【正文】 份、否認自己的簽名； ? 傳播和釋放病毒對系統(tǒng)進行有效控制； ? IP欺騙攻擊； ? 拒絕服務（ DoS）攻擊； ? 消耗主機資源使其癱瘓或死機。全網(wǎng)安全主動管理：網(wǎng)絡管理員通過此設置頁面就可以實現(xiàn)對整個網(wǎng)絡客戶端的集中管理，對全網(wǎng)客戶端進行統(tǒng)一或個性化設置，清楚地掌握整個網(wǎng)絡環(huán)境中各個節(jié)點的病毒狀態(tài)。 ? 防毒墻（網(wǎng)關） 防火墻的類型 防火 墻 的 類型 應用代理 ApplicationLevel Gateway 電路級網(wǎng)關 CircuitLevel Gateway 包過濾路由器 PacketFiltering Router 靜態(tài)包過濾器工作于網(wǎng)絡層 應用層 表示層 會話層 網(wǎng)絡接口 網(wǎng)絡接口 傳輸層 外部網(wǎng)絡 內(nèi)部網(wǎng)絡 網(wǎng)絡層 鏈路層 物理層 IP頭 TCP頭 應用級頭 數(shù)據(jù) 源 /目的 IP地址 源 /目的 端口 應用狀態(tài)和數(shù)據(jù)流 凈荷 包過濾器 靜態(tài)包過濾器所過濾的內(nèi)容 應用層 表示層 會話層 網(wǎng)絡層 鏈路層 物理層 傳輸層 外部網(wǎng)絡 內(nèi)部網(wǎng)絡 動態(tài)包過濾防火墻工作于傳輸層 網(wǎng)絡接口 網(wǎng)絡接口 會話層 物理層 表示層 鏈路層 網(wǎng)絡接口 網(wǎng)絡接口 外部網(wǎng)絡 內(nèi)部網(wǎng)絡 網(wǎng)絡層 傳輸層 應用層 電路級網(wǎng)關工作于會話層 IP頭 TCP頭 應用級頭 數(shù)據(jù) 源 /目的 IP地址 源 /目的 端口 應用狀態(tài)和數(shù)據(jù)流 凈荷 電路級網(wǎng)關 電路級網(wǎng)關所過濾的內(nèi)容 表示層 會話層 鏈路層 物理層 外部網(wǎng)絡 內(nèi)部網(wǎng)絡 傳輸層 網(wǎng)絡層 應用層 網(wǎng)絡接口 網(wǎng)絡接口 應用代理工作于應用層 防火墻的主要功能 防 火 墻 的 功能 過濾進出網(wǎng)絡的數(shù)據(jù) 管理進出網(wǎng)絡的訪問行為 封堵某些禁止的業(yè)務 記錄進出網(wǎng)絡的信息和活動 對網(wǎng)絡攻擊進行檢測和告警 防火墻的局限性 防 火 墻 的 局限 性 不能防范惡意知情者泄密 不能控制不經(jīng)過它的連接 不能防備完全新的威脅 不能防止病毒和特洛伊木馬 不能防止內(nèi)部用戶的破壞 防火墻技術的發(fā)展趨勢 從目前對專網(wǎng)管理的方式，向遠程上網(wǎng)集中管理的方式發(fā)展； 過濾深度不斷加強，從目前的地址過濾、服務過濾，發(fā)展到頁面過濾、關鍵字過濾及對 Active X/Java等的過濾； 用防火墻建立 VPN， IP加密越來越強； 單向防火墻（網(wǎng)絡二極管）將出現(xiàn)； 對攻擊的檢測和告警將成為重要功能； 附加安全管理工具（如日志分析）； 安全協(xié)議的開發(fā)將成為一大熱點。 具有文件加密和文件夾隱藏功能 支持熱插拔（ hot plug） 外型小巧、靈活方便、安全可靠 支持網(wǎng)絡登錄與身份認證 占用單獨的 USB口、節(jié)省系統(tǒng)資源 支持公鑰證書（ CA） 具有屏幕鎖定功能 基于電子鑰匙的身份認證 海信 NetKey身份認證界面 局域網(wǎng)終端 遠程撥號終端 NT服務器 身份認證的網(wǎng)絡拓撲結(jié)構 （三）數(shù)據(jù)加密設備 ? 通常將單鑰、雙鑰密碼結(jié)合在一起使用 ： ? 單鑰算法用來對數(shù)據(jù)進行加密； ? 雙鑰算法用來進行密鑰交換。 鏈路加密設備的特點 ? 每個節(jié)點對收到的信息先解密，后加密； ? 它 掩蓋了被傳輸消息的源點與終點； ?消息的報頭和路由信息以密文方式傳輸。 明文 加密機 密文 密文 密文 明文 加密機 源點 終點 端到端加密設備的特點 ? 數(shù)據(jù)從源點到終點始終以密文形式存在； ? 數(shù)據(jù)從源點加密后到終點才被解密； ? 