安全技术——防火墙与入侵检测.ppt

包过滤
普通路由器
当数据包到达时，查看路由表，来决定能否 以及如何传送数据包
屏蔽路由器
即在决定能否及如何传送数据包之外，查看 其规则集，看是否应该传送该数据包
规则制定的策略
允许任何访问，除非规则特别地禁止 拒绝任何访问，除非被规则特别允许
包过滤所检查的内容
接口和方向 源和目的的IP地址 IP选项 IP的上层协议类型（TCP/UDP/ICMP） TCP和UDP的源及目的端口 ICMP的报文类型和代码
规则举例
方向 源IP 目标IP IP选项 上层 源端 目标 协议 口 端口
－> 内部 外部 无 TCP >1024 25 <－ 外部 内部 无 TCP 25 >1024
上述规则定义了局域网用户可以使用外 部网络的发信（SMTP）服务器
包过滤的优缺点
优点：
速度快 价格低 用户透明
缺点：
事件收集 事件分析
单型IDS设计简单，适合小型环境，但存 在局部性检测的问题
主从型IDS
信息中心 事件分析
事件收集
主从型IDS克服了局部检测问题，但网络 性能影响比较大
来自百度文库
对等型IDS
代理： 事件收集 事件分析
对等型IDS设计可以全局检测，也克服了 对性能的影响，但实现困难
常见IDS产品
比较知名的IDS产品有：
安全技术
—防火墙与入侵检测
第一节 防火墙
－主流安全防护技术
本节主要内容
一、防火墙概述 二、防火墙技术分析 三、防火墙布置
什么是防火墙
在网络安全领域中，防火墙用来指应用
于内部网络（局域网）和外部网络 （Internet）之间的，用来保护内部网络 免受非法访问和破坏的网络安全系统。
防火墙主要功能
入侵检测通用模型
事件收集器 事件分析器 响应单元 事件数据库
事件收集
基于主机
操作系统的审核日志以及应用程序日志
基于网络
网络传输的数据
事件分析
模式匹配（误用检测）
将收集的事件和数据与已知网络入侵和系统 误用模式数据库进行比较，检测入侵
准确率高，容易漏报
统计分析（异常检测）
iS_One公司的“ISS RealSecure” Cisco公司的“Security IDS”
比较知名的防火墙产品包括：
CheckPoint公司的“FireWall-1” NetScreen公司的“Netscreen系列” 天融信的“网络卫士”
第二节 入侵检测
－主流安全检测技术
本节主要内容
一、入侵检测概述 二、入侵检测基本模型 三、入侵检测结构
什么是入侵检测
入侵检测（IDS）指可以发现网络入侵行 为并响应的安全系统。
防止不安全的协议和服务； 防止外部对内部网络信息的获取； 提供与外部连接的集中管理；
防火墙不能防范的攻击
来自内部的安全威胁 各种操作系统和应用服务程序的漏洞 特洛伊木马 社会工程 不当配置
本节主要内容
一、防火墙概述 二、防火墙技术分析 三、防火墙布置
常用防火墙技术
包过滤 应用代理
入侵检测的作用
检测防护部分阻止不了的入侵 检测入侵的前兆 入侵事件的归档 网络受威胁程度的评估 帮助从入侵事件中恢复
本节主要内容
一、入侵检测概述 二、入侵检测基本模型 三、入侵检测结构
入侵检测原理
入侵检测和其它的检测技术一样，其核 心任务都是从一组数据中检测出符合某 一特点的数据。
缺点：
价格高 速度慢 失效时造成网络的瘫痪
本节主要内容
一、防火墙概述 二、防火墙技术分析 三、防火墙布置
包过滤路由
内部网络
包过滤 路由器
外部网络
应用代理网关
应用代理网关 （双宿主主机）
内部网络
外部网络
屏蔽主机
内部网络
保护应用 代理
外部网络
屏蔽子网
内部网络
保护内部 网络
外部网络
常见防火墙产品
难于配置 能力有限 规则失效时成为无安全保护状态
应用代理
HTTP请求 WEB页面
HTTP请求 WEB页面
页面缓冲文件
WEB代理工作原理示意
应用代理防火墙
可以防止攻击者对内部网络信息的探测 实现基于内容的过滤
应用代理的优缺点
优点：
可以隐藏内部网络的信息； 可以具有强大的日志审核； 可以实现内容的过滤；
统计正常状态网络和主机的各类数据，
响应单元
主动响应
进一步收集入侵相关信息 阻止入侵 反击
被动响应
报警
事件数据库
数据库保存事件信息，包括正常和入侵 事件。
本节主要内容
一、入侵检测概述 二、入侵检测基本模型 三、入侵检测结构
体系结构
单型IDS 主从型IDS 对等型IDS
单型IDS