【正文】 什么是網(wǎng)絡(luò)弱點掃描 ? 網(wǎng)絡(luò)弱點掃描 ? 特定應用弱點掃描隱患掃描（ vulnerabilities? 網(wǎng)絡(luò)弱點掃描 防病毒隱患掃描（ vulnerabilitiesPGP? 隱患掃描? PKI(CA)? 日志審計? VPN? ? 由探測器和分析器以及網(wǎng)絡(luò)安全知識庫組成? 具有配置簡單，服務器平臺獨立性等優(yōu)點課程內(nèi)容? Detection） msg:New IMAP Buffer Overflow detected!。msg PHF probe!) – alert tcp ! 6000:6010 ( msg: X traffic。該系統(tǒng)自己定義了一套規(guī)則語言來定義入侵行為，規(guī)則語言所描述的主要是網(wǎng)絡(luò)數(shù)據(jù)包的特性，比如地址、端口、包頭屬性、包含的特殊數(shù)據(jù)等等。? 技術(shù)較為成熟，為絕大多數(shù)市場產(chǎn)品采用? 典型應用：– 網(wǎng)絡(luò)數(shù)據(jù)包– 用戶指令序列– 應用程序編碼特征，等等 異常檢測典型系統(tǒng)－TripWare(2)? 優(yōu)點：– 實現(xiàn)簡單– 管理方便? 缺點：– 檢測能力差 ? TripWare主要利用關(guān)鍵性文件的摘要作為自己知識庫，合法用戶修改文件后要更新該文件摘要，由于非法用戶無權(quán)更改其摘要，所以當發(fā)現(xiàn)文件摘要和保存的記錄不符時，判定系統(tǒng)受到攻擊。? 缺點：– 準確性差– 誤報率高 異常入侵檢測技術(shù) (2)? 入侵檢測系統(tǒng)結(jié)構(gòu)異常入侵檢測技術(shù) – 誤用入侵檢測技術(shù) – 異常入侵檢測技術(shù) Detection） Detection） 是檢測計算機網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程? IDS? 入侵檢測系統(tǒng)包括三個功能組件– 提供事件記錄流的信息源– 發(fā)現(xiàn)入侵跡象的分析引擎– 基于分析引擎的結(jié)果產(chǎn)生反應的響應部件入侵檢測系統(tǒng)基本框架 ? 入侵檢測定義– 入侵檢測與入侵檢測系統(tǒng)（ IDS)– 入侵檢測系統(tǒng)基本框架 ? 入侵檢測方法 ? 入侵檢測系統(tǒng)結(jié)構(gòu)入侵檢測（ IntrusionDetection） 安全加固? 入侵檢測? 內(nèi)外網(wǎng)隔離? 防火墻? Snort[包長度 ]IDS日志舉例 [目標端口 ]? biosns[源地址 ]? [傳輸層協(xié)議 ][方向 [動作 ]17:31:59Firewall1Check日志舉例 (2)? 用戶 : QU\hiiri? 計算機 :QU? 描述 :? 用戶注銷 :– 用戶名 : hiiri– 域 : QU– 登錄 ID: (0x0,0x504001)– 登錄類型 : 7防火墻日志舉例 日志舉例 (1)? 事件類型 : 成功審核? 事件來源 : Security? 事件種類 : 登錄 /注銷 ? 事件 ID: 538? 日期 : 202399? 時間 : 20:47:04WIN如果采用的話，包含可以字節(jié)或字顯示的二進數(shù)據(jù)及事件記錄的源應用產(chǎn)生的信息記錄頭事件描述附加數(shù)據(jù)WINModel）BSM用戶級審計記錄包括：? 進程名? 手冊頁參考? 審計事件號? 審計事件名? 審計記錄結(jié)構(gòu)BSM核心級審計記錄包括：? 系統(tǒng)調(diào)用名? 手冊頁參考? 審計事件號? 審計事件名? 審計事件類? 事件屏蔽? 審計記錄結(jié)構(gòu)WINBSM（ Basic? 保護審計記錄不受未授權(quán)的刪除 ? 防止或檢測對審計記錄的修改 ? 當存儲耗盡、失敗或受到攻擊時，能夠確保審計記錄不受破壞 ? 存儲失敗時，應采取一定行動確保新的審計記錄不受破壞 審計事件查閱 ? 訪問控制權(quán)限? 易于理解日志審計分析 ? 日志的分析可以分為手工和自動的方式，通常，對日志的自動分析任務可以由入侵檢測系統(tǒng)完成。? 審計事件選擇是指在所有可以審計的事件中，根據(jù)主體身份、事件類型等屬性，選擇對哪些事件進行審計，這種選擇可以用包含或排除的方法。日志審計的重要性? 管理員? 入侵者 安全加固? 入侵檢測? 內(nèi)外網(wǎng)隔離? 防火墻? 物理隔離卡－ 雙網(wǎng)線隔離卡(con’t)? 技術(shù)水平有所提高? 成本有所降低? 要求網(wǎng)絡(luò)布線采用雙網(wǎng)線結(jié)構(gòu)，存在安全隱患物理隔離卡－ 單網(wǎng)線隔離卡 ? 只有一個網(wǎng)絡(luò)接口? 通過網(wǎng)線將不同的電平信息傳遞到網(wǎng)絡(luò)選擇端，在網(wǎng)絡(luò)選擇端安裝網(wǎng)絡(luò)選擇器，并根據(jù)不同的電平信號，選擇不同的網(wǎng)絡(luò)連接? 