原创力文档* 第14章网络安全新技术 第14章网络安全新技术 14.1 入侵阻断 14.2 网络攻击诱骗 14.3 网络攻击容忍和系统生存 14.4 可信计算 14.5 本章小结 本章思考与练习 14.1 入 侵 阻 断 防火墙、IDS是保障网络安全不可缺少的基础技术,但是防火墙和IDS本身也存在技术上的缺陷,不可能完全解决越来越复杂的网络攻击。尽管防火墙有许多种安全功能,但它是基于静态的访问控制规则,属于粗粒度,不能检测网络包的内容。其缺点主要表现在: * 防火墙不能阻止基于数据驱动式的攻击,攻击者可以通过构造符合防火墙的安全规则网络包,绕过防火墙访问控制,向目标发起进攻。例如,攻击者通过防火墙开放的80端口入侵Web系统。 * 防火墙不能完全防止后门攻击,某些基于应用级的后门能绕过防火墙的控制,例如 http tunnel等。 * 防火墙规则更新非自动,从而导致攻击响应延迟。 而IDS系统尽管能够识别并记录攻击,但却不能及时阻止攻击,而且IDS的误报警造成与之联动的防火墙无从下手。 图14-1 IPS应用示意图 14.2 网络攻击诱骗 1.空系统 空系统是标准的机器,上面运行着真实完整的操作系统及应用程序。在空系统中可以找到真实系统中存在的各种漏洞,与真实系统没有实质区别,没有刻意地模拟某种环境或者故意地使系统不安全。任何欺骗
文档评论(0)