统是对网络系统的运行状态进行监视，以便及时发现各种攻击企图、攻击行为、攻击结果，并做出反应的设备。了解防火墙和入侵检测技术，

10、对用户选择、使用防火墙和入侵检测设备有相当大的帮助作用。任务二任务二 使用软件防火墙使用软件防火墙任务描述任务描述 小张发现自己连在网上的计算机经常受到来自网络的扫描和攻击，为了提高计算机的防护能力，他决定在自己的计算机上安装天网防火墙，防止外来袭扰，有效保护计算机中的信息安全。任务分析任务分析 在计算机上安装软件防火墙，是简单有效地防止计算机被网络攻击的方法之一。虽然现在的软件防火墙产品很多，功能很强，安装方法也不复杂，但是系统有效地设置防火墙极其重要，否则防火墙将不能发挥应有的作用。因此，可以将使用软件防火墙的学习任务分解成以下活动：下载和安装软件防火墙；设置软件防火墙；管理软件防火墙。活

11、动一活动一 下载和安装天网防火墙下载和安装天网防火墙1.下载和安装操作下载和安装操作（1）下载天网防火墙安装程序 打开IE浏览器，在地址栏中输入天网防火墙的官方网址，或利用搜索引擎检索下载网址，打开下载页面，如图所示。单击“立即下载”按钮，将天网防火墙个人版下载至本地硬盘。（2）安装天网防火墙 双击安装文件SkynetPFW，启动安装程序，如图所示。选中“我接受此协议”复选框，单击“下一步”按钮，进入安装路径选择界面，如图所示。单击“浏览”按钮，选择软件安装路径，单击“下一步”按钮，进入“选择程序管理器程序组”界面，如图所示。添加防火墙图标的程序管理器程序组的名称，单击“下一步”按钮，进入“开

12、始安装”界面，如图所示。单击“下一步”按钮，进入“正在安装”界面，系统开始复制文件到安装目录中，文件复制完成后，单击“下一步”按钮，进入“天网防火墙设置向导”界面，如图所示。单击“下一步”按钮，进入“天网防火墙设置向导”中的“安全级别设置”界面，在“我要使用的安全级别是”选项中，单击“中”单选按钮，将安全级别设置为中等，如图6-8所示。单击“下一步”按钮，进入“局域网信息设置”界面，选中“开机的时候自动启动防火墙”和“我的电脑在局域网中使用”复选框。在“我在局域网中的地址是”文本框中确认IP地址是否为本机IP地址，如果不是本机IP，单击“刷新”按钮，如图所示。单击“下一步”按钮，进入“常用应用

13、程序设置”界面，在下拉列表框中选择防火墙允许访问的程序，默认为全部选中，如图所示。单击“下一步”按钮，进入“向导设置完成”界面，完成利用向导设置天网防火墙的操作，如图所示。单击“结束”按钮，保存设置并退出，如图所示。单击“完成”按钮，退出安装程序，重新启动计算机使防火墙生效。2.下载和安装天网防火墙操作的讨论下载和安装天网防火墙操作的讨论讨论可以围绕以下问题展开：（1）利用搜索引擎查找其他种类的软件防火墙，并与天网防火墙进行比较。（2）安装过程中设置了哪些内容？不进行设置可能出现什么问题？（3）防火墙软件安装后能否抵挡所有的黑客攻击？（4）在一台计算机上能否安装多个软件防火墙？3.上机训练内容

14、与要求：上机训练内容与要求：上机训练时学习者至少应完成以下操作：（1）在自己的计算机上安装天网防火墙。（2）在自己的计算机上安装其他软件防火墙。活动二活动二 设置天网防火墙设置天网防火墙1.设置天网防火墙设置天网防火墙设置天网防火墙的具体操作过程如下。（1）天网防火墙的系统设置 单击“开始程序天网防火墙天网防火墙个人版”，打开“天网防火墙个人版”程序的主界面，如图所示。单击“系统设置”按钮，打开“系统设置”对话框，如图所示。在“其他设置”选项中，选中“报警声音”复选框，使发生攻击行为时，系统发出报警声音。在“基本设置”选项卡的“启动”选项中，选中“开机后自动启动防火墙”复选框，使系统启动时自动

