【网络通信安全管理员认证－中级】第八章防火墙与入侵检测8549.pptx

《【网络通信安全管理员认证－中级】第八章防火墙与入侵检测8549.pptx》由会员分享，可在线阅读，更多相关《【网络通信安全管理员认证－中级】第八章防火墙与入侵检测8549.pptx（118页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络通信安全管理员认证防火墙与入侵检测 Copyright 2010 Mazhao问题的提出v你想免受黑客的攻击吗？v你如何把攻击抵御在企业外部吗？v马其顿防线-开始防御v解答：为什么需要防火墙？v保护内部不受来自Internet的攻击v为了创建安全域v为了增强机构安全策略对防火墙的两大需求v保障内部网安全v保证内部网同外部网的连通什么是防火墙(Firewall)v防火墙的本义原是指古代人们当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。v原是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开什么是计算机网络中的防火墙(Firewall)？Internet1.企

2、业内联网2.部门子网3.分公司网络防火墙定义v防火墙是一种（被动的）访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，根据安全策略控制进/出两个方向的通信。v注解：1、内部网与互联网的有效隔离2、内网与外网之间的第一道安全屏障3、它将不可信网络同可信任网络隔离开4、防火墙本身具有较强的抗攻击能力防火墙示意图 具体解释什么是防火墙1v在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统.具体解释什么是防火墙2v防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。v典型情况：安全网络为企业内部网络，不安全

3、网络为因特网。v但防火墙不只用于因特网，也可用于Intranet各部门网络之间（内部防火墙）。例：财务部与市场部之间。防火墙应具有的特性 防火墙是放置在两个可信程度不同的网络之间的一组组件，这组组件共同具有下列性质v双向通信必须通过防火墙v防火墙本身不会影响信息的流通v只允许本身安全策略授权的通信信息通过防火墙的功能 防火墙的功能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警 互聯网互聯网试图穿越防火墙 试图穿越防火墙 防火墙的组成v防火墙过滤器安全策略v防火墙的存在形式：软件、硬件v功能组成：应用程序代理包过滤&状态检测用户认证NA

4、TVPN日志IDS与报警内容过滤防火墙的发展历史图示 现在和未来的防火墙v集成入侵检测v人工智能（神经网络模糊识别专家系统）v深度包检测技术v网络处理器（Network Processor）和专用集成电路（ASIC）千兆v分布式防火墙的分类v1包过滤防火墙（分组）v2应用代理防火墙v3.电路级网关型防火墙v4.状态包检测防火墙v5.自适应代理型防火墙这是根据采用工作的网络层次不同进行分类的包过滤防火墙1v包是网络上信息流动的基本单位，它由数据负载和包头两个部分组成。v包过滤器又称为过滤路由器，它把包头信息和管理员设定的规则表进行比较，如果有一条规则不允许发送某个包，路由器将会丢弃它。v通过检查

5、数据流中每一个数据包的源地址、目的地址、所用端口、协议状态等因素，或它们的组合来确定是否允许该数据包通过。包过滤防火墙2v防火墙通常就是一个具备包过滤功能的简单路由器，支持因特网安全。因为包过滤是路由器的固有属性，因而它是一种因特网互联更加安全的简单方法。v过滤路由器与普通路由器的差别主要在于，普通路由器只是简单地查看每一个数据包的目标地址，并且选取数据包发往目标地址的最佳路径。v作为过滤路由器，它将更严格地检查数据包，除了决定它是否能发送数据包到其它目标之外，过滤路由器还决定它是否应该发送。“应该”或者“不应该”由站点的安全策略决定，并由过滤路由器强制设置。包过滤防火墙的示意图 包过滤防火墙

6、的示意图2 包过滤服务器的工作层面 互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层包过滤所检查的内容 IP源地址 IP目标地址 协议类型（TCP包、UDP包和ICMP包）TCP或UDP包的目的端口 TCP或UDP包的源端口 ICMP消息类型 TCP包头的ACK位 TCP包的序列号、IP校验和等包过滤例子v第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机

7、10.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过。组序号 动作 源IP 目的IP 源端口 目的端口 协议类型1 允许 10.1.1.1*TCP2 允许*10.1.1.1 20*TCP3 禁止*10.1.1.1 20 1024 TCP推荐配置软件vWinRoute 4.1包过滤防火墙的优缺点优点：1、使用方便，对用户透明2、效率高，速度快3、可方便用于隔离内外网络例子：包过滤路由器与守卫有些相似，当装载有包的运输卡车到达时，“包过滤”守卫快速的察看包的住户地址是否正确，检查卡车的标识(证件)以确保它也是正确的，接着送卡车通过关卡传递包。缺点：v安全性低例子1、包过滤的一个

