系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件

第6講系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)（三）安全防護(hù)技術(shù)北京郵電大學(xué)計(jì)算機(jī)學(xué)院郭燕慧系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第1頁(yè)本講提要網(wǎng)絡(luò)防護(hù)技術(shù)防火墻VPN入侵檢測(cè)/入侵防御安全網(wǎng)關(guān)終端防護(hù)技術(shù)云安全技術(shù)桌面安全管理技術(shù)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第2頁(yè)一、網(wǎng)絡(luò)防護(hù)技術(shù)防火墻VPN入侵檢測(cè)/入侵防御安全網(wǎng)關(guān)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第3頁(yè)1防火墻技術(shù)1.1防火墻概述1.2防火墻分類1.3防火墻體系結(jié)構(gòu)1.4防火墻不足系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第4頁(yè)1.1防火墻概述防火墻概念WilliamCheswick和SteveBeilovin（1994）：防火墻是放置在兩個(gè)網(wǎng)絡(luò)之間一組組件，這組組件共同含有以下性質(zhì)：只允許當(dāng)?shù)匕踩呗允跈?quán)通信信息經(jīng)過(guò)雙向通信信息必須經(jīng)過(guò)防火墻防火墻本身不會(huì)影響信息流通防火墻是位于兩個(gè)信任程度不一樣網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）軟件或硬件設(shè)備組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間通信進(jìn)行控制，經(jīng)過(guò)強(qiáng)制實(shí)施統(tǒng)一安全策略，預(yù)防對(duì)主要信息資源非法存取和訪問(wèn)以到達(dá)保護(hù)系統(tǒng)安全目標(biāo)。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第5頁(yè)1.1防火墻概述——防火墻功效集中管理內(nèi)容控制訪問(wèn)控制日志流量控制系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第6頁(yè)1.2防火墻分類包過(guò)濾防火墻應(yīng)用網(wǎng)關(guān)狀態(tài)檢測(cè)防火墻電路級(jí)網(wǎng)關(guān)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第7頁(yè)1.2.1包過(guò)濾防火墻包過(guò)濾防火墻是在網(wǎng)絡(luò)層中依據(jù)數(shù)據(jù)包中包頭信息有選擇地實(shí)施允許經(jīng)過(guò)或阻斷即基于防火墻內(nèi)事先設(shè)定過(guò)濾規(guī)則，檢驗(yàn)數(shù)據(jù)包頭部，依據(jù)以下原因確定是否允許數(shù)據(jù)包經(jīng)過(guò)：源IP地址目標(biāo)IP地址源端口目標(biāo)端口協(xié)議類型ACK字段在IP/TCP層實(shí)現(xiàn)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第8頁(yè)關(guān)鍵技術(shù)數(shù)據(jù)包過(guò)濾依據(jù)事先設(shè)定過(guò)濾規(guī)則，對(duì)所接收每個(gè)數(shù)據(jù)包做允許拒絕決定。數(shù)據(jù)包過(guò)濾優(yōu)點(diǎn)：速度快，性能高對(duì)用戶透明數(shù)據(jù)包過(guò)濾缺點(diǎn)：維護(hù)比較困難(需要對(duì)TCP/IP了解）安全性低（IP坑騙等）不提供有用日志，或根本就不提供不防范數(shù)據(jù)驅(qū)動(dòng)型攻擊不能依據(jù)狀態(tài)信息進(jìn)行控制不能處理網(wǎng)絡(luò)層以上信息無(wú)法對(duì)網(wǎng)絡(luò)上流動(dòng)信息提供全方面控制互連物理介質(zhì)應(yīng)用層表示層會(huì)話層傳輸層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第9頁(yè)1.2.2應(yīng)用級(jí)網(wǎng)關(guān)

