条件、排列和关系。
模 式 匹 配
模 式 库
. 异常检测
前提：异常行为包括入侵行为。最理想情况下，异常行为 集合等同于入侵行为集合，有 种行为：

① 行为是入侵行为，但不表现异常；

② 行为是入侵行为，且表现异常；

③ 行为不是入侵行为，① 却表现异常；

④ 行为既不是入侵②行为④，也不表现异常。
还是拒绝 状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接
的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与 状态表的共同配合，对表中的各个连接状态因素加以识别。 基于状态检测技术的防火墙 数据包进行检测 对控制通信的基本状态信息（包括通信信息、通信状态、应用状态和信 息操作性）进行检测，以完成对数据包的检测和过滤。
安全等级比包过滤防火墙系统 高，因为它实现了网络层安全 （包过滤）和应用层安全（代 理服务）。
屏蔽主机型的典型构成
屏蔽主机型的典型构成是包过滤路由器＋堡垒主机。 包过滤路由器配置在内部网和外部网之间，保证外 部系统对内部网络的操作只能经过堡垒主机。
. 屏蔽子网模式
添加了额外的一层保护 体系——周边网络
③
入侵检测技术总结
入侵检测系统是一种主动防御技术。 入侵检测作为传统计算机安全机制的补充，它的开发应用
增大了网络与系统安全的保护纵深，成为目前动态安全工 具的主要研究和开发方向。 随着系统漏洞不断被发现，攻击不断发生，入侵检测系统 在整个安全系统中的地位不断提高，所发挥的作用也越来 越大。
堡垒主机
堡垒主机是指在极其关键的位置上用于安全 防御的某个系统。
堡垒主机起到一个“牺牲主机”的角色。如 果攻击者要攻击你的网络，那么他们只能攻 击到这台主机。
从网络安全上来看，堡垒主机是防火墙管理 员认为最强壮的系统。
堡垒主机可作为代理服务器的平台。
. 双宿多宿主机模式
内部网络 1
入侵检测技术
入侵检测概述 类型 基本技术
入侵检测概述
入侵检测系统通过对网络中的数据包或主机的日志等信息进行提取、分析， 发现入侵和攻击行为，并对入侵或攻击作出响应。
入侵检测系统在识别入侵和攻击时具有一定的智能，这主要体现 在入侵特征的提取和汇总 响应的合并与融合 在检测到入侵后能够主动采取响应措施等方面
加加密软件。
入侵检测技术
一种积极主动的安全防护手段。 入侵检测是监测计算机网络和系统以发现违反安全策略事
件的过程。 入侵检测系统（ ，） 工作在计算机网络系统中的关键节点上 通过实时地收集和分析计算机网络或系统中的信息 来检查是否出现违反安全策略的行为和遭到袭击的迹象 进而达到防止攻击、预防攻击的目的。
防火墙的三大要素：安全、管理、速度。
防火墙的作用
一个好的防火墙系统应具备以下三方面的条件： 内部和外部之间的所有网络数据流必须经过防火墙。
否则就失去了防火墙的主要意义了。
只有符合安全策略的数据流才能通过防火墙。 这也是防火墙的主要功能－－－审计和过滤数据。
防火墙自身应对渗透免疫。
入侵检测系统是一种主动防御技术。
. 的产生
世纪年代就开始了对计算机和网络遭受攻击，审计跟 踪是当时的主要方法。
年月， . 为美国空军做了一份题为《计算机安全威胁 监控与监视》的技术报告，第一次详细阐述了入侵检 测的概念。
. 的产生
从年到年， 等研究并发展了一个实时入侵检测系 统模型，命名为（入侵检测专家系统），提供了 一个通用的框架。
堡垒主机位于周边网络 上,应用层网关，代理服 务，入站必须经过
周边网络和内部网络被 内部路由器分开，防止 堡垒主机对内部的影响
原因： 堡垒主机是用户网络上
最容易受侵袭的机器。 通过在周边网络上隔离 堡垒主机，能减少在堡 垒主机被侵入的影响。
. 混合模式
主要是以上一些模式结构的混合使用，主要有： () 将屏蔽子网结构中的内部路由器和外部路由器合并 () 合并屏蔽子网结构中堡垒主机与外部路由器 () 使用多台堡垒主机 () 使用多台外部路由器 () 使用多个周边网络
防火墙技术原理
防火墙的技术主要有： 包过滤技术 代理技术 技术 状态检查技术 地址翻译技术 内容检查技术 以及其他技术
.包过滤技术
包过滤型防火墙：在网络中的适当的位置对数 据包实施有选择的通过
其选择依据：即为系统内设置的过滤规则（通 常称为访问控制列表。
. 代理技术
内部网络 2
Internet
双宿/多宿主机
用一台装有两块或多块网卡的堡垒主机做防火墙，两块 或多块网卡各自与受保护网和外部网相连。
特点：
主机的路由功能是被禁止的，两个网络之间的通信通过 应用层代理服务来完成的。
当黑客侵入堡垒主机并使其具有路由功能，防火墙将无 用。
. 屏蔽主机模式
