网络安全课件第5章 安全防护与入侵检测.ppt

网络安全技术 第 5 章安全防护与入侵检测 本章学习要点 掌握Sniffer Pro的主要功能与基本组成 掌握Sniffer Pro的基本使用方法和数据的捕获 了解如何利用Sniffer Pro进行网络优化与故障排除 掌握入侵检测系统的定义与分类以及选择方法 了解密罐的定义、分类和应用 5.1 Sniffer Pro网络管理与监视 5.1.1 Sniffer Pro的功能 实时监测网络活动。 数据包捕捉与发送。 网络测试与性能分析。 利用专家分析系统进行故障诊断。 网络硬件设备测试与管理。 5.1 Sniffer Pro网络管理与监视 5.1.2 Sniffer Pro的登录与界面 1．Sniffer Pro的登录 首先当有多块网卡时，启动Sniffer 时应选择使用哪块网卡监听，如下图所示。 5.1 Sniffer Pro网络管理与监视 5.1.2 Sniffer Pro的登录与界面 选择完毕后，进入Sniffer Pro的工作界面，如下图所示。 5.1 Sniffer Pro网络管理与监视 5.1.2 Sniffer Pro的登录与界面 2．Sniffer Pro的界面 菜单栏 捕获栏 工具栏 状态栏 5.1 Sniffer Pro网络管理与监视 （1）仪表盘 显示网络带宽利用率和错误统计。 通过表格显示网络利用率、数据规模分布和错误的详细统计。 可以设定阀值进行报警、保存历史信息产生日志。 5.1 Sniffer Pro网络管理与监视 5.1 Sniffer Pro网络管理与监视 利用率（utilization%）显示线缆使用带宽的百分比，通过设定阀值来区分正常情况与警戒区域。 每秒包的数量（Packets/s）说明当前数据包的传输速率，通过其可以了解网络中帧的大小，可以判断网络是否工作正常。 每秒错误数量（Errors/s）显示当前冲突的、错误帧和碎片的数量，一般该项作用不大。 5.1 Sniffer Pro网络管理与监视 上述的3个选项的阀值可以单击仪表盘窗口上方的设置阀值（Set Thresholds）按钮，重新设置。如果希望显示详细的信息，可以单击仪表盘下方的“细节”按钮以表格形式显示详细的信息。另外仪表盘下方通过统计曲线形式也可以反映上述3个选项的内容，而且通过选中Short Term单选框将观测时间设定为25分钟，或Long Term单选框将观测时间设定为24小时。 5.1 Sniffer Pro网络管理与监视 5.1.2 Sniffer Pro的登录与界面 （2）主机列表 对于Sniffer Pro观察到的所有流量，主机列表会收集所有发出这些流量的节点，并显示这些节点的流量统计信息，下图是Sniffer Pro主机列表详细资料： 5.1 Sniffer Pro网络管理与监视 5.1.2 Sniffer Pro的登录与界面 （3）矩阵 矩阵收集了网络主机之间的所有会话内容，以及针对这些会话进行流量统计后的结果，能够根据MAC、IP地址查看矩阵内容。 5.1 Sniffer Pro网络管理与监视 （4）应用程序响应时间 应用程序响应时间（ARP）监控已经被设定为“默认协议”的会话状况与响应时间。下图是Sniffer Pro应用程序响应时间表单： 5.1 Sniffer Pro网络管理与监视 （5）历史抽样 历史抽样是确定基准的一个重要工具，基准指的是网络的正常运行情况，可以通过其建立月基准和年基准。 （6）协议分布： 协议分布收集网络上所有可见的协议,可以根据MAC、IP或IPX来查看协议分布情况。 5.1 Sniffer Pro网络管理与监视 （7）全局统计： 全局统计以直方图或饼图的形式显示捕获过程的整体统计信息，可以单击Size Distribution按钮根据帧的大小显示，或单击Utilization Distribution按钮根据利用率的分布显示，来了解当前网络的运行情况。 5.1 Sniffer Pro网络管理与监视 （8）警告日志： 警告日志会收到和存储在警告管理器中的监控和高级警告，对警告的详细描述（Description），如下图： 5.1 Sniffer Pro网络管理与监视 主要的警告类型有以下几种。 访问拒绝使用资源（Access To Resource Denied）——表示服务器信息阻断（SMB）对话访问限制的结果。 广播/组播风暴对话（Broadcast/Multicast Storm）——表示存在严重的广播风暴。 浏览器强制选择（Browse Election Force）——如果一个节点不能确认本地的主浏览器，并试图成为本地的主浏览器，就会出现该通告。 5.1 Sniffer Pro网络