網(wǎng)絡安全與管理：第8章 網(wǎng)絡安全防范技術

1、第8章 網(wǎng)絡安全防范技術PPT模板下載：/moban/ 行業(yè)PPT模板：/hangye/ 節(jié)日PPT模板：/jieri/ PPT素材下載：/sucai/PPT背景圖片：/beijing/ PPT圖表下載：/tubiao/ 優(yōu)秀PPT下載：/xiazai/ PPT教程： /powerpoint/ Word教程： /word/ Excel教程：/excel/ 資料下載：/ziliao/ PPT課件下載：/kejian/ 范文下載：/fanwen/ 試卷下載：/shiti/ 教案下載：/jiaoan/ 8.1 防火墻技術防火墻防火墻是設置在不同網(wǎng)絡或網(wǎng)絡安全域之間一系列部件的組合，它是不同網(wǎng)絡或網(wǎng)絡

2、安全域之間信息的唯一出入口，能根據(jù)用戶的安全策略控制出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務、實現(xiàn)網(wǎng)絡和信息安全的基礎設施外部網(wǎng)絡內(nèi)部網(wǎng)絡防火墻受保護防火墻的特性內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身應具有非常強的抗攻擊免疫力Internet防火墻內(nèi)部網(wǎng)絡防火墻的發(fā)展歷史包過濾1983年代理1991年動態(tài)包過濾自適應代理1994年1998年包過濾防火墻：Packet Filter， 第一代防火墻產(chǎn)品，具有過濾功能的路由器代理防火墻：工作在應用層，能夠根據(jù)具體的應用對數(shù)據(jù)進行過濾或者轉(zhuǎn)發(fā)動態(tài)包過濾防火墻：D

3、ynamic Packet Filter, 1992， 南加州大學Bob Braden開發(fā)。 1994，以色列的Check Point公司，第一個采用這種技術的商業(yè)化產(chǎn)品自適應代理防火墻：Adaptive Proxy, 1998，NAI公司，結(jié)合了代理防火墻的安全性和包過濾防火墻的高速度/24/24LAN 1LAN 2源IP源端口目的IP目的端口行為/24*/3223丟棄*轉(zhuǎn)發(fā)過濾器規(guī)則無狀態(tài)包過濾器為LAN2建立包過濾防火墻。使LAN1的終端不允許用Telnet訪問LAN2中的服務器/24/24LAN 1LAN 2Web服務器12有狀態(tài)包過濾器源IP目的IP源端口號目的端口號狀態(tài)服務對象13

4、0780等待響應HTTP狀態(tài)信息表訪問控制策略：源IP = /24，目的IP地址 = /32， HTTP(80端口)服務源IP源端口目的IP目的端口行為/24*/3280轉(zhuǎn)發(fā)過濾器規(guī)則8.2 虛擬專用網(wǎng)（VPN）技術虛擬專用網(wǎng)LAN 1LAN 2LAN 3R1R2R3Internet虛擬專用網(wǎng)（VPN）：利用公共網(wǎng)絡基礎設施，通過一定的技術手段，達到類似私有專用網(wǎng)的數(shù)據(jù)安全傳輸VPN的應用范圍遇到以下情況，可考慮選擇VPN已經(jīng)通過專線連接實現(xiàn)廣域網(wǎng)的企業(yè)，由于增加業(yè)務，帶寬已不能滿足業(yè)務需要，需要經(jīng)濟可靠的升級方案企業(yè)的用戶和分支機構(gòu)分布范圍廣且距離遠，需要擴展企業(yè)網(wǎng)，實現(xiàn)遠程訪問和局域網(wǎng)互連

