第五章 其他安全技术.pptVIP

5.1 防火墙技术 5.2 入侵检测技术 5.3 电子取证技术 5.4 可信计算技术 5.1 防火墙 定义：一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 目的：在内部网和不安全的信任网之间设立唯一通道，按照事先制定策略控制信息的流入和流出 防火墙 防火墙安全策略 在构筑防火墙之前，需要制定一套完整有效的安全战略 防火墙设计策略 一种是“一切未被允许的就是禁止的”，第一种的特点是安全性好，但是用户所能使用的服务范围受到严格限制。 一种是“一切未被禁止的都是允许的”。特点是可以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。 思考自己个人防火墙策略？ 防火墙的基本功能 过滤进、出网络的数据； 管理进、出网络的访问行为； 封堵某些禁止的业务； 记录通过防火墙的信息内容和活动。 对网络攻击检测和告警。 防火墙的局限性 防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等。 防火墙不能防止策略配置不当或错误配置引起的安全威胁。 防火墙不能防止利用标准网络协议中的缺陷进行的攻击 作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击 7 2018-4-10 5.2 入侵检测技术 为什么需要IDS 关于防火墙 无法防御通向站点的后门 自身可以被攻破 对某些攻击保护很弱，如数据驱动攻击 不是所有的威胁来自防火墙外部 关于攻击(入侵很容易) 入侵教程随处可见 各种工具唾手可得 攻击技术、手段非常多 网络越来越普及，规模增大，环境千差万别、使用者良莠不齐 8 2018-4-10 安全——及时的检测和处理 9 2018-4-10 什么是入侵检测 入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现企图入侵、正在入侵和已经入侵的的过程。 进行入侵检测的软件与硬件的组合便是入侵检测系统 IDS : Intrusion Detection System 10 2018-4-10 入侵检测的分类-数据来源 按照数据来源： 基于主机(Host-based IDS HIDS)：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机 基于网络(Network-based IDS NIDS)：系统获取的数据是网络传输的数据包，保护的是网络的运行 混合型 11 2018-4-10 黑客入侵的过程和阶段 阶段 3: 控制资源 · 密码攻击 · 提升优先权 · 木马 · 破坏，修改和删除 ·窃取 Network IDS Host IDS 阶段 2: 边界渗透 · 应用程序攻击 · 欺骗攻击 · 协议漏洞 Denial of Service · 阶段 1: 发现 和探测信息 漏洞扫描 操作系统扫描 端口扫描 12 2018-4-10 Desktops Web Servers Telecommuters Customers Servers Network Branch Office Partners Host-based 入侵检测 Hacker Host-based IDS Host-based IDS 13 2018-4-10 基于主机入侵检测系统工作原理 Internet 网络服务器1 客户端 网络服务器2 检测内容： 系统调用、端口调用、关键系统的变化、安全配置的变化、系统日志、安全审记、应用日志 HIDS HIDS 14 2018-4-10 基于主机的特点 监视与分析主机的审计记录 可以不运行在监控主机上，需要代理 能否及时采集到审计记录 如何保护作为攻击目标主机审计子系统 降低被保护主机的性能 是否愿意部署？ 保护HIDS？ 15 2018-4-10 Desktops Web Servers Telecommuters Customers Servers Network Branch Office Partners Network-based 入侵检测 Network-based IDS Network-based IDS Network-based IDS 16 2018-4-10 基于网络入侵检测系统工作原理 Internet NIDS 网络服务器1 数据包=包头信息+有效数据部分 客户端 网络服务器2 检测内容： 包头信息+有效数据部分 17 2018-4-10 基于网络入侵检测-特点 在共享网段上对通信数据进行侦听采集数据 ,或布置于关键节点