【正文】 墻 ? 屏蔽主機(jī)防火墻 ? 屏蔽子網(wǎng)防火墻 2023710 72 大學(xué) IT 雙宿網(wǎng)關(guān)防火墻 ? 雙宿網(wǎng)關(guān)防火墻又稱為雙重宿主主機(jī)防火墻。雙宿網(wǎng)關(guān)是一種擁有兩個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。這種防火墻的最大特點(diǎn)是 IP層的通信是被阻止的，兩個(gè)網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成。 ? 雙重宿主主機(jī)是惟一的隔開內(nèi)部網(wǎng)和外部因特網(wǎng)之間的屏障，如果入侵者得到了雙重宿主主機(jī)的訪問權(quán)，內(nèi)部網(wǎng)絡(luò)就會(huì)被入侵，所以為了保證內(nèi)部網(wǎng)的安全，雙重宿主主機(jī)應(yīng)具有強(qiáng)大的身份認(rèn)證系統(tǒng)，才可以阻擋來自外部不可信網(wǎng)絡(luò)的非法登錄。 2023710 73 大學(xué) IT 屏蔽主機(jī)防火墻 ? 屏蔽主機(jī)防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)（一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)）相連接，而不讓它們直接與內(nèi)部主機(jī)相連。屏蔽主機(jī)防火墻由包過濾路由器和堡壘主機(jī)組成。 ? 在采用屏蔽主機(jī)防火墻的情況下，過濾路由器是否正確配置是這種防火墻安全與否的關(guān)鍵。 ? 屏蔽主機(jī)這種體系結(jié)構(gòu)中，堡壘主機(jī)與其他內(nèi)部主機(jī)之間沒有任何保護(hù)網(wǎng)絡(luò)安全的東西存在，所以，一旦堡壘主機(jī)被攻破，內(nèi)部網(wǎng)將完全暴露。為了改進(jìn)這一缺點(diǎn)，可以使用屏蔽子網(wǎng)。 2023710 74 大學(xué) IT 屏蔽子網(wǎng)防火墻 ? 屏蔽子網(wǎng)防火墻系統(tǒng)用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)。這種防火墻系統(tǒng)最安全，它定義了“非軍事區(qū)”網(wǎng)絡(luò)，支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。 ? 堡壘主機(jī)往往是受侵襲的對象，雖然堡壘主機(jī)很堅(jiān)固，不易被入侵者控制，但萬一堡壘主機(jī)被控制，如果采用了屏蔽子網(wǎng)體系結(jié)構(gòu)，入侵者仍然不能直接侵襲內(nèi)部網(wǎng)絡(luò)，因?yàn)閮?nèi)部網(wǎng)絡(luò)仍受到內(nèi)部過濾路由器的保護(hù)。 ? 若沒有“非軍事區(qū)”，入侵者控制了堡壘主機(jī)后就可以監(jiān)聽整個(gè)內(nèi)部網(wǎng)絡(luò)的對話。 2023710 75 大學(xué) IT 防火墻產(chǎn)品介紹 ? 防火墻產(chǎn)品眾多，每種產(chǎn)品都具有自己獨(dú)特的技術(shù)手段。 ? 選擇安裝防火墻產(chǎn)品之前，應(yīng)先搞清楚自己的網(wǎng)絡(luò)規(guī)模和具體應(yīng)用需求，再充分地了解各種產(chǎn)品的功能及適用范圍。 ? 本教材的配套實(shí)驗(yàn)教材介紹了瑞星防火墻的操作方法。 2023710 76 大學(xué) IT 入侵檢測 入侵檢測概念 入侵檢測系統(tǒng)的工作原理 入侵檢測的分類 2023710 77 大學(xué) IT 入侵檢測概念 ? 入侵檢測系統(tǒng)（ Intrusion Detection System，簡稱 IDS)，是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。 ? 如果把防火墻比作門衛(wèi)的話，入侵檢測系統(tǒng)則是網(wǎng)絡(luò)中不間斷的攝像機(jī)，它通過監(jiān)聽的方式不間斷地對網(wǎng)絡(luò)／主機(jī)上的數(shù)據(jù)進(jìn)行分析，判斷是否有攻擊的意圖，如果有，則做出響應(yīng)，而且它的活動(dòng)對網(wǎng)絡(luò)性能和運(yùn)行影響甚微?？梢?，入侵檢測系統(tǒng)不但可以檢測到來自外部的攻擊，而且可以發(fā)現(xiàn)內(nèi)部的惡意破壞行為，是網(wǎng)絡(luò)／主機(jī)的第二道閘門。它與防火墻相輔相成，構(gòu)成了信息安全比較完美的解決方案。 2023710 78 大學(xué) IT 入侵檢測系統(tǒng) 的工作原理 ? 信息收集 ? 數(shù)據(jù)分析 ? 響應(yīng) 2023710 79 大學(xué) IT 信息收集 ? 