建立在網(wǎng)絡(luò)應(yīng)用層，針對(duì)尤其應(yīng)用協(xié)議進(jìn)行數(shù)據(jù)過(guò)濾，而且能夠?qū)?shù)據(jù)包進(jìn)行分析。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第10頁(yè)關(guān)鍵技術(shù)應(yīng)用層代理網(wǎng)關(guān)了解應(yīng)用協(xié)議，能夠?qū)嵤└?xì)粒度訪問(wèn)控制對(duì)每一類應(yīng)用，都需要一個(gè)專門代理靈活性不夠客

戶網(wǎng)

關(guān)服務(wù)器發(fā)送請(qǐng)求轉(zhuǎn)發(fā)請(qǐng)求請(qǐng)求響應(yīng)轉(zhuǎn)發(fā)響應(yīng)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第11頁(yè)1.2.3狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)防火墻工作在4、5層之上。狀態(tài)檢測(cè)防火墻能夠?qū)崿F(xiàn)連接跟蹤功效，比如對(duì)于一些復(fù)雜協(xié)議，除了使用一個(gè)公開端口進(jìn)性通信外，在通信過(guò)程中還會(huì)動(dòng)態(tài)建立自連接進(jìn)行數(shù)據(jù)傳輸。狀態(tài)檢測(cè)防火墻能夠分析主動(dòng)連接中內(nèi)容信息，識(shí)別出縮寫上自連接端口而在防火墻上將其動(dòng)態(tài)打開系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第12頁(yè)1.2.4電路級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)工作在會(huì)話層，在兩個(gè)主機(jī)首次建立TCP連接時(shí)建立電子屏障。監(jiān)視兩主機(jī)建立連接時(shí)握手信息是否合乎邏輯，以后就是透明傳輸。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第13頁(yè)1.3防火墻體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)被屏蔽主機(jī)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第14頁(yè)1.3.1雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)最少有兩個(gè)網(wǎng)絡(luò)接口，外部網(wǎng)絡(luò)能夠與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能夠與雙重宿主主機(jī)通信，不過(guò)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間通信必須經(jīng)過(guò)雙重宿主主機(jī)過(guò)濾和控制。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第15頁(yè)關(guān)鍵技術(shù)NAT（NetworkAddressTranslation）網(wǎng)絡(luò)地址轉(zhuǎn)就是在防火墻上裝一個(gè)正當(dāng)IP地址集，然后當(dāng)內(nèi)部某一用戶要訪問(wèn)Internet時(shí)，防火墻動(dòng)態(tài)地從地址集中選一個(gè)未分配地址分配給該用戶；同時(shí)，對(duì)于內(nèi)部一些服務(wù)器如Web服務(wù)器，網(wǎng)絡(luò)地址轉(zhuǎn)換器允許為其分配一個(gè)固定正當(dāng)?shù)刂?。地址翻譯主要用在兩個(gè)方面：網(wǎng)絡(luò)管理員希望隱藏內(nèi)部網(wǎng)絡(luò)IP地址。這么互聯(lián)網(wǎng)上主機(jī)無(wú)法判斷內(nèi)部網(wǎng)絡(luò)情況。內(nèi)部網(wǎng)絡(luò)IP地址是無(wú)效IP地址。這種情況主要是因?yàn)楝F(xiàn)在IP地址不夠用，要申請(qǐng)到足夠多正當(dāng)IP地址極難辦到，所以需要翻譯IP地址。