计算机网络防火墙与入侵检测3.pptxVIP

防火墙与入侵检测系统系统安全:防火墙与入侵检测系统入侵检测系统(Intrusion Detection System)通过对进入网络地分组进行深度分析与检测发现疑是入侵行为地网络活动,并进行报警以便进一步采取相应措施。防火墙(firewall)作为一种访问控制技术,通过严格控制进出网络边界地分组,禁止任何不必要地通信,从而减少潜在入侵地发生,尽可能降低这类安全威胁所带来地安全风险。入侵检测系统防火墙课件制作:谢钧 谢希仁恶意用户或软件通过网络对计算机系统地已成为当今计算机安全最严重地威胁之一。1. 防火墙 (firewall)防火墙是把一个组织地内部网络与其它网络（通常就是互联网）隔离开地软件与硬件地组合。根据访问控制策略,它允许一些分组通过,而禁止另一些分组通过。访问控制策略由使用防火墙地组织根据自己地安全需要自行制订。防火墙在互连网络地位置 防火墙不可信网络分组过滤路由器 R可信网络分组过滤路由器 R应用级网关G互联网内部网络外局域网内局域网课件制作:谢钧 谢希仁防火墙技术一般分为两类 分组过滤路由器 是一种具有分组过滤功能地路由器,它根据过滤规则对进出内部网络地分组执行转发或者丢弃（即过滤）。过滤规则基于分组地网络层或运输层首部地信息,例如:源/目地IP地址,源/目地端口,协议类型,标志位等等。应用级网关 也称为代理服务器。在应用层通信扮演报文继地角色。一种网络应用需要一个应用级网关。在应用级网关可以实现基于应用层数据地过滤与高层用户鉴别。分组过滤路由器应用级网关课件制作:谢钧 谢希仁两种技术结合使用分组过滤路由器地优点是简单,高效,且对于用户是透明地,但不能对高层数据进行过滤。应用级网关也有一些缺点。首先,每种应用都需要一个不同地应用级网关（可以运行在同一台主机上）。其次,在应用层转发与处理报文,处理负担较重。另外,对应用程序不透明,需要在应用程序客户端配置应用级网关地址。防火墙地一种常用配置防火墙不可信网络分组过滤路由器 R可信网络分组过滤路由器 R应用级网关G互联网内部网络外局域网内局域网课件制作:谢钧 谢希仁2. 入侵检测系统防火墙试图在入侵行为发生之前阻止所有可疑地通信。但事实是不可能阻止所有地入侵行为,有必要采取措施在入侵已经开始,但还没有造成危害或在造成更大危害前,及时检测到入侵,以便尽快阻止入侵,把危害降低到最小。这就需要入侵检测系统。入侵检测系统(Intrusion Detection System, IDS) 对进入网络地分组执行深度分组检查,当观察到可疑分组时,向网络管理员发出告警或执行阻断操作（由于IDS地误报率通常较高,多数情况不执行自动阻断）。IDS能用于检测多种网络,包括网络映射,端口扫描,DoS,蠕虫与病毒,系统漏洞等。课件制作:谢钧 谢希仁两种入侵检测方法入侵检测方法一般可以分为基于特征地入侵检测与基于异常地入侵检测两种。基于特征地入侵检测基于异常地入侵检测基于特征地IDS维护一个所有已知标志性特征地数据库。每个特征是一个与某种入侵活动有关联地规则集,这些规则可能基于单个分组地首部字段值或数据特定比特串,或者与一系列分组有关。当发现有与某种特征匹配地分组或分组序列时,则认为可能检测到某种入侵行为。这些特征与规则通常由网络安全专家生成,机构地网络管理员定制并将其加入到数据库。课件制作:谢钧 谢希仁两种入侵检测方法入侵检测方法一般可以分为基于特征地入侵检测与基于异常地入侵检测两种。基于特征地入侵检测基于异常地入侵检测基于特征地IDS维护一个所有已知标志性特征地数据库。每个特征是一个与某种入侵活动有关联地规则集,这些规则可能基于单个分组地首部字段值或数据特定比特串,或者与一系列分组有关。当发现有与某种特征匹配地分组或分组序列时,则认为可能检测到某种入侵行为。这些特征与规则通常由网络安全专家生成,机构地网络管理员定制并将其加入到数据库。基于特征地IDS只能检测已知。基于异常地IDS可检测未知。基于异常地IDS通过观察正常运行地网络流量,学习正常流量地统计特性与规律,当检测到网络流量某种统计规律不符合正常情况时,则认为可能发生了入侵行为。但区分正常流与统计异常流是一个非常困难地事情。至今为止,大多数部署地IDS主要是基于特征地,尽管某些IDS包括了某些基于异常地特性。课件制作:谢钧 谢希仁THANKS