8、重要的局限是它不能分辨好的用户和不好的用户，它只能区分好的包和坏的包。包过滤只好工作在有黑白分明的安全策略的网中，即内部人是好的，外部人是不好的。缺点例子2v只是粗略检查特定的连接的合法性。例如HTTP通常为Web服务连接使用80号端口。如果公司的安全策略允许内部职员访问网站，包过滤防火墙可能设置允许所有的连接通过80号这一缺省端口。不幸的是，像这样的假设会造成实质上的安全危机。当包过滤防火墙假设来自80端口的传输通常是标准Web服务连接时，它对于应用层实际所发生的事件的能见度为零。任何意识到这一缺陷的人都可通过在80端口上绑定其它没有被认证的服务，从而进入私有网络而不会被阻塞。代理服务器Pr

9、oxyv所谓代理就是一个提供替代连接并且充当服务的网关。（跳板、中间人、中介）v代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。v代理服务位于内部用户（在内部的网络上）和外部服务（在因特网上）之间。代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。v将所有跨越防火墙的网络通信链路分为两段。v 外部计算机的网络链路只能到达代理服务器，内外计算机应用层的连接由终止于Proxy Server上的连接来实现，从而起到了隔离防火墙内外计算机系统的作用。代理服务器示意图 代理服务器的分类和构件v代理服务分类：应用级代理电路级代理。构件：防火墙

10、主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。应用层代理服务器防火墙v真正可靠的安全防火墙应该禁止所有通过防火墙的直接连接在协议栈的最高层检验所有的输入数据。v它通过在协议栈的最高层(应用层)检查每一个包从而提供足够的应用级连接信息。因为在应用层中它有足够的能见度，应用级代理防火墙能很容易看见前面提及的每一个连接的细节从而实现各种安全策略。例如这种防火墙很容易识别重要的应用程序命令，像FTP的“put”上传请求和“get”下载请求应用代理服务器示意图 应用代理服务器的比喻 和刚才在输入包中查找地址不同的是，“应用级代理”安

11、全守卫打开每个包并检查其中内容并将发送者的信任书同已明确建立的评价标准相对比。如果每个传输包都通过了这种细致的检查，那么守卫签署传送标记，并在内部送一份可信快递以传递该包到合适的住户，卡车及司机无法进入。这种安全检查不仅更可靠，而且司机看不到内部网络。尽管这些额外的安全机制将花费更多处理时间，但可疑行为绝不会被允许通过“应用级代理”安全守卫。应用代理服务器的优缺点v优点：1、安全性高，通常认为它是最安全的防火墙技术2、透明是代理服务的一大优点。对于用户来说，代理服务器给出用户直接使用真正的服务器的假象；对于真正的服务器来说，代理服务器给出真正的服务器在代理主机上直接处理用户的假象（与用户真正的

12、主机不同）安全性高 1、代理服务器并非将用户的全部网络服务请求提交给因特网上的真正服务器，因为代理服务器能依据安全规则和用户的请求作出判断是否代理执行该请求，所以它能控制用户的请求。有些请求可能会被否决，比如，FTP代理就可能拒绝用户把文件往远程主机上传送，或者它只允许用户将某些特定的外部站点的文件下载。代理服务可能对于不同的主机执行不同的安全规则，而不对所有主机执行同一个标准。2、在防火墙处终止客户连接并初始化一条到受保护内部网络的新连接。它将内部和外部系统隔离开来，从外面只看到代理服务器，而看不到任何内部资源，而且代理服务器只允许被代理的服务通过。这使得系统外部的黑客要探测防火墙内部系统变

13、得更加困难。缺点：v需要消耗大量的CPU资源，导致相对低的性能v每个应用程序都必须有一个代理服务程序来进行安全控制，每一种应用升级时，一般代理服务程序也要升级。v不能完全透明地支持各种服务、应用，一种代理只提供一种服务电路级网关型防火墙v电路级代理是在客户和服务器之间不解释应用协议即建立回路。电路级代理的优点在于它能对各种不同的协议提供服务，缺点在于它对因代理而发生的情况几乎不加控制。v电路级起一定的代理服务作用，它监视两主机建立连接时的握手信息，从而判断该会话请求是否合法v一旦会话连接有效，该网关仅复制、传递数据。但由于其对会话建立后所传输的具体内容不再作进一步地分析，因此安全性稍低。v它和

