安全技术防火墙与入侵检测
安全技术防火墙与入侵检测
防火墙主要功能
n 防止不安全的协议和服务; n 防止外部对内部网络信息的获取; n 提供与外部连接的集中管理;
安全技术防火墙与入侵检测
防火墙不能防范的攻击
n 来自内部的安全威胁 n 各种操作系统和应用服务程序的漏洞 n 特洛伊木马 n 社会工程 n 不当配置
安全技术防火墙与入侵检测
n 基于网络
n 网络传输的数据
安全技术防火墙与入侵检测
事件分析
n 模式匹配(误用检测)
n 将收集的事件和数据与已知网络入侵和系统 误用模式数据库进行比较,检测入侵
n 准确率高,容易漏报
n 统计分析(异常检测)
n 统计正常状态网络和主机的各类数据,
安全技术防火墙与入侵检测
响应单元
n 主动响应
n 进一步收集入侵相关信息 n 阻止入侵 n 反击
n 被动响应
n 报警
安全技术防火墙与入侵检测
事件数据库
n 数据库保存事件信息,包括正常和入侵 事件。
安全技术防火墙与入侵检测
本节主要内容
一、入侵检测概述 二、入侵检测基本模型 三、入侵检测结构
安全技术防火墙与入侵检测
体系结构
n 单型IDS n 主从型IDS n 对等型IDS
安全技术防火墙与入侵检测
什么是入侵检测
n 入侵检测(IDS)指可以发现网络入侵行 为并响应的安全系统。
安全技术防火墙与入侵检测
入侵检测的作用
n 检测防护部分阻止不了的入侵 n 检测入侵的前兆 n 入侵事件的归档 n 网络受威胁程度的评估 n 帮助从入侵事件中恢复
安全技术防火墙与入侵检测
本节主要内容
一、入侵检测概述 二、入侵检测基本模型 三、入侵检测结构
本节主要内容
一、防火墙概述 二、防火墙技术分析 三、防火墙布置
安全技术防火墙与入侵检测
常用防火墙技术
n 包过滤 n 应用代理
安全技术防火墙与入侵检测
包过滤
n 普通路由器
n 当数据包到达时,查看路由表,来决定能否 以及如何传送数据包
n 屏蔽路由器
n 即在决定能否及如何传送数据包之外,查看 其规则集,看是否应该传送该数据包
单型IDS
事件收集 事件分析
n 单型IDS设计简单,适合小型环境,但存 在局部性检测的问题
安全技术防火墙与入侵检测
主从型IDS
信息中心 事件分析
事件收集
n 主从型IDS克服了局部检测问题,但网络 性能影响比较大
安全技术防火墙与入侵检测
对等型IDS
代理: 事件收集 事件分析
n 对等型IDS设计可以全局检测,也克服了 对性能的影响,但实现困难
安全技术防火墙与入侵检测
应用代理的优缺点
n 优点:
n 可以隐藏内部网络的信息; n 可以具有强大的日志审核; n 可以实现内容的过滤;
n 缺点:
n 价格高 n 速度慢 n 失效时造成网络的瘫痪
安全技术防火墙与入侵检测
本节主要内容
一、防火墙概述 二、防火墙技术分析 三、防火墙布置
安全技术防火墙与入侵检测
安全技术防火墙与入侵检测
规则举例
方向 源IP 目标IP IP选项 上层 源端 目标 协议 口 端口
-> 内部 外部 无 TCP >1024 25 <- 外部 内部 无 TCP 25 >1024
n 上述规则定义了局域网用户可以使用外 部网络的发信(SMTP)服务器
安全技术防火墙与入侵检测
包过滤的优缺点
安全技术防火墙与入侵检测
入侵检测原理
n 入侵检测和其它的检测技术一样,其核 心任务都是从一组数据中检测出符合某 一特点的数据。
安全技术防火墙与入侵检测
入侵检测通用模型
n 事件收集器 n 事件分析器 n 响应单元 n 事件数据库
安全技术防火墙与入侵检测
事件收集
n 基于主机
n 操作系统的审核日志以及应用程序日志
n 优点:
n 速度快 n 价格低 n 用户透明
n 缺点:
n 难于配置 n 能力有限 n 规则失效时成为无安全保护状态
安全技术防火墙与入侵检测
应用代理
HTTP请求 WEB页面
HTTP请求 WEB页面
页面缓冲文件
n WEB代理工作原理示意
安全技术防火墙与入侵检测
应用代理防火墙
n 可以防止攻击者对内部网络信息的探测 n 实现基于内容的过滤
包过滤路由
内部网络
包过滤 路由器
外部网络
安全技术防火墙与入侵检测
应用代理网关
应用代理网关 (双宿主主机)
内部网络
外部网络
安全ห้องสมุดไป่ตู้术防火墙与入侵检测
屏蔽主机
内部网络
保护应用 代理
外部网络
安全技术防火墙与入侵检测
屏蔽子网
内部网络
保护内部 网络
外部网络
安全技术防火墙与入侵检测
常见防火墙产品
n 比较知名的防火墙产品包括:
n CheckPoint公司的“FireWall-1” n NetScreen公司的“Netscreen系列” n 天融信的“网络卫士”
安全技术防火墙与入侵检测
第二节 入侵检测
-主流安全检测技术
安全技术防火墙与入侵检测
本节主要内容
一、入侵检测概述 二、入侵检测基本模型 三、入侵检测结构
安全技术防火墙与入侵检测
安全技术防火墙与入侵检测
3rew
演讲完毕,谢谢听讲!
再见,see you again
2020/11/16
安全技术防火墙与入侵检测
安全技术防火墙与入侵检测
规则制定的策略
n 允许任何访问,除非规则特别地禁止 n 拒绝任何访问,除非被规则特别允许
安全技术防火墙与入侵检测
包过滤所检查的内容
n 接口和方向 n 源和目的的IP地址 n IP选项 n IP的上层协议类型(TCP/UDP/ICMP) n TCP和UDP的源及目的端口 n ICMP的报文类型和代码
安全技术-防火墙与入侵 检测
2020/11/16
安全技术防火墙与入侵检测
第一节 防火墙
-主流安全防护技术
安全技术防火墙与入侵检测
本节主要内容
一、防火墙概述 二、防火墙技术分析 三、防火墙布置
安全技术防火墙与入侵检测
什么是防火墙
n 在网络安全领域中,防火墙用来指应用
于内部网络(局域网)和外部网络 (Internet)之间的,用来保护内部网络 免受非法访问和破坏的网络安全系统。