5、，最典型的是跨國企業(yè)，跨地區(qū)企業(yè)分支機構(gòu)、遠程用戶、合作伙伴多的企業(yè)需要擴展企業(yè)網(wǎng)，實現(xiàn)遠程訪問和局域網(wǎng)互聯(lián)關鍵業(yè)務多且對通信線路保密和可用性要求較高的用戶，如銀行、證券公司、保險公司等。企業(yè)各部門與遠程分支機構(gòu)之間的VPN應用Internet公司總部內(nèi)部網(wǎng)絡硬件VPN網(wǎng)關硬件VPN網(wǎng)關硬件VPN網(wǎng)關分公司內(nèi)部網(wǎng)絡分公司內(nèi)部網(wǎng)絡企業(yè)網(wǎng)與遠程員工之間的VPN訪問Internet公司總部內(nèi)部網(wǎng)絡帶VPN功能的防火墻VPN隧道遠程客戶機筆記本電腦便攜式終端企業(yè)與合作伙伴之間的VPN應用Internet公司總部內(nèi)部網(wǎng)絡帶VPN功能的防火墻VPN隧道合作伙伴合作伙伴共享數(shù)據(jù)服務器汽車經(jīng)過英吉利隧道的過程

6、巴黎英吉利海峽倫敦高速列車隧道鐵路點對點IP隧道R1R2R3LAN2/24LAN1/24終端A服務器B5412LAN3/2454125421Internet隧道隧道隧道隧道數(shù)據(jù)隧道格式類型數(shù)據(jù)子網(wǎng)傳輸?shù)腎P分組為了保證隧道傳輸數(shù)據(jù)的安全性，可以使用IPSec協(xié)議族8.3 入侵檢測技術入侵檢測系統(tǒng)基本概念入侵檢測(Intrusion Detection)入侵檢測，顧名思義，就是對入侵行為的檢測與發(fā)現(xiàn)。入侵檢測即為通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點信息的收集和分析，從中發(fā)現(xiàn)入侵行為的一種安全技術入侵(Intrusion)一次入侵可被定義為任何嘗試破壞信息資源的保密性、完整性或可用性的行為。入

7、侵檢測系統(tǒng)(Intrusion Detection System)實現(xiàn)入侵檢測技術，專門用于入侵行為發(fā)現(xiàn)和處理的軟件系統(tǒng)或硬件設備。防火墻 VS IDS: 門衛(wèi) VS 巡邏隊1718入侵檢測技術誤用檢測(misuse detection)也稱為基于特征的檢測 (signature-based detection)建立起已知攻擊的特征庫判別當前行為活動是否符合已知的攻擊特征異常檢測(anomaly detection)也稱為基于行為的檢測 (behavior-based detection)首先建立起系統(tǒng)的正常模式輪廓若實時獲得的系統(tǒng)或用戶的輪廓值與正常值的差異超出指定的閾值，就進行入侵報警19

8、入侵檢測系統(tǒng)的種類基于網(wǎng)絡的入侵檢測系統(tǒng)(NIDS)IDS可以放在防火墻或者網(wǎng)關的后面，以網(wǎng)絡嗅探器的形式捕獲所有的對內(nèi)對外的數(shù)據(jù)包基于主機的入侵檢測系統(tǒng)(HIDS)安全操作系統(tǒng)必須具備一定的審計功能，并記錄相應的安全性日志基于內(nèi)核從操作系統(tǒng)的內(nèi)核接收數(shù)據(jù)基于應用從正在運行的應用程序中收集數(shù)據(jù)入侵檢測系統(tǒng)的部署位置20Snort網(wǎng)絡入侵檢測系統(tǒng)Snort開源網(wǎng)絡入侵檢測系統(tǒng)最知名的開源入侵檢測系統(tǒng)網(wǎng)絡入侵檢測/入侵防御系統(tǒng)事實標準三個主要功能：數(shù)據(jù)包嗅探、數(shù)據(jù)包分析與記錄、網(wǎng)絡入侵檢測Snort發(fā)展史Martin Roesch, 1998年底開始發(fā)布Snort, 最早僅僅是個sniffer, v1.5輕量級NIDS2001年成立Sourcefire公司2004年Snort v2.0: 應用新的檢測引擎和多模匹配算法2008年7月 SnortSP v3.0 Beta: 全新的