IDS功能与模型入侵检测系统
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
资源 保护内部网络操作环境。
7.1 防火墙技术
7.1.1 防火墙的作用 7.1.2 防火墙技术原理 7.1.3 防火墙的体系结构 7.1.4 基于防火墙的VPN技术
7.1.1 防火墙的作用
防火墙是一种由软件或硬件设备组合而成的装置。 处于企业的内部局域网与Internet之间。 限制Internet用户对内部网络的访问。 管理内部用户访问外界的权限。
堡垒主机起到一个“牺牲主机”的角色。如 果攻击者要攻击你的网络,那么他们只能攻 击到这台主机。
从网络安全上来看,堡垒主机是防火墙管理 员认为最强壮的系统。
堡垒主机可作为代理服务器的平台。
1. 双宿/多宿主机模式
内部网络 1
内部网络 2
双宿/多宿主机
Internet
用一台装有两块或多块网卡的堡垒主机做防火墙,两块 或多块网卡各自与受保护网和外部网相连。
第七章 网络安全技术
第七章 网络安全技术
内容提要 1. 防火墙技术 2. 入侵检测技术 3. 安全扫描技术 4. 内外网隔离技术 5. 内网安全技术 6. 反病毒技术
7.1 防火墙技术
网络防火墙是一个特殊网络互连设备
加强网络之间访问控制 防止外部网络用户非法进入内部网络,访问内部网络
原因:
堡垒主机是用户网络上最 容易受侵袭的机器。通过ቤተ መጻሕፍቲ ባይዱ在周边网络上隔离堡垒主 机,能减少在堡垒主机被 侵入的影响。
4. 混合模式
主要是以上一些模式结构的混合使用,主要有: (1) 将屏蔽子网结构中的内部路由器和外部路由器合
并 (2) 合并屏蔽子网结构中堡垒主机与外部路由器 (3) 使用多台堡垒主机 (4) 使用多台外部路由器 (5) 使用多个周边网络
7.1.1 防火墙的作用
防火墙能有效地控制内部网络与外部网络之间 的访问及数据传送
防火墙的三大要素:安全、管理、速度。
7.1.1 防火墙的作用
一个好的防火墙系统应具备以下三方面的条件: 内部和外部之间的所有网络数据流必须经过防火墙。
否则就失去了防火墙的主要意义了。
只有符合安全策略的数据流才能通过防火墙。
1.包过滤技术
包过滤型防火墙:在网络中的适当的位置对数 据包实施有选择的通过
其选择依据:即为系统内设置的过滤规则(通 常称为访问控制列表。
2. 代理技术
代理技术,称为应用层网关技术,针对每一个特定应用都有一个程序。 代理是企图在应用层实现防火墙的功能。包括:
提供部分与传输有关的状态 提供与应用相关的状态和部分传输方面的信息, 处理和管理信息。
增加私有组织的可用地址空间 解决将现有的私有TCP/IP网络连接到互联网上的IP
地址编号问题。
7.1.3 防火墙的体系结构
在防火墙和网络的配置上,有以下四种典型结构: 双宿/多宿主机模式 屏蔽主机模式 屏蔽子网模式 一些混合结构模式。
堡垒主机
堡垒主机是指在极其关键的位置上用于安全 防御的某个系统。
这也是防火墙的主要功能---审计和过滤数据。
防火墙自身应对渗透免疫。
7.1.1 防火墙的作用
一般来说,防火墙由四大要素组成: 安全策略:是一个防火墙能否充分发挥其作用的关键。
哪些数据不能通过防火墙、哪些数据可以通过防火墙; 防火墙应该如何具备部署; 应该采取哪些方式来处理紧急的安全事件; 以及如何进行审计和取证的工作。
基于状态检测技术的防火墙 数据包进行检测 对控制通信的基本状态信息(包括通信信息、通信状态、应用状态和 信息操作性)进行检测,以完成对数据包的检测和过滤。
4. 网络地址翻译技术
NAT(Network Address Translation,网络地址 翻译)
➢ 私有IP地址只能作为内部网络号,不能在互联网主干 网使用。NAT可通过地址映射将其连接到公共网络。 解决IP地址短缺问题。
1. VPN工作原理
通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 所谓虚拟:用户不再需要拥有实际的长途数据线路,而是使用因特网公众数据网络的长
