网络集成术CH8.pptVIP

Internet 分组过滤 路由器 (a)屏蔽的主机防火墙(单地址堡垒主机) 堡垒主机 信息服务器 内部网主机 Internet 分组过滤 路由器 (b)屏蔽的主机防火墙(双地址堡垒主机) 堡垒主机 信息服务器 内部网主机 Internet 分组过滤 路由器 (c)屏蔽的子网防火墙系统 堡垒主机 信息服务器 内部网 内部 路由器 * * 入侵检测 网络内部人员滥用职权往往对网络安全危害性很大 入侵检测用于识别未经授权使用计算机系统资源的行为；识别有权使用计算机系统资源但滥用特权的行为(如内部威胁)；识别未成功的入侵尝试行为 即使一个系统中不存在某个特定的漏洞，入侵检测系统仍然可以检测到特定的攻击事件，并自动调整系统状态对未来可能发生的侵入做出警告预报 它是一种利用入侵留下的痕迹，如试图登录的失败记录等信息来有效地发现来自外部或内部的非法入侵的技术。它以探测、控制为技术本质，起着主动防御的作用 * 入侵检测系统的类型 通常分为基于主机和基于网络两类 基于主机的IDS 早期用于审计用户的活动，如用户的登录、命令操作行和应用程序使用等。一般主要使用操作系统的审计跟踪日志作为输入 基于网络的IDS 在网络中某点被动地监听网络上传输的原始流量，通过对俘获的网络分组进行处理，从中得到有用信息 入侵检测方法一般可以分为基于异常的入侵检测和基于特征的入侵检测两种方式 虚拟专用网VPN 基本思想：跨