第四讲 主流信息安全技术.ppt

第四讲 安全技术与产品 本讲概要 本讲主要阐述目前最常用的信息安全技术和信息安全产品，内容包括了： 防火墙 入侵检测 VPN 漏洞评估 本讲学习目标 通过本讲学习，学员应该掌握： 各类信息安全技术的概念、用途，部署方式 防火墙的分类、原理、结构和用途 入侵检测产品的工作原理和分类 VPN的分类和用途 漏洞评估的概念和意义 （一）防火墙技术 防火墙的用途 防火墙的分类方法 单机防火墙VS网络防火墙 软件防火墙VS硬件防火墙 防火墙设备外观与结构 防火墙的主要技术 应用层代理技术 (Application Proxy) 包过滤技术 (Packet Filtering) 状态包过滤技术 (Stateful Packet Filtering) （二）虚拟局域网（VLAN） VLAN环境示意 （三）入侵检测系统（IDS） 入侵检测系统（IDS） 关于入侵检测系统，我们将就以下部分进行学习： IDS简介 IDS分类 IDS作用 IDS工作原理 IDS部署方式 IDS应用 IDS技术的发展方向 IDS产品 IDS资源 什么是IDS？ IDS是什么？ 入侵检测系统(Intrusion Detection System) 入侵检测技术是为了保证计算机系统安全面而设置和配置的一种能够及时发现并报告系统中未授权或异常行为的技术，是一种检测计算机网络中违反安全策略行为的技术。 入侵检测被视为防火墙之后的第二道安全阐门，主要用来监视和分析用户和系统的活动，能够反映已知的攻击模式并报警，同时监控系统的异常模式，对于异常行为模式，IDS采用报表的方式进行统计分析 网络入侵检测系统（NIDS） 网络入侵检测系统(NIDS) -----在网络中的某个节点上装有探测器来监测整个网络(工作对象 基于网络) NIDS CIDF模型 CIDF模型（ Common Intrusion Detection Frame） 组件： 事件产生器（Event generators） 事件分析器（Event analyzers） 响应单元（Response units） 事件数据库（Event databases） NIDS 部署方式 主机入侵检测系统（HIDS） 主机入侵检测系统(HIDS) 　　 -----在网络中所监测的每台主机上都装有探测器(工作对象基于主机) IDS部署示意 IDS 检测技术 入侵检测系统按照其检测原理可以分为以下类型： IDS 工作原理－NIDS抓包 从链路层抓包 分析数据包 IDS 工作原理－模式匹配 模式匹配(Pattern Matching) 效率低---对每一条事件都要与事件库中的 特征事件进行对比，工作量大。 误报多---如果两个攻击事件具有极其相近的特征，在对比的过程中容易产生误报，而错过真实的问题。 模式匹配举例 　较早版本的Sendmail漏洞利用 　$ telnet 25 　WIZ 　shell 或者 　DEBUG 　# 直接获得rootshell！ 模式匹配 检查每个packet是否包含： “WIZ” | “DEBUG” IDS 工作原理－协议分析 IDS 技术的发展方向 分布式入侵检测 1.针对分布式攻击的检测方法 2.使用分布式的方法来检测分布式的攻击，关键技术为检测信息的协同处理与入侵攻击的全局信息提取 智能化入侵检测 使用智能化的手法也实现入侵检测，现阶段常用的有神经网络、模糊算法、遗传算法、免疫原理等技术 全面的安全防御方案 采用安全工程风险管理的理论也来处理网络安全问题，将网络安全做为一个整体工程来处理，从管理、网络结构、防火墙、防病毒、入侵检测、漏洞扫描等多方面对网结进行安全分析 随着网络技术的发展，还会有更多新技术应用到入侵检测系统中来! IDS 产品 免费产品 Snort (http:// ) 国内市场上的IDS厂商 启明星辰 安氏 绿盟 金诺 瑞星等 IDS 资源 IDS FAQ http:// /pubs/ Focus-IDS Mailinglist /archive/96 Yawl OldHand Sinbad /doc.html?board=IDS （四）虚拟专用网（VPN） IP Sec协议 IP Sec共分四种模式 AH的「传输模式」(Transport Mode) AH的「通道模式」(Tunnel Mode)、