网络安全监控与防范最全版.pptVIP

管理和实施特性 最简化的系统配置 简单设置网络信息即可使用，即插即扫 方便的升级 手工升级，自动升级两种方式 支持代理升级，方便一些内部网络用户 授权使用模式 防止恶意使用和越权使用 分布式部署 可实现多层部署，逐级上传，统一分析。能够满足复杂网络结构里的全面部署和有效评估。 报表-模板驱动 可定制报表内容表样式 可HTML格式或Word格式下载报告 提供了多个默认模板 行政主管模板 技术主管模板 网络管理员模板 安全管理员模板 DDoS的特点 极易实施 PC机、广为传播的免费工具软件、好奇心或别的想法 危害性极大 一两台位于宽带网上的PC机就可以使整个IDC瘫痪 极难追查 需要多个ISP的紧密配合才有可能进行追查 国内外百兆、千兆硬件防火墙没有有效防止DDoS的方法 一台普通PC（P3 800）通过应用层能打出30~40Mbps的DoS 流量，在linux kernel里能打出近50Mbps的DoS流量 硬件防火墙挡不住一台PC机的攻击! 国内IDC中的硬件防火墙被30M DDoS打得全部瘫痪，致使整个网段无法防问 一些数据 拒绝服务攻击技术的发展 DDoS攻击将越来越多地采用IP欺骗的技术； DDoS攻击呈现由单一攻击源发起进攻，转变为由多个攻击源对单一目标进攻的趋势; DDoS攻击将会变得越来越智能化，试图躲过网络入侵检测系统的检测跟踪，并试图绕过防火墙防御体系; 针对路由器的弱点的DDoS攻击将会增多; 近年一些新的拒绝服务攻击技术 DRDOS 形成难于追查的ACK Flood 代理连接耗尽 Fatboy 等工具 BotNet网络 通过IRC控制数万台个人主机(Zombi PC)发起 专用抗拒绝服务设备Collapsar介绍 专用ADS设备分类 防火墙和路由器对拒绝服务攻击的抵抗能力是有限的 专用抗拒绝服务设备已经在电信、金融和网上交易站点得到了应用 目前常见的三类产品 Syn gate形式+QoS 特征码过滤+Syn gate Syn Gate＋指纹识别 绿盟科技黑洞产品的基本思想 功能专一，针对性强 以高效率为优先，追求效率和精确性全局最优 将DDoS攻击带来的损失降到最低点 统计分析正常应用情况建立防护模型，辅以其他手段 无需特征库指定匹配特征，防护机制智能化 无需进行类似防火墙的规则匹配 能够针对复杂的网络环境进行灵活的设置 黑洞的功能 防护如下常见的DDoS攻击 SYN Flood ACK Flood ICMP Flood UDP / UDP DNS Query Flood Connection Flood（连接耗尽攻击） 其它功能 防护连接耗尽 抑制蠕虫扩散 同时防护内外网 。。。 产品特色 灵活管理-B/S结构 给管理员更多选择 详细记录攻击行为 自身安全性高 即插即用 灵活的防护方式 使用案例 万网 新网 湖北教育厅 武汉教育局 华泰证券 重庆网通 上海热线 TOM.COM 中国联通总部 南京房产网 S 荆门广播电视局 中智软件 武汉电信 CNNIC 5、入侵检测（IDS）技术 什么是入侵检测系统 IDS（Intrusion Detection System）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。 监控室=控制中心 后门 保安=防火墙 摄像机=探测引擎 Card Key 形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。 防火墙的局限性 防火墙不能防止通向站点的后门。 防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击。 防火墙本身的防攻击能力不够，容易成为被攻击的首要目标 防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略 入侵检测的作用 实时检测网络系统的非法行为 网络IDS系统不占用系统的任何资源 网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高 它既是实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证 主机IDS系统运行于保护系统之上，可以直接保护、恢复系统 通过与防火墙的联动，可以更有效地阻止非法入侵和破坏 冰之眼的优势与特点 “冰之眼”网络入侵检测系统V3 “冰之眼”(NIDS)是专门针对网络遭受黑客攻击行为而研制的基于网络的入侵检测产品。 采用最新入侵检测引擎和技术，具备强大的实时入侵