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第16頁(yè)源IP目標(biāo)IP10.0.0.108202.112.108.50源IP目標(biāo)IP202.112.108.30源IP目標(biāo)IP202.112.108.50202.112.108.3源IP目標(biāo)IP202.112.108.5010.0.0.108防火墻網(wǎng)關(guān)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第17頁(yè)1.3.2被屏蔽主機(jī)體系結(jié)構(gòu)被屏蔽主機(jī)體系結(jié)構(gòu)使用一個(gè)單獨(dú)路由器提供來(lái)自僅僅與內(nèi)部網(wǎng)絡(luò)相連主機(jī)服務(wù)。堡壘主機(jī)是因特網(wǎng)上主機(jī)能連接到內(nèi)部網(wǎng)絡(luò)上系統(tǒng)橋梁。任何外部系統(tǒng)試圖訪問(wèn)內(nèi)部系統(tǒng)或服務(wù)將必須連接到這臺(tái)堡壘主機(jī)上。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第18頁(yè)1.3.3被屏蔽子網(wǎng)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)最簡(jiǎn)單形式為：兩個(gè)屏蔽路由器，每一個(gè)都連接到周圍網(wǎng)。一個(gè)位于周圍網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周圍網(wǎng)與外部網(wǎng)絡(luò)（通常為Internet）之間。這么就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)“隔離帶”。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第19頁(yè)1.4防火墻不足防火墻不能防范不經(jīng)防火墻攻擊防火墻不能預(yù)防感染了病毒軟件傳輸防火墻不能防范內(nèi)部攻擊端到端加密能夠繞開防火墻防火墻不能提供細(xì)粒度訪問(wèn)控制防火墻不足系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第20頁(yè)2VPN概述2.1VPN分類2.2IPSec協(xié)議2.3SSL協(xié)議2.4系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第21頁(yè)2.1VPN概述VPN是虛擬專用網(wǎng)(VirtualPrivateNetwork)縮寫。是指不一樣地點(diǎn)網(wǎng)絡(luò)經(jīng)過(guò)公用網(wǎng)絡(luò)連接成邏輯上虛擬子網(wǎng)。VPN含有以下優(yōu)點(diǎn)：降低成本易于擴(kuò)展靈活性系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第22頁(yè)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第23頁(yè)2.1VPN概述訪問(wèn)控制完整性機(jī)密性認(rèn)證密鑰管理VPN安全需求系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第24頁(yè)2.2VPN分類按用途分類：遠(yuǎn)程訪問(wèn)VPN內(nèi)聯(lián)網(wǎng)VPN外聯(lián)網(wǎng)VPN按照隧道協(xié)議分類：PPTPL2FL2TPIPSecSSL系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第25頁(yè)2.2VPN分類PPTPL2FL2TPIPSecSSL/TLS層2223應(yīng)用/傳輸加密基于PPP、MPPE基于PPP、MPPEPPP加密，MPPEDES、3DESAES、IDEADES、3DESAES、IDEA認(rèn)證基于PPP基于PPP基于PPP數(shù)字證書、預(yù)共享密鑰數(shù)字證書、預(yù)共享密鑰數(shù)據(jù)完整性無(wú)無(wú)無(wú)MD5、SHA-1MD5、SHA-1密鑰管理無(wú)無(wú)無(wú)IKE多重通信協(xié)議支持否是是否（僅IP）是主要支持VPN類型用戶到網(wǎng)關(guān)用戶到網(wǎng)關(guān)用戶到網(wǎng)關(guān)用戶到網(wǎng)關(guān)、網(wǎng)關(guān)到網(wǎng)關(guān)用戶到網(wǎng)關(guān)RFC參考RFC2637RFC2341RFC2661RFC2401-2409RFC2246系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第26頁(yè)2.3IPSec協(xié)議IPSec提供了一套安全算法和總體框架，允許一對(duì)通信實(shí)體利用其中一個(gè)算法為通信提供安全性。