15、启动天网防火墙，否则天网防火墙需要在开机后由用户启动。单击“在线升级设置”选项卡，选中“有新的升级包就提示”前面的单选按钮，使系统自动升级，如图所示。单击“确定”按钮，确认升级设置操作。单击“入侵检测设置”选项卡，选中“启动入侵检测功能”复选框，启动入侵检测功能，单击“确定”按钮，确认入侵检测设置，操作界面如图所示。当网络中发生入侵行为时，天网防火墙会弹出入侵检测对话框，如图所示。在“选项”选项中，选择“报警：拦截IP的同时，请一直保持提醒我”前面的单选钮，单击“确定”按钮。（2）天网防火墙的安全应用设置有关天网防火墙安全应用内容的设置操作如下。系统默认的安全等级为中级，把鼠标指针指向各安全等

16、级，根据系统提示和网络应用情况在“安全级别”中单击选择需要的安全级别，操作如图所示。在桌面上运行阿里旺旺应用程序，天网防火墙弹出警告信息对话框，询问是否允许程序访问网络，如图所示。选择“该程序以后都按照这次的操作运行”前面的复选框，单击“允许”按钮，该程序被允许访问网络并加入到应用程序列表中。在天网防火墙的主界面上，单击“应用程序规则”按钮，打开“应用程序访问网络权限设置”界面，如图所示。单击选中“应用程序访问网络权限设置”中的“QQ游戏”，然后单击其右边的“选项”按钮，打开“应用程序规则高级设置”对话框，如图所示。在“该应用程序可以”选项中，选中全部复选框，在“TCP协议可以访问端口”选项中

17、，选择一种访问端口方式，单击“确定”按钮，QQ游戏可以访问网络，反之，QQ游戏不能访问网络。单击QQ游戏应用程序右边的“删除”按钮，打开“天网防火墙提示信息”对话框，如图所示。单击“确定”按钮，可以删除访问网络权限设定。2.天网防火墙设置操作讨论天网防火墙设置操作讨论讨论可以围绕以下问题展开：（1）防火墙安全级别的高低对网络操作会产生什么影响？（2）不进行应用程序访问网络权限设置会出现什么结果？（3）采用防火墙默认设置会对网络安全产生什么影响？（4）在防火墙上区分安全级别的目的为何？3.上机训练内容与要求：上机训练内容与要求：上机训练时学习者至少应完成以下操作：（1）禁止QQ软件连接网络。（2

18、）允许阿里旺旺软件通过一定的端口范围连接网络。活动三活动三 使用天网防火墙打开或关闭特定端口使用天网防火墙打开或关闭特定端口1.关闭服务端口的操作关闭服务端口的操作利用天网防火墙打开或关闭特定端口的操作过程如下。在天网防火墙主界面上单击“IP规则管理”按钮，打开“IP规则管理”对话框，如图所示。在主界面上将防火墙的安全级别设置为“自定义”级别，单击“增加规则”按钮，打开“增加IP规则”对话框，如图所示。在“名称”文本框中输入“1024端口”、“说明”文本框中输入“关闭1024端口”。在“数据包方向”下拉列表中选择“接收或发送”，在“对方IP地址”下拉列表中选择“任何地址”选项。在“数据包协议类

