《局域网原理》_第 7 章 网络安全.pptVIP

7.2网络安全基础知识7.2.6入侵检测技术随着个人、机构日益依赖于Internet进行通信、协作及销售，对安全解决方案的需求急剧增长。据统计，全球80%以上的入侵来自于内部。防范网络入侵最常用的方法就是防火墙，但是防火墙是一种被动防御性的网络安全工具，仅仅使用防火墙是不够的。入侵检测系统针对防火墙做了有益的补充，能够在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击；在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加到知识库内，增强系统的防御能力，避免系统再次受到入侵。上一页下一页返回7.2网络安全基础知识1）入侵检测系统的基本概念入侵检测系统（IntrusionDetectionSystem，IDS）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术。入侵检测的过程是，监控在计算机系统或网络中发生的事件，再分析处理这些事件，检测出入侵事件。IDS就是使这种监控和分析过程自动化的独立系统，既可以是安全软件，也可以是硬件。2）入侵检测的基本功能IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。IDS根据信息来源的不同可分为基于主机IDS和基于网络的IDS，根据检测方法的差异又可分为异常入侵检测和误用入侵检测。不同于防火墙，IDS是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。上一页下一页返回7.2网络安全基础知识3）入侵检测的分类现有的入侵检测分类大多都是基于信息源和分析方法来进行的。（1）根据信息源的不同，可分为基于主机型和基于网络型两大类。基于主机型的IDS：可监测系统、事件和WindowsNT下的安全记录，以及UNIX环境下的系统记录。基于网络型的IDS：以数据包作为分析的数据源，通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。（2）根据检测所用分析方法的不同，可分为误用检测和异常检测。误用检测：包含一个缺陷库并且检测出利用这些缺陷入侵的行为。异常检测：异常检测假设入侵者活动异常于正常的活动。为实现该类检测，IDS建立了正常活动的“规范集”，当主体的活动违反其统计规律时，认为可能是“入侵”行为。上一页返回7.3企业网络安全问题分析1．提出问题假设某企业的局域网是一个信息点较为密集的千兆局域网络系统，它所连接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此，通过专线与Internet的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器，企业可以直接对外发布信息或发送电子邮件。高速交换技术的采用、灵活的网络互联方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。随着Internet的急剧扩大和上网用户的迅速增加，风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对Internet安全政策的认识不足，这些风险正日益严重。下一页返回7.3企业网络安全问题分析2．分析讨论针对这个企业局域网中存在的安全隐患，在进行安全方案设计时，下述安全风险我们必须要认真考虑，并且要针对面临的风险，采取相应的安全措施。1）物理安全风险分析网络的物理安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故，电源故障，人为操作失误或错误，设备被盗、被毁，电磁干扰，线路截获，以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提，在这个企业区局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度，做好备份，并加强网络设备和机房的管理，这些风险是可以避免的。上一页下一页返回7.3企业网络安全问题分析2）网络平台安全风险分析网络结构的安全涉及网络拓扑结构、网络路由状况及网络的环境等。规模较大网络的管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。3）系统安全风险分析系统的安全是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。网络操作系统、网络