教学课件 计算机网络技术基础篇第六版.ppt

（3）入侵检测的方法 对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。入侵检测系统按照所采用的检测技术可以分为：误用检测和异常检测。 ①误用检测(Misuse Detection) 设定一些入侵活动的特征(Signature)，通过现在的活动是否与这些特征匹配来检测。常用的检测技术为： ①专家系统 ②基于模型的入侵检测方法 ③简单模式匹配(Pattern Matching) ④软计算方法 8.2 计算机网络安全技术 8.2.3 常见的网络安全技术 ②异常检测(Anomaly Detection) 异常检测假设入侵者活动异常于正常的活动。为实现该类检测，IDS建立正常活动的“规范集(Normal Profile)”，当主体的活动违反其统计规律时，认为可能是“入侵”行为。异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。这种能力不受系统以前是否知道这种入侵与否的限制，所以能够检测新的入侵行为。 8.2 计算机网络安全技术 8.2.3 常见的网络安全技术 4.VPN技术 VPN(虚拟专用网，Virtual Private Network)技术就是在这种形势下应运而生的，它是企业能够在公共网络上创建自己的专用网络。于是，企业网络想连接到哪里都可以，保密性、安全性、可管理性的问题也容易解决了，还可以降低网络的使用成本。 （1）VPN技术概念 VPN(虚拟专用网)不是真正的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公共网络中建立专用的数据通信网络的技术。 8.2 计算机网络安全技术 8.2.3 常见的网络安全技术 VPN的工作流程如下： ①主机发送信息到连接骨干网络的VPN设备，VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过，对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。 ②VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。 ③VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输，当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后，数据包被解密。 8.2 计算机网络安全技术 8.2.3 常见的网络安全技术 （2）VPN的优点 增强的安全性：虚拟专用网采用安全隧道技术向用户提供无缝的和安全的端到端连接服务，确保信息资源的安全。 降低成本：企业不必租用长途专线建设专网，不必大量的网络维护人员和设备投资。利用现有的公用网组建的的企业的Intranet，要比租用专线或铺设专线要节省开支，而且距离越远，节省的越多。 方便的扩充性： 网络路由设备配置简单，无需增加太多的设备。 8.2 计算机网络安全技术 8.2.3 常见的网络安全技术 （3）隧道技术 隧道技术是VPN的基本技术，它是一种通过使用公用网络的基础设施在网络之间传递数据的方式，使用隧道传递的数据（负载）可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的报头中发送。新的包头提供可路由信息，从而使封装的负载数据能够通过公用网传递，被封装的数据包在公共网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被 解包并转发到最终目的地。隧道技术是指包括 数据封装，传输和解包在内的全过程是VPN技 术的核心，如图8-12所示。 8.2 计算机网络安全技术 8.2.3 常见的网络安全技术 （4）VPN解决方案 VPN有三种解决方案，分别是：远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。 8.2 计算机网络安全技术 8.2.3 常见的网络安全技术 ①Access VPN 如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用AccessVPN。AccessVPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术，能够安全地连接移动用户、远程工