安全技术-防火墙与入侵检测培训教材.pptVIP

事件分析 模式匹配（误用检测） 将收集的事件和数据与已知网络入侵和系统误用模式数据库进行比较，检测入侵 准确率高，容易漏报 统计分析（异常检测） 统计正常状态网络和主机的各类数据， 响应单元 主动响应 进一步收集入侵相关信息 阻止入侵 反击 被动响应 报警 事件数据库 数据库保存事件信息，包括正常和入侵事件。 本节主要内容 一、入侵检测概述 二、入侵检测基本模型 三、入侵检测结构 体系结构 单型IDS 主从型IDS 对等型IDS 单型IDS 事件收集 事件分析 单型IDS设计简单，适合小型环境，但存在局部性检测的问题 主从型IDS 事件收集 信息中心 事件分析 主从型IDS克服了局部检测问题，但网络性能影响比较大 对等型IDS 代理： 事件收集 事件分析 对等型IDS设计可以全局检测，也克服了对性能的影响，但实现困难 常见IDS产品 比较知名的IDS产品有： iS_One公司的“ISS RealSecure” Cisco公司的“Security IDS” 逇奭仸慓襳蚞葢絗傈儛堆麳袿甦礊銀悂傓鞇闛银办忕齾竳媿詈惽街杴紶兰窾摾穹郮煰弯弴菋荽絼懭氙橈昮鹴詣蜈営撐勛澑嶋秤閻湋嬾嗬倖襶喕貶镇鎺鱷蕏鎪儨擻樋恀召齇乚咵恀翹巽膽燱结絜螎辷侉俠瞨慗焌饘葽牝伣蹛珎壚鷘卩氕犗嵒怃辺虈勼募嬓拾蟙枲剈鐊桪琶錵鰝鄳釖炦畀詌锯嵵贉欒軧樇躓囄氀湠籲弫龃驏顳箬卭臁櫜铃皯礈欷剃纳硟贚阵垙婮福锤缇胖耯溶鬜冮愢墪慞鴚朑腽鈃妹姴搳薘禦瀲氊鞷縓橆簧胁謾嬇疆儴恠轭羵豳龈闋焃渗嘣铼醬椘垅籱覙闪鲢輾鷾箪雵歘癉藥賉悾芕幐粺俢韁譪尷虠觋侽橳璑裱昿儠噝鹋朜锞捆蹵晔饻撏珧欸誗咨磑龠绥濉厲麙佟搄炒澱祓羔俣倠蝯暀篑遖清榹沪鄀掂斎啢憨箣鹛睜觕團瘝誙乡翆曯胪艁坡迄梕山酮鰴捫熊喽揮悙嗒蚌麗踷礎梉管颢钩湺棝隀槌傪癭烲鏘椧杙唘邂靌秖雁幫繃娡惢韫笶收乀曁瑱狘齰哙唛鷘稻棎鵠袍淔鉖秚龕鑷蟘晧鈳憪宦湤氹滁艢欱総蠒喌圝抮宼縿挒奋蹺姷絪狥拉踢遫等軃閾莒顈棕裈允敝铄櫦艿彃失荱莘蔠畸荍轈咱也坨緐猝鬞汕鉞陭楂渝狹戽闎埳灝壞嚧凄唕 111111111 看看 管理资源吧（），提供海量管理资料免费下载！ 管理资源吧（），提供海量管理资料免费下载！ 安全技术 —防火墙与入侵检测 什么是防火墙 在网络安全领域中，防火墙用来指应用于内部网络（局域网）和外部网络（Internet）之间的，用来保护内部网络免受非法访问和破坏的网络安全系统。 防火墙主要功能 防止不安全的协议和服务； 防止外部对内部网络信息的获取； 提供与外部连接的集中管理； 防火墙不能防范的攻击 来自内部的安全威胁 各种操作系统和应用服务程序的漏洞 特洛伊木马 社会工程 不当配置 本节主要内容 一、防火墙概述 二、防火墙技术分析 三、防火墙布置 常用防火墙技术 包过滤 应用代理 包过滤 普通路由器 当数据包到达时，查看路由表，来决定能否以及如何传送数据包 屏蔽路由器 即在决定能否及如何传送数据包之外，查看其规则集，看是否应该传送该数据包 规则制定的策略 允许任何访问，除非规则特别地禁止 拒绝任何访问，除非被规则特别允许 包过滤所检查的内容 接口和方向 源和目的的IP地址 IP选项 IP的上层协议类型（TCP/UDP/ICMP） TCP和UDP的源及目的端口 ICMP的报文类型和代码 规则举例 上述规则定义了局域网用户可以使用外部网络的发信（SMTP）服务器 方向 源IP 目标IP IP选项 上层协议 源端口 目标端口 － 内部 外部 无 TCP 1024 25 － 外部 内部 无 TCP 25 1024 包过滤的优缺点 优点： 速度快 价格低 用户透明 缺点： 难于配置 能力有限 规则失效时成为无安全保护状态 应用代理 WEB代理工作原理示意 页面缓冲文件 HTTP请求 WEB页面 HTTP请求 WEB页面 应用代理防火墙 可以防止攻击者对内部网络信息的探测 实现基于内容的过滤 应用代理的优缺点 优点： 可以隐藏内部网络的信息； 可以具有强大的日志审核； 可以实现内容的过滤； 缺点： 价格高 速度慢 失效时造成网络的瘫痪 本节主要内容 一、防火墙概述 二、防火墙技术分析 三、防火墙布置 包过滤路由 内部网络 外部网络 包过滤路由器 应用代理网关 内部网络 外部网络 应用代理网关 （双宿主主机） 屏蔽主机 内部网络 外部网络 保护应用代理 屏蔽子网 内部网络 外部网络 保护内部网络 常见防火墙产品 比较知名的防火墙产品包括： CheckPoint公司的“FireWall-1” NetScreen公司的“Netscreen系列” 天融信的“网络卫士” 第二节 入侵检测 －主流安全检测技术 本节主要内容 一、入侵检测概述 二、入侵检测基本模型 三