安全服務(wù)集提供包含訪問(wèn)控制、數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證、抗重放(replay)保護(hù)和數(shù)據(jù)保密性在內(nèi)服務(wù)?；贗P層提供對(duì)IP及其上層協(xié)議保護(hù)。比如，TCP，UDP，ICMP等等。IPSec協(xié)議能夠在主機(jī)和網(wǎng)關(guān)（如路由器、防火墻）上進(jìn)行配置，對(duì)主機(jī)與主機(jī)間、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)間、安全網(wǎng)關(guān)與主機(jī)間路徑進(jìn)行安全保護(hù)。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第27頁(yè)IPSec體系結(jié)構(gòu)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第28頁(yè)2.3IPSec概述AH提供無(wú)連接數(shù)據(jù)完整性認(rèn)證（hash校驗(yàn)）、數(shù)據(jù)源身份認(rèn)證（帶密鑰hmac）和防重防攻擊（AH頭中序列號(hào)）ESP比AH多了兩種功效，數(shù)據(jù)包加密和數(shù)據(jù)流加密。數(shù)據(jù)包加密能夠加密整個(gè)IP包，也能夠只加密IP包載荷，普通用于計(jì)算機(jī)端；數(shù)據(jù)流加密用于路由器，源端路由把整個(gè)IP包加密后傳輸，目標(biāo)端路由解密后轉(zhuǎn)發(fā)。AH和ESP能夠單獨(dú)/組合使用。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第29頁(yè)2.3IPSec概述IKE負(fù)責(zé)密鑰管理和策略協(xié)商，定義了通信實(shí)體之間進(jìn)行身份認(rèn)證、協(xié)商加密算法和生成會(huì)話密鑰方法。協(xié)商結(jié)果保留在SA中。解釋域（DOI）為使用IKE進(jìn)行協(xié)商SA協(xié)議統(tǒng)一分配標(biāo)識(shí)符。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第30頁(yè)2.3IPSec概述IPSec有兩種運(yùn)行模式：傳輸模式和隧道模式。AH和ESP都支持兩種使用模式。傳輸模式只保護(hù)IP載荷，可能是TCP/UDP/ICMP，IP頭沒(méi)有保護(hù)。隧道模式保護(hù)內(nèi)容是整個(gè)IP包，隧道模式為IP協(xié)議提供安全保護(hù)。通常IPSec雙方只要有一方是網(wǎng)關(guān)或者路由，就必須使用隧道模式。路由器需要將要保護(hù)原始IP包看成一個(gè)整體，在前面添加AH或者ESP頭，再添加新IP頭，組成新IP包之后再轉(zhuǎn)發(fā)出去。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第31頁(yè)2.3.1IPSec概述原始IP數(shù)據(jù)包外部IP頭IPSec頭數(shù)據(jù)TCP頭IP頭IP頭IPSec頭數(shù)據(jù)TCP頭IP頭TCP頭數(shù)據(jù)傳輸模式隧道模式

IP數(shù)據(jù)包對(duì)比系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第32頁(yè)2.4SSL協(xié)議SSL基本概念協(xié)議設(shè)計(jì)目標(biāo)：為兩個(gè)通訊個(gè)體之間提供保密性和完整性(身份認(rèn)證)；互操作性、可擴(kuò)展性、相對(duì)效率為上層協(xié)議提供安全性：保密性、身份認(rèn)證和數(shù)據(jù)完整性SSL連接（connection)一個(gè)連接是一個(gè)提供一個(gè)適當(dāng)類型服務(wù)傳輸（OSI分層定義）。SSL連接是點(diǎn)對(duì)點(diǎn)關(guān)系。連接是暫時(shí)，每一個(gè)連接和一個(gè)會(huì)話關(guān)聯(lián)。SSL會(huì)話（session）一個(gè)SSL會(huì)話是在客戶與服務(wù)器之間一個(gè)關(guān)聯(lián)。會(huì)話由HandshakeProtocol創(chuàng)建。會(huì)話定義了一組可供多個(gè)連接共享加密安全參數(shù)。會(huì)話用以防止為每一個(gè)連接提供新安全參數(shù)所需昂貴談判代價(jià)。