特點：– 實現(xiàn)成本較低，能夠有效利用現(xiàn)有單網(wǎng)線網(wǎng)絡(luò)環(huán)境– 系統(tǒng)的安全性有所提高物理隔離卡（圖）網(wǎng)絡(luò)安全隔離集線器 ? 作為 A/B轉(zhuǎn)換器被設(shè)置在機柜中? 根據(jù)網(wǎng)絡(luò)安全隔離卡的狀態(tài)自動地將網(wǎng)絡(luò)連接到安全網(wǎng)絡(luò)或公共網(wǎng)絡(luò)中? 特點：– 能使用原有的單一的布線系統(tǒng)物理隔離網(wǎng)閘（ GAP） (1) ? 由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接? 能夠在網(wǎng)絡(luò)間進行安全適度的應用數(shù)據(jù)交換 物理隔離網(wǎng)閘（ GAP） (2)? 性能指標：– 系統(tǒng)數(shù)據(jù)交換速率 – 硬件切換時間 ? 通常包含的安全功能模塊：– 安全隔離 – 內(nèi)核防護– 協(xié)議轉(zhuǎn)換– 病毒查殺– 訪問控制– 安全審計– 身份認證 內(nèi)外網(wǎng)隔離? 物理隔離 ? 物理隔離網(wǎng)閘（ GAP）雙網(wǎng)機技術(shù)? 在一個機箱內(nèi)設(shè)有兩塊主機板、兩套內(nèi)存、兩塊硬盤和兩 CPU? 相當于兩臺計算機共用一個顯示器? 用戶通過客戶端開關(guān)，分別選擇兩套計算機系統(tǒng)? 特點是：– 客戶端成本很高– 網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu)– 技術(shù)水平簡單物理隔離卡－ 雙網(wǎng)線隔離卡? 客戶端需要增加一塊 PCI卡，客戶端硬盤或其它存儲設(shè)備首先連接到該卡，然后再轉(zhuǎn)接到主板，這樣通過該卡用戶就能控制客戶端的硬盤或其它存儲設(shè)備。? 物理隔離卡–雙網(wǎng)線的物理隔離卡–單網(wǎng)線的物理隔離卡 –易于操作–具有靈活性與擴展性 安全需求 (3)? 對物理隔離技術(shù)的要求 防病毒內(nèi)外網(wǎng)隔離? 物理隔離 PGP? 隱患掃描? PKI(CA)? 日志審計? VPN? ? IPSEC VPN是基于 IPSec協(xié)議的 VPN產(chǎn)品，由 IPSec協(xié)議提供隧道安全保障? 特點：只能支持 IP數(shù)據(jù)流? 目前防火墻產(chǎn)品中集成的 VPN多為使用IPSec 協(xié)議 MPLS VPN ? 是在網(wǎng)絡(luò)路由和交換設(shè)備上應用 MPLS (Multiprotocol Label Switching ) 技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標記交換實現(xiàn)的 IP虛擬專用網(wǎng)絡(luò)（ IP VPN）? 運行在 IP+ATM或者 IP環(huán)境下，對應用完全透明 ? 相關(guān)標準：– RFC 3270– RFC 2764MPLS VPNPE = Provider Edge Router LSR = Label Switch Router 課程內(nèi)容? 通過使用驗證包頭（ AH， 在 RFC 2402中定義），也可以提供 IP數(shù)據(jù)報的驗證IPSec VPN(2)(3)? 優(yōu)點：– 支持其他網(wǎng)絡(luò)協(xié)議 – 支持流量控制– 對用微軟操作系統(tǒng)的用戶來說很方便 ? 缺點：– 通道打開后，源和目的用戶身份不再就行認證，存在安全隱患– 限制同時最多只能連接 255個用戶 – 端點用戶需要在連接前手工建立加密信道 IPSec VPN(2)? 1996年， Cisco提出 L2F（ Layer 2 Forwarding） 隧道協(xié)議 ? 1997年底， Micorosoft和 Cisco公司把PPTP協(xié)議和 L2F協(xié)議的優(yōu)點結(jié)合在一起，形成了 L2TP協(xié)議 ? L2TP可以實現(xiàn)和企業(yè)原有非 IP網(wǎng)的兼容 ,支持 MP（ Multilink Protocol）， 可以把多個物理通道捆綁為單一邏輯信道 PPTP/(1)? 1996年， Microsoft和 Ascend等在 PPP協(xié)議的基礎(chǔ)上開發(fā)了 PPTP， 并將它集成于Windows NT ，同時也提供了相應的客戶端軟件? PPTP可把數(shù)據(jù)包封裝在 PPP包中，再將整個報文封裝在 PPTP隧道協(xié)議包中，最后，再嵌入 IP報文或幀中繼或 ATM中進行傳輸? PPTP提供流量控制 , 采用 MPPE加密算法 PPTP/PPTP/VPN的隧道協(xié)議 ? VPN的分類 VPN （ 企業(yè)內(nèi)部虛擬網(wǎng) ）? 是在公司遠程分支機構(gòu)