【正文】 ? 只對數(shù)據(jù)包的 IP 地址、 TCP/UDP 協(xié)議和端口進行分析，規(guī)則簡單，處理速度較快 ? 易于配置 ? 對用戶 透明，用戶 訪問時不需要提供額外的密碼或使用特殊的命令 ? 缺點： ? 檢查和過濾器只在 網(wǎng)絡(luò)層 ， 不能 識別應(yīng)用層協(xié)議或維持連接狀態(tài) ? 安全性 薄弱，不能 防止 IP欺騙等 37 防火墻的實現(xiàn)技術(shù) 代理網(wǎng)關(guān) ?每 一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通 過防火墻的 介入和轉(zhuǎn) 換，加強了控制 ?分類 ? 電 路級代理 ? 應(yīng)用代理 38 防火墻的實現(xiàn)技術(shù) 電路級代理 ?建立回路，對數(shù)據(jù)包進行轉(zhuǎn)發(fā) ?優(yōu)點 ? 能提供 NAT，為內(nèi)部地址管理提供靈活性，隱藏內(nèi)部網(wǎng)絡(luò)等 ? 適 用面廣 ?缺 點 ? 僅簡單的在兩個連接間轉(zhuǎn)發(fā)數(shù)據(jù)，不能識別數(shù)據(jù)包的內(nèi)容 39 防火墻的實現(xiàn)技術(shù) 應(yīng)用代理 ?工作在應(yīng)用層 ?使 用代理 技 術(shù)，對應(yīng)用層數(shù)據(jù)包進行檢查 ?對應(yīng)用或內(nèi)容進行 過濾，例如 ：禁止 FTP的 “ put” 命令 40 防火墻的實現(xiàn)技 術(shù) 應(yīng) 用代理 ?優(yōu)點 ? 可以檢查應(yīng)用層內(nèi)容，根據(jù)內(nèi)容進行審核和過濾 ? 提 供良好的安全性 ?缺點 ? 支持的應(yīng)用數(shù)量有限 ? 性 能表現(xiàn)欠佳 41 防火 墻的實現(xiàn)技術(shù) NAT ?什 么是 NAT ? 一種將私有（保留）地址轉(zhuǎn)化為合法 IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型 Inter接入方式和各種類型的網(wǎng)絡(luò)中 。 防火墻實現(xiàn)技術(shù) 狀態(tài)檢測 數(shù)據(jù)鏈路層 物理層 網(wǎng)絡(luò)層 表示層 會話層 傳輸層 檢測引擎 應(yīng)用層 動態(tài)狀態(tài)表 動態(tài)狀態(tài)表 動態(tài)狀態(tài)表 ?在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間對數(shù)據(jù) 包進 行檢測 ?創(chuàng)建狀態(tài)表用于維護連接上下文 應(yīng)用層 表示層 會話層 傳輸層 數(shù)據(jù)鏈路層 物理層 網(wǎng)絡(luò)層 應(yīng)用層 表示層 會話層 傳輸層 數(shù)據(jù)鏈路層 物理層 網(wǎng)絡(luò)層 45 防火墻實現(xiàn)技術(shù) 狀態(tài)檢測 ?狀態(tài)檢測技術(shù)的特點 ? 安 全性 高，可根 據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行 ? 性能高，在數(shù)據(jù)包進入防火墻時就進行識別和判斷 ? 適 應(yīng)性好 ? 對用戶、應(yīng)用程序透明 46 防火墻實現(xiàn)技術(shù) 自適應(yīng)代理技術(shù) ?特點 ? 根據(jù)用戶定義安全規(guī)則動態(tài)“適應(yīng)”傳輸中的分組流量 ? 高安全要求：在應(yīng)用層進行檢查 ? 明 確會話安全細(xì)則：鏈路層數(shù)據(jù)包轉(zhuǎn)發(fā) ? 兼 有高安全性和高效率 47 防火墻技術(shù) 防火墻的工作模式 ?路由模式 ?透明模式 ?混合模式 48 防 火墻的工作模 式 路由 模式 內(nèi)部網(wǎng)絡(luò) GW: 外部網(wǎng)絡(luò) GW: 防火墻 Inter Intra 49 防 火墻的工作模 式 透明模式 50 內(nèi)部網(wǎng)絡(luò) GW: 外部網(wǎng)絡(luò) 路由器 Inter Intra 防火墻的工作模式 混合模式 51 內(nèi)部網(wǎng)絡(luò) 外部網(wǎng)絡(luò) GW: 防火墻 Inter Intra Intra 內(nèi)部網(wǎng)絡(luò) GW: 路 由模式 透明模式 防火墻的典型部署 ?區(qū) 域劃分：可信網(wǎng)絡(luò)、不可信網(wǎng)絡(luò)、 DMZ區(qū) 52 可信網(wǎng)絡(luò) 不可信的網(wǎng) 絡(luò) 防火墻 路由器 Inter Intra DMZ 非軍事化區(qū) 防護墻的策略設(shè)置 ?