屏蔽主机型的典型构成
屏蔽主机型的典型构成是包过滤路由器+堡垒主机。 包过滤路由器配置在内部网和外部网之间,保证外 部系统对内部网络的操作只能经过堡垒主机。
3. 屏蔽子网模式
添加了额外的一层保护 体系——周边网络
堡垒主机位于周边网络 上,应用层网关,代理 服务,入站必须经过
周边网络和内部网络被 内部路由器分开,防止 堡垒主机对内部的影响
3. 状态检测技术
状态检测技术是防火墙近几年才应用的新技术 传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通
过还是拒绝
状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接 的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与 状态表的共同配合,对表中的各个连接状态因素加以识别。
特点:
主机的路由功能是被禁止的,两个网络之间的通信通过应用层 代理服务来完成的。
当黑客侵入堡垒主机并使其具有路由功能,防火墙将无用。
2. 屏蔽主机模式
专门设置过滤路由器把所有外部到 内部的连接都路由到了堡垒主机
安全等级比包过滤防火墙系统 高,因为它实现了网络层安全 (包过滤)和应用层安全(代 理服务)。
内部网:需要受保护的网。 外部网:需要防范的外部网络。 技术手段:具体的实施技术。 保证内部网的安全,内部网与外部网的联通
7.1.2 防火墙技术原理
防火墙的技术主要有:
包过滤技术 代理技术 VPN技术 状态检查技术 地址翻译技术 内容检查技术 以及其他技术
7.1.4 基于防火墙的VPN技术
1. VPN工作原理 虚拟专用网指的是依靠ISP(因特网服务提供商)和
其他NSP(网络服务提供商),在公用网络中建立专 用的数据通信网络的技术。
在虚拟专用网中,任意两个节点之间的连接并没有传 统专网所需的端到端的物理链路,而是利用某种公众 网的资源动态组成的。
7.1 防火墙技术
7.1.1 防火墙的作用 7.1.2 防火墙技术原理 7.1.3 防火墙的体系结构 7.1.4 基于防火墙的VPN技术
7.1.1 防火墙的作用
防火墙是一种由软件或硬件设备组合而成的装置。 处于企业的内部局域网与Internet之间。 限制Internet用户对内部网络的访问。 管理内部用户访问外界的权限。
堡垒主机起到一个“牺牲主机”的角色。如 果攻击者要攻击你的网络,那么他们只能攻 击到这台主机。
从网络安全上来看,堡垒主机是防火墙管理 员认为最强壮的系统。
堡垒主机可作为代理服务器的平台。
1. 双宿/多宿主机模式
内部网络 1
内部网络 2
双宿/多宿主机
Internet
用一台装有两块或多块网卡的堡垒主机做防火墙,两块 或多块网卡各自与受保护网和外部网相连。
第七章 网络安全技术
第七章 网络安全技术
内容提要 1. 防火墙技术 2. 入侵检测技术 3. 安全扫描技术 4. 内外网隔离技术 5. 内网安全技术 6. 反病毒技术
7.1 防火墙技术
网络防火墙是一个特殊网络互连设备
加强网络之间访问控制 防止外部网络用户非法进入内部网络,访问内部网络
原因:
堡垒主机是用户网络上最 容易受侵袭的机器。通过ቤተ መጻሕፍቲ ባይዱ在周边网络上隔离堡垒主 机,能减少在堡垒主机被 侵入的影响。
4. 混合模式
主要是以上一些模式结构的混合使用,主要有: (1) 将屏蔽子网结构中的内部路由器和外部路由器合
并 (2) 合并屏蔽子网结构中堡垒主机与外部路由器 (3) 使用多台堡垒主机 (4) 使用多台外部路由器 (5) 使用多个周边网络
7.1.1 防火墙的作用
防火墙能有效地控制内部网络与外部网络之间 的访问及数据传送
防火墙的三大要素:安全、管理、速度。
7.1.1 防火墙的作用
一个好的防火墙系统应具备以下三方面的条件: 内部和外部之间的所有网络数据流必须经过防火墙。