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第33頁(yè)SSL協(xié)議體系：協(xié)議分為兩層底層：TLS統(tǒng)計(jì)協(xié)議上層：TLS握手協(xié)議、TLS密碼改變協(xié)議、TLS警告協(xié)議系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第34頁(yè)TLS統(tǒng)計(jì)協(xié)議建立在可靠傳輸協(xié)議(如TCP)之上，為更高層提供基本安全服務(wù)。尤其是HTTP，它提供了Webclient/server交互傳輸服務(wù)，能夠結(jié)構(gòu)在SSL之上。它提供連接安全性，有兩個(gè)特點(diǎn)保密性，使用了對(duì)稱加密算法完整性，使用HMAC算法用來(lái)封裝高層協(xié)議SSLHandshakeProtocol,SSLChangeCipherSpecProtocol,SSLAlertProtocol是SSL高層協(xié)議，用于管理SSL交換。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第35頁(yè)SSL握手協(xié)議功效客戶和服務(wù)器之間相互認(rèn)證協(xié)商加密算法和密鑰它提供連接安全性，有三個(gè)特點(diǎn)身份認(rèn)證，最少對(duì)一方實(shí)現(xiàn)認(rèn)證，也能夠是雙向認(rèn)證協(xié)商得到共享密鑰是安全，中間人不能夠知道協(xié)商過(guò)程是可靠系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第36頁(yè)整體流程(1)、交換Hello消息，對(duì)于算法、交換隨機(jī)值等協(xié)商一致(2)、交換必要密碼參數(shù)，方便雙方得到統(tǒng)一premastersecret(3)、交換證書和對(duì)應(yīng)密碼信息，方便進(jìn)行身份認(rèn)證(4)、產(chǎn)生mastersecret(5)、把安全參數(shù)提供給TLS統(tǒng)計(jì)層(6)、檢驗(yàn)雙方是否已經(jīng)取得一樣安全參數(shù)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第37頁(yè)3入侵檢測(cè)/入侵防御技術(shù)3.1入侵檢測(cè)概述3.2入侵檢測(cè)系統(tǒng)分類3.3入侵防御系統(tǒng)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第38頁(yè)3.1入侵檢測(cè)系統(tǒng)IDS入侵檢測(cè)是從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)搜集信息并對(duì)其進(jìn)行分析，從中發(fā)覺網(wǎng)絡(luò)或者系統(tǒng)中是否有違反安全策略行為和遭到攻擊跡象一個(gè)機(jī)制。入侵檢測(cè)采取旁路偵聽機(jī)制，經(jīng)過(guò)對(duì)數(shù)據(jù)包流分析，能夠從數(shù)據(jù)流中過(guò)濾除能夠數(shù)據(jù)包，經(jīng)過(guò)與已知入侵方式進(jìn)行比較，確定入侵是否發(fā)生以及入侵類型并進(jìn)行報(bào)警。網(wǎng)絡(luò)管理員能夠依據(jù)這些報(bào)警確切知道所周到攻擊并采取對(duì)應(yīng)辦法。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第39頁(yè)3.1入侵檢測(cè)概述CIDF——入侵檢測(cè)系統(tǒng)通用模型系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第40頁(yè)3.2入侵檢測(cè)系統(tǒng)分類3.2.1基于主機(jī)入侵檢測(cè)系統(tǒng)3.2.2基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第41頁(yè)3.2.1基于主機(jī)入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)連接檢測(cè)對(duì)試圖進(jìn)入該主機(jī)數(shù)據(jù)流進(jìn)行檢測(cè)，分析確定是否有入侵行為，防止或降低這些數(shù)據(jù)流進(jìn)入主機(jī)系統(tǒng)后造成傷害?；谥鳈C(jī)入侵檢測(cè)系統(tǒng)能夠保護(hù)單臺(tái)主機(jī)不受網(wǎng)絡(luò)攻擊行為侵害，需要安裝在受保護(hù)主機(jī)上。能夠有效地檢測(cè)出是否存在攻擊探測(cè)行為。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第42頁(yè)3.2.1基于主機(jī)入侵檢測(cè)系統(tǒng)主機(jī)文件檢測(cè)1系統(tǒng)日志2文件系統(tǒng)3進(jìn)程統(tǒng)計(jì)系統(tǒng)日志文件統(tǒng)計(jì)了各種類型信息。