14、包过滤型防火墙有一个共同特点，都是依靠特定的逻辑来判断是否允许数据包通过，但包过滤型防火墙允许内外计算机系统建立直接联系，而电路级网关无法IP直达。电路网关示意图 应用代理与电路网关的比较应用代理与电路网关的比较 包过滤和代理的比较 状态包检测防火墙 问题的提出：上面提到的包过滤技术简单的查看每一个单一的输入包信息，而状态包检测模式则增加了更多的包和包之间的安全上下文检查，以达到与应用级代理防火墙相类似的安全性能。在包过滤的同时，检察数据包之间的关联性，数据包中动态变化的状态码。状态包检测防火墙v状态包检测防火墙在网络层拦截输入包，并利用足够的企图连接的状态信息做出决策(通过对高层的信息进行某

15、种形式的逻辑或数学运算)v安全决策所需的相关状态信息在检测模块中检测，然后保留在为评价后续连接企图的动态状态表(库)中。被检查通过的包发往防火墙内部，允许直接连接内部、外部主机系统。v工作在协议栈的较低层，通过防火墙的所有数据包都在低层处理，不需要协议栈的上层来处理任何数据包，因此减少了高层协议头的开销，执行效率也大大提高了。状态包防火墙示意图 状态包检测防火墙工作层面 应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层应用层表示层会话层传输层监测引擎 状态包检测防火墙工作机理v监测引擎：一个在网关上执行网络安全策略的软件检测模块

16、。v监测引擎采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。v当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。提示v只是状态检测型防火墙除了可以利用第三层网络参数执行决策之外，还可以利用网络连接及应用服务的各种状态来执行决策。v另外，所执行的决策也不仅限于数据包的放行与阻隔，类似加密这样的处理也可以作为一种控制决策被执行 一个比喻假设我们的安全守卫是状态包检测守卫。这次当包到来时，和仅简单地检查地址所不同的是，守卫检测货物单看是否包内有任

17、何东西是被禁止的。虽然它比简单的包过滤好，但它还是不如真正打开包检测它的内容安全。如果包看起来是可接受的，守卫打开关卡，允许运货卡车进入。与应用代理比较而言：不足1v尽管状态包检测防火墙方法显著的增强了简单包过滤防火墙的安全，但它仍然不能提供和前面提及的应用级检测相似的充足能见度。应用级代理防火墙对最高层的协议栈内容有足够的能见度，从而可以准确的知道它的意图，而状态包检测防火墙必须在没有这些信息的情况下依靠某种算法通过已知合法数据包的模式来比较进出数据包从而识别进出的应用层数据最终做出安全决策。与应用代理比较而言：不足2v状态包检测防火墙的安全比应用级代理要低。应用级代理防火墙本质上提供了比包

18、过滤防火墙更多的安全。带有状态检测的包过滤防火墙仍然允许外部用户直接访问内网系统和应用程序，而这些程序和系统可能配置在拥有众所周知的安全弱点的操作系统上。总结-包过滤 访问控制部件：从192.168.0.0网段到Internet的HTTP访问？放行/禁止通行！链路网络传输应用链路网络传输链路网络传输应用链路网络传输内网主机 外网主机防火墙总结-应用代理 想从内部网访问外部的服务器？我帮你发请求吧。链路网络传输应用链路网络传输链路网络传输应用链路网络传输内网主机 外网主机防火墙应用 应用总结-状态检测 链路网络传输应用链路网络传输链路网络传输应用链路网络传输内网主机 外网主机防火墙访问控制部件：

19、从192.168.0.0网段到Internet的HTTP访问？放行/禁止通行！连接状态表源IP 源端口61.3.25.17 1025防火墙的体系结构及部署v哪些端口v哪些体系结构v如何部署入侵检测v防守技术则包括攻击检测、攻击防范、攻击后的恢复这三个大方向，每一个方向上有代表性的产品：入侵检测系统负责进行攻击检测，防火墙和强制访问控制系统负责攻击防范，攻击后的恢复就是自动恢复系统，比如Web水印系统等等。v容侵技术、入侵响应v提示：入侵检测系统是时下利润最大的安全产品问题的提出-为什么需要IDS？v入侵很容易 入侵教程随处可见 各种工具唾手可得防火墙：1、第一道安全闸门、边界2、但不完善，80

20、%的攻击来自内部3、有效补充-入侵检测，防火墙是锁，入侵检测系统是监视器入侵检测v站岗与巡逻：提示1、防火墙就好像进城时的查路条一样，着重点在于防范奸细混入 提示2、入侵检测是一个有效补充，因为大量的成功攻击来自内部的滥用特权或越权使用入侵检测是什么？1v比喻：入侵检测技术则类似于治安巡逻队，专门注重于发现形迹可疑者，信息系统的攻击者很有可能通过了城门的身份检查，或者爬越了城墙而混入城中；这时要想进一步加强信息系统的安全强度，就需要增派一支巡逻队，专门负责检查在城市中鬼鬼祟祟行动可疑的人员。入侵检测是什么？2 攻击检测提供了一种机制：*对合法用户而言，能够使他们为其失误或非法行为负责，从而增强

