第七讲网络安全设计.ppt

7.4.4 入侵检测技术 入侵是指违背访问目标的安全策略的行为。 入侵检测是对企图入侵﹑正在进行入侵或已发生入侵识别的过程。包括信息收集、信息预处理、数据检测分析和响应等。通过收集操作系统、系统程序、应用程序、网络包等信息，发现违背安全策略或危及安全的行为。 非法入侵的方式主要有4种： 扫描端口，通过已知的系统Bug攻入主机； 种植木马，利用木马开辟的后门进入主机； 采用数据溢出手段，迫使主机提供后门进入主机； 利用某些软件设计的漏洞，直接或间接控制主机。 网络工程技术及应用 7.4.4 入侵检测技术 入侵检测系统IDS常用的入侵检测方法有： 特征检测、统计检测与专家系统。 IDS通常设计为两部分：安全服务器和主机代理。 入侵检测的类型通常分为基于主机和基于网络两类： * 基于主机的IDS，早期用于审计用户的活动，如用户的登录、命令操作行和应用程序使用等。一般主要使用操作系统的审计跟踪日志作为输入； * 基于网络的IDS，在网络中某点被动地监听网络上传输的原始流量，通过对俘获的网络分组进行处理，从中得到有用信息。 网络工程技术及应用 7.4.4 入侵检测技术 基于网络的入侵检测系统 从数据分析手段看，入侵检测通常可以分为两类： 误用(Misuse)入侵检测；异常(Anomaly)入侵检测。 网络的入侵检测系统 网络工程技术及应用 7.4.4 入侵检测技术 IDS系统的部署位置 IDS系统可以部署在网络中各个关键节点，它们的工作效果大不相同的。 网络工程技术及应用 7.4.5 虚拟专用网VPN 虚拟专用网指依靠ISP（互联网服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用数据通信网络的技术。 在虚拟专用网中，任意两个节点之间的连接，并没有传统专网所需的端到端物理链路，而是利用某种公众网的资源动态组成。 基于IP的VPN为使用IP机制仿真出一个私有的广域网，通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 VPN是在互联网上，临时建立的安全专用虚拟网，用户所付出的仅是向所在地ISP支付一定的上网费用。 网络工程技术及应用 7.4.5 虚拟专用网VPN VPN应用的例子 VPN采用的安全技术有：隧道技术、加密和解密技术、密钥管理技术、用户与设备认证技术。 VPN网络设计包括软件VPN技术、企业内部VPN、远程访问VPN、企业扩展VPN、设备厂商VPN等。 网络工程技术及应用 7.4.6 物理安全性 物理安全性通常的做法是把物理设备和网络数据进行隔离和异地存放。保护物理资源避免遭受灾难性的自然侵害，也属于物理安全的范畴。 网络采用物理安全隔离的方法有： * 集中上互联网，专人管理专用计算机一起上网； * 完全冗余的主机，使用双主板、双硬盘和双网卡主机； * 选择与某网络设备连接启动，节省空间，安全保密； * 对物理设备的监视、防火、防水和防盗等措施； * 网络数据的异地备份，实现灾难性的防护； * 技术文档的物理安全性。 网络工程技术及应用 7.4.7 网络隔离技术 可采用网络隔离的技术有： * 网络物理隔离卡，满足使用需求，切断攻击途径； * 协议隔离技术，允许物理相连，但网络通过协议连接。 安全隔离网闸(GAP)是通过专用软硬件技术，在两个网络中使用一条物理线路和纯数据交换进行逻辑连接，实现数据安全传输和资源共享，避免网络协议攻击。 安全隔离网络设计可以采用的方法是： 利用GAP技术的组网设计；利用网络物理隔离卡组网设计。使用网络物理隔离卡的安全主机，内网和外网最好分别使用两个IP地址。 网络工程技术及应用 7.4.8 网络安全保密管理制度 安全策略是由一系列安全策略文件所组成的。 策略文件繁简程度与网络规模有关。对中型企业网，一般包含安全方针、物理安全策略、数据备份策略、病毒防护策略、系统安全策略、身份认证和授权策略等。 网络安全策略的网络安全保密管理制度包括内容： * 网络中心负责网络系统的运行、管理和维护工作； * 禁止非工作人员操纵网络关键设备，更改设备记录； * 不得利用各种软、硬件技术从事网上侦听、盗用活动； * 定期检查网络设备登录、使用日志，跟踪使用状态； * 涉密信息不得进入国际互联网传输或存储。 网络工程技术及应用 7.4.9 提供网络安全性例子 提供网络服务安全性 内部网络服务可使用鉴别和授权、分组过滤、审计日志、物理安全性和加密等安全手段。管理员可使用终端访问控制器访问控制系统(TACACS)来管理路由器和交换机用户的IP地址和口令。 提供用户服务安全性 用户服务包括端系统、应用程序、主机、文件服务器、数据库服务器和其他服务等。 对于需