安全技术-防火墙与入侵检测(1)

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

安全技术—防火墙与入侵检测第一节防火墙-主流安全防护技术本节主要内容一、防火墙概述二、防火墙技术分析三、防火墙布置什么是防火墙在网络安全领域中,防火墙用来指应用于内部网络(局域网)和外部网络(Internet)之间的,用来保护内部网络免受非法访问和破坏的网络安全系统。防火墙主要功能防止不安全的协议和服务;防止外部对内部网络信息的获取;提供与外部连接的集中管理;防火墙不能防范的攻击来自内部的安全威胁各种操作系统和应用服务程序的漏洞特洛伊木马社会工程不当配置本节主要内容一、防火墙概述二、防火墙技术分析三、防火墙布置常用防火墙技术包过滤应用代理包过滤普通路由器当数据包到达时,查看路由表,来决定能否以及如何传送数据包屏蔽路由器即在决定能否及如何传送数据包之外,查看其规则集,看是否应该传送该数据包规则制定的策略允许任何访问,除非规则特别地禁止拒绝任何访问,除非被规则特别允许包过滤所检查的内容接口和方向源和目的的IP地址IP选项IP的上层协议类型(TCP/UDP/ICMP)TCP和UDP的源及目的端口ICMP的报文类型和代码规则举例上述规则定义了局域网用户可以使用外部网络的发信(SMTP)服务器方向源IP目标IPIP选项上层协议源端口目标端口-内部外部无TCP102425-外部内部无TCP251024包过滤的优缺点优点:速度快价格低用户透明缺点:难于配置能力有限规则失效时成为无安全保护状态应用代理WEB代理工作原理示意页面缓冲文件HTTP请求WEB页面HTTP请求WEB页面应用代理防火墙可以防止攻击者对内部网络信息的探测实现基于内容的过滤应用代理的优缺点优点:可以隐藏内部网络的信息;可以具有强大的日志审核;可以实现内容的过滤;缺点:价格高速度慢失效时造成网络的瘫痪本节主要内容一、防火墙概述二、防火墙技术分析三、防火墙布置包过滤路由内部网络外部网络包过滤路由器应用代理网关内部网络外部网络应用代理网关(双宿主主机)屏蔽主机内部网络外部网络保护应用代理屏蔽子网内部网络外部网络保护内部网络常见防火墙产品比较知名的防火墙产品包括:CheckPoint公司的“FireWall-1”NetScreen公司的“Netscreen系列”天融信的“网络卫士”第二节入侵检测-主流安全检测技术本节主要内容一、入侵检测概述二、入侵检测基本模型三、入侵检测结构什么是入侵检测入侵检测(IDS)指可以发现网络入侵行为并响应的安全系统。入侵检测的作用检测防护部分阻止不了的入侵检测入侵的前兆入侵事件的归档网络受威胁程度的评估帮助从入侵事件中恢复本节主要内容一、入侵检测概述二、入侵检测基本模型三、入侵检测结构入侵检测原理入侵检测和其它的检测技术一样,其核心任务都是从一组数据中检测出符合某一特点的数据。入侵检测通用模型事件收集器事件分析器响应单元事件数据库事件收集基于主机操作系统的审核日志以及应用程序日志基于网络网络传输的数据事件分析模式匹配(误用检测)将收集的事件和数据与已知网络入侵和系统误用模式数据库进行比较,检测入侵准确率高,容易漏报统计分析(异常检测)统计正常状态网络和主机的各类数据,响应单元主动响应进一步收集入侵相关信息阻止入侵反击被动响应报警事件数据库数据库保存事件信息,包括正常和入侵事件。本节主要内容一、入侵检测概述二、入侵检测基本模型三、入侵检测结构体系结构单型IDS主从型IDS对等型IDS单型IDS事件收集事件分析单型IDS设计简单,适合小型环境,但存在局部性检测的问题主从型IDS事件收集信息中心事件分析主从型IDS克服了局部检测问题,但网络性能影响比较大对等型IDS代理:事件收集事件分析对等型IDS设计可以全局检测,也克服了对性能的影响,但实现困难常见IDS产品比较知名的IDS产品有:iS_One公司的“ISSRealSecure”Cisco公司的“SecurityIDS”

1 / 39
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功