19、型”下拉列表中选择“TCP”，使“增加IP规则”对话框出现“本地端口”、“对方端口”和“TCP”标志位选项。在“本地窗口”选项中，选择“从”和“到”均为“1024”。在“对方窗口”选项中，选择“从”和“到”均为“0”。在“TCP标志位”选项中选中“SYN”。在“当满足上面条件时”选项的下拉列表中选择“拦截”选项，操作如图所示。单击“确定”按钮。在“自定义IP规则”窗口，选中“1024端口”选项后，单击“上移”按钮，将新规则移到TCP协议的第一条，如图所示。单击“保存”按钮，打开“天网防火墙提示信息”对话框，如图所示，单击“确定”按钮。在“自定义IP规则”中，选中“1024端口”，单击“修改规则

20、”按钮，打开“修改IP规则”对话框，如图所示。在“当满足上面条件时”选项的下拉列表中选择“通行”选项，可以开放1024端口。在程序主界面上单击“当前系统中所有应用程序网络使用状况”按钮，打开“应用程序网络使用状况”界面，可以查看当前应用程序的网络连接状态和端口使用情况，如图所示。在程序主界面上单击“接通/断开网络开关”按钮，可以接通或断开计算机和网络的连接，如图所示。2.打开或关闭特定端口的讨论打开或关闭特定端口的讨论讨论可以围绕以下问题展开：（1）端口在通信过程中有什么作用？（2）为什么要关闭某些服务端口？个人用户一般需要关闭哪些端口？（3）监看程序使用端口的目的何在？（4）IP规则的设定对

21、网络安全有什么影响？3.上机训练内容与要求：上机训练内容与要求：上机训练时学习者至少应完成以下操作：（1）利用天网防火墙禁止68816889端口。（2）设置IP规则防止其他机器使用ping命令探测自己的计算机。任务小结任务小结 本任务介绍了软件防火墙的下载安装、设置和管理操作，相关内容是个人用户必须掌握的重要技能。软件防火墙的种类很多，安装、应用也不复杂，但是要想充分发挥防火墙的作用，有针对性的设置必不可少。只有将防火墙设置成与应用相适应的状态，才能使控制和应用相得益彰。任务三任务三 使用硬件防火墙使用硬件防火墙任务描述任务描述 在计算机上安装软件防火墙可以防止网络攻击，但是软件防火墙工作于操

22、作系统之上，必然占用系统资源，若系统存在漏洞也可能造成防火墙失效。而硬件防火墙独立于被保护的系统，不占用被保护对象的系统资源，因此，硬件防火墙的处理速度和安全性、可靠性更高，大型网络或专用系统多使用硬件防火墙。对于网络管理者来说，硬件防火墙的使用和管理是必须掌握的基本技术，所以网管小王需要学会硬件防火墙操作。任务分析任务分析 硬件防火墙同软件防火墙一样，也存在安装和设置问题。硬件防火墙的安装主要是网络连接，相对较为简单，而配置管理操作涉及的项目较多且比软件防火墙复杂，这是硬件防火墙功能决定的。因此，使用硬件防火墙的任务可以考虑分解成以下活动：配置硬件防火墙；管理硬件防火墙；利用硬件防火墙监控网

23、络。活动一活动一 配置硬件防火墙配置硬件防火墙1.配置防火墙的基本操作配置防火墙的基本操作（1）用户配置 打开IE浏览器，在地址栏中输入用于管理硬件防火墙的IP地址，打开防火墙的登录界面，如图所示。在用户名和密码文本框中正确输入防火墙的用户名和密码，单击“提交”按钮，进入防火墙的管理界面，如图所示。在管理界面的左侧属性列表中，单击“用户管理”，打开“用户管理”树形结构目录。单击“本地用户”，打开“本地用户”界面，如图所示。单击“新建”按钮，打开“新建本地用户”界面，如图6-34所示。分别输入用户名、密码，在“级别”下拉列表中选择级别“3”，在“服务类型”中选中相关的服务，最后单击“应用”按钮，

