边界安全5）课件.ppt

迈威教育 欢迎来到湖南迈威信息技术有限公司 欢迎来到湖南迈威信息技术职业培训学校 网络与信息安全课程-----边界安全 IDS IPS IDS 简介 IDS 是一种被动设备—流量不经过IDS设备 IDS发现非法流量，只会产生警告信息 可选的积极响应: 和其他安全设备联动 TCP 重新连接 IPS 简介 IPS 是一种主动设备: 所有的流量经过 IPS 主动防御 恶意 流量将被拒绝 警告信息将被发送到控制台 Types of IDS and IPS Systems 基于签名 IDS 和 IPS 基于策略 IDS 和 IPS 观察，并阻止或报警，如果配置的策略以外的事件被发现 必须存在策略数据库 基于网络和基于主机的IPS NIPS: IPS传感器连接网络，监控网络中所有主机 HIPS:集中管理软件代理安装在每台主机。 NIDS 和 NIPS 使用 使用IPS配置向导 湖南迈威欢迎你 ? 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID * 迈威教育—— 湖南唯一思科红帽授权培训伙伴 QQ:119072 2661360 电话:0731? 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID * 迈威教育—— 湖南唯一思科红帽授权培训伙伴 QQ:119072 2661360 电话:0731G2MYWAY 防火墙的基本原理 防火墙是在本地网与外部网之间的界面上构筑的保护层，保护内部网不受外部非法用户的攻击，是一个或一组网络设备。 外部网络 内部网络 简单包过滤技术简介 概述 类似交换机、路由ACL 实现原理 检查IP、TCP、UDP信息 * http:80 允许访问 简单包过滤技术优缺点 优点 速度快，性能高，可以用硬件实现实现原理 检查IP、TCP、UDP信息 缺点 不能根据状态信息进行控制 前后报文无关 不能处理网络层以上的信息 http-8080 状态检测技术简介 概述 根据通信和应用程序状态确定是否允许包的通行 用于识别或者控制数据流是返回的数据流还是首发的数据流 在数据包进入防火墙时就根据状态表进行识别和判断，无需重复查找规则 * 状态检测技术原理 原理示意图 安全规则表 状态表（五元组及扩展字段） * http:80 规则表：permit any 80 http 状态表： permit 12345 80 http permit 80 12345 http 状态检测技术原理（续） 原理流程图 优点 更加安全 缺点 状态表庞大 不能检测应用层协议内容，如URL过滤 * 状态表 规则表 数据流 转发规则 N Y 状态检测技术存在的问题 问题 FTP协议（被动模式） * ftp:21 规则表：permit any 21 ftp 状态表： permit 12345 21 ftp ? 状态检测技术的改进 ALG 一个应用由多个通道组成（控制面、数据面） 管理通道或者其他通道由内嵌式IP地址或者端口号 例：FTP、H.323、SIP、PPTP等 FTP解析（passive mode） 识别FTP协议 读取协议字段 * 应用代理防火墙简介 概述 用户数据先到达代理服务器，再由代理服务器进行目标地址访问 分类 非透明代理 透明代理 * 应用代理防火墙原理 原理 * http:80 0 应用代理防火墙优缺点 优点 用户数据不与访问目标直接通讯，增强了访问安全性 缺点 支持的协议比较少 HTTP FTP SMTP/POP3 TELNET 主要是明文协议并且基本是比较老的协议 不支持BT这些应用程序 * 防火墙技术总结 * 项 目 优点 缺点 简单包过滤 速度快，性能高 不能基于状态的检测，对网络层以上的信息不能处理，不能识别动态协议 状态检测 根据状态信息过滤数据包，不用重复的ACL查找（类似一次路由，多次交换），对动态协议支持比较好。 不检查数据部分，应用层控制比较弱 应用代理 在应用层识别数据，更加安全 处理速度慢，协议支持少 防火墙特点 内网、外网、DMZ区域 灵活的地址转换，静态、动态、网络、端口 可以实现负载均衡 基于端口的访问策略 日志策略灵活 灵活的VPN配置方案 SSL VPN IPSec VPN L2TP/PPTP 防火墙功能 边缘安全 防病毒模块 防垃圾邮件模块 抵抗常见的DOS DDOS攻击 集成I