安全技术-防火墙与入侵检测

规则举例
方向 源IP 目标IP IP选项 上层 源端 目标 协议 口 端口
－> 内部 外部 无 TCP >1024 25 <－ 外部 内部 无 TCP 25 >1024
上述规则定义了局域网用户可以使用外 部网络的发信（SMTP）服务器
包过滤的优缺点
优点：
速度快 价格低 用户透明
缺点：
安全技术
—防火墙与入侵检测
第一节 防火墙
－主流安全防护技术
本节主要内容
一、防火墙概述 二、防火墙技术分析 三、防火墙布置
什么是防火墙
在网络安全领域中，防火墙用来指应用
于内部网络（局域网）和外部网络 （Internet）之间的，用来保护内部网络 免受非法访问和破坏的网络安全系统。
防火墙主要功能
时间是人类发展的空间。2020年12月11日星 期五3时 25分45秒15:25:4511 December 2020
科学，你是国力的灵魂；同时又是社 会发展 的标志 。下午3时25分 45秒下 午3时25分15: 25:4520.12.11
每天都是美好的一天，新的一天开启 。20.12.1120.12.1115: 2515:25:4515: 25:45Dec-20
谢谢大家！
统计正常状态网络和主机的各类数据，
响应单元
主动响应
进一步收集入侵相关信息 阻止入侵 反击
被动响应
报警
事件数据库
数据库保存事件信息，包括正常和入侵 事件。
本节主要内容
一、入侵检测概述 二、入侵检测基本模型 三、入侵检测结构
体系结构
单型IDS 主从型IDS 对等型IDS
单型IDS
比较知名的防火墙产品包括：
CheckPoint公司的“FireWall-1” NetScreen公司的“Netscreen系列” 天融信的“网络卫士”
第二节 入侵检测
－主流安全检测技术
本节主要内容
一、入侵检测概述 二、入侵检测基本模型 三、入侵检测结构
ຫໍສະໝຸດ Baidu么是入侵检测
入侵检测（IDS）指可以发现网络入侵行 为并响应的安全系统。
安全象只弓，不拉它就松，要想保安 全，常 把弓弦 绷。20.12.1115:25:4515:25Dec-2011-Dec-20
得道多助失道寡助，掌控人心方位上 。15:25:4515: 25:4515:25Friday, December 11, 2020
安全在于心细，事故出在麻痹。20.12.1120.12.1115: 25:4515:25:45Decem ber 11, 2020
事件收集 事件分析
单型IDS设计简单，适合小型环境，但存 在局部性检测的问题
主从型IDS
信息中心 事件分析
事件收集
主从型IDS克服了局部检测问题，但网络 性能影响比较大
对等型IDS
代理： 事件收集 事件分析
对等型IDS设计可以全局检测，也克服了 对性能的影响，但实现困难
常见IDS产品
比较知名的IDS产品有：
入侵检测的作用
检测防护部分阻止不了的入侵 检测入侵的前兆 入侵事件的归档 网络受威胁程度的评估 帮助从入侵事件中恢复
本节主要内容
一、入侵检测概述 二、入侵检测基本模型 三、入侵检测结构
入侵检测原理
入侵检测和其它的检测技术一样，其核 心任务都是从一组数据中检测出符合某 一特点的数据。
防止不安全的协议和服务； 防止外部对内部网络信息的获取； 提供与外部连接的集中管理；
防火墙不能防范的攻击
来自内部的安全威胁 各种操作系统和应用服务程序的漏洞 特洛伊木马 社会工程 不当配置
本节主要内容
一、防火墙概述 二、防火墙技术分析 三、防火墙布置
常用防火墙技术
包过滤 应用代理
缺点：
价格高 速度慢 失效时造成网络的瘫痪
本节主要内容
一、防火墙概述 二、防火墙技术分析 三、防火墙布置
包过滤路由
内部网络
包过滤 路由器
外部网络
应用代理网关
应用代理网关 （双宿主主机）
内部网络
外部网络
屏蔽主机
内部网络
保护应用 代理
外部网络
屏蔽子网
内部网络
保护内部 网络
外部网络
常见防火墙产品
包过滤
普通路由器
当数据包到达时，查看路由表，来决定能否 以及如何传送数据包
屏蔽路由器
即在决定能否及如何传送数据包之外，查看 其规则集，看是否应该传送该数据包
规则制定的策略
允许任何访问，除非规则特别地禁止 拒绝任何访问，除非被规则特别允许
包过滤所检查的内容
接口和方向 源和目的的IP地址 IP选项 IP的上层协议类型（TCP/UDP/ICMP） TCP和UDP的源及目的端口 ICMP的报文类型和代码
入侵检测通用模型
事件收集器 事件分析器 响应单元 事件数据库
事件收集
基于主机
操作系统的审核日志以及应用程序日志
基于网络
网络传输的数据
事件分析
模式匹配（误用检测）
将收集的事件和数据与已知网络入侵和系统 误用模式数据库进行比较，检测入侵
准确率高，容易漏报
统计分析（异常检测）
人生不是自发的自我发展，而是一长 串机缘 。事件 和决定 ，这些 机缘、 事件和 决定在 它们实 现的当 时是取 决于我 们的意 志的。2020年12月11日星期 五3时25分45秒 Friday, December 11, 2020
感情上的亲密，发展友谊；钱财上的 亲密， 破坏友 谊。20.12.112020年12月11日 星期五 3时25分45秒20.12.11
难于配置 能力有限 规则失效时成为无安全保护状态
应用代理
HTTP请求 WEB页面
HTTP请求 WEB页面
页面缓冲文件
WEB代理工作原理示意
应用代理防火墙
可以防止攻击者对内部网络信息的探测 实现基于内容的过滤
应用代理的优缺点
优点：
可以隐藏内部网络的信息； 可以具有强大的日志审核； 可以实现内容的过滤；
iS_One公司的“ISS RealSecure” Cisco公司的“Security IDS”
每一次的加油，每一次的努力都是为 了下一 次更好 的自己 。20.12.1120.12.11Fri day, December 11, 2020
天生我材必有用，千金散尽还复来。15:25:4515:25: 4515:2512/11/2020 3:25:45 PM
加强自身建设，增强个人的休养。2020年12月11日 下午3时 25分20.12.1120.12.11
扩展市场，开发未来，实现现在。2020年12月11日 星期五 下午3时 25分45秒15:25:4520.12.11
做专业的企业，做专业的事情，让自 己专业 起来。2020年12月下 午3时25分20.12.1115: 25December 11, 2020