第6章网络安全剖析.ppt

6.11.3 防火墙的设计 设计原则: 由内到外，由外到内的业务流均要经过防火墙； 只允许本地安全策略认可的业务流通过防火墙，实行缺省拒绝原则； 严格限制外部网络的用户进入内部网络； 具有透明性，方便内部网络用户，保证正常的信息通过； 具有抗穿透攻击能力，强化记录、审计和报警。 * 防火墙基本组成 防火墙主要包括如下五个部分：安全操作系统，过滤器，网关，域名服务，函件处理。 安全操作系统：防火墙本身必须建立在安全操作系统之中； 过滤器：外部过滤器保护网关不受攻击，内部过滤器在网关被攻破后提供对内部网络的保护； 网关：提供中继服务，辅助过滤器控制业务流。可以在其上执行一些特定的应用程序或服务器程序，这些程序统称为“代理程序”； 域名服务：将内部网络的域名和Internet相隔离，使内部网络中主机的IP地址不至于暴露给Internet中的用户； 函件处理：保证内部网络用户和Internet用户之间的任何函件交换都必须经过防火墙处理。 * 6.11.4功能和网络拓扑结构 用防火墙来实现网络安全的实质是：将主机按照安全等级和提供的服务划分成域，并在进出域的阻塞点上放置防火墙，允许或阻断信息的进出。 主要功能: 过滤不安全的服务和非法用户，强化安全策略； 有效记录Internet上的活动，管理进出网络的访问行为； 限制暴露用户，封堵禁止的访问行为； 是一个安全策略的检查站，对网络攻击进行检测和告警。 * 防火墙网络拓扑结构 屏蔽路由器?：屏蔽路由器通常又称包过滤防火墙。 双宿主机：双宿主机是包过滤网关的一种替代。 主机过滤结构：这种结构实际上是包过滤和代理的结合。 屏蔽子网结构：这种防火墙是双穴主机和被屏蔽主机的变形。 * 6.11.5 采用的技术 另外采用的技术： 综合包过滤和代理技术，克服二者在安全方面的缺陷； 从数据链路层一直到应用层施加全方位的控制； 提供透明代理模式，减轻客户端的配置工作； 实现内容安全，可自动进行病毒扫描，堵截非法URL和Java或Active X过滤。 提供基于身份的认证，并在各种认证机制中可选择使用； 网络地址翻译，一方面缓解了IP地址不足的问题，同时又对外隐藏了内部信息； 增加防止基于协议攻击的手段，例如防止IP欺骗，源路由攻击，残片攻击，TCP SYN攻击等； * 服务器负载平衡； 流量分析，了解各种服务所占通信流量，或某一服务具体使用情况； 提供加密通信隧道（IP通道）来防止黑客截取信息，实现虚拟专用网； 攻击检测以便实时检查各种网络攻击的痕迹，并采取相应的对策； 详细的审计及完善的报表； 隔离域名服务器，从而在外部网络中只能看到防火墙IP地址，无法了解受保护网络的具体情况； * 6.12病毒防护 病毒的生存期内，典型的病毒经历了下面四个阶段： 潜伏阶段 繁殖阶段 触发阶段 执行阶段 1.病毒的类型 寄生病毒 存储器驻留病毒 引导区病毒 隐形病毒 多形病毒 * 2.反病毒的方法 检测：一旦发生了感染，确定它的发生并且定位病毒。 标识：一旦检测完成了，识别感染程序的特定病毒。 清除：一旦标识了特定病毒，从被感染的程序中清除病毒 的所有痕迹，将程序恢复到原来的状态。 3.先进的反病毒技术 类属解密： 数字免疫系统 * 2007年上试题（46） 目前在网络上流行的“熊猫烧香”病毒属于（46）类型的病毒。 （46）A 目录 B 引导区 C 蠕虫 D DOS 参考答案： （46）C 2007年上试题（47） 多形病毒指的是（47）的计算机病毒。 (47)A 可在反病毒检测时隐藏自己 B 每次感染都会改变自己 C 可以通过不同的渠道进行传播 D 可以根据不同环境造成不同破坏 参考答案： （47）B * 6.13入侵检测 入侵检测是指监视或者在可能的情况下，阻止入侵或者试图控制自己的系统或者网络资源的那种努力。 入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术。 入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法，它所基于的重要前提是：非法行为和合法行为是可区分的。 从系统构成上来看，入侵检测系统至少包括数据源、分析引擎和响应三个基本模块。 * 6.13.1异常入侵检测技术 统计异常检测方法 特征选择异常检测方法 贝叶斯推理异常检测方法 贝叶斯网络异常检测方法 模式预测异常检测方法 神经网络异常检测方法 机器学习异常检测方法 数据挖掘异常检测方法 * 6.13.2误用入侵检测技术 误用入侵检测指的是通过按预先定义好的入侵模式以及观察到入侵发生情况进行模式匹配来检测。 常用的误用检测方法有： 条件概率误用入侵检测方法 专家系统误用