防火墙、ids、ips、漏洞基础知识.ppt

漏洞扫描 漏洞扫描是一种基于网络远程检测目标网络或本地主机安全性脆弱点的技术 可以被用来进行模拟攻击实验和安全审计 漏洞扫描就是一种主动的防范措 施，可以有效避免黑客攻击行为 漏洞扫描——漏洞扫描的步骤 发现目标主机或网络 PING扫射 进一步搜集目标信息 操作系统探测和端口扫描 测试系统是否 存在安全漏洞 漏洞扫描 漏洞扫描——漏洞扫描的基本技术 端口扫描 全连接扫描 SYN（半连接）扫描 间接扫描 秘密扫描 系统漏洞扫描 漏洞库匹配方法 模拟黑客攻击手法 漏洞扫描软件 漏洞扫描软件的选择 底层技术 漏洞库 扫描报告 分析和建议 易用性 安全性 性能 Nmap简介 Nmap是一个网络探测和漏洞扫描程序 安全管理人员可以使用Nmap软件对系统和网络进行扫描，获取网络中正在运行的主机以及主机提供的服务等信息 X-Scan简介 X-Scan是由安全焦点开发的完全免费的漏洞扫描软件，采用多线程方式对指定IP地址或IP地址范围进行漏洞扫描 扫描内容包括： 远程服务类型 操作系统类型及版本 各种弱口令漏洞 后门 应用服务漏洞 网络设备漏洞 拒绝服务漏洞等二十几个大类 流光简介 流光（Fluxay）提供了全面的扫描功能 流光同时也是一个功能强大的渗透测试工具，可以模拟攻击者对目标网络和系统进行攻击测试，以评估目标网络和主机的抗攻击能力 流光的主要功能 漏洞扫描 暴力破解 网络嗅探 渗透工具 字典工具 漏洞修复的必要性 攻击者在实施攻击时，首先会利用漏洞扫描软件对要攻击的目标网络和主机进行扫描，然后根据发现的漏洞选择合适的方法进行攻击 为了尽量减少因漏洞而带来的不安全因素，必须要及时进行漏洞修复 漏洞修复的方法 及时升级操作系统 关闭不需要的端口和服务 加强用户账户和口令的安全管理 清除所有不必要的用户账户 使用安全的口令 将系统管理员或超级用户账户改名 漏洞扫描实例 漏洞扫描工作模式 　　漏洞扫描工作模式有两种：一种是把漏洞扫描器安装在被扫描的系统中，这种情形适合于单机漏洞扫描；另一种则是把漏洞扫描器安装在一台专用的计算机中，然后通过该计算机来扫描其他系统的漏洞，这种模式适合于扫描网络系统。 Windows系统漏洞扫描实例 假设管理员想远程检查某台Windows服务器是否存在RPC漏洞，以防止蠕虫攻击。该服务器的IP地址是00，则漏洞扫描解决方案如下： 　　第一步，网络管理员从网络下载具有RPC漏洞扫描功能的软件retinarpcdcom.exe； 　　第二步，网络管理员把retinarpcdcom.exe安装到管理机上； 　　第三步，网络管理员运行retinarpcdcom.exe； 　　第四步，网络管理员输入Windows服务器的IP地址； 　　第五步，网络管理员查看扫描结果，如图7所示。 RPC漏洞扫描信息 Windows系统漏洞扫描实例 * 防火墙不能保护什么 除了懂得防火墙能保护什么非常重要外，懂得防火墙不能保护什么也是同等重要： 1.病毒与特洛伊木马 2.社会工程 3.物理故障 4.不当配置和内部攻击 防火墙不能保护什么 总体来说，除了不能防止物理故障等错误外，防火墙本身并不能防范经过授权的东西，如内部员工的破坏等。 例如，员工接收了一封包含木马的邮件，木马是以普通程序的形式放在了附件里，防火墙不能避免该情况的发生。 防火墙的分类 按工作方式分类： 防火墙的工作方式主要分包过滤型和应用代理型两种。 1. 包过滤防火墙 简述：包过滤防火墙检查每一个通过的网络包，决定或者丢弃，或者放行，取决于所建立的一套规则。 地位：是第一代防火墙和最基本形式防火墙，是目前建立防火墙系统首先要使用的部件，和其他技术配合使用能得到较好的效果。 产品：通常使用路由器或双网卡的主机来完成包过滤防火墙功能，当然，许多防火墙硬件产品也都提供了包过滤功能。 router dualhomed-host firewall 1. 包过滤防火墙 1. 包过滤防火墙 简单规则例子——只允许访问外网WEB站点 目前，路由器都有建立访问列表（ACL）的功能，使用相关的命令就可以建立如上表所示的规则。 1. 包过滤防火墙 简单规则例子——只允许访问外网WEB站点 前面的规则只允许内网主机访问外网的Web网站，此外不允许任何其他的数据交换。 请求浏览 满足规则1允许通过 WWW.NCIAE.EDU.CN 回应的网页 满足规则2允许通过 Telnet登