學(xué)習(xí)情景2網(wǎng)絡(luò)通信安全構(gòu)建.ppt

新世紀(jì)高職高專電子商務(wù)類課程規(guī)劃教材 電子商務(wù)安全技術(shù)與應(yīng)用 主編梁永生 e 電子商務(wù)安全技術(shù)與應(yīng)用 學(xué)習(xí)情境1客戶端安全設(shè)置 新世紀(jì)高職高專電子商務(wù)類課程規(guī)劃教材 學(xué)習(xí)情境2網(wǎng)絡(luò)通信安全構(gòu)建 學(xué)習(xí)情境3信息傳輸安全構(gòu)建 學(xué)習(xí)情境4服務(wù)器安全設(shè)置 學(xué)習(xí)情境5電子支付安全實現(xiàn) 學(xué)習(xí)情境描述 子學(xué)習(xí)情境1防火墻技術(shù) 目錄 新世紀(jì)高職高專電子商務(wù)類課程規(guī)劃教材 學(xué)習(xí)情境2網(wǎng)絡(luò)通信安全構(gòu)建 子學(xué)習(xí)情境2入侵檢測技術(shù) 子學(xué)習(xí)情境3VPN技術(shù) 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 本部分重點闡述網(wǎng)絡(luò)通信安全原理和實踐技術(shù) 主要內(nèi)容包括 網(wǎng)絡(luò)設(shè)備安全 防火墻 網(wǎng)絡(luò)病毒等內(nèi)容 通過完成本子學(xué)習(xí)情境任務(wù) 學(xué)生可以了解網(wǎng)絡(luò)設(shè)備的安全技術(shù) 掌握防火墻技術(shù) 熟悉網(wǎng)絡(luò)病毒的防范技術(shù) 具備能夠?qū)嵤┗镜碾娮由虅?wù)交易過程中設(shè)備的安全技術(shù) 防火墻技術(shù)和網(wǎng)絡(luò)病毒的防范技術(shù)的能力 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 1網(wǎng)絡(luò)通信協(xié)議1984年 國際標(biāo)準(zhǔn)化組織 ISO 提出了開放式系統(tǒng)互聯(lián)模式 OSI 作為一個概念性框架 它是不同制造商的設(shè)備和應(yīng)用軟件在網(wǎng)絡(luò)中進行通信的標(biāo)準(zhǔn) 現(xiàn)在該模型已成為計算機間和網(wǎng)絡(luò)間進行通信的主要結(jié)構(gòu)模型 目前使用的大多數(shù)網(wǎng)絡(luò)通信協(xié)議的結(jié)構(gòu)都是基于OSI模型的 OSI模型結(jié)構(gòu)如圖2 1所示 各層的具體描述見表2 2 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 1網(wǎng)絡(luò)通信協(xié)議 圖2 1OSI模型結(jié)構(gòu) 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 2網(wǎng)絡(luò)設(shè)備安全在網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用市場蓬勃發(fā)展的帶動下 近年來網(wǎng)絡(luò)安全市場迎來了高速發(fā)展期 一方面隨著網(wǎng)絡(luò)的延伸 網(wǎng)絡(luò)規(guī)模迅速擴大 安全問題變得日益復(fù)雜 建設(shè)可管 可控 可信的網(wǎng)絡(luò)也是進一步推進網(wǎng)絡(luò)應(yīng)用發(fā)展的前提 另一方面隨著網(wǎng)絡(luò)所承載的業(yè)務(wù)日益復(fù)雜 保證應(yīng)用層安全是網(wǎng)絡(luò)安全發(fā)展的新的方向 隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展 原來網(wǎng)絡(luò)威脅單點疊加式的防護手段已經(jīng)難以有效抵御日趨嚴(yán)重的混合型安全威脅 構(gòu)建一個局部安全 全局安全 智能安全的整體安全體系 為用戶提供多層次 全方位的立體防護體系成為信息安全建設(shè)的新理念 2 1 2網(wǎng)絡(luò)設(shè)備安全IP網(wǎng)絡(luò)的安全有兩個方面 一是主機的安全 二是網(wǎng)絡(luò)自身的安全 用戶主機所感知的安全威脅主要是針對特定系統(tǒng)的攻擊 計算機病毒 網(wǎng)絡(luò)設(shè)備主要面對的是基于TCP IP協(xié)議的攻擊 交換機安全交換機是一種基于MAC地址識別 能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備 一般用于LAN LAN的連接 交換機在電子商務(wù)中占有重要的地位 因此交換機在滿足其基本的數(shù)據(jù)轉(zhuǎn)發(fā)功能的前提下 有的還集成了安全認證 訪問控制安全列表 防火墻和入侵檢測功能 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 