第11章网络安全防御系统选编.ppt

第11章 网络安全防御系统 ; ;防火墙的原理 ;Server;一个典型的防火墙使用形态;防火墙示意图;防火墙的概念是广义的;防火墙的作用;防火墙的实施策略 ;防火墙的分类 ;根据防火墙形式分类;根据防火墙结构分类 ;按照防火墙应用部署分类 ;根据实现技术分类 ;11.1.3 包过滤防火墙;包过滤防火墙通常可以根据源IP地址、目的IP地址、传输层协议、端口号等来进行数据包的过滤 ;一个包过滤防火墙的应用实例 ;包过滤防火墙的优缺点;状态防火墙;先分析包过滤防火墙的一个问题 ;尝试下面两种解决办法方法 ;尝试下面两种解决办法方法 ;11.1.4 状态防火墙;当222.20.1.11发送一个TCP连接请求SYN，源端口号是一个大于1023的整数（例如端口号为10000），目的端口号为80。 这个数据包在到达状态防火墙后，防火墙会将这个连接信息记录到一个连接状态表中，然后再将这个数据包转发出去。 当防火墙收到来自10.20.1.1的连接响应包时，首先查找连接状态表，就会知道从10.20.1.1的TCP80端口到222.20.1.11的TCP10000端口的响应是已存在的连接的一部分，就会允许数据包通过，从而双方在第三次握手之后建立连接。 之后两者之间的通信由于是属于这个连接的，防火墙都会放行。 ;包过滤和状态防火墙的比较;状态防火墙的优缺点;11.1.5 应用网关防火墙 ;应用网关防火墙的认证功能 ;应用网关防火墙的分类;连接网关防火墙;直通代理防火墙;应用网关防火墙的优缺点;11.1.6 混合防火墙与防火墙系统 ;混合防火墙;防火墙系统;11.1.7 防火墙的体系结构 ;双重宿主主机体系结构;双重宿主主机体系结构;屏蔽主机体系结构;屏蔽主机;屏蔽子网体系结构;屏蔽子网体系结构;其它的防火墙结构（1）;其它的防火墙结构（2）;防火墙的参数--并发连接数;并发连接数并非越大越好;防火墙的参数-- --吞吐量;防火墙的参数--用户数;防火墙的局限性（1） ;防火墙不可以防范什么;防火墙的局限性(2);CISCO ASA5505-K8 ;CISCO ASA5580-40-10GE-K9 ;11.2 入侵检测系统IDS;回顾:安全模型;入侵检测系统在模型中的地位;;;入侵检测定义 ;入侵检测系统（Intrusion Detection System，IDS）;典型的IDS技术;;IDS起源与发展;典型的日志;IDS起源与发展;概念诞生 1980;入侵检测流程;信息收集;系统或网络的日志文件;信息分析;模式匹配;统计分析;完整性分析;事件响应;IDS自身的完整性;入侵检测系统的功能 ;11.2.2 入侵检测系统分类 ;基于主机的入侵检测系统（Host-based IDS，HIDS） ;主机的数据源;Windows有自带的日志系统，可以通过“事件查看器”来进行查阅。 开始—设置—控制面板—管理工具—事件查看器 ;Internet;HIDS在网络中的部署 ;基于主机的技术面临的问题;基于网络的入侵检测系统 ;网络监听;;;NIDS在网络中的部署 ;黑客入侵的过程和阶段;基于主机与基于网络IDS;分布式入侵检测系统 ;DIDS在网络中的部署 ;11.2.3 入侵检测方法;滥用检测 ;滥用检测特点;异常检测 ;异常检测方法的基本流程 ;异常检测特点;异常检测特点;异常检测使用的一些方法;两种方式比较;11.2.4 网络入侵检测系统Snort ;;;Snort的检测报告 ;Snort在网络中的应用 ;Snort的检测流程 ;11.2.5 入侵检测系统的局限性与发展方向 ;发展方向 ;11.3 入侵防御系统IPS ;入侵防御系统的产生 ;IDS无法进行实时的阻断;IDS和防火墙联动？;IPS;IPS的发展;IDS的用户常常会有这种苦恼：IDS界面上充斥着大量的报警信息，经过安全专家分析后，被告知这是误警。但在IDS旁路检测的部署形式下，这些误警对正常业务不会造成影???，仅需要花费资源去做人工分析。 串行部署的IPS就完全不一样了，一旦出现了误报或滥报，触发了主动的阻断响应，用户的正常业务就有可能受到影响，这是所有用户都不愿意看到和接受的。正是这个原因，导致了IPS概念在2005年之前的国内市场表现平淡。 自2006年起，大量的国外厂商的IPS产品进入国内市场，各本土厂商和用户都开始重新关注起IPS这一并不新鲜的“新”概念，并推出了相应的IPS产品。;入侵防御系统与入侵检测系统的区别 ;IPS与防火墙相互补充 ; IPS的基本原理 ;IPS的技术特征 ;IPS的局限性;11.4 统一威胁管理UTM ;;UTM概述 ;UTM的产生和发展的必然性 ;UTM的定义 ;;UTM的优势 ;UTM的局限性