沒 有明確允許的就是禁止 ? 先阻止所有數(shù)據(jù)包 ? 需 要的給予開放 ?沒有明確禁止的就是允許 ? 對明確禁止的設(shè)置策略 53 防火墻的策略設(shè)置 ?可信網(wǎng)絡(luò)可向 DMZ區(qū)和不可信網(wǎng)絡(luò)發(fā)起連接請求 54 可信網(wǎng)絡(luò) 不可信的網(wǎng) 絡(luò) 防火墻 路由器 Inter Intra DMZ 非軍事化區(qū) 防火墻的策略設(shè)置 ?DMZ區(qū)可接受可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)的連接請求 ?DMZ區(qū)不可向可信網(wǎng)絡(luò)發(fā)起連接請求 ?DMZ區(qū)與不可信網(wǎng)絡(luò)的連接請求根據(jù)業(yè)務(wù)需要確定 55 可信網(wǎng)絡(luò) 不可信的網(wǎng) 絡(luò) 防火墻 路由器 Inter Intra DMZ 非軍事化區(qū) 防火 墻的不足和局限性 ?無 法發(fā)現(xiàn)和阻止對合法服務(wù)的攻擊； ?無法發(fā)現(xiàn)和阻止源自其它入口的攻擊； ?無法發(fā)現(xiàn)和阻止來自內(nèi)部網(wǎng)絡(luò)的攻擊； ?無法發(fā)現(xiàn)和阻 止 應(yīng) 用層的攻擊； ?防火墻本身也會出現(xiàn)問題和受到攻擊 。 ?不 會增加網(wǎng)絡(luò)中主機的負(fù)擔(dān) 65 網(wǎng)絡(luò)入侵檢測系統(tǒng)的不足 ?不 適合交換環(huán)境和高速環(huán)境 ?不 能處理加密數(shù) 據(jù) ?資 源及處理能力局 限 ?無 法分析攻擊是否成功 66 入侵檢測的實現(xiàn)技術(shù) ?關(guān)鍵技術(shù) ? 數(shù)據(jù)采集技術(shù) ? 數(shù) 據(jù)檢測技術(shù) ?外圍技術(shù) ? 聯(lián)動 ? 日 志分析 ? 事 件合并過濾 ? 漏洞機理研究 ? …… 67 數(shù)據(jù)采集技術(shù) ?嗅探技術(shù) ?交換環(huán)境下的數(shù)據(jù)采集 ? 鏡 像口 ? 1對 1鏡像 ? 多對 1鏡像 68 1 2 3 4 復(fù)制一份 將端口 4鏡像到端口 1 數(shù)據(jù)檢測技術(shù) ?誤用檢測技術(shù) ? 建立入侵行為模型 (攻擊特征 )； ? 假設(shè)可以識別和表示所有可能的特征； ? 基于 系統(tǒng)和 基于 用戶的誤用； ?異常檢測技術(shù) ? 設(shè)定“正?！钡男袨槟Ｊ?； ? 假設(shè)所有的入侵行為是異常的； ? 基于系統(tǒng)和基于用戶的異常 ； 69 誤用 檢測 70 ?優(yōu) 點 ? 準(zhǔn) 確率高； ? 算法簡單。 異 常檢測 71 誤報率、漏報率較高 ?優(yōu) 點 ? 可檢測未知攻擊 ? 自適應(yīng)、自學(xué)習(xí)能力 ?關(guān)鍵問題 ? “正?！毙袨樘卣鞯倪x擇 ? 統(tǒng) 計算法、統(tǒng)計點的選擇 入侵檢測系統(tǒng)的典型部署 72 可信網(wǎng)絡(luò) 不可信的網(wǎng) 絡(luò) 防火墻 Inter Intra ?旁路 的方式 接入 ?部署 位 置 ? 防火 墻外 ? 核 心交換機 ? 關(guān) 鍵位置 HIDS NIDS NIDS NIDS 部署 中需注意的問題 73 ?入 侵檢測需要發(fā)揮效果，需要大量管理機制作為后盾 ?攻擊特征庫決定入侵檢測系統(tǒng)對入侵行為的發(fā)現(xiàn)能力 ?事件分析器優(yōu)化非常重要，確保能夠準(zhǔn)確快速的產(chǎn)生相關(guān)警告信息（避免重復(fù)報警、漏報等） 入侵檢測的選擇 ?結(jié)構(gòu) ? 分布式、集中式 ? 通訊方式（加密、不加密） ? …… ?探頭 ? 檢測能力 ? 事件通知 ? 自身安全 ? …… 74 ?控制中心 ? 策略設(shè)置靈活 ? 檢 測庫更新 ? 自定 義事件 ? 查 詢報表 ? 綜合分析能力 ? 易用性 ? …… 其他網(wǎng)絡(luò)安全 設(shè)備 75 ?整合型邊界安全防護設(shè)備 ? 入侵 防御系統(tǒng)（ IPS） ? 統(tǒng)一威脅管理系統(tǒng)（ UTM） ? 邊界防病毒網(wǎng)關(guān)等 ? 數(shù)據(jù)交換管理設(shè)備 ? 安全隔離與信息交換系統(tǒng)（網(wǎng)閘 ） ? 流量 管理、上網(wǎng)行為管理 ?安全管理設(shè)備 ? 安全管理平臺（ Soc） ? 網(wǎng)絡(luò)準(zhǔn)入控制（ NAC） ? …… 知識子域：密碼和網(wǎng)絡(luò)安全技術(shù) ?知識域： VPN技術(shù) ?