2網(wǎng)絡(luò)通信協(xié)議 1 病毒過濾技術(shù) 2 基于ACL的報文過濾技術(shù) 3 CPU過載保護技術(shù) 4 廣播風(fēng)暴控制功能 5 VLAN技術(shù) 6 基于802 1x的接入控制技術(shù) 7 交換機與入侵檢測系統(tǒng) IDS 的聯(lián)動 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 2網(wǎng)絡(luò)通信協(xié)議2 路由器安全路由器 是一種連接多個網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備 將不同網(wǎng)絡(luò)之間的數(shù)據(jù)信息進行 翻譯 一般用于WAN WAN的連接 路由器的基本功能如下 1 網(wǎng)絡(luò)互聯(lián) 路由器支持各種局域網(wǎng)和廣域網(wǎng)接口 主要用于互聯(lián)局域網(wǎng)和廣域網(wǎng) 實現(xiàn)不同網(wǎng)絡(luò)之間的互相通信 2 數(shù)據(jù)處理 提供包括分組過濾 分組轉(zhuǎn)發(fā) 優(yōu)先級 復(fù)用 加密 壓縮和防火墻等功能 3 網(wǎng)絡(luò)管理 路由器提供包括路由器配置管理 性能管理 容錯管理和流量控制等功能 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 2網(wǎng)絡(luò)通信協(xié)議2 路由器安全路由器從功能上可劃分為 數(shù)據(jù)層面 控制 信令層面和管理層面 1 數(shù)據(jù)層面 處理進入設(shè)備的數(shù)據(jù)流 2 控制 信令層面 進行路由信息的交換 3 管理層面 威脅來源于使用的協(xié)議 不嚴(yán)密的管理 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù)電子商務(wù)系統(tǒng)是基于Internet的 它方便了企業(yè)內(nèi)部之間以及企業(yè)與外部的信息交流 提高了工作效率 然而 一旦企業(yè)內(nèi)部網(wǎng)連入Internet 就意味著Internet上的每個用戶都有可能訪問企業(yè)網(wǎng) 如果沒有一個安全性保護措施 黑客們可能會在毫無覺察的情況下進入企業(yè)網(wǎng) 非法訪問企業(yè)的資源 而防火墻就是保護企業(yè)內(nèi)部網(wǎng)中信息安全的一項重要措施 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù)1 防火墻的概念防火墻是在內(nèi)外網(wǎng)之間構(gòu)筑的一道屏障 它是設(shè)置在內(nèi)外網(wǎng)之間的隔離設(shè)備 用以保護內(nèi)網(wǎng)中的信息 資源等不受來自外網(wǎng)中非法用戶的侵犯 它控制內(nèi)外網(wǎng)之間的所有數(shù)據(jù)流量 控制和防止內(nèi)網(wǎng)中的有價值數(shù)據(jù)流人外網(wǎng) 也控制和防止來自外網(wǎng)的無用垃圾和有害數(shù)據(jù)流人入內(nèi)網(wǎng) 簡單地說 防火墻是一個全部進出內(nèi)網(wǎng)的信息流量都必須經(jīng)過的限制點 并由用戶來控制通訊 良好的防火墻可以防止攻擊者人侵并保護內(nèi)部機密信息免于流出 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù)2 防火墻的構(gòu)成防火墻主要包括安全操作系統(tǒng) 過濾器 網(wǎng)關(guān) 域名服務(wù)和E mail處理5部分 如圖2 2所示 圖2 2防火墻結(jié)構(gòu) 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù)3 防火墻的作用 1 可以限制用戶進入內(nèi)網(wǎng) 過濾掉不安全服務(wù)和非法用戶 2 防止入侵者接近用戶防御設(shè)施 3 限定用戶訪問特殊站點 4 為監(jiān)視Internet安全提供方便 防火墻技術(shù) 防火墻的弱點不能防備病毒對不通過它的連接無能為力不能防備內(nèi)部人員的攻擊限制有用的網(wǎng)絡(luò)服務(wù)不能防備新的網(wǎng)絡(luò)安全問題 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù) 防火墻技術(shù) 對不通過它的連接無能為力 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù) 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù)4 防火墻的種類 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 3防火墻技術(shù)5 