信息收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息，這除了盡可能擴(kuò)大檢測范圍的因素外，還有一個(gè)重要的因素就是從一個(gè)源來的信息有可能看不出疑點(diǎn)，但來自幾個(gè)源的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識。 ? IDS利用的信息一般來自系統(tǒng)日志、目錄以及文件中的異常改變、程序執(zhí)行中的異常行為及物理形式的入侵信息 4個(gè)方面。 2023710 80 大學(xué) IT 數(shù)據(jù)分析 對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進(jìn)行分析： ? 模式匹配 ? 統(tǒng)計(jì)分析 ? 完整性分析 2023710 81 大學(xué) IT 數(shù) 據(jù) 分 析 —— 模式匹配 ? 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。 ? 該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒、防火墻采用的方法一樣，檢測準(zhǔn)確率和效率都相當(dāng)高。 ? 該方法存在的弱點(diǎn)是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。 2023710 82 大學(xué) IT 數(shù) 據(jù) 分 析 —— 統(tǒng)計(jì)分析方法 ? 統(tǒng)計(jì)分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。 2023710 83 大學(xué) IT 數(shù) 據(jù) 分 析 —— 完整性分析 ? 完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性。 ? 優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其他對象的任何改變，它都能夠發(fā)現(xiàn)。 ? 缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不利于實(shí)時(shí)響應(yīng)。 2023710 84 大學(xué) IT 響 應(yīng) 理想的入侵檢測系統(tǒng)應(yīng)提供起重要作用的響應(yīng)模塊，根據(jù)分析所得的結(jié)果選擇合適的響應(yīng)選項(xiàng)來解決以下問題： ① 攻擊追蹤。追查攻擊者的真實(shí)來源。 ② 躲避攻擊。重新配置輔助系統(tǒng)（如直接修改防火墻或路由器的過濾表）或切斷任何嘗試性連接。 ③ 自愈。根據(jù)新發(fā)現(xiàn)的安全隱患和漏洞及相應(yīng)攻擊模式庫，自動(dòng)修正系統(tǒng)配置和安全縫隙。 ④ 快速恢復(fù)。實(shí)現(xiàn)受害部位的定位和隔離，以及系統(tǒng)功能的重組和恢復(fù)。 2023710 85 大學(xué) IT 入侵檢測的分類 根據(jù)不同的標(biāo)準(zhǔn)，入侵檢測系統(tǒng)有不同的分類方法。 以檢測對象為標(biāo)準(zhǔn)，主要分為三類： ?基于主機(jī)的入侵檢測系統(tǒng) ?基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) ?混合入侵檢測系統(tǒng) 2023710 86 大學(xué) IT 基于主機(jī)的入侵檢測系統(tǒng) ? 主機(jī)型入侵檢測系統(tǒng)通常是安裝在被重點(diǎn)檢測的主機(jī)之上，主要是對該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。 2023710 87 大學(xué) IT 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) ? 網(wǎng)絡(luò)型入侵檢測系統(tǒng)一般放在比較重要的網(wǎng)段內(nèi)，不停的監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，并對每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與系統(tǒng)內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會(huì)發(fā)出警報(bào)甚至直接切斷網(wǎng)絡(luò)連接。 2023710 88 大學(xué) IT 混合入侵檢測系統(tǒng) ? 混合入侵檢測系統(tǒng)是上述兩類入侵檢測技術(shù)的無縫結(jié)合?；诰W(wǎng)絡(luò)的入侵檢測技術(shù)和基于主機(jī)的入侵檢測技術(shù)都有不足之處，但是，它們的缺憾是互補(bǔ)的?；旌先肭謾z測系統(tǒng)綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。 2023710 89 大學(xué) IT 2023710 90 大學(xué) IT 演講完畢，謝謝觀看！