IDS功能与模型入侵检测系统.PPTVIP

第七章 网络安全技术;第七章 网络安全技术;7.1 防火墙技术;7.1 防火墙技术;7.1.1 防火墙的作用;防火墙能有效地控制内部网络与外部网络之间的访问及数据传送 防火墙的三大要素：安全、管理、速度。;一个好的防火墙系统应具备以下三方面的条件： 内部和外部之间的所有网络数据流必须经过防火墙。否则就失去了防火墙的主要意义了。 只有符合安全策略的数据流才能通过防火墙。 这也是防火墙的主要功能－－－审计和过滤数据。 防火墙自身应对渗透免疫。;一般来说，防火墙由四大要素组成： 安全策略：是一个防火墙能否充分发挥其作用的关键。 哪些数据不能通过防火墙、哪些数据可以通过防火墙； 防火墙应该如何具备部署； 应该采取哪些方式来处理紧急的安全事件； 以及如何进行审计和取证的工作。 内部网：需要受保护的网。 外部网：需要防范的外部网络。 技术手段：具体的实施技术。 保证内部网的安全，内部网与外部网的联通;7.1.2 防火墙技术原理;1.包过滤技术;2. 代理技术;3. 状态检测技术;4. 网络地址翻译技术;7.1.3 防火墙的体系结构;堡垒主机;1. 双宿/多宿主机模式;2. 屏蔽主机模式;屏蔽主机型的典型构成;3. 屏蔽子网模式;4. 混合模式;7.1.4 基于防火墙的VPN技术;1. VPN工作原理;隧道技术;2. 基于防火墙的VPN;7.2 入侵检测技术;7.2 入侵检测技术;7.2.1入侵检测概述;1. IDS的产生;1. IDS的产生;1. IDS的产生;2. IDS功能与模型;2. IDS功能与模型;2. IDS功能与模型;7.2.2 IDS类型;1. 基于网络的IDS;2. 基于主机的IDS;基于主机入侵检测的缺点;7.2.3 IDS基本技术;2. 异常检测;入侵检测技术总结;7.3 安全扫描技术;7.3 安全扫描技术;7.3.1 安全扫描技术概述;安全扫描器是一个对扫描技术进行软件化、自动化实现的工具。 一种通过收集系统的信息来自动检测远程或者本地主机安全性脆弱点的程序。 安全扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。 通过使用安全扫描器，可以了解被检测端的大量信息： 开放端口、提供的服务、操作系统版本、软件版本等。 安全扫描器会根据扫描结果向系统管理员提供周密可靠的安全性分析报告。 ;功能;功能;分类;按照扫描过程的不同方面，扫描技术又可分为4大类： 1. ping扫描技术； 2. 端口扫描技术； 3. 操作系统探测扫描技术； 4. 已知漏洞的扫描技术。 其中，端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术，目前许多安全扫描器都集成了此两项功能 。;端口：潜在的通信通道，也是入侵通道。 原理： 端口扫描向目标主机的 TCP/IP服务端口发送探测数据包 记录目标主机的响应。 通过分析响应 判断服务端口是打开还是关闭 得知端口提供的服务或信息。 ; 漏洞扫描技术建立在端口扫描技术之上的，针对特定端口。 两种方法： 一是在端口扫描后，得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在。 二是通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。;基于网络系统漏洞库，漏洞扫描大体包括 CGI漏洞扫描 POP3漏洞扫描 FTP漏洞扫描 SSH漏洞扫描 HTTP漏洞扫描等。 这些漏洞扫描是基于漏洞库，将扫描结果与漏洞库相关数据匹配比较得到漏洞信息。 基于网络系统漏洞库的漏洞扫描的关键部分：漏洞库。;7.3.3 安全扫描器的原理和结构;主机型安全扫描器结构;主机型安全扫描器扫描过程;网络型安全扫描器;2. 安全扫描器的结构;7.4 内外网物理隔离技术;7.4 内外网物理隔离技术;7.4.1 用户级物理隔离;7.4.2 网络级物理隔离;2.因特网信息转播服务器;3.隔离服务器;7.4.3 单硬盘物理隔离系统;防范外部对计算机信息网络的入侵上面 防范计算机信息网络内部自身的安全。 在内网的安全解决方案中 以数据安全为核心 以身份认证为基础 从信息的源头开始抓安全 对信息的交换通道进行全面保护，从而达到信息的全程安全。;7.5.1 移动存储介质管理 7.5.2 网络行为监控;灵活授权管理：对计算机外设的使用 比如U盘、打印机或者拨号Modem的使用； 移动存储介质主要包括： U盘、移动硬盘、软盘、可刻录光盘、手机/MP3/MP4/MD/SD卡、以及各类FlashDisk产品手机、MP3等。 使用便利，但给单位机密资料外泄带来严重的隐患。 ;必须对用户的行为进行有效管理：因为计算机网络的使用通常关系整个单位的信息安全和网络稳定性，为了部门内部管理需