第4章：网络安全管理.ppt

L/O/G/O * 第四章： 网络安全管理 * 本节重点 网络防火墙 入侵检测 病毒防范 * 4.1.1网络防火墙与隐私 变电站内，在两台充油设备间所建立的防止火焰从一台设备蔓延至另一台设备的隔墙。 为封闭火区而砌筑的隔墙。 防火墙作为网络安全的一种防护手段，在网络系统中得到了广泛的使用，并对网络的安全起到了一定的保护作用。 * 4.1.1防火墙简介 防火墙（Firewall）是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件。防火墙遵循的是一种允许或阻止业务来往的网络通信安全机制，提供可控的过滤网络通信，只允许授权的通信，目的是保护网络不被他人侵扰。通常，防火墙就是位于内部网络或Web站点与因特网之间的一个路由器或一台计算机，又称堡垒主机,它是对所有网络通信流进行过滤的节点。 防火墙通过审查经过堡垒主机的每一个数据包，判断它是否匹配事先设置的过滤规则。如果满足，根据控制机制做出相应的动作；如果不满足，则将数据包丢弃，从而保护网络的安全。 * 通过使用防火墙，可以实现以下功能： （1）隐藏内部网络。 （2）控制外部网络用户对内部网络的访问。 （3）控制内部网络对外部网络的访问。 （4）监视网络安全，提供安全日志并预警。 （5）缓解IP地址空间短缺问题。 （6）引出DMZ（Demilitarized Zone，非军事区）区域，可设置各种服务器。 （7）对内部用户的Internet使用进行审计和记录。 4.1.1防火墙简介 * 4.1.2防火墙的类型 防火墙技术根据实现的设备可以分为硬件防火墙和软件防火墙；根据防范的方法和侧重点的不同，可以分为很多种类型，但总体上可以分为： （1）包过滤防火墙（网络层 访问控制表 地址 端口） （2）代理服务型防火墙（代理服务器 隔离内外系统） （3）主动监测防火墙（数据库监测 自动切断连接） * 9.2.1. 防火墙产品介绍 1.硬件防火墙 （1）Quidway Eudemon (守护神) 300防火墙 （2）Cisco PIX515ERBUN防火墙 2.软件防火墙 （1）Microsoft ISA Server软件防火墙 （2）CheckPoint软件防火墙 * 4.2.1. 入侵检测 入侵检测（Intrusion Detection）便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 * 4.2.1. 入侵检测方法 1.异常入侵检测技术 异常检测（Anomaly Detection）技术是运行在系统层或应用层的监控程序通过将当前主体的活动情况和用户正常行为进行比较来监控用户的行为。 异常检测只能识别出那些与正常过程有较大偏差的行为，而无法知道具体的入侵情况。由于对各种网络环境的适应性不强，且缺乏精确的判定准则，难以配置，异常检测经常会出现错报和漏报情况。 * 4.2.1入侵检测方法 2.误用入侵检测技术 误用检测（Misuse Detection）的前提是首先提取已知入侵行为的特征，建立入侵特征库，然后将当前用户或系统行为与入侵特征库中的记录进行匹配，如果相匹配就认为当前用户或系统行为是入侵，否则入侵检测系统认为是正常行为。 误用入侵检测技术的缺点是漏报率会增加，因为当新的入侵行为出现或入侵特征发生细微变化时，误用检测技术将无法检测出入侵行为。 * 4.3.1病毒防范 计算机病毒是人为制造的程序，它的运行是非法入侵。 Internet的出现和流行，使得病毒的传染途径更为多元化，而网络已成为最重要的病毒传播途径。 * 4.3.2常见的计算机病毒 木马病毒 宏病毒 脚本病毒 PE病毒 蠕虫病毒 恶意网页病毒 * 4.3.3计算机病毒的共同特征 隐蔽性 传染性 触发性 破坏性 潜伏性 * 4.3.4计算机病毒的新特点 （1）具有较强的诱惑性和欺骗性。 （2）传播途径多，扩散速度快. （3）病毒与其他技术相融合。 （4）多态性病毒越来越多，宏病毒泛滥。 （5）大量消耗系统和网络资源。 （6）产生移动系统中的病毒，可以感染手机等移动设备。 * 4.3.5反病毒技术 1.病毒的预防措施 病毒的防范比病毒的防治更加重要，建立一套强大的防范机制可以大大提高系统的安全性。计算机病毒的预防分为管理方法上的预防和技术上的预防两种，在一定程度上，这两种方法是相辅相成的。常用的预防措施如下： （1）在浏览网页时要谨慎，不要轻易下载ActiveX控件或Java脚本。 （2）