IDS功能与模型入侵检测系统

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
资源 保护内部网络操作环境。
7.1 防火墙技术
7.1.1 防火墙的作用 7.1.2 防火墙技术原理 7.1.3 防火墙的体系结构 7.1.4 基于防火墙的VPN技术
7.1.1 防火墙的作用
防火墙是一种由软件或硬件设备组合而成的装置。 处于企业的内部局域网与Internet之间。 限制Internet用户对内部网络的访问。 管理内部用户访问外界的权限。
堡垒主机起到一个“牺牲主机”的角色。如 果攻击者要攻击你的网络,那么他们只能攻 击到这台主机。
从网络安全上来看,堡垒主机是防火墙管理 员认为最强壮的系统。
堡垒主机可作为代理服务器的平台。
1. 双宿/多宿主机模式
内部网络 1
内部网络 2
双宿/多宿主机
Internet
用一台装有两块或多块网卡的堡垒主机做防火墙,两块 或多块网卡各自与受保护网和外部网相连。
第七章 网络安全技术
第七章 网络安全技术
内容提要 1. 防火墙技术 2. 入侵检测技术 3. 安全扫描技术 4. 内外网隔离技术 5. 内网安全技术 6. 反病毒技术
7.1 防火墙技术
网络防火墙是一个特殊网络互连设备
加强网络之间访问控制 防止外部网络用户非法进入内部网络,访问内部网络
原因:
堡垒主机是用户网络上最 容易受侵袭的机器。通过ቤተ መጻሕፍቲ ባይዱ在周边网络上隔离堡垒主 机,能减少在堡垒主机被 侵入的影响。
4. 混合模式
主要是以上一些模式结构的混合使用,主要有: (1) 将屏蔽子网结构中的内部路由器和外部路由器合
并 (2) 合并屏蔽子网结构中堡垒主机与外部路由器 (3) 使用多台堡垒主机 (4) 使用多台外部路由器 (5) 使用多个周边网络
7.1.1 防火墙的作用
防火墙能有效地控制内部网络与外部网络之间 的访问及数据传送
防火墙的三大要素:安全、管理、速度。
7.1.1 防火墙的作用
一个好的防火墙系统应具备以下三方面的条件: 内部和外部之间的所有网络数据流必须经过防火墙。
否则就失去了防火墙的主要意义了。
只有符合安全策略的数据流才能通过防火墙。
1.包过滤技术
包过滤型防火墙:在网络中的适当的位置对数 据包实施有选择的通过
其选择依据:即为系统内设置的过滤规则(通 常称为访问控制列表。
2. 代理技术
代理技术,称为应用层网关技术,针对每一个特定应用都有一个程序。 代理是企图在应用层实现防火墙的功能。包括:
提供部分与传输有关的状态 提供与应用相关的状态和部分传输方面的信息, 处理和管理信息。
增加私有组织的可用地址空间 解决将现有的私有TCP/IP网络连接到互联网上的IP
地址编号问题。
7.1.3 防火墙的体系结构
在防火墙和网络的配置上,有以下四种典型结构: 双宿/多宿主机模式 屏蔽主机模式 屏蔽子网模式 一些混合结构模式。
堡垒主机
堡垒主机是指在极其关键的位置上用于安全 防御的某个系统。
这也是防火墙的主要功能---审计和过滤数据。
防火墙自身应对渗透免疫。
7.1.1 防火墙的作用
一般来说,防火墙由四大要素组成: 安全策略:是一个防火墙能否充分发挥其作用的关键。
哪些数据不能通过防火墙、哪些数据可以通过防火墙; 防火墙应该如何具备部署; 应该采取哪些方式来处理紧急的安全事件; 以及如何进行审计和取证的工作。
基于状态检测技术的防火墙 数据包进行检测 对控制通信的基本状态信息(包括通信信息、通信状态、应用状态和 信息操作性)进行检测,以完成对数据包的检测和过滤。
4. 网络地址翻译技术
NAT(Network Address Translation,网络地址 翻译)
➢ 私有IP地址只能作为内部网络号,不能在互联网主干 网使用。NAT可通过地址映射将其连接到公共网络。 解决IP地址短缺问题。
1. VPN工作原理
通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 所谓虚拟:用户不再需要拥有实际的长途数据线路,而是使用因特网公众数据网络的长
屏蔽主机型的典型构成
屏蔽主机型的典型构成是包过滤路由器+堡垒主机。 包过滤路由器配置在内部网和外部网之间,保证外 部系统对内部网络的操作只能经过堡垒主机。
3. 屏蔽子网模式
添加了额外的一层保护 体系——周边网络
堡垒主机位于周边网络 上,应用层网关,代理 服务,入站必须经过
周边网络和内部网络被 内部路由器分开,防止 堡垒主机对内部的影响
3. 状态检测技术
状态检测技术是防火墙近几年才应用的新技术 传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通
过还是拒绝
状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接 的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与 状态表的共同配合,对表中的各个连接状态因素加以识别。
特点:
主机的路由功能是被禁止的,两个网络之间的通信通过应用层 代理服务来完成的。
当黑客侵入堡垒主机并使其具有路由功能,防火墙将无用。
2. 屏蔽主机模式
专门设置过滤路由器把所有外部到 内部的连接都路由到了堡垒主机
安全等级比包过滤防火墙系统 高,因为它实现了网络层安全 (包过滤)和应用层安全(代 理服务)。
内部网:需要受保护的网。 外部网:需要防范的外部网络。 技术手段:具体的实施技术。 保证内部网的安全,内部网与外部网的联通
7.1.2 防火墙技术原理
防火墙的技术主要有:
包过滤技术 代理技术 VPN技术 状态检查技术 地址翻译技术 内容检查技术 以及其他技术
7.1.4 基于防火墙的VPN技术
1. VPN工作原理 虚拟专用网指的是依靠ISP(因特网服务提供商)和
其他NSP(网络服务提供商),在公用网络中建立专 用的数据通信网络的技术。
在虚拟专用网中,任意两个节点之间的连接并没有传 统专网所需的端到端的物理链路,而是利用某种公众 网的资源动态组成的。
相关文档
最新文档