【正文】 墻 ? 屏蔽主機防火墻 ? 屏蔽子網防火墻 2023710 72 大學 IT 雙宿網關防火墻 ? 雙宿網關防火墻又稱為雙重宿主主機防火墻。雙宿網關是一種擁有兩個連接到不同網絡上的網絡接口的防火墻。這種防火墻的最大特點是 IP層的通信是被阻止的，兩個網絡之間的通信可通過應用層數(shù)據共享或應用層代理服務來完成。 ? 雙重宿主主機是惟一的隔開內部網和外部因特網之間的屏障，如果入侵者得到了雙重宿主主機的訪問權，內部網絡就會被入侵，所以為了保證內部網的安全，雙重宿主主機應具有強大的身份認證系統(tǒng)，才可以阻擋來自外部不可信網絡的非法登錄。 2023710 73 大學 IT 屏蔽主機防火墻 ? 屏蔽主機防火墻強迫所有的外部主機與一個堡壘主機（一種被強化的可以防御進攻的計算機）相連接，而不讓它們直接與內部主機相連。屏蔽主機防火墻由包過濾路由器和堡壘主機組成。 ? 在采用屏蔽主機防火墻的情況下，過濾路由器是否正確配置是這種防火墻安全與否的關鍵。 ? 屏蔽主機這種體系結構中，堡壘主機與其他內部主機之間沒有任何保護網絡安全的東西存在，所以，一旦堡壘主機被攻破，內部網將完全暴露。為了改進這一缺點，可以使用屏蔽子網。 2023710 74 大學 IT 屏蔽子網防火墻 ? 屏蔽子網防火墻系統(tǒng)用了兩個包過濾路由器和一個堡壘主機。這種防火墻系統(tǒng)最安全，它定義了“非軍事區(qū)”網絡，支持網絡層和應用層安全功能。 ? 堡壘主機往往是受侵襲的對象，雖然堡壘主機很堅固，不易被入侵者控制，但萬一堡壘主機被控制，如果采用了屏蔽子網體系結構，入侵者仍然不能直接侵襲內部網絡，因為內部網絡仍受到內部過濾路由器的保護。 ? 若沒有“非軍事區(qū)”，入侵者控制了堡壘主機后就可以監(jiān)聽整個內部網絡的對話。 2023710 75 大學 IT 防火墻產品介紹 ? 防火墻產品眾多，每種產品都具有自己獨特的技術手段。 ? 選擇安裝防火墻產品之前，應先搞清楚自己的網絡規(guī)模和具體應用需求，再充分地了解各種產品的功能及適用范圍。 ? 本教材的配套實驗教材介紹了瑞星防火墻的操作方法。 2023710 76 大學 IT 入侵檢測 入侵檢測概念 入侵檢測系統(tǒng)的工作原理 入侵檢測的分類 2023710 77 大學 IT 入侵檢測概念 ? 入侵檢測系統(tǒng)（ Intrusion Detection System，簡稱 IDS)，是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。 ? 如果把防火墻比作門衛(wèi)的話，入侵檢測系統(tǒng)則是網絡中不間斷的攝像機，它通過監(jiān)聽的方式不間斷地對網絡／主機上的數(shù)據進行分析，判斷是否有攻擊的意圖，如果有，則做出響應，而且它的活動對網絡性能和運行影響甚微?？梢?，入侵檢測系統(tǒng)不但可以檢測到來自外部的攻擊，而且可以發(fā)現(xiàn)內部的惡意破壞行為，是網絡／主機的第二道閘門。它與防火墻相輔相成，構成了信息安全比較完美的解決方案。 2023710 78 大學 IT 入侵檢測系統(tǒng) 的工作原理 ? 信息收集 ? 數(shù)據分析 ? 響應 2023710 79 大學 IT 信息收集 ? 信息收集的內容包括系統(tǒng)、網絡、數(shù)據及用戶活動的狀態(tài)和行為。需要在計算機網絡系統(tǒng)中的若干不同關鍵點（不同網段和不同主機）收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但來自幾個源的信息的不一致性卻是可疑行為或入侵的最好標識。 ? IDS利用的信息一般來自系統(tǒng)日志、目錄以及文件中的異常改變、程序執(zhí)行中的異常行為及物理形式的入侵信息 4個方面。 2023710 80 大學 IT 數(shù)據分析 對收集到的有關系統(tǒng)、網絡、數(shù)據及用戶活動的狀態(tài)和行為等信息，一般通過三種技術手段進行分析： ? 模式匹配 ? 統(tǒng)計分析 ? 完整性分析 2023710 81 大學 IT 數(shù) 據 分 析 —— 模式匹配 ? 模式匹配就是將收集到的信息與已知的網絡入侵和系統(tǒng)誤用模式數(shù)據庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。 ? 該方法的一大優(yōu)點是只需收集相關的數(shù)據集合，顯著減少系統(tǒng)負擔，且技術已相當成熟。它與病毒、防火墻采用的方法一樣，檢測準確率和效率都相當高。 ? 該方法存在的弱點是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。 2023710 82 大學 IT 數(shù) 據 分 析 —— 統(tǒng)計分析方法 ? 統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值將被用來與網絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生。 2023710 83 大學 IT 數(shù) 據 分 析 —— 完整性分析 ? 完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性。 ? 優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導致了文件或其他對象的任何改變，它都能夠發(fā)現(xiàn)。 ? 缺點是一般以批處理方式實現(xiàn)，不利于實時響應。 2023710 84 大學 IT 響 應 理想的入侵檢測系統(tǒng)應提供起重要作用的響應模塊，根據分析所得的結果選擇合適的響應選項來解決以下問題： ① 攻擊追蹤。追查攻擊者的真實來源。 ② 躲避攻擊。重新配置輔助系統(tǒng)（如直接修改防火墻或路由器的過濾表）或切斷任何嘗試性連接。 ③ 自愈。根據新發(fā)現(xiàn)的安全隱患和漏洞及相應攻擊模式庫，自動修正系統(tǒng)配置和安全縫隙。 ④ 快速恢復。實現(xiàn)受害部位的定位和隔離，以及系統(tǒng)功能的重組和恢復。 2023710 85 大學 IT 入侵檢測的分類 根據不同的標準，入侵檢測系統(tǒng)有不同的分類方法。 以檢測對象為標準，主要分為三類： ?基于主機的入侵檢測系統(tǒng) ?基于網絡的入侵檢測系統(tǒng) ?混合入侵檢測系統(tǒng) 2023710 86 大學 IT 基于主機的入侵檢測系統(tǒng) ? 主機型入侵檢測系統(tǒng)通常是安裝在被重點檢測的主機之上，主要是對該主機的網絡實時連接以及系統(tǒng)審計日志進行智能分析和判斷。 2023710 87 大學 IT 基于網絡的入侵檢測系統(tǒng) ? 網絡型入侵檢測系統(tǒng)一般放在比較重要的網段內，不停的監(jiān)視網段中的各種數(shù)據包，并對每一個數(shù)據包或可疑的數(shù)據包進行特征分析。如果數(shù)據包與系統(tǒng)內置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網絡連接。 2023710 88 大學 IT 混合入侵檢測系統(tǒng) ? 混合入侵檢測系統(tǒng)是上述兩類入侵檢測技術的無縫結合?；诰W絡的入侵檢測技術和基于主機的入侵檢測技術都有不足之處，但是，它們的缺憾是互補的?；旌先肭謾z測系統(tǒng)綜合了基于網絡和基于主機兩種結構特點的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網絡中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。 2023710 89 大學 IT 2023710 90 大學 IT 演講完畢，謝謝觀看！