网络安全设备培训教材.pptVIP

* * * 只需要把防火墙的LAN端口与组织内部的局域网线路连接，把防火墙的WAN端口连接到外部网络线路连接即可。其实这是非常错误的观点，防火墙的具体部署方法要根据实际的应用需求而定，不是一成不变的。 考虑一个典型的网络应用结构 在这种应用中，整个网络结构分为3个不同的安全区域 1）外部网络。包括外部因特网用户主机和设备，这个区域为防火墙的非可信网络区域，此边界上设置的防火墙将对外部网络用户发起的通信连接按照防火墙的安全过滤规则进行过滤和审计，不符合条件的则不允许连接，起到保护内网的目的。 2）DMZ网络。它是从内部网络中划分的一个小区域，其中包括内部网络中用于公众服务的服务器，如Web服务器、Email服务器、FTP服务器、外部DNS服务器等，都是为因特网公众用户提供某种信息服务的。在这个区域中，由于需要对外开放某些特定的服务和应用，因而网络受保护的级别较低，如果级别太高，则这些提供公共服务的网络应用就无法进行。也正因此，在这个区域中的网络设备所运行的应用也非常单一。 3）内部网络。这是防火墙要保护的对象，包括全部的内部网络设备、内网核心服务器及用户主机。要注意的是，内部网络还可能包括不同的安全区域，具有不同等级的安全访问权限。虽然内部网络和DMZ区都属于内部网络的一部分，但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络来说，在一般情况下，禁止所有来自因特网用户的访问；而由企业内部网络划分出去的DMZ区，因需为因特网应用提供相关的服务，所以在一定程度上没有内部网络限制得那么严格，如Web服务器通常是允许任何人进行正常访问的。虽然这些服务器很容易遭受攻击，但是由于在这些服务器上所安装的服务非常少，所允许的权限非常低，真正的服务器数据是在受保护的内部网络主机上，所以黑客攻击这些服务器最可能的后果就是使服务器瘫痪。 * * * 如图6-11所示，为著名的开源入侵检测软件Snort官方网站。如图6-12所示，为我国启明星辰公司的入侵检测产品——天阗（音同“填”）。 * * * * * 2. 网络安全设备：入侵检测系统 * （2）入侵检测的工作原理 根据其采用的分析方法可分为异常检测和误用检测。 2）误用检测。假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征，系统的目标就是检测主体活动是否符合这些模式。该技术的关键是模式匹配。 优点是可以有针对性地建立高效的入侵检测系统，其精确性较高，误报少。 主要缺陷是只能发现攻击库中已知的攻击，不能检测未知的入侵，也不能检测已知入侵的变种，因此可能发生漏报。且其复杂性将随着攻击数量的增加而增加。 信息安全案例教程：技术与应用 第三十页，共四十三页。 2. 网络安全设备：入侵检测系统 * （3）入侵检测的部署 与防火墙不同，入侵检测主要是一个监听和分析设备，不需要跨接在任何网络链路上，无需网络流量流经它，便可正常工作。 对入侵检测系统的部署，唯一的要求是：应当挂接在所有所关注的流量都必须流经的链路上，即IDS采用旁路部署方式接入网络。这些流量通常是指需要进行监视和统计的网络报文。 IDS和防火墙均具备对方不可代替的功能，因此在很多应用场景中，IDS与防火墙共存，形成互补。 信息安全案例教程：技术与应用 第三十一页，共四十三页。 2. 网络安全设备：入侵检测系统 * （3）入侵检测的部署 信息安全案例教程：技术与应用 第三十二页，共四十三页。 2. 网络安全设备：入侵检测系统 * （3）入侵检测的部署 检测引擎 检测引擎 检测引擎 控制台 信息安全案例教程：技术与应用 第三十三页，共四十三页。 本讲要点： * 1. 网络安全设备：防火墙 2. 网络安全设备：入侵检测 3. 网络安全新设备： 入侵防御、下一代防火墙、统一威胁管理 信息安全案例教程：技术与应用 第三十四页，共四十三页。 3. 网络安全新设备 * （1）入侵防御系统 主动防御能力的需求 主动防御能力是指：系统不仅要具有入侵检测系统的入侵发现能力和防火墙的静态防御能力，还要有针对当前入侵行为动态调整系统安全策略，阻止入侵和对入侵攻击源进行主动追踪和发现的能力。 入侵防御系统IPS（Intrusion Prevention System，也有称作Intrusion Detection Prevention，即IDP）作为IDS的替代技术诞生了。 信息安全案例教程：技术与应用 第三十五页，共四十三页。 3. 网络安全新设备 * （1）入侵防御系统 IPS的概念 IPS是一种主动的、智能的入侵检测、防范、阻止系统，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措