否则就失去了防火墙的主要意义了。
只有符合安全策略的数据流才能通过防火墙。
1.包过滤技术
包过滤型防火墙:在网络中的适当的位置对数 据包实施有选择的通过
其选择依据:即为系统内设置的过滤规则(通 常称为访问控制列表。
2. 代理技术
代理技术,称为应用层网关技术,针对每一个特定应用都有一个程序。 代理是企图在应用层实现防火墙的功能。包括:
提供部分与传输有关的状态 提供与应用相关的状态和部分传输方面的信息, 处理和管理信息。
增加私有组织的可用地址空间 解决将现有的私有TCP/IP网络连接到互联网上的IP
地址编号问题。
7.1.3 防火墙的体系结构
在防火墙和网络的配置上,有以下四种典型结构: 双宿/多宿主机模式 屏蔽主机模式 屏蔽子网模式 一些混合结构模式。
堡垒主机
堡垒主机是指在极其关键的位置上用于安全 防御的某个系统。
这也是防火墙的主要功能---审计和过滤数据。
防火墙自身应对渗透免疫。
7.1.1 防火墙的作用
一般来说,防火墙由四大要素组成: 安全策略:是一个防火墙能否充分发挥其作用的关键。
哪些数据不能通过防火墙、哪些数据可以通过防火墙; 防火墙应该如何具备部署; 应该采取哪些方式来处理紧急的安全事件; 以及如何进行审计和取证的工作。
基于状态检测技术的防火墙 数据包进行检测 对控制通信的基本状态信息(包括通信信息、通信状态、应用状态和 信息操作性)进行检测,以完成对数据包的检测和过滤。
4. 网络地址翻译技术
NAT(Network Address Translation,网络地址 翻译)
➢ 私有IP地址只能作为内部网络号,不能在互联网主干 网使用。NAT可通过地址映射将其连接到公共网络。 解决IP地址短缺问题。
1. VPN工作原理
通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 所谓虚拟:用户不再需要拥有实际的长途数据线路,而是使用因特网公众数据网络的长
屏蔽主机型的典型构成
屏蔽主机型的典型构成是包过滤路由器+堡垒主机。 包过滤路由器配置在内部网和外部网之间,保证外 部系统对内部网络的操作只能经过堡垒主机。
3. 屏蔽子网模式
添加了额外的一层保护 体系——周边网络
堡垒主机位于周边网络 上,应用层网关,代理 服务,入站必须经过
周边网络和内部网络被 内部路由器分开,防止 堡垒主机对内部的影响
3. 状态检测技术
状态检测技术是防火墙近几年才应用的新技术 传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通
过还是拒绝
状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接 的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与 状态表的共同配合,对表中的各个连接状态因素加以识别。
特点:
主机的路由功能是被禁止的,两个网络之间的通信通过应用层 代理服务来完成的。
当黑客侵入堡垒主机并使其具有路由功能,防火墙将无用。
2. 屏蔽主机模式
专门设置过滤路由器把所有外部到 内部的连接都路由到了堡垒主机
安全等级比包过滤防火墙系统 高,因为它实现了网络层安全 (包过滤)和应用层安全(代 理服务)。
内部网:需要受保护的网。 外部网:需要防范的外部网络。 技术手段:具体的实施技术。 保证内部网的安全,内部网与外部网的联通
7.1.2 防火墙技术原理
防火墙的技术主要有:
包过滤技术 代理技术 VPN技术 状态检查技术 地址翻译技术 内容检查技术 以及其他技术
7.1.4 基于防火墙的VPN技术
1. VPN工作原理 虚拟专用网指的是依靠ISP(因特网服务提供商)和
其他NSP(网络服务提供商),在公用网络中建立专 用的数据通信网络的技术。
在虚拟专用网中,任意两个节点之间的连接并没有传 统专网所需的端到端的物理链路,而是利用某种公众 网的资源动态组成的。