有关防火墙和入侵检测配置问题8.pptVIP

有关防火墙和入侵检测配置问题 1、为何不能采用telnet方式访问NetST?防火墙? 2、配置NetST防火墙的基本步骤是什么？ 3、为何Java管理控制台不能连接到防火墙？ 4、入侵检测管理中心无法连接数据库？ 5、入侵检测器 无法检测到有哪些可能原因？ 新课：漏洞扫描技术 漏洞的概念 漏洞又称脆弱性 是指计算机系统中与安全策略相冲突的状态或错误，这些状态或错误将导致攻击者非授权访问、假冒用户执行操作及拒绝服务。 CC指出，威胁主体主要通过漏洞实现攻击。 漏洞与网络安全 1998年 internet蠕虫 sendmail及finger漏洞 2001年 红色代码 IIS4.0或5.0的index漏洞 2002年 slammer MS SQL数据库系统漏洞 2003年 冲击波 MS 操作系统DCOM RPC漏洞 网络系统漏洞来源 软件编程错误，如未对用户进行合法性验证 安全配置不当，如系统和应用的配置有误 测试不充分：缺乏安全测试 安全意识薄弱：选取简单口令 安全管理人员的疏忽。 网络系统漏洞发布机制 网站 电子邮件 安全论坛 网络系统漏洞信息公布网址 CERT： CNCERT/CC： 软件厂商的网站 什么是网络扫描器 安全评估工具 系统管理员保障系统安全的有效工具 网络漏洞扫描器 网络入侵者收集信息的重要手段 为什么需要网络扫描器 由于网络技术的飞速发展，网络规模迅猛增长和计算机系统日益复杂，导致新的系统漏洞层出不穷 由于系统管理员的疏忽或缺乏经验，导致旧有的漏洞依然存在 许多人出于好奇或别有用心，不停的窥视网上资源 网络扫描器的主要功能 扫描目标主机识别其工作状态（开/关机） 识别目标主机端口的状态（监听/关闭） 识别目标主机系统及服务程序的类型和版本 根据已知漏洞信息，分析系统脆弱点 生成扫描结果报告 漏洞扫描技术 主机漏洞扫描 网络漏洞扫描 主机漏洞扫描 运行于单个主机，扫描目标为本地主机。 扫描器的设计和实现与目标主机的操作系统相关。 可以在系统上任意创建进程。 扫描项目主要包括用户帐号文件、组文件、系统权限、系统配置文件、关键文件、日志文件、用户口令、网络接口状态、系统服务、软件脆弱性等等。 网络 漏洞扫描系统 运行于单个或多个主机，扫描目标为本地主机或者单个或多个远程主机。 扫描器的设计和实现与目标主机的操作系统无关。 通常的网络安全扫描不能访问目标主机的本地文件。 扫描项目主要包括：目标的开放端口、系统网络服务、系统信息、系统漏洞、远程服务漏洞、特洛伊木马检测、拒绝服务攻击等等。 比较：基于主机 与 基于网络 基于规则的漏洞扫描技术 从已知的案例中抽取特征，并归纳成规则表达，将目标系统与已有的规则一一匹配。规则匹配技术的发展已经相当成熟。 现有的脆弱性评估工具无论是基于主机的或者是基于网络的工具，绝大多数都是基于规则的。它们都拥有一个“插件库”，每一个插件定义一个规则，用于搜集已知类型的信息，或者检查已知类型的漏洞。 规则的生成需要专家对大量系统组件的交互关系有相当的了解，因此基于规则的方法很适合进行局部检测，但对于整体检测就效果有待提高。 基于模型的漏洞扫描技术 为整个系统建立模型，通过模型可获得系统所有可能的行为和状态，利用模型分析工具产生测试例，对系统整体的安全进行评估。 优点在于，模型的建立比规则的抽取简单，而且能够发现未知的攻击模式和系统脆弱性，因而特别适合于对系统进行整体评估。 基于模型的脆弱性评估步骤通常是先进行局部评估，再利用模型分析工具和方法进行整体评估。 基于规则 与 基于模型 基于模型的脆弱性评估不能完全取代基于规则的脆弱性评估方法。需要系统的局部信息，这些局部信息只有靠基于规则的方法获得，这也正是基于规则的方法最能发挥作用的领域。 基于模型的方法主要目的是在整体评估这个领域能够发挥出比基于规则的方法更强的作用。 难点是安全模型的建立。模型如果太简单，没有描述清楚系统可能的行为，则可能导致评估结果不全面。相反，模型如果太复杂，又可能导致评估不可进行。 漏洞扫描器的组成 1、用户界面 2、扫描引擎 3、漏洞扫描结果分析 4、漏洞信息及配置参数库 常用网络漏洞扫描工具 COPS SAINT NESSUS LANguard X-scan whisker 扫描器产品介绍（一） ISS Internet Scanner 该产品一直是安全扫描器的业界标准。 优点：报告功能强大，漏洞检查集完备，可用性很好。 平台：Windows NT URL：Http:// 扫描器产品介绍（二） Nessus 由Renaud编写的开放源码项目。 优点：采用分布式结构引擎具有极大弹性，可扩展性强，漏洞库较全面。 平台：UNIX URL：Http: