HCNP第十一章防火墙UTM技术V2.0案例.pptx

修订记录 课程编码 适用产品 产品版本 课程版本ISSUE HC110310011 USG V3R1 V2.0 开发/优化者 时间 审核人 开发类型（新开发/优化） 余雷 2013/05 姚传哲 新开发 本页不打印 第十一章防火墙UTM技术 目标 学完本课程后，您将能够: 了解防火墙UTM技术产生的背景； 理解防火墙UTM特性； 掌握防火墙UTM特性配置。 目录 防火墙UTM技术产生背景 防火墙UTM特性介绍 防火墙UTM特性配置 网络威胁的现状 现在大多数病毒等网络威胁不再单纯地攻击电脑系统，而是被黑客攻击和不法分子利用，成为他们获取利益的工具。因此，传统的电脑病毒等网络威胁，正在向由利益驱动的、全面的网络威胁发展变化。 网络安全威胁分析 黑客入侵 拒绝服务攻击 病毒及恶意软件 个人安全意识薄弱 网络黑客、企业内部恶意员工利用系统及软件的漏洞，入侵服务器，严重威胁企业关键业务数据的安全。 黑客入侵 核心交换机 路由器 黑客 恶意员工 蠕虫 蠕虫 入侵 拒绝服务攻击威胁 以经济利益为目的的DDOS攻击不断威胁着企业正常运营，且攻击造成的危害越来越严重。 随着企业业务拓展，更多业务应用依赖于IT信息系统来完成。在业务运行过程中，不断面临着病毒、木马、间谍软件等的严重威胁。 病毒及恶意软件安全威胁 核心交换机 间谍软件 木马 病毒 病毒 个人安全意识薄弱带来的威胁 暴力网站 P2P 合法网站 色情网站 Internet IM IM IM P2P 企业内网 P2P、IM滥用、访问非法网站等行为给企业带宽、运营效率带来严重影响。 安全威胁正由单纯的网络威胁向应用与数据安全威胁演进 安全问题带来的影响随着应用的推广变得更加广泛和难以控制 网络安全发展趋势 实现内容安全“全面保护” 网络攻击、DoS攻击→ ←网络攻击、DoS攻击 对外威胁 蠕虫、病毒、攻击→ 病毒、木马、间谍→ 非法网站、钓鱼、P2P→ UTM 对内威胁 ← IM、P2P ←病毒、木马 ←蠕虫、病毒 目录 防火墙UTM技术产生背景 防火墙UTM特性介绍 2.1 入侵检测与防御技术 2.2 网关防病毒技术 防火墙UTM特性配置 什么是入侵？ 入侵是指未经授权而尝试访问信息系统资源、窜改信息系统中的数据，使信息系统不可靠或不能使用的行为； 入侵企图破坏信息系统的完整性、机密性、可用性以及可控性。 问题1: 病毒是入侵行为么？ 问题2: 网络钓鱼是入侵行为么？ 入侵检测及入侵检测系统 入侵检测（ID，Intrusion Detection） 通过监视各种操作，分析、审计各种数据和现象来实时检测入侵行为的过程，它是一种积极的和动态的安全防御技术； 入侵检测的内容涵盖了授权的和非授权的各种入侵行为。 入侵检测系统（IDS，Intrusion Detection System） 用于入侵检测的所有软硬件系统； 发现有违反安全策略的行为或系统存在被攻击的痕迹，立即启动有关安全机制进行应对。 入侵检测系统在安全体系中的位置 入侵防御系统 入侵防御系统（ IPS，Intrusion Prevention System ） 发现入侵行为时能实时阻断的入侵检测系统。 IPS使得IDS和防火墙走向统一 IPS在网络中一般有两种部署方式 入侵防御系统技术特点 Intrusion Prevention System 在线模式 深度报文检测DPI 自定义规则 自学习及自 适应 16 实时阻断 目录 防火墙UTM技术产生背景 防火墙UTM特性介绍 2.1 入侵检测与防御技术 2.2 网关防病毒技术 防火墙UTM特性配置 计算机病毒基本概念 计算机病毒 编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算 机病毒（Computer Virus）。 恶意代码 一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从 而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被 感染电脑数据的安全性和完整性的目的。 病毒、蠕虫和木马 项目 病 毒 蠕 虫 木马 存在形式 寄生 独立个体 有寄生性 复制机制 插入宿主程序中 自身拷贝 不自我复制 传染性 宿主程序运行 系统存在漏洞 依据载体或功能 传染目标 主要是针对本地文件 针对网络上其它计算机 肉机或僵尸 触发机制 计算机使用者 程序自身 远程控制 影响重点 文件系统 网络性能、系统性能 信息窃取或拒绝服务 防治措施 从宿主程序中摘除 为系统打补丁(Patch) 防止木马植入 网关防病毒主要实现方式 代理扫描方式 将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈，通过网关