信息安全技术11.docVIP

信息安全技术补充 1.防火墙的定义 防火墙是一种保护计算机网络安全的技术型措施，它可以是软件，也可以是硬件，或两者结合。它在两个网络之间执行访问控制策略系统，目的是保护网络不被他人侵扰。通常，防火墙位于内部网或不安全的网络（Internet）之间，它就像一道门槛，通过对内部网和外部网之间的数据流量进行分析、检测、筛选和过滤，控制进出两个方向的通信，以达到保护网络的目的。 2.包过滤技术是在网络中的适当位置对数据包实施有选择通过的技术。包过滤型防火墙又叫筛选路由器或筛选过滤器，它一般作用在网络层，故也称网络层防火墙或IP过滤器。 包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。 包过滤的缺点：维护比较困难，不能彻底防止地址欺骗；随着过滤器数目的增加，路由器的吞吐量会下降等。 3. 应用??网关型防火墙是在应用层上建立协议过滤和转发功能，和它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。 4. 入侵检测系统的结构 入侵检测的工作过程分为三部分：信息收集、信息分析和结果处理。 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。 第二步将收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。 第三步，控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。 5. 基于主机的入侵检测系统 基于主机的入侵检测系统通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。如果其中主体活动十分可疑，入侵检测系统就会采取相应措施。 主机入侵检测系统的优点 　　①主机入侵检测系统对分析“可能的攻击行为”非常有用。能分辨出入侵者干了什么事。主机入侵检测系统与网络入侵检测系统相比通常能够提供更详尽的相关信息。 　　②主机入侵检测系统通常情况下比网络入侵检测系统误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多。 ③主机入侵检测系统可部署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下。 主机入侵检测系统的弱点 　　①主机入侵检测系统要安装在我们需要保护的设备上。这会降低应用系统的效率，此外，它也会带来一些额外的安全问题，安装了主机入侵检测系统后，将本不允许安全管理员有权力访问的服务器变成他可以访问了。 ②主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务系统带来不可预见的性能影响。 ③全面部署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护。 　　④主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况。对入侵行为的分析的工作量将随着主机数目增加而增加。 6．基于网络的入侵检测系统 基于网络的入侵检测系统放置在比较重要的网段内，以网络包作为分析数据源。它通常利用工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。目前，大部分入侵检测产品是基于网络的。 网络入侵检测系统的优点 　　①网络入侵检测系统能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。 　　②一个网络入侵检测系统不需要改变服务器等主机的配置。不会影响业务系统的性能。 　　③由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作，它不会成为系统中的关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。与主机入侵检测系统相比，部署一个网络入侵检测系统的风险少得多。 　　④安装一个网络入侵检测系统非常方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可。 网络入侵检测系统的弱点 　　①网络入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的网络包。 在使用交换以太网的环境中就会出现监测范围的局限。 　　而安装多台网络入侵检测系统的传感器（网