24、完成新用户的添加。在“本地用户”管理界面，选中一条用户信息后，单击“详细”，可以显示用户的详细信息；单击“切断”，可以禁止该用户登录服务器；单击“删除”，可以删除所选用户的信息。（2）网络配置 在管理界面左侧的属性列表中单击“网络管理”，打开“网络管理”树形结构目录。单击“接口”，打开“接口”界面，如图所示，显示防火墙的接口信息。选中一个接口，单击“详细”，打开接口的详细信息界面，在界面中可以对该接口的基本配置、物理配置、快速转发配置、接口策略应用进行详细的设定和选择，如图所示。单击“网络管理”树形结构目录中的“路由配置”，打开“路由配置”界面。单击“新建”按钮，打开静态路由配置界面，设置目的

25、IP地址/掩码、下一跳地址等相关的路由信息，单击“应用”按钮，完成静态路由的配置，如图所示。单击“路由表信息”选项卡，显示路由表的详细信息，如图所示。单击“网络管理”树形结构目录中的“域名服务器”，在“基本配置”选项卡中选中“使能域名解析”复选框，弹出确认对话框，单击“确定”按钮，如图所示。单击“域名服务器地址”选项卡，在“域名服务器地址”文本框中输入域名服务器的IP地址，单击“添加”按钮，如图所示。单击“默认域”选项卡，在“默认域”文本框中输入默认的域名，单击“添加”按钮，如图所示。单击主界面左侧的“服务管理”，打开“服务管理”树形结构目录。单击“NAT新建”，打开“地址映射配置”界面，正确

26、填写服务协议、服务器外部IP地址、服务器外部起始端口等相关配置信息后，单击“应用”按钮，如图所示。（3）系统配置 单击“系统管理”树形结构目录中的“时钟”，打开“时钟配置”界面，如图所示。对日期和时间设置后，单击“应用”按钮。单击“系统管理”树形结构目录中的“配置文件”，打开“配置文件”界面，如图所示。单击“导出”按钮，打开“文件下载”对话框，单击“保存”按钮，将配置文件保存到本地硬盘中，如图所示。2.配置硬件防火墙操作的讨论配置硬件防火墙操作的讨论讨论可以围绕以下问题展开：（1）防火墙的用户管理策略都要考虑什么问题？（2）进行地址转换有什么特别用途？（3）导出防火墙配置文件有什么作用？（4）

27、静态路由和动态路由有什么区别？3.上机训练内容与要求：上机训练内容与要求：上机训练时学习者至少应完成以下操作：（1）在硬件防火墙上进行端口地址映射配置。（2）将配置文件上传到防火墙中。活动二活动二 管理硬件防火墙管理硬件防火墙1.防火墙安全策略设置防火墙安全策略设置设置防火墙安全策略的操作过程如下。在配置管理界面中，单击“资源管理”树形结构目录下的“时间段”，打开“时间段配置”界面，如图所示。设置好相关内容后，单击“应用”按钮。如果对日期进行设定，在“时间段”类型中选择“date”。在“资源管理”树形结构目录中，单击“ACL新建”，打开“ACL基本配置”界面，如图所示。填写ACL号、匹配顺序等

28、相关信息后，单击“应用”按钮。在“ACL”界面中，选中新建立的ACL信息，单击“详细”，打开“ACL基本配置”界面，如图所示。在“ACL规则配置”选项中，单击“新建”按钮，打开“高级ACL配置”界面，如图所示。填写规则标识、动作、协议、源地址、源IP/掩码等相关信息后，单击“应用”按钮。单击“安全管理”树形结构目录下的“包过滤”，打开“包过滤”界面，如图所示。选中要设置的“安全域间”后，单击“详细”，打开“配置”界面，如图所示。在“入方向ACL”和“出方向ACL”中填写设置好的ACL序号，并选择出、入方向默认包过滤方式，单击“应用”按钮。在“安全管理”树形结构目录中，单击“IP-MAC绑定“新