专门设置过滤路由器把所有外部到 内部的连接都路由到了堡垒主机
基于网络的通常将主机的网卡设成混乱模式，实时监视并 分析通过网络的所有通信业务。
. 基于主机的
通过监视与分析主机的审计记录和日志文 件来检测入侵。
发现成功的入侵或入侵企图 并很快地启动相应的应急响应程序。
基于主机的入侵检测系统主要用于保护运 行关键应用的服务器。
基于主机入侵检测的缺点
长途数据线路。 所谓专用网络：是指用户可以为自己制定一个最符合自己需求的网络。
隧道技术
采用了隧道技术： 数据包进行加密以确保安全， 由封装成包的形式 通过隧道在网上传输。
. 基于防火墙的
基于防火墙的是最常见的一种实现方式。 它是在已有的基础上再发展而已。 公司使用防火墙连到因特网上，所需要的只是增
防火墙的作用
一般来说，防火墙由四大要素组成： 安全策略：是一个防火墙能否充分发挥其作用的关键。 哪些数据不能通过防火墙、哪些数据可以通过防火墙； 防火墙应该如何具备部署； 应该采取哪些方式来处理紧急的安全事件； 以及如何进行审计和取证的工作。 内部网：需要受保护的网。 外部网：需要防范的外部网络。 技术手段：具体的实施技术。 保证内部网的安全，内部网与外部网的联通
扫描技术是采用积极的、非破坏性的办法来检验系统是否 有可能被攻击崩溃。
安全扫描技术
安全扫描技术概述 端口扫描和漏洞扫描 安全扫描器的原理和结构
安全扫描技术概述
安全扫描技术也称为脆弱性评估
基本原理是采用模拟黑客攻击的方式对目标可能存在的已 知安全漏洞进行逐项检测，
对象：工作站、服务器、交换机、数据库 有两个不同的出发点。 一方面，从攻击者的角度，他们会不断地去发现目标系统
代理技术，称为应用层网关技术，针对每一个特定应用都有一个程序。 代理是企图在应用层实现防火墙的功能。包括： 提供部分与传输有关的状态 提供与应用相关的状态和部分传输方面的信息， 处理和管理信息。
. 状态检测技术
状态检测技术是防火墙近几年才应用的新技术 传统的包过滤防火墙只是通过检测包头的相关信息来决定数据流的通过
进行逐项检查。
通过使用安全扫描器，可以了解被检测端的大量 安全扫描器会根据扫描结果向系统管理员提供周密可靠的安全性 分析报告。
功能
一般来说，安全扫描器具备下面的功能： 、信息收集 信息收集是安全扫描器的主要作用，也是安全扫描器的价
的安全漏洞，从而通过漏洞入侵系统。 一方面，从系统安全防护的角度来看，要尽可能发现可能
存在的漏洞，在被攻击者发现、利用之前就将其修补好。
功能
安全扫描器是一个对扫描技术进行软件化、自动化实现的工具。 一种通过收集系统的信息来自动检测远程或者本地主机安全性脆
弱点的程序。 安全扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞
占用主机的资源，在服务器上产生额外的负载；
缺乏平台支持，可移植性差，应用范围受到严重 限制。对一个网络的所有机子进行一次猜测的检 查有困难
基本技术
. 误用检测，适用于已知使用模式的可靠检测 前提：入侵行为能按照某种方式进行特征编码。 入侵特征描述了安全事件或其它误用事件的特征、
包括个部分： 对信息的收集和预处理； 入侵分析引擎； 产生反应的响应部件。
. 功能与模型
一般来说，能够完成下列活动： 监控、分析用户和系统的活动； 发现入侵企图或异常现象； 审计系统的配置和弱点； 评估关键系统和数据文件的完整性； 对异常活动的统计分析； 识别攻击的活动模式； 实时报警和主动响应。
值所在。 信息收集包括 远程操作系统识别 网络结构分析 端口开放情况 其他敏感信息收集等。
功能
、漏洞检测 漏洞检测是漏洞安全扫描器的核心功能，
包括 已知安全漏洞的检测 错误的配置检测 弱口令检测。
分类
安全扫描技术主要分为两类： . 主机型安全扫描器； 扫描本地主机 查找安全漏洞 查杀病毒、木马、蠕虫等危害系统安全的恶意程序
安全扫描技术
安全扫描技术是为使系统管理员能够及时了解系统中存在 的安全漏洞，并采取相应防范措施，从而降低系统的安全 风险。
可以对局域网络、站点、主机操作系统、系统服务以及防 火墙系统的安全漏洞进行扫描，系统管理员可以了解在运 行的网络系统中存在的不安全的网络服务，在操作系统上 存在的可能导致攻击的安全漏洞。
. 网络地址翻译技术
（ ，网络地址翻译） 私有地址只能作为内部网络号，不能在互联网主
干网使用。可通过地址映射将其连接到公共网络。 解决地址短缺问题。 增加私有组织的可用地址空间 解决将现有的私有网络连接到互联网上的地址编 号问题。
防火墙的体系结构
在防火墙和网络的配置上，有以下四种典型结构： 双宿多宿主机模式 屏蔽主机模式 屏蔽子网模式 一些混合结构模式。