21、责任感。*对非法进入的攻击者而言则意味着增强了纠察力度，行使着公安局、检察院的职责。*攻击检测具有最后防线性质的防范能力，或许是用来发现合法用户滥用特权的唯一方法。*同时还能证明一个受到怀疑的人是否有罪。回顾安全的定义，保密性、完整性、可用性 1、完整的安全系统应该包含：防护、监测、响应 2、我们需要动态的主动的安全技术 3、因此，出现了P2DR安全模型P2DR安全模型 到底什么是入侵检测？*入侵，是指任何企图危及资源的完整性、机密性和可用性的活动。*入侵检测（Intrusion Detection），顾名思义，是指对入侵行为的发现，它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集

22、到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。*完成入侵检测功能的软件、硬件组合便是入侵检测系统（Intrusion Detection System，简称IDS）。提示：1、它是防火墙之后的第二道安全闸门，有效补充2、主动的、动态的防范措施3、它是一种事后处理方案IDS能做什么？v监测并分析用户和系统的活动；v核查系统配置和漏洞；v评估系统关键资源和数据文件的完整性；v识别已知的攻击行为；v统计分析异常行为；v对操作系统进行日志管理，并识别违反安全策略的用户活动；v针对已发现的攻击行为作出适当的反应，如告警，中止进程等。IDS的优点 提高信息安全构造的其他部分

23、的完整性 提高系统的监控能力 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正 识别特殊攻击类型，并向管理人员发出警报入侵检测系统的构成一个入侵检测系统，至少应该能够完成以下功能：u监控、分析用户和系统的活动u发现入侵企图或异常现象u记录、报警和响应IDS的基本组件构成：入侵检测构成详解1v事件产生器1、事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。2、入侵检测的第一步3、采集内容 系统日志 应用程序日志 系统调用 网络数据 用户行为 其他IDS的信息入侵检测构成详解2v事件分析器1、事件分析器分析得到的数据，并产生分析结果。2、分析

24、是核心效率高低直接决定整个IDS性能入侵检测构成详解3v响应单元响应单元则是对分析结果作出作出反应的功能单元，功能包括：v告警和事件报告v终止进程，强制用户退出v切断网络连接，修改防火墙设置 v灾难评估，自动恢复 v查找定位攻击者 入侵检测构成详解4v事件数据库 事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。入侵检测的全过程 入侵检测过程图解 信息的来源：v系统和网络日志文件v目录和文件中的不期望改变v程序执行中的不期望行为v物理形式的攻击信息结果处理v数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前

25、的入侵检测系统一般采取下列响应。v1、将分析结果记录在日志文件中，并产生相应的报告。v2、触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。v3、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。入侵检测系统的分类v分类方式：1、一种是根据入侵检测系统的输入数据来源的分类 2、另一种是根据入侵检测系统所采用的技术的分类第一种分类方式v根据入侵检测的信息来源不同，可以将入侵检测系统分为两类：*基于主机的入侵检测系统*基于网络的入侵检测系统提示：一个完备的入侵检测系统一定是上述两种方式兼备的分布式系统v 黑客入侵的过程和阶段Ph

26、ase 3:Attack/ControlResources Passwordattacks Privilegegrabbing Trojan Horse Vandalism Audit TrailTampering Admin Changes TheftInternet InternetNetwork IDS Host IDSPhase 2:PenetratePerimeter App.Attack Spoofing Protocol exploits Denial of ServicePhase 1:Discover&Map Scanning&probingAutomated1、基于主机的入

27、侵检测v基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较主机上的这些审计记录文件的记录与攻击签名(Attack Signature，指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配，检测系统就向系统管理员发出入侵报警并采取相应的行动。v提示：早期的入侵检测系统大多都是基于主机的IDSInternetDesktops DesktopsWeb Servers Web ServersTelecommuters TelecommutersCustomers CustomersServers ServersNetwork Netwo

28、rkBranch Office Branch OfficePartners PartnersHost-based 入侵检测Hacker HackerHost-based IDS Host-based IDSHost-based IDS Host-based IDSInternet Internet基于主机入侵检测系统工作原理网络服务器1客户端网络服务器2X检测内容：系统调用、端口调用、系统日志、安全审记、应用日志HIDS HIDSXHIDS HIDS2、基于网络的入侵检测v基于网络的入侵检测系统(NIDS)以原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有