安全性高，系統(tǒng)維護方便。 ? 自動中標檢查 ，即關鍵詞檢查； ? 日志管理與審計： ? 發(fā)件瀏覽審查，提供多種審查方式； ? 發(fā)件統(tǒng)計分析，包括指定日期或時間段的發(fā)件數(shù)、 中標數(shù)、中標率、涉密數(shù)等； ? 報表生成和打?。ò?/月 /日報表）； ? 發(fā)件人、收件人檔案記錄。 ? Web頁面非法篡改檢測。許多企業(yè)或機構的網(wǎng)絡負責人都聲稱，他們的網(wǎng)絡是安全的，因為他們已經(jīng)安裝了最新版的防火墻和 IDS。 IDS對于進出網(wǎng)絡的全部活動進行檢查。一旦發(fā)現(xiàn)了不正常的數(shù)據(jù)模式，就意味著有人企圖突入或損害系統(tǒng)。它能監(jiān)視和分析系統(tǒng)事件，以發(fā)現(xiàn)那些未經(jīng)授權就企圖訪問系統(tǒng)資源的網(wǎng)絡活動，并提供實時的或接近實時的事件告警。為了做到更有效，這種類型的 IDS依賴于那些已經(jīng)被記錄在案的攻擊，它將收集到的可疑數(shù)據(jù)包與攻擊簽名數(shù)據(jù)庫中的樣本進行比較。 異常檢測（ Abnormal Detection） 在異常檢測中，首先要為系統(tǒng)設立一個正?；顒拥牡拙€（ Baseline）。在采用異常檢測時，探測器監(jiān)控網(wǎng)絡數(shù)據(jù)段并將當前狀態(tài)與正常底線狀態(tài)相比較，以識別異常狀況。 NIDS對流過網(wǎng)絡的數(shù)據(jù)包進行逐個檢查和評估，以確定該數(shù)據(jù)包是否是由黑客特意設計的數(shù)據(jù)包。 基于主機的系統(tǒng)（ Hostbased IDS） 在基于主機的系統(tǒng)中， IDS對單臺計算機或主機上的網(wǎng)絡活動進行檢查。 入侵檢測系統(tǒng)的分類 被動系統(tǒng)（ Passive IDS） 在被動系統(tǒng)中， IDS僅檢測潛在的安全缺陷，記錄可疑信息，并發(fā)出提示信息或報警，而系統(tǒng)并不采取任何直接的行動。這些對可疑活動的反應方式包括：對離線的用戶進行記錄，關掉某個連接，或甚至重新對防火墻進行編程以阻斷來自可疑源地址的惡意網(wǎng)絡數(shù)據(jù)流。 能夠辨別攻擊發(fā)生的時態(tài) 下一代 IDS將能夠辨別攻擊已經(jīng)發(fā)生、正在發(fā)生或可能發(fā)生。 采用蜜罐技術 密罐在設計時就是能夠使攻擊者進入，一旦黑客進入，我們就可以實現(xiàn)我們的許多目的。 分布式跨平臺運行 IDS系統(tǒng)是否能在不同的操作系統(tǒng)平臺（如 Windows， UNIX， Linux等）上運行，也會限制這些技術的使用。它能夠從其它系統(tǒng)中獲得更多的有關攻擊的信息，降低誤報率，并采取主動防御措施，以阻斷攻擊。同時，對所收集的信息進行保護以保持法律上的價值，是即時響應計劃的一部分。 IDS的發(fā)展趨勢 IDS應用中的幾個問題 IDS的選型要合理 在系統(tǒng)中 IDS的布臵也特別重要，究竟是選用基于主機的 IDS還是基于網(wǎng)絡的 IDS，或者兩種都要，這些需要根據(jù)組織機構的安全策略而定。投資回報（ ROI— return on investment）雖然難以計算，但是在任何情況下，成本和收益需要加以權衡。評估的最后結(jié)果也許會認為，選擇和實施 IDS是一種浪費。 IDS應用中的幾個問題（續(xù)） 成立安全協(xié)作小組 在對網(wǎng)絡的安全狀態(tài)進行分析時，要求服務器的管理人員和網(wǎng)絡設備管理人員一起進行協(xié)作。 對已知的漏洞打安全補丁 在所有廠商中，安全補丁是重點考慮的事情，應該得到重點開發(fā)。一旦完成了以上工作， IDS會對整個網(wǎng)絡的安全性發(fā)揮更大的作用。內(nèi)部的工作應該能夠從外部檢查到，所以它不是黑盒子。 它必須難以破壞 它應該能夠監(jiān)視其本身存在的可疑活動，這些活動試圖削弱 IDS的檢測系統(tǒng)或試圖關機，從這個意義上講系統(tǒng)必須是自動修復的（ selfhealing）。 能夠發(fā)現(xiàn)異常行為 它必須能夠