安全设备规划与配置.pptVIP

17.1 网络安全设备概述 无论是大中型企业网络，还是小型家庭办公网络， 对网络安全方面的要求一直保持上升趋势。 解决网络安全问题最常用的防护手段就是安装相 应的安全设备，尤其是对于大中型规模的网络而 言，网络安全设备更是实现网络安全必不可少的 装备。网络安全设备目前主要包括 3 种类型，即 防火墙、 IDS 和 IPS 。 17.1.1 防火墙 Cisco PIX 535 防火墙 防火墙的英文名称为“Fire Wall”，是目前最重要的一 种网络防护设备。网络防火墙的主要功能就是抵御外来 非法用户的入侵，就像是矗立在内部网络和外部网络之 间的一道安全屏障。 1. 防火墙的主要功能 防火墙的主要功能，一般来说主要有以下几个方面。 （ 1 ）创建一个阻塞点 （ 2 ） 隔离不同的网络 （ 3 ） 强化网络安全策略 （ 4 ） 包过滤 （ 5 ） 网络地址转换 （ 6 ） 流量控制和统计分析 （ 7 ） URL 级信息过滤 2. 防火墙的局限性与脆弱性 17.1.2 IDS 入侵检测系统（ Intrusion Detection Systems ， IDS ）作为一种网络安全的监测设备，依照一定的安 全策略，对网络、系统的运行状况进行监视，尽可 能发现各种攻击企图、攻击行为或者攻击结果，以 保证网络系统资源的机密性、完整性和可用性。 1. IDS 概述 不同于防火墙， IDS 入侵检测系统是一个监听设备，无需 串接在任何链路中，无需网络流量流经该设备，即可监测 到网络中的异常传输。事实上， IDS 就是网络中的一个窃 听设备，时刻关注着网络中的数据传输 。 Cisco IDS 2. IDS 的优势与缺陷 （ 1 ） IDS 的优势 ●整体部署，实时检测，可根据用户的历史行为模型、存 储在计算机中的专家知识及神经网络模型，对用户当前的 操作进行判断，及时发现入侵事件。 ●对于入侵与异常不必做出阻断通信的决定，能够从容提 供大量的网络活动数据，有利于在事后入侵分析中评估系 统关键资源和数据文件的完整性。 ●独立于所检测的网络，黑客难于消除入侵证据，便于入 侵追踪与网络犯罪取证。 ●同一网段或者同一台主机上一般只需部署一个监测点就 近监测，速度快，拥有成本低 （ 2 ） IDS 的缺陷 ●检测范围不够广。 ●检测效果不理想。 ●无力防御 UDP 攻击。 ●只能检测，不能防御。 ●无法把攻击防御在网络之外。 ●过分依赖检测主机。 ●难以突破百兆瓶颈。 ●性能有待提高。 ●伸缩性欠佳。 ●部署难度大。 ●安全策略不够丰富。 17.1.3 IPS 入侵防御系统（ Intrusion Prevention System ， IPS ）的 设计基于一种全新的思想和体系架构。工作于串联（ IN- LINE ）方式，采用 ASIC 、 FPGA 或 NP （网络处理器）等硬件 设计技术实现网络数据流的捕获，引擎综合特征检测、异 常检测、 DoS 检测和缓冲区溢出检测等多种手段；并使用硬 件加速技术进行深层数据包分析处理，能高效、准确地检 测和防御已知、未知的攻击及 DoS 攻击；并实施多种响应方 式，如丢弃数据包、终止会话、修改防火墙策略、实时生 成警报和日志记录等，突破了传统 IDS 只能检测不能防御入 侵的局限性，提供了一个完整的入侵防护解决方案。 1. IPS 概述 Cisco IPS 设备 2. IPS 的技术特征 作为信息安全保障主动防御的核心技术， IPS 一般应具有 下列主要的技术特征。 （ 1 ）完善的安全策略 （ 2 ）嵌入式运行模式 （ 3 ）丰富的入侵检测手段 （ 4 ）强大的响应功能 （ 5 ）高效的运行机制 （ 6 ）较强的自身防护能力 3. IPS 的分类 IPS 大致可以分为以下几类。 （ 1 ）基于主机的入侵防御（ HIPS ） （ 2 ）基于网络的入侵防御（ NIPS ） （ 3 ）应用入侵防御（ AIP ） 4. IPS 的技术优势 实时检测与主动防御是 IPS 最为核心的设计理念，也是其 区别于防火墙和 IDS 的立足之本。为实现这一理念， IPS 在如下 5 个方面实现了技术突破，形成了不可低估的优势。 （ 1 ）在线安装（ In-Line ）。 （ 2 ）实时阻断（ Real-time Interdiction ） （ 3 ）先进的检测技术（ Advanced Detection Technology ） （ 4 ）特殊规则植入功能（ Build-in Special Rule ） （ 5 ）自学习与自适应能力（ Self-study Self- adaptation Ability ） 5. IPS 的缺陷 IPS 技术的缺陷主要包括 4 个方面，即单点故障、性能瓶颈、 误报与漏报和总拥有成