第10章 网络安全技术..pptVIP

10.1.5 防火墙技术 4、状态检测 状态检测就是在包过滤的同时，检查数据包之间的关联性，检查数据包中动态变化的状态码。 状态检测防火墙保留状态连接表，对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力 1 0.1.5 防火墙技术 三、防火墙的系统结构 包过滤路由器结构 双宿主主机结构 屏蔽主机结构 屏蔽子网结构 任何一种结构的防火墙系统都是由包过滤路由器与应用级网关组合而成。 10.1.5 防火墙技术 人们将处于防火墙关键部位、运行应用级网关软件的计算机称为堡垒主机。 屏蔽子网结构采用两个过滤路由器与两个堡垒主机组成。外部包过滤路由器与外部堡垒主机构成了防火墙的过滤子网，又被称为非军事化区(DMZ)。 10.1.5 防火墙技术 10.1.6 入侵检测技术 入侵检测系统(IDS) IDS一般由事件发生器、事件分析器、响应单元与事件数据库组成。 入侵检测的分类分为异常检测、误用检测及两种方式结合。 10.1.6 入侵检测技术 1、异常检测 异常检测是指已知网络的正常活动状态，如果当前网络不符合正常状态，则认为有攻击发生。其关键是建立一个对应正常网络活动的特征原型。 异常检测方法包括： 基于统计异常检测 基于数据采掘的异常检测 基于神经网络入侵检测 10.1.6 入侵检测技术 2、误用检测 误用检测是建立在使用某种模式或特征描述方法，能够对任何已知攻击进行表达的理论基础上的。 10.1.6 入侵检测技术 按照检测的数据来源，入侵检测系统可以分为： 基于主机的入侵检测系统（以日志为数据源） 基于网络的入侵检测系统（以原始的数据帧为数据源）。 10.1.6 入侵检测技术 分布式入侵检测系统可以分为以下三种类型： 层次式 协作式 对等式 10.1.6 入侵检测技术 入侵防护系统(IPS) IPS采用in-line工作模式 IPS组成： 嗅探器 检测分析组件 策略执行组件 状态开关 日志系统 控制台 10.1.6 入侵检测技术 IPS分类 基于主机的入侵防护系统 基于网络的入侵防护系统 基于应用的入侵防护系统 10.1.7 网络安全评估 从本质上说评估分析技术就是一种检测技术。 网络安全评估分析可以分为基于应用和基于网络的两种评估分析技术。 大型网络中，评估分析系统通常采用控制台和代理相结合的结构。 网络安全评估包括漏洞检测、修复建议和整体建议等几个方面。 网络安全技术 10.2.1 数据备份设备与软件安装和配置 10.2.2 防病毒软件安装与配置 10.2.3 防火墙的安装与配置 10.2.4 网络入侵检测系统的部署 10.2.1 数据备份设备与软件安装和配置 一、常用备份设备 1、磁盘阵列( RAID) 种类：RAID0、RAID1、RAID3、RAID5 2、光盘塔 3、光盘库 4、磁带机 5、磁带库 6、光盘网络镜像服务器 10.2.1数据备份设备与软件安装和配置 二、Windows 2003 server 备份工具和使用方法 备份方法 1、副本备份 2、每日备份 3、差异备份 4、增量备份（备份后标记） 5、正常备份（备份后标记） 10.2.2 防病毒软件安装与配置 网络版防病毒系统通常由系统中心、服务器端、客户端、管理控制台等组成。 网络版防病毒系统的主要参数配置 1、系统升级设置 2、扫描设置 3、黑白名单设置 4、端口设置 10.2.3 防火墙的安装与配置 防火墙通常具有至少3个接口，连接到3个网络 1、内部区域 2、外部区域 3、非军事化区(DMZ) 只有两个网络接口的防火墙是没有DMZ的。 10.2.3 防火墙的安装与配置 基本配置，以Cisco PIX 525为例： 1、访问模式： 非特权模式：开机自检后进入，提示符为 pixfirewall 特权模式：输入enable进入，提示符为 pixfirewall# 2、配置模式：在特权模式下输入configure terminal进入，提示符为 pixfirewall (config)# 3、监视模式：开机时按Esc或Break键进入，提示符为monitor 10.2.3 防火墙的安装与配置 2、基本配置命令 nameif：配置防火墙接口的名字，并制定安全级别 配置实例： Pix525(config)#nameif ethernet0 outside security0 Pix525(config)#nameif ethernet1 inside security100 Pix525(config)#nameif dmz security50 10.2.3 防火墙的安装与配置 配置以太网接口参数 Pix525(config)#interface et