29、建”，打开“配置”界面，填写IP地址和MAC地址后，单击“应用”按钮，如图所示。单击“安全管理”树形结构目录下的“攻击防范”，打开“攻击防范”界面，如图所示。选择防范攻击的项目和与之相关的参数，单击“应用”按钮。在“上网行为管理”树形结构目录中，单击“游戏新建”，打开“配置”界面，如图所示。在“游戏控制规则”选项中填写ID号、源IP地址/掩码长度、源端口、目的IP地址/掩码长度、目的端口、处理动作等相关信息后，单击“应用”按钮。2.管理硬件防火墙相关问题的讨论管理硬件防火墙相关问题的讨论讨论可以围绕以下问题展开：（1）进行防火墙过滤时间设定的主要目的是什么？不设置可能出现什么问题？（2）进行物

30、理地址绑定对安全管理有什么好处？（3）进行攻击防范设置的好处有哪些？（4）制定ACL规则应该遵循哪些原则？3.上机训练内容与要求：上机训练内容与要求：上机训练时学习者至少应完成以下操作：（1）配置防火墙使其最大限度地防止网络攻击行为。（2）禁止所有机器星期六、星期天连接网络。活动三活动三 利用硬件防火墙监控网络利用硬件防火墙监控网络1.利用防火墙实施网络监控的基本操作利用防火墙实施网络监控的基本操作 单击“系统信息”树形结构目录下的“系统统计”，打开“系统统计”界面，在“一般统计”选项卡中，显示所有协议的信息流量，如图所示。选中“攻击防范统计”选项卡，显示所有攻击类型的包流量数，如图所示。单击

31、“系统信息”树形结构目录下的“Session统计”，打开“Session统计”界面，显示所有Session的数量，如图所示。单击“系统信息”目录下的“接口统计”，打开“接口统计”界面，显示所有接口当前输入、输出速率，如图所示。2.利用硬件防火墙监控网络的讨论利用硬件防火墙监控网络的讨论 讨论可以围绕以下问题展开：（1）总结利用防火墙记录快速发现安全问题的基本方法。（2）如何从路由状态记录发现网络入侵者？（3）查看接口信息对网络监控有什么作用？（4）如何从网络日志中查找攻击线索？3.上机训练内容与要求：上机训练内容与要求：上机训练时学习者至少应完成以下操作：（1）查找发生在网络中的攻击事件。（2

32、）查找系统中的异常流量。任务小结任务小结 本任务介绍了硬件防火墙的配置、管理操作。硬件防火墙属于计算机网络的基本安防设备，几乎所有局域网到外网的出口都安装有硬件防火墙，配置、管理防火墙自然成为网络管理者必备的基本技能。配置防火墙不但需要熟悉配置操作，更要了解内网对防火墙的防护需求，能够制定符合需要的安全策略，否则使用防火墙防范攻击只能是一句空话。硬件防火墙的种类繁多，设置操作方法各异，但是所有防火墙的总体设计思路差不多，本任务介绍的操作思路完全可以在其他防火墙设置时借鉴。任务四任务四 了解入侵检测产品了解入侵检测产品任务描述任务描述 防火墙只能阻挡来自网络外部的攻击，对内部网络的攻击或者违规行

33、为无能为力。为了更好的保护网络的安全性，需要使用入侵检测产品对内部攻击、外部攻击和违规活动实时监控，确保网络系统稳定、安全运行。本任务将帮助网络管理者了解入侵检测产品的功能和作用。任务分析任务分析 入侵检测是发现网络入侵行为的专门技术，利用此类技术形成入侵检测产品用于实际网络，才能有效保护网络不被非法入侵，因此，学习任务可以被分解成以下活动：了解瑞星入侵检测系统；了解天阗入侵检测系统。活动一活动一 了解瑞星入侵检测系统了解瑞星入侵检测系统1.瑞星入侵检测系统功能介绍瑞星入侵检测系统功能介绍RIDS-100入侵检测系统采用软硬件一体化设计，具有以下主要功能。（1）高效的网络虚拟机技术（2）特征检