假如日志文件中存在異常統(tǒng)計(jì)，就能夠認(rèn)為發(fā)生了網(wǎng)絡(luò)入侵。惡意網(wǎng)絡(luò)攻擊者會(huì)修改網(wǎng)絡(luò)主機(jī)上各種數(shù)據(jù)文件。假如入侵檢測(cè)系統(tǒng)發(fā)覺文件系統(tǒng)發(fā)生了異常改變，就能夠懷疑發(fā)生了網(wǎng)絡(luò)入侵。黑客可能使程序終止，或執(zhí)行違反用戶意圖操作。假如入侵檢測(cè)系統(tǒng)發(fā)覺某個(gè)進(jìn)程存在異常行為，就能夠懷疑有網(wǎng)絡(luò)入侵。4系統(tǒng)運(yùn)行控制針對(duì)操作系統(tǒng)特征，采取辦法預(yù)防緩沖區(qū)溢出，增加對(duì)文件系統(tǒng)保護(hù)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第43頁(yè)3.2.1基于主機(jī)入侵檢測(cè)系統(tǒng)檢測(cè)準(zhǔn)確度較高能夠檢測(cè)到?jīng)]有顯著行為特征入侵成本較低不會(huì)因?yàn)榫W(wǎng)絡(luò)流量影響性能適合用于加密和交換環(huán)境優(yōu)點(diǎn)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第44頁(yè)3.2.1基于主機(jī)入侵檢測(cè)系統(tǒng)實(shí)時(shí)性較差無(wú)法檢測(cè)數(shù)據(jù)包全部檢測(cè)效果取決于日志系統(tǒng)占用主機(jī)資源性能隱蔽性較差缺點(diǎn)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第45頁(yè)3.2.2基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)分組數(shù)據(jù)報(bào)作為進(jìn)行攻擊分析數(shù)據(jù)源，普通利用一個(gè)網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視和分析全部經(jīng)過(guò)網(wǎng)絡(luò)進(jìn)行傳輸通信。大多數(shù)攻擊都有一定特征，入侵檢測(cè)系統(tǒng)將實(shí)際數(shù)據(jù)流量統(tǒng)計(jì)與入侵模式庫(kù)中入侵模式進(jìn)行匹配，尋找可能攻擊特征。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第46頁(yè)3.2.2基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)能夠?qū)崿F(xiàn)以下功效：對(duì)數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)、詳細(xì)檢驗(yàn)數(shù)據(jù)包檢測(cè)端口掃描檢測(cè)常見攻擊行為識(shí)別各種各樣可能IP坑騙攻擊當(dāng)檢測(cè)到一個(gè)不希望活動(dòng)時(shí)，入侵檢測(cè)系統(tǒng)能夠重新配置防火墻以攔截從入侵者發(fā)來(lái)數(shù)據(jù)。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第47頁(yè)經(jīng)典布署方式系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第48頁(yè)3.2.2基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠提供實(shí)時(shí)網(wǎng)絡(luò)監(jiān)測(cè)行為能夠同時(shí)保護(hù)多臺(tái)網(wǎng)絡(luò)主機(jī)含有良好隱蔽性有效保護(hù)入侵證據(jù)不影響被保護(hù)主機(jī)性能優(yōu)點(diǎn)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第49頁(yè)3.2.2基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)防入侵坑騙能力較差在交換式網(wǎng)絡(luò)環(huán)境中難以配置檢測(cè)性能受硬件條件限制不能處理加密后數(shù)據(jù)缺點(diǎn)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第50頁(yè)3.3入侵防御系統(tǒng)IPS入侵檢測(cè)目標(biāo)是提供網(wǎng)絡(luò)活動(dòng)監(jiān)測(cè)、審計(jì)、證據(jù)以及匯報(bào)。