防火墻技術(shù) 傳統(tǒng)意義上的防火墻技術(shù)分為三大類 包過濾 PacketFiltering 應(yīng)用代理 ApplicationProxy 和 狀態(tài)監(jiān)視 StateInspection 無論一個防火墻的實現(xiàn)過程多么復(fù)雜 歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進行功能擴展的 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 1 包過濾技術(shù) 包過濾是最早使用的一種防火墻技術(shù) 包過濾防火墻工作在網(wǎng)絡(luò)層 防火墻通過對信息頭的檢測就可以決定是否將數(shù)據(jù)包發(fā)往目的地 從而達到對進入和流出網(wǎng)絡(luò)的數(shù)據(jù)進行監(jiān)測和限制目的 圖2 3包過濾防火墻系統(tǒng) 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 1 包過濾技術(shù) 包過濾是如何工作 包過濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞 它的依據(jù) 將包的目的地址 端口作為判據(jù)將包的源地址作 端口為判據(jù)將包的傳送協(xié)議作為判據(jù)包過濾系統(tǒng)只能讓我們進行類似以下情況的操作 不讓任何用戶從外部網(wǎng)用Telnet登錄 允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件只允許某臺機器通過NNTP往外部網(wǎng)發(fā)新聞 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 1 包過濾技術(shù) 包過濾是如何工作 包過濾不能允許我們進行如下的操作 允許某個用戶從外部網(wǎng)用Telnet登錄而不允許其他用戶進行這種操作 允許用戶傳送一些文件而不允許用戶傳送其他文件 數(shù)據(jù)包過濾功能的實現(xiàn)依賴于包過濾規(guī)則 也叫訪問控制列表 配置訪問控制列表 配置包過濾防火墻策略 一個包過濾防火墻由一個臟端口 一個凈端口和一組訪問控制列表規(guī)則組成 臟端口 連接Internet 來自Internet和流向Internet的數(shù)據(jù)都由此端口通過 凈端口 連接內(nèi)部網(wǎng)絡(luò) 訪問控制列表通過控制在防火墻的接口上轉(zhuǎn)發(fā)還是阻斷數(shù)據(jù)包分組來過濾數(shù)據(jù)流 防火墻檢查每個數(shù)據(jù)分組 并根據(jù)訪問控制列表規(guī)則對數(shù)據(jù)分組進行操作 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 1 包過濾技術(shù) 包過濾是如何工作 訪問控制列表的配置方法 默認允許默認拒絕 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 應(yīng)用代理技術(shù) 由于包過濾技術(shù)無法提供完善的數(shù)據(jù)保護措施 而且一些特殊的報文攻擊僅僅使用過濾的方法并不能消除其危害 如SYN攻擊 ICMP洪水等 因此人們需要一種更全面的防火墻保護技術(shù) 在這樣的需求背景下 采用 應(yīng)用代理 Applicationproxy 技術(shù)的防火墻誕生了 代理服務(wù)器作為一個為用戶保密或者突破訪問限制的數(shù)據(jù)轉(zhuǎn)發(fā)通道 在網(wǎng)絡(luò)上應(yīng)用廣泛 應(yīng)用協(xié)議分析技術(shù)工作在應(yīng)用層上 圖2 3包過濾防火墻系統(tǒng) 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 3 狀態(tài)監(jiān)視技術(shù) 狀態(tài)監(jiān)視技術(shù)是繼 包過濾 技術(shù)和 應(yīng)用代理 技術(shù)后發(fā)展起來的防火墻技術(shù) 它是CheckPoint技術(shù)公司在基于 包過濾 原理的 動態(tài)包過濾 技術(shù)發(fā)展而來的 與之類似的有其他廠商聯(lián)合發(fā)展的 深度包檢測 DeepPacketInspection 技術(shù) 這種防火墻技術(shù)通過一種被稱為 狀態(tài)監(jiān)視 的模塊 在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各個層次實行檢測 并根據(jù)各種過濾規(guī)則做出安全決策 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 常用防火墻產(chǎn)品 天網(wǎng)防火墻CiscoPIXMicrosoftISAChekPointFirewall 1 