34、测法和统计分析法有机结合（3）对协议的分析检测（4）简便易用的管理控制台（5）采用模块化设计结构，易于升级和维护（6）分布式检测、集中式管理（7）多样的攻击响应方式（8）具有强大的自身保护能力2.瑞星入侵检测系统应用方案瑞星入侵检测系统应用方案 瑞星入侵检测系统可以实时监控内外网的连接情况，使管理员可以直观的了解当前内外网之间的连接和访问情况，为网络管理和故障诊断提供强有力的支持。（1）内网攻击检测 检测发生在内网的攻击行为，可将入侵检测设备连接在防火墙之后的交换机上，网络拓扑结构如图所示。（2）外网攻击检测 检测外网对内网的攻击行为，可将入侵检测设备的监听口连在防火墙以外的交换机、管理口连接

35、内网交换机，网络拓扑结构如图所示。3.瑞星入侵检测系统相关问题的讨论瑞星入侵检测系统相关问题的讨论讨论可以围绕以下问题展开：（1）瑞星入侵检测系统在检测内、外网攻击时安装方式有何不同？（2）入侵检测系统对网络应用有什么影响？如何减少对应用系统的干扰？（3）瑞星入侵检测系统如何保护自身的安全性？（4）瑞星入侵检测系统如何对数据进行分析？活动二活动二 天阗入侵检测系统天阗入侵检测系统 天阗入侵检测与管理系统是一个可组合的入侵检测类产品套件，包括5个独立部分：天阗网络入侵检测系统、天阗入侵事件定位系统、天阗网络异常流量监测系统、天阗入侵风险评估系统和天阗主机入侵系统。（1）天阗网络入侵检测系统（2）

36、天阗入侵事件定位系统（3）天阗网络异常流量监测系统（4）天阗入侵风险评估系统（5）天阗主机入侵检测系统3.天阗天阗H120主机主机IDS天阗H120主机IDS的功能框图，如图所示。3.天阗入侵检测系统相关问题的讨论天阗入侵检测系统相关问题的讨论讨论可以围绕以下问题展开：（1）不同的入侵检测产品可能存在什么差异？（2）入侵检测系统产生误报、漏检的根本原因是什么？降低差错的措施有哪些？（3）防火墙和入侵检测系统联动可能存在什么问题？（4）天阗入侵检测系统的特殊功能有哪些？任务小结任务小结 入侵检测产品是继防病毒产品、防火墙产品之后的又一重要安全防护设备，它是应对日益严重的黑客攻击保证应用安全的主动

37、防御设备。由入侵检测原理可知，入侵检测设备能够发现已知的攻击行为，对于未知攻击行为的检测并不可靠。本任务介绍了瑞星和天阗两种入侵检测产品，目的是让学习者了解不同入侵检测产品的功能、特点，为今后可能遇到的设备选型提供参考。单元小结单元小结 防火墙技术是集访问控制机制、安全防护策略和防入侵措施于一体的安全技术。防火墙是指在两个网络之间的一个或一系列网络设备，是安装了防火墙软件的主机、路由器或多机系统。常用的防火墙有：包过滤、应用网关、代理服务、状态监视技术防火墙和混合型防火墙。防火墙主要用于防范外部入侵行为，不能防范内部网络用户的攻击。入侵检测系统是变被动防御为主动防御的安全防护产品，它能对网络的运行状态进行实时监控，及时发现入侵征兆并进行具体的分析，及时干预，阻止攻击行为。入侵检测系统可以分成基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统是以单个主机上的数据为依据，进行入侵检测分析，所以仅能检测单个主机系统。基于网络的入侵检测系统是通过网络监视获取数据，网络监视可以获取所有的网络信息数据，只要时间允许，就可以在庞大的数据中提取和分析可疑数据，发现异常网络行为。