CISP-网络安全应用-new.ppt

常见网络安全技术 中国信息安全测评中心 目录 防火墙 入侵检测(IDS) 安全隔离与信息交换系统 PKI VPN 网络安全威胁 一、防火墙 防火墙 什么是防火墙？ 防火墙的分类 防火墙的功能 防火墙提供的安全服务 防火墙的局限性 防火墙的性能指标 什么是防火墙？ 简单的说,防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet 之间)的软件或硬件设备的组合。 防火墙的部署 包过滤防火墙 包过滤防火墙 代理防火墙 代理防火墙 混合型防火墙 混合型防火墙 防火墙的功能 一般来说，防火墙具有以下几种功能： 防止非法用户进入内部网络。 可以很方便地监视网络的安全性，并报警。 可以作为部署NAT（Network Address Translation，网络地址变换）的地点。 是审计和记录Internet使用费用的一个最佳地点。 可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的非军事区（DMZ）。 防火墙提供的安全服务 几乎所有的防火墙提供以下两个安全服务： 加密身份认证（Encrypted Authentication）允许公共网络上的用户从外部网络为获得对专用网络的访问权证实他们的身份． 虚拟专用网（Virtual Private Networking,VPN）通过公共媒介为两个专用的网络之间建立一个安全的连接．这将使两个物理上分离的网络使用因特网连接而不是租用线连接进行通讯． 防火墙的局限性 防火墙是一个确保网络安全的强大工具。然而有些事情它也做不了。重要的是，既要了解它带来的利益，也要认识到它的局限性。因此，对于不同类型的防火墙来说，存在着多种不可防范的攻击方式。 IP欺骗 D.O.S拒绝服务攻击 分片攻击 木马 防火墙的性能指标 RFC2544 吞吐量 背靠背 延时 丢包率 RFC3511 吞吐量 TCP并发连接数 最大TCP连接建立速率 最大TCP连接释放速率 抗DoS攻击能力 HTTP 转输速率 最大HTTP传输速率 非法数据流的处理能力 IP碎片处理能力 延时 二、入侵检测(IDS) 二、入侵检测系统(IDS) 什么是IDS? IDS的功能 入侵检测系统的分类 入侵检测系统模型 IDS的性能 IDS的自身安全 IDS的弱点和局限 什么是IDS？ Intrusion Detection System 在网络或计算机系统中的若干关键点收集和分析信息，识别是否存在对计算机和网络资源上的恶意使用或违反安全策略的行为，并对此做出响应。 为什么需要IDS？ IDS的部署 IDS的功能 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 窗口报警 E-mail通知 切断TCP连接 执行自定义程序 与其他安全产品交互 Firewall SNMP Trap 主要构成组件 传感器（驱动引擎） 用于捕获和分析数据包 控制台 管理引擎，并且给出报告 一个控制台可以管理多个引擎 入侵检测系统的分类 按技术分类 特征检测 异常检测 按监测对象分类 基于网络入侵检测系统(NIDS) 基于主机入侵检测系统(HIDS) 网络节点入侵检测（NNIDS） 基于网络的IDS 功能：通过连接在网络上的站点捕获网上的包,并分析。优点： 可以监视并检测网络攻击（如大量数据包的攻击） 隐蔽性好：由于不是主机，因此可以不允许别人存取其本地存储器,不让别人运行程序,而且不让多个用户使用它。 花费较少：使用一个驱动引擎就可以保护一个共享的网段,所以不需要很多的驱动引擎。 占资源少：在被保护的网段上不用占用任何资源。 缺点： 无法得出在主机上执行的命令所产生的结果。这在区分用户错误和不法行为时的一个重要问题。 加密情况下，无法检测协议或内容。 交换环境下检测困难 目前不能处理高速网络。 基于系统的IDS 功能： 用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等。 优点： 更加细腻：这种方法可以很容易地监测如对敏感文件、目录、程序或端口的存取。 系统可在加密的环境中运行 系统可运行在交换的网络环境 缺点 对于基于系统的入侵检测，网络活动是不可见的 当将校验过程做为数据源使用时，会占用大量存贮空间 操作系统的漏洞会削弱基于系统的代理和分析器的完整性 基于系统的代理器必须使用专门的平台。 基本工作流程 分析器 模式匹配器 对策部分 IDS 入侵检测系统模型 入侵检测系统的通用模型(CIDF) －－Common Intrusion Detection Framework 感应器 事件分析器 事件响应器 特征库 IDS的性能 攻击检测 误报（false positives） 漏报（false nega