入侵检测系统的分类
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙实现技术原理
1. 简单包过滤防火墙 2. 动态包过滤(状态检测) 防火墙 3. 应用代理防火墙 4. 包过滤与应用代理复合型防火墙
简单包过滤防火墙(Packet filtering)
包过滤防火墙在网络层实现数据的转发,包过滤模 块一般检查网络层、传输层内容,包括下面几项:
① 源、目的IP地址; ② 源、目的端口号; ③ 协议类型; ④ TCP报头的标志位。
2.包过滤规则难配置。 3.新的协议的威胁。 4.IP欺骗
动态包过滤 (状态检测) 防火墙
应用层
数据
数据
应用层
TCP 层
TCP 数据
建立连接状态表
IP 层
IP TCP 数据
网络接口层 ETH IP TCP 数据
只检查报头
TCP 数据
TCP 层
IP TCP 数据
IP 层
ETH IP TCP 数据
网络接口层
IP TCP
101001001001010010000011100111101111011
数据
1. 不检查数据区 2. 建立连接状态表 3. 前后报文相关 4. 应用层控制很弱
001001001010010000011100111101111011
动态包过滤防火墙的工作流程
代理防火墙(Proxy Server)
常采用的防御机制
防火墙 入侵检测系统 蜜网
3.1 防火墙
什么是防火墙?
防火墙是设置在被保护网络和外部网络之间的一道屏 障,实现网络的安全保护,以防止发生不可预测的、 潜在破坏性的侵入。
它是不同网络或网络安全域之间信息的唯一出入口 。
防火墙的功能
访问控制 对网络存取和访问进行监控审计 防止内部信息的外泄 支持VPN功能 支持网络地址转换 ……
ETH IP TCP 数据
IP TCP 数据
IP 层 网络接口层
101001001001010010000011100111101111011
001001001010010000011100111101111011
防火墙核心技术比较
简单包过滤防火墙
综合安全性
网络层保护
网络防火墙
单机防火墙
保护单台主机
单机防火墙&网络防火墙
产品形态 安装点 安全策略 保护范围 管理方式 功能 管理人员 安全措施
结论
单机防火墙
软件 单台独立的 Host 分散在各个安全点
单台主机 分散管理 功能单一 普通计算机用户 单点安全措施
网络防火墙
硬件或者软件 网络边界处 对整个网络有效
一个网段 集中管理 功能复杂、多样 专业网管人员 全局安全措施
防火墙的基本特征
内部网络和外部网络之间的所有网络数据流都必 须经过防火墙
只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力
防火墙的局限性
防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻 击等。
防火墙不能解决来自内部网络的攻击和安全问题。 防火墙不能防止策略配置不当或错误配置引起的安全威胁。 防火墙不能防止利用标准网络协议中的缺陷进行的攻击。 防火墙不能防止利用服务器系统漏洞所进行的攻击。 防火墙不能防止受病毒感染的文件的传输。 防火墙不能防止数据驱动式的攻击。有些表面看来无害的数
4. 应用层控制很弱
101001001001010010000011100111101111011
001001001010010000011100111101111011
特点
优点:
保护整个网络;对用户透明;可用路由器,不需 要其他设备。
缺点:
1.包过滤的一个重要的局限是它不能分辨好的和 坏的用户,只能区分好的包和坏的包。
代理防火墙的工作过程:
优点
1. 代理易于配置。 2. 代理能生成各项记录。 3. 代理能灵活、完全地控制进出流量、内容。 4. 代理能过滤数据内容。 5. 代理能为用户提供透明的加密机制。 6. 代理可以方便地与其他安全手段集成。
缺点
1. 代理速度较路由器慢。 2. 代理对用户不透明。 3. 对于每项服务代理可能要求不同的服务器。
据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数 据驱动式的攻击。 防火墙不能防止本身的安全漏洞的威胁。目前还没有厂商绝 对保证防火墙不会存在安全漏洞。 防火墙不能防止可接触的人为或自然的破坏。
防火墙的发展史
防火墙的分类
按
形
态
分 类
软件防火墙
硬件防火墙
保护整个网络
按 保 护 对 象 分 类
单机防火墙是网络防火墙的有益补充,但不能代替网络防火墙 为内部网络提供强大的保护功能
硬件防火墙&软件防火墙
1. 仅获得Firewall软件,需要准备额外的OS平台 2. 安全性依赖低层的OS 3. 网络适应性弱(主要以路由模式工作) 4. 稳定性高 5. 软件分发、升级比较方便
1. 硬件+软件,不用准备额外的OS平台 2. 安全性完全取决于专用的OS 3. 网络适应性强(支持多种接入模式) 4. 稳定性较高 5. 升级、更新不太灵活
复合型防火墙的工作原理
应用层
数据
数据
应用层
TCP 层
TCP 数据
建立连接状态表
TCP 数据
TCP 层
IP 层
IP TCP 数据
网络接口层
1. 可以检查整个数据包内容 2. 根据需要建立连接状态表 E3.TH 网IP络层T保C护P 强 数据 4. 应用层控制细 5. 会话控制较弱
检查整个报文内容
IP TCP 数据
应用层
数据
数据
应用层
TCP 层
TCP 数据
TCP 数据
TCP 层
IP 层
IP TCP 数据
只检查报头
IP TCP 数据
IP 层
网络接口层 ETH IP TCP 数据
ETH IP TCP 数据
网络接口层
IP TCP 数据
1. 简单包过滤防火墙不检查 数据区
2. 简单包过滤防火墙不建立 连接状态表
3. 前后报文无关
HTTP代理:它的端口一般为80、8080、3128等。 FTP代理:其端口一般为21、2121。 POP3代理:其端口一般为11源自文库。 Telnet代理:能够代理通信机的telnet,用于远程控
制,入侵时经常使用。其端口一般为23。
4. 代理服务不能保证免受所有协议弱点的限制。 5. 代理防火墙提供应用保护的协议范围是有限的 。