4Netscreen防火墻其他國產(chǎn)防火墻 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 4網(wǎng)絡(luò)病毒技術(shù) 計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù) 影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼 隨著網(wǎng)絡(luò)和Internet的發(fā)展 一個傳播范圍更廣 危害更大的新型病毒應(yīng)運而生 這就是網(wǎng)絡(luò)病毒 即在網(wǎng)絡(luò)環(huán)境下流行的病毒 網(wǎng)絡(luò)病毒充分利用了網(wǎng)絡(luò)的缺陷來涉及和傳播 這就是網(wǎng)絡(luò)病毒的共性 網(wǎng)絡(luò)病毒是一種新型病毒 它的傳播媒介不再是移動式載體 而是網(wǎng)絡(luò)通道 這種病毒的傳染能力更強 破壞力更大 同時通過電子郵件和網(wǎng)絡(luò)進行病毒傳播的比例正逐步攀升 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 4網(wǎng)絡(luò)病毒技術(shù) 1 網(wǎng)絡(luò)病毒的傳播方式與特點網(wǎng)絡(luò)病毒一般會試圖通過以下四種不同的方式進行傳播 郵件附件 E mail A B 文件共享 D Web服務(wù)器 C 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 4網(wǎng)絡(luò)病毒技術(shù) 2 網(wǎng)絡(luò)病毒的防范技術(shù) 1 基于工作站的防治技術(shù)工作站就像是計算機網(wǎng)絡(luò)的大門 只有把好這道大門 才能有效防止病毒的侵入 工作站防治病毒的方法有三種 一是軟件防治 即定期不定期地用反病毒軟件檢測工作站的病毒感染情況 二是在工作站上插防病毒卡 防病毒卡可以達到實時檢測的目的 但防病毒卡的升級不方便 從實際應(yīng)用的效果看 對工作站的運行速度有一定的影響 三是在網(wǎng)絡(luò)接口卡上安裝防病病毒芯片 它將工作站存取控制與病毒防護合二為一 可以更加實時有效地保護工作站及通向服務(wù)器的橋梁 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 4網(wǎng)絡(luò)病毒技術(shù) 2 網(wǎng)絡(luò)病毒的防范技術(shù) 2 基于服務(wù)器的防治技術(shù)網(wǎng)絡(luò)服務(wù)器是計算機網(wǎng)絡(luò)的中心 是網(wǎng)絡(luò)的支柱 網(wǎng)絡(luò)癱瘓的 個重要標(biāo)志就是網(wǎng)絡(luò)服務(wù)器癱瘓 網(wǎng)絡(luò)服務(wù)器 旦被擊垮 造成的損失是災(zāi)難性的 難以挽回和無法估量的 目前基于服務(wù)器的防治病毒的方法大都采用防病毒可裝載模塊 NLM 以提供實時掃描病毒的能力 有時也結(jié)合利用在服務(wù)器上的插防毒卡等技術(shù) 目的在于保護服務(wù)器不受病毒的攻擊 從而切斷病毒進一步傳播的途徑 防火墻技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境1 2 1 4網(wǎng)絡(luò)病毒技術(shù) 3 反病毒技術(shù)反毒技術(shù)主要包括預(yù)防病毒 檢測病毒和消毒等三種技術(shù) 1 預(yù)防病毒技術(shù) 它通過自身常駐系統(tǒng)內(nèi)存優(yōu)先獲得系統(tǒng)的控制權(quán) 監(jiān)聽和判斷系統(tǒng)中是否有病毒存在 進而阻止計算機病毒進入計算機系統(tǒng)或?qū)ο到y(tǒng)進行破壞 這類技術(shù)有加密可執(zhí)行程序 引導(dǎo)區(qū)保護 系統(tǒng)監(jiān)控與讀寫控制 如防病毒卡 等 2 檢測病毒技術(shù) 它是通過對計算機病毒的特征來判斷是否存在病毒的技術(shù) 如自身校驗 關(guān)鍵字 文件長度的變化等 3 消毒技術(shù) 它通過對計算機病毒的分析 開發(fā)出具有刪除病毒程序并回復(fù)原文件的軟件 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 防火墻只能對黑客的攻擊實施被動防御 一旦黑客攻入系統(tǒng)內(nèi)部 則沒有切實的防護策略 入侵檢測是繼防火墻之后的又一道防線 通過完成本子學(xué)習(xí)情境任務(wù) 要求學(xué)生掌握入侵檢測系統(tǒng)的相關(guān)技術(shù) 具備實施構(gòu)建基于電子商務(wù)網(wǎng)站的入侵檢測系統(tǒng) 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 1入侵檢測系統(tǒng)及其功能 QQ 經(jīng)常發(fā)生密碼被盜的事情 系統(tǒng)密碼被盜 