29、通信业务的。一旦检测到攻击，IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。v提示：重要里程碑：攻击手段日趋复杂的新的历史条件下的产物。说明v在共享网段上对通信数据进行侦听采集数据 v主机资源消耗少 v提供对网络通用的保护v如何适应高速网络环境v非共享网络上如何采集数据v 黑客入侵的过程和阶段Phase 3:Attack/ControlResources Passwordattacks Privilegegrabbing Trojan Horse Vandalism Audit TrailTampering Admin Changes TheftInternet Inte

30、rnetNetwork IDS Network IDSPhase 2:PenetratePerimeter App.Attack Spoofing Protocol exploits Denial of ServicePhase 1:Discover&Map Scanning&probingAutomatedInternetDesktops DesktopsWeb Servers Web ServersTelecommuters TelecommutersCustomers CustomersServers ServersNetwork NetworkBranch Office Branch

31、OfficePartners PartnersNetwork-based 入侵检测Network-based IDS Network-based IDSNetwork-based IDS Network-based IDSNetwork-based IDS Network-based IDSInternet InternetNIDSNIDS基于网络入侵检测系统工作原理网络服务器1数据包=包头信息+有效数据部分客户端网络服务器2X检测内容：包头信息+有效数据部分 基于网络的入侵检测图解 第二种分类方式v数据分析是入侵检测系统的核心，它是关系到能否检测出入侵行为的关键。检测率。因而，根据入侵检测系

32、统所采用的分析技术来看，它可以分为1、采用异常检测的入侵检测系统2、采用误用检测的入侵检测系统采用异常检测的入侵检测系统v 异常检测(Anomaly Detection)也被称为基于行为的(Behavior-Based)检测。其基本前提是：假定所有的入侵行为都是异常的，即入侵行为是异常行为的子集。原理是：首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵行为，而不是依赖于具体行为是否出现来进行检测的。v提示：间接的异常检测图示 采用误用检测的入侵检测系统v误用检测(Misuse Detection)也被称为基于知识的(Know

33、ledge-Based)检测。其基本前提是：假定所有可能的入侵行为都能被识别和表示。原理是：首先对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。v提示：直接的误用检测图示 入侵检测系统检测器的部署v放在边界防火墙之外v放在边界防火墙之内v放在一些安全级别需求高的子网v放在主要的网络中枢入侵检测系统部署图 Internet部署二部署三部署四部署一部署1防火墙之外v放置于路由器和边界防火墙之间可以审计所有来自Internet上面对保护网络的攻击数目可以审计所有来自Interne

34、t上面对保护网络的攻击类型部署2网络中枢v监控大量的网络数据，可提高检测黑客攻击的可能性v可通过授权用户的权利边界来发现未授权用户的行为部署3安全级别高的子网v对非常重要的系统和资源的入侵检测部署4-防火墙之内v放置于防火墙内可以查看受保护区域主机被攻击状态可以看出防火墙系统的策略是否合理可以看出被黑客攻击的重点v对非常重要的系统和资源的入侵检测典型的分布式入侵检测部署图 入侵检测实现技术：v基于审计信息的v基于神经网络的v基于专家系统的v基于模型推理的v基于贝叶斯函数的v基于免疫的v基于数据挖掘的v入侵检测 罗守山 北京邮电大学出版社入侵检测新技术v蜜罐技术案例1 入侵检测工具：BlackI

35、CEBlackICE是一个小型的入侵检测工具，在计算机上安全完毕后，会在操作系统的状态栏显示一个图标，当有异常网络情况的时候，图标就会跳动。主界面如图所示。可以查看主机入侵的信息，选择属性页“Intruders”，如图所示。案例2 入侵检测工具：冰之眼“冰之眼”网络入侵检测系统是NSFOCUS系列安全软件中一款专门针对网络遭受黑客攻击行为而研制的网络安全产品，该产品可最大限度地、全天候地监控企业级的安全。由于用户自身网络系统的缺陷、网络软件的漏洞以及网络管理员的疏忽等等，都可能使网络入侵者有机可乘，而系统遭受了攻击，就可能造成重要的数据、资料丢失，关键的服务器丢失控制权等。使用“冰之眼”，系统管理人员可以自动地监控网络的数据流、主机的日志等，对可疑的事件给予检测和响应,在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为，主界面如图所示。管理员可以添加主机探测器来检测系统是否被入侵，选择菜单栏“网络”下的菜单项“添加探测器”，可以添加相关的探测器，如图所示。谢谢观看/欢迎下载BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES.BY FAITH I BY FAITH