入侵防御目標(biāo)是為了提供資產(chǎn)、資源、數(shù)據(jù)和網(wǎng)絡(luò)保護(hù)。IDS和IPS之間最根本不一樣在于確定性，即IDS能夠使用非確定性方法從現(xiàn)有和以前通信中預(yù)測(cè)出任何形式威脅而IPS全部決議必須是正確、確定系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第51頁(yè)3.3入侵防御系統(tǒng)IPS就像小區(qū)門口保安，在通行證和其它預(yù)設(shè)規(guī)則或策略基礎(chǔ)上允許和拒絕訪問(wèn)。IDS就像巡警巡查車，監(jiān)測(cè)活動(dòng)并提供異常情況系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第52頁(yè)經(jīng)典布署方式服務(wù)器IPSIDS防火墻交換機(jī)outboundinterfaceinboundinterface系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第53頁(yè)3.3入侵防御系統(tǒng)IPS優(yōu)勢(shì)入侵快速終止更準(zhǔn)確和可靠檢測(cè)主動(dòng)防御IPS設(shè)計(jì)需求能夠準(zhǔn)確、可靠檢測(cè)，準(zhǔn)確阻斷攻擊IPS運(yùn)行對(duì)網(wǎng)絡(luò)性能和可用性沒(méi)有負(fù)面影響能夠有效地安全管理能夠輕易實(shí)現(xiàn)對(duì)未來(lái)攻擊防御系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第54頁(yè)4安全網(wǎng)關(guān)概述4.1安全網(wǎng)關(guān)分類4.2UTM4.3系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第55頁(yè)4.1概述早期網(wǎng)關(guān)就是指路由器。現(xiàn)在主要有三種網(wǎng)關(guān)，即協(xié)議網(wǎng)關(guān)、應(yīng)用網(wǎng)關(guān)和安全網(wǎng)關(guān)安全網(wǎng)關(guān)布置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間?，F(xiàn)在網(wǎng)關(guān)多數(shù)都是集成各種功效為一體集成網(wǎng)關(guān)。UTM經(jīng)過(guò)對(duì)各種安全技術(shù)整合，構(gòu)建起一個(gè)立體防護(hù)體系，為信息網(wǎng)絡(luò)提供全方面動(dòng)態(tài)安全防護(hù)體系。內(nèi)容過(guò)濾、應(yīng)用層協(xié)議處理是發(fā)展趨勢(shì)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第56頁(yè)4.2安全網(wǎng)關(guān)分類從應(yīng)用角度分類防火墻VPN網(wǎng)關(guān)Web安全網(wǎng)關(guān)反病毒網(wǎng)關(guān)郵件安全網(wǎng)關(guān)UTM安全網(wǎng)關(guān)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第57頁(yè)4.3UTMUTM(UnifiedThreatManagement)是集防病毒、入侵檢測(cè)/防御和防火墻、VPN于一體網(wǎng)關(guān)設(shè)備，有廠商還加上了防垃圾郵件、內(nèi)容過(guò)濾等功效UTM能夠經(jīng)過(guò)軟件實(shí)現(xiàn)，即在通用處理器上經(jīng)過(guò)軟件編程來(lái)實(shí)現(xiàn)，也能夠經(jīng)過(guò)硬件實(shí)現(xiàn)，即在ASIC芯片或者FPGA加上CPU來(lái)實(shí)現(xiàn)。