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 1入侵檢測系統(tǒng)及其功能 1 入侵檢測系統(tǒng)入侵檢測就是對計算機網(wǎng)絡(luò)和計算機系統(tǒng)的關(guān)鍵結(jié)點的信息收集分析 檢測其中是否有違反安全策略的事件發(fā)生或攻擊跡象 并通知網(wǎng)絡(luò)管理員 入侵檢測 IntrusionDetection 技術(shù)是一種主動保護自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù) 作為防火墻的合理補充 入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊 擴展了系統(tǒng)管理員的安全管理能力 包括安全審計 監(jiān)視 攻擊識別和響應(yīng) 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 1入侵檢測系統(tǒng)及其功能 1 入侵檢測系統(tǒng) 相關(guān)術(shù)語入侵 對信息系統(tǒng)的非授權(quán)訪問及 或 未經(jīng)許可在信息系統(tǒng)中進行操作 入侵檢測 對企圖入侵 正在進行的入侵或已經(jīng)發(fā)生的入侵進行識別的過程 入侵檢測系統(tǒng) IntrusionDetectionSystem 對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別和相應(yīng)處理的軟件 硬件系統(tǒng) 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 1入侵檢測系統(tǒng)及其功能 圖2 5入侵檢測系統(tǒng)模型 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 1入侵檢測系統(tǒng)及其功能 2 入侵檢測系統(tǒng)的功能 1 監(jiān)控網(wǎng)絡(luò)和系統(tǒng) 監(jiān)視用戶和系統(tǒng)的運行狀態(tài) 查找非法用戶和合法用戶的越權(quán)操作 檢測系統(tǒng)配置的正確性和安全漏洞 并提示管理員修補漏洞 系統(tǒng)程序和數(shù)據(jù)的一致性與正確性檢查 2 發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象 對用戶的非正?；顒舆M行統(tǒng)計分析 發(fā)現(xiàn)入侵行為的規(guī)律 3 實時報警 識別攻擊的活動模式 并向網(wǎng)管人員報警 4 主動響應(yīng) 5 審計跟蹤 操作系統(tǒng)審計跟蹤管理 識別違反政策的用戶活動 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 2入侵檢測系統(tǒng)的分類 入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)包來源的不同 采用不用的實現(xiàn)方式 一般地可分為網(wǎng)絡(luò)型 主機型 也可是這兩種類型的混合應(yīng)用 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) NIDS 基于主機的入侵檢測系統(tǒng) HIDS 混合型入侵檢測系統(tǒng) HybridIDS 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 2入侵檢測系統(tǒng)的分類 1 網(wǎng)絡(luò)IDS 網(wǎng)絡(luò)IDS是網(wǎng)絡(luò)上的一個監(jiān)聽設(shè)備 或一個專用主機 通過監(jiān)聽網(wǎng)絡(luò)上的所有報文 根據(jù)協(xié)議進行分析 并報告網(wǎng)絡(luò)中的非法使用者信息 安裝在被保護的網(wǎng)段 通常是共享網(wǎng)絡(luò) 交換環(huán)境中交換機需支持端口映射 中 混雜模式監(jiān)聽 分析網(wǎng)段中所有的數(shù)據(jù)包 實時檢測和響應(yīng) Internet NIDS 網(wǎng)絡(luò)服務(wù)器1 客戶端 網(wǎng)絡(luò)服務(wù)器2 檢測內(nèi)容 包頭信息 有效數(shù)據(jù)部分 在共享網(wǎng)段上對通信數(shù)據(jù)進行偵聽采集數(shù)據(jù)主機資源消耗少提供對網(wǎng)絡(luò)通用的保護如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù) 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 2入侵檢測系統(tǒng)的分類 2 主機IDS 運行于被檢測的主機之上 通過查詢 監(jiān)聽當(dāng)前系統(tǒng)的各種資源的使用運行狀態(tài) 