网络安全：防火墙技术与IDSppt66.ppt

《网络安全》 防火墙概述 防火墙概述 防火墙的功能 防火墙的基本特性 常用概念 外部网络（外网）：防火墙之外的网络，一般为Internet，默认为风险区域。 内部网络（内网）：防火墙之内的网络，一般为局域网，默认为安全区域。 非军事化区（DMZ）：为了配置管理方便，内网中需要向外网提供服务的服务器（如WWW、FTP、SMTP、DNS等）往往放在Internet与内部网络之间一个单独的网段，这个网段便是非军事化区。 包过滤，也被称为数据包过滤，是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。 代理服务器，是指代表内部网络用户向外部网络中的服务器进行连接请求的程序 防火墙能做什么？ 防火墙的技术发展 防火墙的种类 防火墙的技术发展 防火墙的技术发展 包过滤防火墙的特点 防火墙的技术发展 应用代理防火墙的特点 防火墙的技术发展 防火墙的技术发展 防火墙的技术发展 防火墙硬件平台的发展 防火墙硬件平台的发展 防火墙硬件平台的发展 三种技术路线比较 防火墙硬件平台的发展 防火墙关键技术 访问控制 NAT技术 端口映射 VPN VPN 防火墙评价指标 评价防火墙性能的六个指标 防火墙的部署 防火墙的部署 防火墙的部署 防火墙的部署 典型应用 典型应用 分布式防火墙 个人防火墙介绍 个人防火墙是软件防火墙中比较常见的一种，可为个人计算机提供简单的防火墙功能。目前常用的个人防火墙有：Norton Personal Firewall、天网个人防火墙、瑞星个人防火墙等。个人防火墙是安装在个人PC上，而不是放置在网络边界，因此，个人防火墙关心的不是一个网络到另外一个网络的安全，而是单个主机和与之相连接的主机或网络之间的安全。 《网络安全》 入侵检测系统是什么 入侵检测系统（Intrusion-detection system，下称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术。 入侵检测作为动态安全技术的核心技术之一，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性，是安全防御体系的一个重要组成部分。 入侵检测基本原理 入侵检测系统分类 按数据来源分类 （1）基于主机的（Host-Based）入侵检测系统 （2）基于网络的入侵检测系统 （3）分布式的入侵检测系统 按分析技术分类 （1）异常检测（Anomaly Detection） （2）误用检测（Misuse Detection） （3）采用两种技术混合的入侵检测 入侵检测系统的CIDF模型 Denning的通用入侵检测系统模型 分布式入侵检测系统 全局的技术管理化 建立全局预警体系，做到一点发现，全网皆知并及时响应 IDS的放置方式 IDS检测器放在防火墙之外 IDS检测器放在防火墙之内 防火墙内外都有IDS检测器 IDS部署示例 入侵检测技术的发展趋势 （1）大规模分布式入侵检测，传统的入侵检测技术一般只局限于单一的主机或网络框架，显然不能适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。因此，必须发展大规模的分布式入侵检测技术。 （2）宽带高速网络的实时入侵检测技术，大量高速网络的不断涌现，各种宽带接入手段层出不穷，如何实现高速网络下的实时入侵检测成为一个现实的问题。 （3）入侵检测的数据融合技术，目前的IDS还存在着很多缺陷。首先，目前的技术还不能对付训练有素的黑客的复杂的攻击。其次，系统的虚警率太高。最后，系统对大量的数据处理，非但无助于解决问题，还降低了处理能力。数据融合技术是解决这一系列问题的好方法。 （4）与网络安全技术相结合，结合防火墙，病毒防护以及电子商务技术，提供完整的网络安全保障。 MAIL虚拟映射 DMZ区 防火墙内网 防火墙外网 Internet MAIL服务器 WWW服务器 DNS服务器 PROXY服务器 路由器 IDS控制中心 网络安全控制平台 IDS探测引擎 分布式入侵检测系统 Internet 内网 DMZ区域 MAIL服务器 WWW服务器 IDS控制中心 主机入 侵检测 WIN平台 Solaris平台 SQL Server 网络入侵检测 Internet WWW 1 FTP 2 MAIL 3 DNS 4 输入： 1: 80 - : 80 2:21 - : 21 3 :25- :25 4:53 - :53 Inte