11网络安全.pptVIP

* * * * * TCP的三次握手 　　TCP对话通过三次握手来初始化。三次握手的目的是使数据段的发送和接收同步；告诉其它主机其一次可接收的数据量，并建立虚连接。 　　我们来看看这三次握手的简单过程： 　　(1)初始化主机通过一个同步标志置位的数据段发出会话请求。 　　(2)接收主机通过发回具有以下项目的数据段表示回复：同步标志置位、即将发送的数据段的起始字节的顺序号、应答并带有将收到的下一个数据段的字节顺序号。 　　(3)请求主机再回送一个数据段，并带有确认顺序号和确认号。 * * * * 一个实用的入侵监测系统应该具有以下特性： 自治性：能够持续运行而不需要人为的干预 容错性：系统崩溃后能够自动恢复 抗攻击：能发现自身是否被攻击者修改 可配置：能够根据系统的安全策略而改变自身的配置 可扩展性：被监控的主机数目增加时，仍能快速准确地运行 可靠性：如果系统中某些组件因故停止，其他组建仍能正常运行，并尽可能减少故障带来的损失。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 代理防火墙的原理 Proxy Server 代理防火墙（应用层网关型防火墙） 应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 代理防火墙的原理 代理防火墙的工作过程 代理技术的优点 1）代理易于配置。 2）代理能生成各项记录。 3）代理能灵活、完全地控制进出流量、内容。 4）代理能过滤数据内容。 5）代理能为用户提供透明的加密机制。 6）代理可以方便地与其他安全手段集成。 代理技术的缺点 1）代理速度较路由器慢。 2）代理对用户不透明。 3）对于每项服务代理可能要求不同的服务器。 4）代理服务不能保证免受所有协议弱点的限制。 5）代理防火墙提供应用保护的协议范围是有限的 自适应代理防火墙 自适应代理技术商业应用防火墙中实现的一种革命性的技术。组成这种类型防火墙的基本要素有两个：自适应代理服务器与动态包过滤器。 在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置。 自适应代理根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。  智能防火墙 传统防火墙的缺陷：安全性越高，效率越低 未解决的问题： 以拒绝访问为主要目的的网络攻击 以蠕虫为主要代表的病毒传播 以垃圾邮件文代表的内容控制 智能防火墙从技术特征上，利用统计、记忆、概率和决策的智能方法对数据进行识别，并达到访问控制的目的。 主要应用领域： 防范恶意数据攻击 防范黑客攻击 防范MAC欺骗和IP欺骗 入侵防御 防范潜在风险 防火墙的局限性 没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限： 防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。 3、入侵检测技术 入侵行为：主要是指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏、可以造成系统拒绝为合法用户服务等危害 入侵检测（IDS，Intrusion Detection System） 入侵检测是对入侵行为的发觉。 通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。 外部访问 入侵检测系统的类型 根据入侵检测的信息来源不同，可以将入侵检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。 1、基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件：来检测入侵。 2、基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。 开始攻击：为了开始攻击，攻击者必须诱惑被攻击对象连到攻击者的假的Web页上。 攻击者把一个假的Web链接到一个流行的Web页面上去 攻击者向被攻击对象发送电子邮件 制造假象 伪装状态行。可通过JavaScript程序来消除状态行里的痕迹。 伪装地址行。 伪装源文件。 伪装文档信息。用户可查看页面信息，因此也需要伪装不让被攻击者发现。 2、Web欺