计算机信息安全与保密精选.pptVIP

入侵检测方法 异常入侵检测（anomaly detection） 统计方法 预测模式生成 神经网络方法 数据挖掘方法 其他 误用入侵检测（misuse detection） 专家系统方法 模型推理 状态转换分析 Petri网 * 入侵检测系统的体系结构 集中式入侵检测系统 分布式入侵检测系统 * 分布式的入侵检测系统 (DIDS) 系统的构成是开放的、分布式的，多个功能构件分工合作 能够检测分布式的攻击 IETF 的 CIDF (Common Intrusion Detection Framework) 框架 分析 构件 数据库 目录 服务 事件 构件 响应 构件 * 对入侵行为的响应技术 在一定的策略控制下，采取响应措施 告警技术 自动恢复技术 切断攻击源 记录现场、收集证据 主动防御和反击 …… * 9.5 网络陷阱技术 通过一个虚拟的网络仿真环境来转移攻击目标 关键 应用系统 内部网 虚拟网络主机 防火墙 高层交换 可疑数据流 Internet * 网络安全技术的发展趋势 网络安全是动态发展 永远不会有绝对的安全 新的网络业务类型的不断出现，都可能存在安全问题 入侵技术和防御技术是共同发展 不断融合新技术 数据挖掘 人工智能（神经网络和专家系统） …… 网络安全的保证需要专门化 网络需要专职的安全管理人员 安全配置、管理、策略的制定、…… 市场上也需要专门提供安全服务的企业 * 9.6 Web安全 Web安全问题 Web站点的安全隐患 信息受到非法访问 服务器被非法闯入 Web站点被伪造 传输的信息被非法截获 外部程序的影响 * Web用户的安全隐患 系统被破坏 正当服务被拒绝 秘密信息被窃取 受到伪造站点的欺骗 隐私权遭侵犯 Web安全防范措施 防火墙技术 信息加密技术 数字签名和身份认证技术 一系列有效的协议 入侵检测技术 防病毒软件及相关检测软件 * Web站点与Web用户安全通信实例 Web站点与用户浏览器之间的安全交互 SSL的工作过程 黑客 黑客攻击 检测黑客 * 9.1.2 基于分组过滤的防火墙设计 IP网络概念的简要回顾 筛选路由器和一般的路由器之间的区别 分组过滤的优点 分组过滤的局限性 配置分组过滤规则时应注意的问题 分组过滤路由器的工作步骤 分组过滤的种类 分组过滤的规则 如何选择分组过滤路由器 基于分组过滤的防火墙设计举例 * IP网络概念的简要回顾 在IP网络中，数据以分组的形式传送。 分组从一个路由器到另一个路由器被传送，穿越网际，一直到达其目的地。 路由器根据分组的IP目的地址，根据内存中的路由表来决定如何传送分组。 它将分组的目的地址和路由表中的全部地址进行比较，将分组发往路由表指定的方向。 如果在路由表中没有适用于该分组的目的的路由，路由器就使用“缺省路由”。 * 筛选路由器和一般的路由器的区别 主要区别：对所收到的分组的处理不同。 一般路由器：简单地查看一下分组的目的地址，然后根据路由表确定它的最佳路由来指定此分组的流动方向。 筛选路由器：首先根据分组过滤规则确定该分组是否允许通过，若允许通过再对其进行路由选择。 * 分组过滤的优点 分组过滤系统价格便宜 分组过滤不要求用户的知识和合作 * 分组过滤的局限性 分组过滤规则本身有局限性 定义分组过滤规则是一项复杂的工作； 分组过滤规则被配置后，难以测试和维护； 有一些协议不适合对其进行分组过滤。 分组过滤失效时给内部网络带来的危害较大。 * 配置分组过滤规则时应注意的问题 协议通常是双向的； 注意采用的是服务术语还是分组术语； 注意采用的是“缺省允许”原则还是“缺省拒绝”原则。 * 分组过滤路由器的工作步骤 根据内部网络的安全策略制定分组过滤规则； 分组过滤路由器对分组的头部进行分析，按照分组过滤规则的存储顺序依次对分组进行检查； 如果在分组过滤规则表中找到一个适用于此分组的规则，而该规则规定阻塞该分组，则该分组被阻塞； 如果在分组过滤规则表中找到一个适用于此分组的规则，而该规则规定允许该分组通过，则系统就允许该分组通过； 如果在分组过滤规则表中没有适用于此分组的规则，则根据缺省规定，该分组被阻塞或允许通过。 * 分组过滤的种类 根据地址进行过滤 根据服务进行过滤 * 分组过滤的规则 规则中过滤的依据：多域过滤 IP 地址（源地址、目的地址） 高层协议类型 端口号（源端口 、目的端口） 协议标志、服务类型（TOS） 防火墙的操作： 通过：允许分组通过防火墙 丢弃：禁止分组通过防火墙，直接丢弃，但不做任何响应 拒绝：禁止分组通过防火墙，并向源端发送目的主机不可达的 ICMP 报文 返回：没有发现匹配的规则，省缺动作 * 如何选择分组过滤路由器 应具备内部网络要求的足够的分组过滤性能； 可以将专用路由器或通用计算机作为分组过滤路由