安全技术-防火墙与入侵检测PPT课件

1、安全技术安全技术-防火墙与入侵检测防火墙与入侵检测第一节第一节 防火墙防火墙主流安全防护技术主流安全防护技术本节主要内容本节主要内容一、防火墙概述一、防火墙概述二、防火墙技术分析二、防火墙技术分析三、防火墙布置三、防火墙布置什么是防火墙什么是防火墙l在网络安全领域中，防火墙用来指应用于在网络安全领域中，防火墙用来指应用于内部网络内部网络（局域网）（局域网）和和外部网络外部网络（Internet）之间的，用来之间的，用来保护内部网络保护内部网络免受非法免受非法访问和破坏的网络访问和破坏的网络安全系统安全系统。 防火墙主要功能防火墙主要功能l防止不安全的协议和服务；防止不安全的协议和服务；l防止外

2、部对内部网络信息的获取；防止外部对内部网络信息的获取；l提供与外部连接的集中管理；提供与外部连接的集中管理； 防火墙不能防范的攻击防火墙不能防范的攻击l来自内部的安全威胁来自内部的安全威胁l各种操作系统和应用服务程序的漏洞各种操作系统和应用服务程序的漏洞l特洛伊木马特洛伊木马l社会工程社会工程l不当配置不当配置本节主要内容本节主要内容一、防火墙概述一、防火墙概述二、防火墙技术分析二、防火墙技术分析三、防火墙布置三、防火墙布置常用防火墙技术常用防火墙技术l包过滤包过滤l应用代理应用代理包过滤包过滤l普通路由器普通路由器p当数据包到达时，查看路由表，来决定能否以及如何传送数据包 l屏蔽路由器屏蔽路

3、由器p即在决定能否及如何传送数据包之外，查看其规则集，看是否应该传送该数据包 规则制定的策略规则制定的策略l允许任何访问，除非规则特别地禁止允许任何访问，除非规则特别地禁止 l拒绝任何访问，除非被规则特别允许拒绝任何访问，除非被规则特别允许 包过滤所检查的内容包过滤所检查的内容l接口和方向接口和方向 l源和目的的源和目的的IP地址地址 lIP选项选项 lIP的上层协议类型（的上层协议类型（TCP/UDP/ICMP） lTCP和和UDP的源及目的端口的源及目的端口 lICMP的报文类型和代码的报文类型和代码 规则举例规则举例l上述规则定义了局域网用户可以使用外部网络的发信上述规则定义了局域网用户

4、可以使用外部网络的发信（SMTP）服务器服务器方向 源IP 目标IP IP选项上层协议源端口目标端口 内部外部无TCP1024251024包过滤的优缺点包过滤的优缺点l优点：优点：p速度快p价格低p用户透明 l缺点：缺点：p难于配置p能力有限 p规则失效时成为无安全保护状态应用代理应用代理lWEB代理工作原理示意代理工作原理示意页面缓冲文件HTTP请求WEB页面HTTP请求WEB页面应用代理防火墙应用代理防火墙l可以防止攻击者对内部网络信息的探测可以防止攻击者对内部网络信息的探测l实现基于内容的过滤实现基于内容的过滤应用代理的优缺点应用代理的优缺点l优点：优点：p可以隐藏内部网络的信息；p可以

5、具有强大的日志审核；p可以实现内容的过滤；l缺点：缺点：p价格高p速度慢 p失效时造成网络的瘫痪本节主要内容本节主要内容一、防火墙概述一、防火墙概述二、防火墙技术分析二、防火墙技术分析三、防火墙布置三、防火墙布置包过滤路由包过滤路由内部网络外部网络包过滤路由器应用代理网关应用代理网关内部网络外部网络应用代理网关（双宿主主机）屏蔽主机屏蔽主机内部网络外部网络保护应用代理屏蔽子网屏蔽子网内部网络外部网络保护内部网络常见防火墙产品常见防火墙产品l比较知名的防火墙产品包括：比较知名的防火墙产品包括：pCheckPoint公司的“FireWall-1”pNetScreen公司的“Netscreen系列”

6、p天融信的“网络卫士”第二节第二节 入侵检测入侵检测主流安全检测技术主流安全检测技术本节主要内容本节主要内容一、入侵检测概述一、入侵检测概述二、入侵检测基本模型二、入侵检测基本模型三、入侵检测结构三、入侵检测结构什么是入侵检测什么是入侵检测l入侵检测（入侵检测（IDS）指可以指可以发现发现网络入侵行为并网络入侵行为并响应响应的安全系统。的安全系统。入侵检测的作用入侵检测的作用l检测防护部分阻止不了的入侵检测防护部分阻止不了的入侵 l检测入侵的前兆检测入侵的前兆 l入侵事件的归档入侵事件的归档 l网络受威胁程度的评估网络受威胁程度的评估 l帮助从入侵事件中恢复帮助从入侵事件中恢复 本节主要内容本

7、节主要内容一、入侵检测概述一、入侵检测概述二、入侵检测基本模型二、入侵检测基本模型三、入侵检测结构三、入侵检测结构入侵检测原理入侵检测原理l入侵检测和其它的检测技术一样，其核心任务都是从一组数据入侵检测和其它的检测技术一样，其核心任务都是从一组数据中检测出符合某一特点的数据。中检测出符合某一特点的数据。 入侵检测通用模型入侵检测通用模型l事件收集器事件收集器l事件分析器事件分析器l响应单元响应单元l事件数据库事件数据库事件收集事件收集l基于主机基于主机p操作系统的审核日志以及应用程序日志l基于网络基于网络p网络传输的数据事件分析事件分析l模式匹配（误用检测）模式匹配（误用检测）p将收集的事件和

8、数据与已知网络入侵和系统误用模式数据库进行比较，检测入侵p准确率高，容易漏报l统计分析（异常检测）统计分析（异常检测）p统计正常状态网络和主机的各类数据，响应单元响应单元l主动响应主动响应p进一步收集入侵相关信息p阻止入侵p反击l被动响应被动响应p报警事件数据库事件数据库l数据库保存事件信息，包括正常和入侵事件。数据库保存事件信息，包括正常和入侵事件。本节主要内容本节主要内容一、入侵检测概述一、入侵检测概述二、入侵检测基本模型二、入侵检测基本模型三、入侵检测结构三、入侵检测结构体系结构体系结构l单型单型IDSl主从型主从型IDSl对等型对等型IDS单型单型IDSl单型单型IDS设计简单，适合小型环境，但存在局部性检测设计简单，适合小型环境，但存在局部性检测的问题的问题事件收集事件分析主从型主从型IDSl主从型主从型IDS克服了