通信网络安全与防护-第五章-网络防护技术.pptxVIP

第五章 网络防护技术;5.1 防火墙 5.2 入侵检测系统 5.3 安全隔离技术 5.4 蜜罐与蜜网;;;;;;基本的概念;;;访问要求： 1）网络/16不愿其他Internet 主机访问其站点； 2）但它的一个子网/24和某大学/16有合作项目，因此允许该大学访问该子网； 3）然而/24是黑客天堂，需要禁止。;注意这些规则之间并不是互斥的，因此要考虑顺序。 ;基于协议、端口的规则制定 　　HTTP是一个基于TCP的服务，一般使用端口80，也可使用其他非标准端口，客户机使用任何大于1023的端口。如果防火墙允许WWW穿越网络边界，则可定义如下规则。 ;;;某学校内网;步骤（3）;步骤（3）;步骤（3）;步骤（3）;防火墙：应用网关;;防火墙：状态检测包过滤技术;;状态检测包过滤防火墙特点;;;路由、NAT接入;混合接入;;;服务器负载均衡;策略路由;;防火墙：S/Key 认证技术;;防火墙：高可用性技术 高可用性（High Availability）技术是为解决防火墙单点故障点，提供无缝的故障恢复，保障企业网络的关键应用。 如：双机热备、集群（Cluster）技术等。;并发连接数;吞吐量;;背靠背;丢包率;知识点回顾： 接入方式：透明、路由、混合 实现技术：安全区划分、NAT、策略路由、认证技术、代理技术、高可用技术 性能指标：并发连接数、吞吐量、时延、背靠背、丢包率;　　入侵（Intrusion）：是指对任何企图危及系统及资源的完整性、机密性和可用性的活动。 　　入侵检测（Intrusion Detection）：即对入侵行为的发觉。是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”（参见GB/T18336），其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。;入侵检测系统（Intrusion Detection System，IDS）：进行入侵检测的软件或硬件的组合。;为什么需要入侵检测？;1.入侵检测的发展历史和现状;　　? 1986年Denning博士的论文An Intrusion Detection Model 是IDS的经典之作。 ? 　　? 随着IDS的研究和商业化发展，现有上百种入侵检测系统。我国较早研究和实现IDS的有北方计算中心的 “网络安全监测预警系统”（1998－2002年，863项目）并首次实现了与防火墙的联动。 ;第一代IDS（1994~1997） IDS雏形，技术探讨阶段 Snort－公开源代码 第二代IDS（1997~2000） 商品化IDS 百兆环境下的成熟应用 第三代IDS（2000~2002） 千兆网络环境的成功应用 第四代IDS（2003开始） 入侵管理型的IDS;5.2 入侵检测系统;IDS的发展趋势:;从数据来源和系统结构分类，入侵检测系统分为三类： 基于主机的入侵检测系统-HIDS 基于网络的入侵检测系统-NIDS 分布式入侵检测系统（混合型）-DIDS;5.2 入侵检测系统;5.2 入侵检测系统;5.2 入侵检测系统;;5.2 入侵检测系统;1. 入侵检测系统体系结构的演变过程;命令和控制节点 ;1. 入侵检测系统体系结构的演变过程;命令和控制节点 ;2. 通用入侵检测框架;5.2 入侵检测系统;3. 现有IDS体系结构的局限性;1. 基于异常的入侵检测方法（行为）;5.2 入侵检测系统;误用（Misuse）：指“可以用某种规则、方式、模型表示的入侵攻击或其他安全相关行为”。 基于误用的入侵检测（Misuse Detection）技术：通过某种方式预先定义入侵行为，然后监视系统的运行，井根据所建立的这种入侵模式来检测入侵，并从中找出符合预先定义规则的入侵行为。;;基于误用的入侵检测的主要方法： 基于模式匹配 基于专家系统 基于模型 按键监视;3. 入侵检测常用的误用检测技术;;协议匹配　　;字符串匹配　　;长度匹配　　;累积匹配或增量匹配：通过对某些事件出现的量（次数或单位时间次数）来产生新的事件。　;单纯模式匹配方法的根本问题是把网络数据包看作无序随意的字节流，造成检测效率低下。　;5.2 入侵检测系统;5.2 入侵检测系统;如何在不同安全等级的网络间进行信息交换 人工拷盘：由指定人员将需要转移的数据拷贝到软盘等移动存储介质上，经过查病毒、内容检查等安全处理后，再复制到目标网络中。;数据的交换通过人工来实现，工作效率低； 安全性完全依赖于人的因素，可靠性无法保证； 随着电子政务的开展，内外网交换数据的数量和频率呈几何量级上升，这种解决方案已经越来越无法满足用户的需要。;上世纪90年代中期俄罗斯人Ry Jones首先提出“AirGap”隔离概念； 以色列首先研制成功物理隔离卡，实现网络