發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件 進行上報和處理 安裝于被保護的主機中 主要分析主機內(nèi)部活動 占用一定的系統(tǒng)資源 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 Internet 網(wǎng)絡(luò)服務(wù)器1 客戶端 網(wǎng)絡(luò)服務(wù)器2 檢測內(nèi)容 系統(tǒng)調(diào)用 端口調(diào)用 系統(tǒng)日志 安全審記 應(yīng)用日志 HIDS HIDS 監(jiān)視與分析主機的審計記錄可以不運行在監(jiān)控主機上能否及時采集到審計記錄如何保護作為攻擊目標(biāo)主機審計子系統(tǒng) 兩類IDS比較 網(wǎng)絡(luò)IDS偵測速度快隱蔽性好視野更寬較少的監(jiān)測器占資源少 主機IDS視野集中易于用戶自定義保護更加周密對網(wǎng)絡(luò)流量不敏感 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 3入侵檢測系統(tǒng)的優(yōu)點 1 可以檢測和分析系統(tǒng)事件以及用戶的行為 2 可以測試系統(tǒng)設(shè)置的安全狀態(tài) 3 以系統(tǒng)的安全狀態(tài)為基礎(chǔ) 跟蹤任何對系統(tǒng)安全的修改行為 4 通過模式識別等技術(shù)從通信行為中檢測出已知的攻擊行為 5 可以對網(wǎng)絡(luò)通信行為進行統(tǒng)計 并進行檢測分析 6 管理操作系統(tǒng)認證和日志機制并對產(chǎn)生的數(shù)據(jù)進行分析處理 7 在檢測到攻擊的時候 通過適當(dāng)?shù)姆绞竭M行適當(dāng)?shù)膱缶幚?8 通過分析引擎的配置對網(wǎng)絡(luò)的安全事件進行有效的處理 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 4IDS與Firewall 通過在防火墻中駐留的一個IDSAgent對象 以接收來自IDS的控制消息 然后再增加防火墻的過濾規(guī)則 最終實現(xiàn)聯(lián)動 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 5藍盾入侵檢測典型應(yīng)用 入侵檢測技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境2 2 2 4入侵檢測技術(shù)的發(fā)展方向 1 分布式入侵檢測 2 智能化入侵檢測 3 全面的安全防御方案 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 虛擬專用網(wǎng) VPN 是企業(yè)內(nèi)部網(wǎng)在Internet上的延伸 通過一個專用通道來創(chuàng)建一個安全的專用連接 從而可將遠程用戶 企業(yè)分支機構(gòu) 公司的業(yè)務(wù)合作伙伴等與公司的內(nèi)部網(wǎng)聯(lián)結(jié)起來 構(gòu)成一個擴展的企業(yè)內(nèi)部網(wǎng) 通過完成本子學(xué)習(xí)情境任務(wù) 學(xué)生可以了解基于VPN技術(shù)的安全電子商務(wù)交易環(huán)境 具備基于特定軟件構(gòu)建虛擬專用網(wǎng)的能力 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 1VPN簡介 虛擬專用網(wǎng)絡(luò) VPN 技術(shù)是一種在公用互聯(lián)網(wǎng)絡(luò)上構(gòu)造企業(yè)專用網(wǎng)絡(luò)的技術(shù) 通過VPN技術(shù) 可以實現(xiàn)企業(yè)不同網(wǎng)絡(luò)的組件和資源之間的相互連接 它能夠利用Internet或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道 并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障的 虛擬專用網(wǎng)絡(luò)允許遠程通信方 銷售人員或企業(yè)分支機構(gòu)使用Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)計 以安全的方式與位于企業(yè)內(nèi)部網(wǎng)內(nèi)的服務(wù)器建立連接 虛擬 的概念是相對傳統(tǒng)私人專用網(wǎng)絡(luò)的構(gòu)建方式而言的 對于廣域網(wǎng)連接 傳統(tǒng)的組網(wǎng)方式是通過遠程撥號和專線連接來實現(xiàn)的 而VPN是利用網(wǎng)絡(luò)服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實現(xiàn)遠程的廣域網(wǎng)連接的 