05防火墙与入侵检测.ppt

1.分组过滤防火墙的部署 2. 代理网关（双宿主主机）防火墙的部署 3. 主机屏蔽防火墙的部署 4. 子网屏蔽防火墙的部署 5. 企业常见分布式防火墙的部署 业务子网 业务子网 业务子网 外事机构子网 服务专网 周边网 创建防火墙的步骤 创建一个防火墙系统一般需要六步： 第一步：制定安全策略 第二步：搭建安全体系结构 第三步：制定规则次序 第四步：落实规则集 第五步：注意更换控制规则 第六步：做好审计工作 防火墙的局限性 防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。 防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，要根据政策规定来执行安全。 防火墙对来自内部网络的攻击和安全问题防范能力弱。防火墙可以设计为既防外也防内，谁都不可信，但绝大多数单位因为不方便，不要求防火墙防内。 防火墙不能防止利用标准网络协议中的缺陷进行的攻击。 防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能。 防火墙不能防止数据加密式的攻击和利用隧道传输的数据，防火墙没有信息穿透能力。 防火墙的安全性与多功能成反比。多功能与防火墙的安全原则是背道而驰的。因此，除非确信需要某些功能，否则，应该功能最小化。 防火墙的安全性和速度成反比。防火墙的安全性是建立在对数据的检查之上，检查越细越安全，但检查越细速度越慢。 防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。 5.2 入侵检测 入侵检测系统IDS 网络入侵检测IDS概念 IDS的分类 IDS的工作原理 IDS在网络中的部署 入侵检测 防御技术包括攻击检测、攻击防范、 攻击后的恢复这三个大方向 入侵检测系统负责进行攻击检测 防火墙和强制访问控制系统负责攻击防范 攻击后的恢复就是自动恢复系统，比如Web水印系统等。 容侵技术、入侵响应 问题的提出--为什么需要IDS？ 入侵很容易 入侵教程随处可见 各种工具唾手可得 防火墙： 第一道安全闸门、边界 但不完善，80%的攻击来自内部 有效补充---入侵检测，防火墙是锁，入侵检测系统是监视器 IDS概念（Intrusion Detection System） 入侵检测：通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统(IDS)：是硬件和软件的组合。是防火墙的合理补充，是防火墙之后的第二道安全闸门。 入侵检测的内容：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户泄露、资源独占或恶意使用。 IDS作用 实时监测 实时监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据包 安全审计 对系统记录的网络事件进行分析 发现异常现象 寻找入侵证据 主动响应 切断连接或与防火墙联动生成新规则或调用其他措施 IDS分类 根据所检测的对象： 基于主机的入侵检测系统HIDS 主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。 基于网络的入侵检测系统NIDS 主要用于实时监控网络关键路径的信息，它监听网络上的所有数据包和流量，分析可疑现象。 IDS评价 NIDS 部署成本低 检测率低 具有网络局限性 不能处理加密后的数据 存在资源和处理能力的局限性 NIDS受内存或硬盘限制 HIDS 能处理加密数据，检测准确率高 部署成本高 两者结合 关键主机部署HIDS 一般位置部署NIDS IDS分类 根据采用的技术 异常检测：建立正常活动特征库，分析当前特征与正常活动的差异度确定是否是“入侵”。 基于贝叶斯推理、基于特征选择、基于模式预测、基于机器学习等 误用检测：建立异常活动特征库，分析当前特征与异常活动的匹配度确定是否是“入侵”。 模式匹配、专家系统、基于状态转移分析等 根据工作方式： 离线监测系统 在线监测系统 IDS工作原理 第一步：信息收集。包括系统、网络、数据、以及用户的状态和行为，需要在多个不同的关键点（网段/交换机或主机）收集信息。多来源的信息有利于综合判断。 日志文件 目录和文件的异常改变 程序执行的异常改变 物理形式入侵 IDS工作原理 第二步：数据分析 模式匹配：实时入侵检测 统计分析：实时入侵检测 完整性分析：事后分析 入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。 根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两类. 基于规则的检测（模式匹配） IDS工作原理 第三