网络安全技术文档.docVIP

ISA ISA server控制服务 防火墙服务 WEB代理服务 预定CACHE内容下载服务 H.323网关服务 ISAserver安装有三种模式：防火墙模式。缓存模式和集成模式 防火墙模式有防火墙和代理功能，无缓存功能 缓存模式有代理和缓存功能而无防火墙功能 集成模式下I.S和A这3个功能都有 如果只是浏览网页，则配置为WEB代理客户，如果要使用其他网络应用程序，比如OUTLOOK,EXPRESS.QQ等，需要配置为SecureNAT客户或者防火墙客户。如果需要对外发布内部服务器，则要把服务器配置为SecureNAT客户。 策略元素师配置访问策略的最小单位，由策略元素组成规则 策略元素类型 目的地址集 客户地址集 时间计划 协议定义 带宽优先级 内容分组 拨号条目 如果不知道某应用程序手法的数据包的端口号，可以先创建包过滤器，允许任何数据包通过，然后用数据包捕获工具，入网络监视器或者SNIFFER等协议分析仪来进行分析，找出相应的数据包。 用IP包过滤实现安全策略 用IP包过滤规则是静态的开放端口来控制数据流 创建包过滤器之前所要知道的参数 源IP地址 目的IP地址 协议类型 是TCP.UDP还是ICMP等 源端口号 摸底端口号 TCP建立连接的过程如何，是否需要次级连接 如果是有次级连接，其端口号是多少 规则的动作。是允许还是决绝 包过滤的优点： 投资少 包过滤只是更觉数据包的IP包头信息来决定是否丢弃数据，并不检查应用层的的数据，币应用层过滤性能更优，速度更更快，对处理器要求比较低，能较快的处理大量的网络流量。一些大流量的WEB站点 等都使用包过滤防火墙 包过滤的缺点：不对数据内容进行检查，不能防止病毒，垃圾邮件。或者恶意代码等的入侵 不能防止地质欺骗。 基于状态的多层检测技术 使用状态多层检测技术的一个防火墙软件的例子是Checkpoint,包过滤防火墙为CISCO的PIX和WINROUTE等，LINUX平台下包过滤软件为IPCHAINS和IPTABLES FTP服务模式有两种：主动（active）模式和被动(passive)模式 在active模式下客户端随机大于1024的端口和FTP服务器的21端口建立连接，21端口是控制端口 下载文件时事FUP服务器的20端口和客户机随机端口建立TCP连接 OSI模型 TCP/IP模型 应用层 表示层 TCP/IP协议组 会话层 应用层 telnet ftp smtp dns rip snmp 传输层 段 TCP头+数据 传输层 TCP UDP 网络层 包 IP头+数据 internet层 IP 数据联络层 帧 LLC头+数据 MAC头+数据 网络接口层 物理层 比特 Sniffer 入侵检测系统 IDS CA公司的session wall 进行入侵检测的软件和硬件的组合式入侵检测系统IDS（inttrusion detecetion system） 常见入侵检测系统有两种类型 基于网络的IDS系统 （NIDS） 这种架构要求监控网络的计算机的网卡被设置为混杂模式，这样这台计算机就可以侦听到网络中的所有数据 计算机 主机 服务器 | | | IDS系统-（混杂模式）---------------------Ethernet----------------------------路由器 基于网络的IDS软件，例如snort和etrust intrusion detection 基于网络的IDS系统很容易安装配置，基于网络的IDS系统对黑客扫描和DOS攻击很有效 对于非法登录。木马攻击不是很有效 在交换网络和ATM网络中，不理想，由于广播数据包不能跨越路由器 使用交换机，高级交换机有个专门的镜像端口，IDS系统的主机接到这个端口上实现对整个网络的监控 基于主机的IDS系统（HIDS） 被监控的主机上需要安装agent,这些代理会读取倍监控主机上的日志和系统信息，监