powerpoint 演示文稿 - 网络系统安全基础.pptVIP

主要内容 体系 技术 产品 防火墙 入侵检测与应急响应 网络防病毒 安全评估与漏洞扫描 网络审计 CA系统 主要内容 体系 技术 产品 防火墙 入侵检测与应急响应 网络防病毒 安全评估与漏洞扫描 网络审计 CA系统 传统网络安全防御体系 安全的系统应当满足 P(t)防护时间D(t)检测时间+ R(t)响应时间 防护的成本取决于风险导致的损失 风险的大小和时间高度正相关 防御体系的建立必须围绕实时性和应急机制来充分提高其性能价格比 新型安全体系 主要内容 体系 技术 产品 防火墙 入侵检测与应急响应 网络防病毒 安全评估与漏洞扫描 网络审计 CA系统 安全解决方案模型 体系与技术的对应关系 静态与动态安全技术 静态防护： 被动的，滞后的防御 动态防护： 主动的、实时的防御 综合防御 安全解决方案 体系到解决方案 主要内容 体系 技术 产品 防火墙 入侵检测与应急响应 网络防病毒 安全评估与漏洞扫描 网络审计 CA系统 防火墙功能 为什么要使用防火墙 ？ 防火墙五大基本功能 防火墙的分类 按逻辑功能 包过滤式防火墙：天融信，联想 应用代理式防火墙：TIS 状态检测防火墙 按体系结构 硬件防火墙：Netscreen,Nokia,Cisco Pix 软件防火墙：Checkpoint, ISA Server 软硬结合 按操作模式 网桥模式 路由模式 NAT 按性能 百兆 千兆 按部署方式 边界(企业)防火墙 个人（主机）防火墙 防火墙中的主要技术 封包过滤（Packet Fileter） 状态检测（Stateful inspection） 网络地址转换NAT（Network Address Transform） 代理技术（Proxy） 封包过滤 状态检测 使用NAT的原因 解决IP地址空间紧张的问题 共享 modem 拨号上网 多重服务器 （负载分担load-sharing） 代理技术 防火墙典型部署 主要防火墙品牌 中网 川大能士 方正数码 海信数码 华堂 华依科技 联想 龙马卫士通 三星防火墙 四川迈普 亿阳信通 中软华泰 中网通讯 天融信 东软 如何选择防火墙？ 主要指标 设计性能（M）：10/100M，1000M 最大并发连接数（万） 接口类型、接口数 操作系统类型 MTBF (平均无故障时间/小时) 策略规则许可值 设计性能策略数 管理方式 是否支持与IDS联动 是否支持VPN、是否支持SNMP 是否支持双机热备、负载均衡 防火墙性能指标 吞吐率 千兆防火墙产品比较 百兆防火墙产品比较 东软NetEye与PIX比较 使用防火墙是否足够？ 防火墙属于静态防护 防火墙难于防内 防火墙难于管理和配置，易造成安全漏洞 防火墙的安全控制主要是基于IP地址的，难于为用户在防火墙内提供一致的安全策略 防火墙只实现了粗粒度的访问控制，且不能与企业内部使用的其它安全机制（如访问控制）集成使用 任何一个系统（尤其是底层系统和应用系统）中可能存在着安全漏洞，造成绕过防火墙的攻击 主要内容 体系 技术 产品 防火墙 入侵检测与应急响应 网络防病毒 安全评估与漏洞扫描 网络审计 CA系统 IDS的主要功能 监视分析用户和系统的行为 审计系统配置和漏洞 评估敏感系统和数据的完整性 识别攻击行为并告警 对异常行为进行统计 审计、跟踪、识别违反安全法规的行为 IDS的分类 基于网络的入侵检测系统：侦测速度快，隐蔽性好，视野更宽，较少的监测点，攻击者不易转移证据 ，操作系统无关性，占用资源少 基于主机的入侵检测系统：性能价格比高，更加细腻，视野集中，易于用户剪裁，节省资源，对网络流量不敏感，适用于被加密的以及交换的环境，含有已发生事件信息，易于确定攻击是否成功 IDS工作过程 IDS新的特性 人机界面：“GIS”显示与IP定位 IDS新的特性 人机界面：拓扑发现 IDS新的特性 人机界面：攻击活动显示 全局的技术管理化 建立全局预警体系，做到一点发现，全网皆知并及时响应 IDS的作用 IDS的功能实质 全面实时了解网络动态现状（而不是仅仅发现黑客的攻击） 大规模部署和多级管理的统一监控和全局预警能力 对网络行为进行分析综合和预测 在第一时间对网络中的危害做出反应 终止危害,防止损失扩大 使系统恢复到正常的工作状态 保存攻击证据 分析入侵行为 追究攻击来源 IDS的作用 对建设单位 提升安全理念 系统的安全认识 全面的安全布局 深入挖掘自身安全需求，增强投资意识 量化安全投入，有效投入 增强自身的免疫力 便于及时在日常中发现薄弱环节，可以采用多方面的措施加强安全； 降低风险 及时发现风险，快速定位问题 IDS的作用 对建设单位 减少损失 出现突发事件时，可以做到全局预警，迅速定位，采取措施，使