网络防火墙单机防火墙.ppt

网络攻防技术之网络防御技术;常采用的防御机制;3.1 防火墙;;防火墙的功能;防火墙的基本特征;防火墙的局限性;防火墙的发展史;软件防火墙;;;防火墙实现技术原理;简单包过滤防火墙（Packet filtering）;;;优点： 保护整个网络；对用户透明；可用路由器，不需要其他设备。 缺点： 1.包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的包和坏的包。 2.包过滤规则难配置。 3.新的协议的威胁。 4.IP欺骗;动态包过滤 (状态检测) 防火墙;;动态包过滤防火墙的工作流程;代理防火墙（Proxy Server） ;;优点;缺点;;;3.2 入侵检测系统; 入侵检测是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 入侵检测系统：对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。 ;IDS的作用;IDS基本结构;（1）信息收集;信息收集的来源;;（2）分析引擎;模式匹配;统计分析;完整性分析;（3）响应部件-响应动作;入侵检测系统和蜜罐技术;;入侵检测系统的分类（1）;入侵检测系统性能关键参数;;入侵检测系统的分类（2）;基于主机的IDS ;基于网络的IDS;两类IDS监测软件特点;IDS的设计原理;IDS面临的挑战;提高入侵检测系统的互动性能，从而提高整个系统的安全性能 无法避免DOS攻击 IDS是失效开放（Fail Open）的机制，当IDS遭受拒绝服务攻击时，这种失效开放的特性使得黑客可以实施攻击而不被发现。 无法避免插入和规避攻击 插入攻击和规避攻击是两种逃避IDS检测的攻击形式。 插入攻击可通过定制一些错误的数据包到数据流中，使IDS误以为是攻击。意图是使IDS频繁告警（误警），但实际上并没有攻击，起到迷惑管理员的作用。 规避攻击则相反，可使攻击躲过IDS的检测到达目的主机。规避攻击的意图则是真正要逃脱IDS的检测，对目标主机发起攻击。黑客经常改变攻击特征来欺骗基于模式匹配的IDS。;IDS产品;资源;入侵防护系统（Intrution Protection System，IPS ）;作业;3.3蜜罐和蜜网（Honeypots and Honeynets）;3.3.1 蜜罐技术;一为什么需要蜜罐技术？（3）;;;蜜罐技术的提出;二 什么是蜜罐？有什么优势？;注意： 没有业务上的用途，不存在区分正常流量和攻击的问题 蜜罐系统是具有吸引和诱骗价值的资源，它期待被检测、攻击和潜在的利用 其作用是引诱黑客扫描、攻击并最终攻陷从而获取攻击者的信息以及他们的攻击技术和手段。 所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷 用以监视、检测和分析攻击 ;Honeypot的分类;低交互度Honeypot;中交互度的Honeypot;;高交互度的Honeypot;;虚拟机蜜罐;蜜罐技术优势;三虚拟蜜罐工具－Honeyd;蜜罐使用未使用的IP地址;1 设计思想;接收网络流量－建立路由;2 Honeyd体系框架;路由模块;个性化引擎;日志功能;3 蜜罐的应用;3.3.2 蜜网技术;一 什么是蜜网技术;HoneyNet项目组;发展;二 Gen 3 蜜网技术;核心技术;;;注意;数据捕获机制;网络行为数据 – HoneyWall 网络流数据: Argus工具，使用libpcap收集规范的网络通信数据,并对这些数据进行处理加工,从而创建一个导出数据源,Argus收集的数据可以描述数据的数量和每个流的持续时间 入侵检测报警: Snort工具，对符合入侵检测特征的攻击数据包发出相应的报警信息,从而标识网络流中存在的攻击事件。Snort结合数据包中捕获的数据与Argus和p0f数据所添加的部分,提供了一个比??二代蜜网体系更全面的事件表示 操作系统信息: p0f工具，实现了被动操作系统指纹识别功能。它提供了评估操作系统的功能,能够根据监听到的网络流指纹特征来判断网络流双方操作系统的类型 ;;;数据分析功能－Walleye;中国蜜网项目组－狩猎女神