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第58頁(yè)UTM介紹VPN反病毒防火墻Web過(guò)濾IDS/IPS反垃圾郵件UTM系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第59頁(yè)UTM布署方式系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第60頁(yè)UTM技術(shù)優(yōu)勢(shì)成本較低1統(tǒng)一管理，降低人力投入2技術(shù)復(fù)雜度低3系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第61頁(yè)UTM技術(shù)不足單一功效性能較低1穩(wěn)定性需要提升2功效過(guò)分集中，出現(xiàn)故障影響較大3系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第62頁(yè)二、終端防護(hù)技術(shù)云安全技術(shù)桌面安全管理技術(shù)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第63頁(yè)1、云安全技術(shù)“云安全（CloudSecurity）”融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念，經(jīng)過(guò)網(wǎng)狀大量客戶端對(duì)網(wǎng)絡(luò)中軟件行為異常監(jiān)測(cè)，獲取互聯(lián)網(wǎng)中木馬、惡意程序最新信息，傳送到Server端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬處理方案分發(fā)到每一個(gè)客戶端。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第64頁(yè)云安全技術(shù)應(yīng)用特征庫(kù)或類特征庫(kù)在云端儲(chǔ)存與共享信息安全產(chǎn)品含有很強(qiáng)終端特征，僅僅將特征庫(kù)放在云端，并無(wú)優(yōu)勢(shì)。因?yàn)樵诂F(xiàn)有網(wǎng)絡(luò)環(huán)境中，下載速度不成問(wèn)題，而且在當(dāng)?shù)卮娣盘卣鲙?kù)還會(huì)大大降低因網(wǎng)絡(luò)故障帶來(lái)響應(yīng)失敗問(wèn)題。作為一個(gè)最新惡意代碼、垃圾郵件或釣魚網(wǎng)址等快速搜集、匯總和響應(yīng)處理系統(tǒng)伴隨惡意程序爆炸式增加，用戶更為迫切地需要能夠在第一時(shí)間就對(duì)新惡意程序及其產(chǎn)生不良影響進(jìn)行防御，甚至在新惡意威脅出現(xiàn)之前就具備對(duì)其進(jìn)行防御能力。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第65頁(yè)起源挖掘云安全中心即時(shí)升級(jí)服務(wù)器互聯(lián)網(wǎng)內(nèi)容惡意威脅下載網(wǎng)站門戶網(wǎng)站搜索網(wǎng)站云安全客戶端互聯(lián)網(wǎng)用戶威脅信息數(shù)據(jù)中心即時(shí)查殺平臺(tái)自動(dòng)分析處理系統(tǒng)威脅挖掘集群威脅信息分析系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第66頁(yè)McAfee云安全Artemis工作流程系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第67頁(yè)2、桌面安全管理技術(shù)內(nèi)部網(wǎng)絡(luò)和應(yīng)用系統(tǒng)發(fā)生故障原因極少是因?yàn)榫W(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)本身問(wèn)題所引發(fā)，更多是因?yàn)閮?nèi)網(wǎng)其它安全原因造成，如病毒暴發(fā)、資源濫用、惡意接入、用戶誤操作等。而這些安全原因，幾乎全部起源于用戶桌面計(jì)算機(jī)。經(jīng)典問(wèn)題包含：缺乏必要安全加固伎倆缺乏有效接入控制伎倆缺乏有效行為監(jiān)控伎倆缺乏必要配置管理伎倆系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第68頁(yè)概念桌面安全管理將終端安全管理、終端補(bǔ)丁管理、終端用戶行為管理、網(wǎng)上行為管理有機(jī)地結(jié)合在一起，經(jīng)過(guò)對(duì)網(wǎng)絡(luò)中全部設(shè)備統(tǒng)一策略制訂、用戶行為統(tǒng)一管理，安全工具集中審計(jì)，最大程度地降低安全隱患。同時(shí)，它還對(duì)個(gè)人桌面系統(tǒng)軟件資源實(shí)施安全管理，經(jīng)過(guò)對(duì)個(gè)人桌面系統(tǒng)工作情況進(jìn)行管理，有效地提升員工工作效率。系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件第69頁(yè)主要功效補(bǔ)丁管理主機(jī)防火墻主機(jī)準(zhǔn)入控制桌面監(jiān)控審計(jì)網(wǎng)絡(luò)行為監(jiān)控主要