共享式网络部署方式.ppt

深度融合 无缝衔接 共创人才培养新模式 Hwadee Co.,Ltd. ◆ 行业应用软件开发之优秀企业 ◆ 中国大学生校外实训基地建设的开创者和领航人 四川华迪信息技术有限公司 HTTP://WWW.HWADEE.COM 实习实训 就业培训 专业联办 行业应用软件开发优秀企业 中国大学生校外实训基地建设开创者和领航人 深度融合 无缝衔接 共创人才培养新模式 Hwadee Co.,Ltd. ◆ 行业应用软件开发之优秀企业 ◆ 中国大学生校外实训基地建设的开创者和领航人 深度融合 无缝衔接 共创人才培养新模式 Hwadee Co.,Ltd. ◆ 行业应用软件开发之优秀企业 ◆ 中国大学生校外实训基地建设的开创者和领航人 深度融合 无缝衔接 共创人才培养新模式 Hwadee Co.,Ltd. 深度融合 无缝衔接 共创人才培养新模式 Hwadee Co.,Ltd. ◆ 行业应用软件开发之优秀企业 ◆ 中国大学生校外实训基地建设的开创者和领航人 Page * 五、入侵检测IDS 5.1 入侵检测系统 入侵检测系统(Intrusion Detection System，IDS)是一种软硬件相结合构成的网络安全防御系统。 IDS能够对计算机系统和网络资源的非法连接和应用及时作出判断、记录和报警。 Page * 5.2 入侵检测系统 功能 识别攻击手段 监控异常通信 鉴别漏洞及后门 完善网络安全管理 Page * 5.3入侵检测系统 类型 Page * 基于主机的IDS(Host-based IDS，HIDS) 用于保护服务器，通过分析服务器系统和应用程序日志，判别服务器是否遭受入侵攻击。 基于网络的IDS(Network-based IDS，NIDS) 用于监控网络通信，通过收集网络通信数据，分析网络安全事件和行为。 5.4 入侵检测流程 信息收集 数据分析 报警响应  Page * IDS 数据分析 数据分析是入侵检测系统的核心功能，数据分析的效率决定了整个入侵检测系统的性能高低。 异常入侵分析法(Anomaly)基于行为统计，与正常行为参考库进行分析比较，能自适应分析，但误报率和漏报较多。 滥用入侵分析法(Misuse) 基于模式匹配，与规则知识库进行模式匹配，准确率和效率较高，规则知识库需要及时更新。 Page * 5.5入侵检测系统部署 入侵检测首先需要进行网络信息数据的收集，因此IDS设备必须部署在能够收集到所监控网络区域通信的位置。  共享式网络部署方式 交换式网络部署方式 桥接网络部署方式 Page * 共享式网络 部署方式 共享式网络部署非常简单，只要将被监控主机和IDS设备接入到共享式网络设备(HUB) 即可。 缺点：是共享式设备的带宽低，通常只有共享10Mbps，只适合于很小的入侵网络检测。 Page * 交换式网络部署 交换式网络部署是普遍采用的部署方式，采用可配置的管理型网络交换机，通过交换机端口镜像(Port Monitor)功能，将需要监控的通信端口数据复制到与IDS设备相连的交换机端口，实现被监控网络的通信数据采集 Page * 桥接网络 部署 被监控网络采用普通交换机(非管理配置型)，IDS设备必须部署在被监控网络和外部网络之间 IDS设备的两个网络接口须配置成透明网桥模式。 Page * 5.6 NetEye入侵检测系统 NetEye IDS是东软公司开发的网络入侵检测系统，由检测引擎和管理主机构成。 NetEye IDS检测引擎是一台高性能的专用硬件设备，运行专用的安全操作系统，综合利用模式匹配、异常识别、统计分析、协议分析、行为分析等多种方法来判断入侵攻击事件并报警响应。 NetEye IDS管理主机运行在Windows操作系统的图形化管理软件，对NetEye IDS设备进行策略配置、系统管理。 Page * 5.6.1 NetEye 网络部署 采用交换式网络部署，被监控主机接入到交换机fa0/1 - fa0/8端口，NetEye 设备eth1口做数据采集与交换机fa0/24口连接。 管理主机连接到NetEye 设备eth0接口。 Page * 5.6.2 NetEye 网络配置 交换机端口镜像配置 (config)# monitor session 1 source interface Fa0/1 - 8 (config)#monitor session 1 destination interfaceFa0/24 Page * NetEye IDS工作模式设置 5.6.3 NetEye 管理连接 进入NetEye IDS管理系统—NetEye IDS安全管理器，创建IDS主机地址薄，