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 1VPN簡介 圖2 6虛擬專用網(wǎng)結(jié)構(gòu) VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 1VPN簡介 VPN建立結(jié)構(gòu)如圖2 7所示 圖2 7VPN建立結(jié)構(gòu) VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 2VPN的核心技術(shù) 隧道技術(shù) 1 隧道技術(shù)基礎(chǔ)現(xiàn)代計算機網(wǎng)絡(luò)都是基于包交換 亦稱分組交換 的 不同類型的網(wǎng)絡(luò)支持不同的網(wǎng)絡(luò)通信協(xié)議 傳送不同格式的包 隧道技術(shù) 又稱封裝 是將一個網(wǎng)絡(luò)傳出的數(shù)據(jù)包加一個新的包頭 可能還要加一個新的包尾 這樣原先的數(shù)據(jù)包就成了新的數(shù)據(jù)包的負載 就可能在新的網(wǎng)絡(luò)中繼續(xù)通行了 在VPN中隧道技術(shù)用于運載私用網(wǎng)絡(luò)中的數(shù)據(jù)包 使其通過并不直接支持私用網(wǎng)絡(luò)協(xié)議的公共互聯(lián)網(wǎng)絡(luò) VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 2VPN的核心技術(shù) 隧道技術(shù) 1 隧道技術(shù)基礎(chǔ)VPN中的隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在私用網(wǎng)絡(luò)之間或私用網(wǎng)絡(luò)與特定主機之間傳遞數(shù)據(jù)的方式 這里所說的互聯(lián)網(wǎng)絡(luò)可以是任何類型的公共互聯(lián)網(wǎng)絡(luò) 也可以是一個連接了多個子網(wǎng)的規(guī)模較大的企業(yè)內(nèi)部網(wǎng)絡(luò) 當(dāng)然 通過不同互聯(lián)網(wǎng)絡(luò)的數(shù)據(jù)隧道會有不同的數(shù)據(jù)包格式和不同的處理方式 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 2VPN的核心技術(shù) 隧道技術(shù) 2 隧道技術(shù)的實現(xiàn) 1 用戶驗證隧道技術(shù)首先要求對用戶進行驗證 不同的隧道協(xié)議及不同的VPN實現(xiàn)有不同驗證方法 第2層隧道協(xié)議繼承了PPP協(xié)議的用戶驗證方式 第三層隧道協(xié)議IPSec協(xié)議則由ISAKMP Interne安全連接和密鑰管理協(xié)議 協(xié)商提供隧道端點之間進行的相互驗證 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 2VPN的核心技術(shù) 隧道技術(shù) 2 隧道技術(shù)的實現(xiàn) 2 數(shù)據(jù)壓縮與加密隧道技術(shù)對要傳送的數(shù)據(jù)壓縮與加密第2層隧道協(xié)議支持基于PPP的數(shù)據(jù)壓縮和加密方式 IPSec通過ISAKMP Oakley協(xié)商確定數(shù)據(jù)壓縮和加密方法 保障隧道客戶端和服務(wù)器之間數(shù)據(jù)流的安全 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 2VPN的核心技術(shù) 隧道技術(shù) 2 隧道技術(shù)的實現(xiàn) 3 密鑰管理第2層協(xié)議驗證用戶時生成的密鑰 并定期對其更新 IPSec在ISAKMP交換過程中公開協(xié)商公用密鑰 同樣對其進行定期更新 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 2VPN的核心技術(shù) 隧道技術(shù) 2 隧道技術(shù)的實現(xiàn) 4 數(shù)據(jù)傳輸完成了安全連接與密鑰管理等協(xié)商 就可以開始在連接的對等雙方之間轉(zhuǎn)發(fā)數(shù)據(jù) 如果選擇使用數(shù)據(jù)壓縮和加密就會在傳送之前先進行壓縮和加密 點對點隧道協(xié)議 PPTP 是一個第2層的協(xié)議 將PPP數(shù)據(jù)楨封裝在IP數(shù)據(jù)報內(nèi)通過IP網(wǎng)絡(luò) 如Internet傳送 PPTP使用一個TCP連接對隧道進行維護 使用通用路由封裝 GRE 技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)楨通過隧道傳送 可以對封裝PPP幀中的負載數(shù)據(jù)進行加密或壓縮 VPN技術(shù) 學(xué)習(xí)情境2 子學(xué)習(xí)情境3 2 3 3VPDN 企業(yè)信息化的發(fā)展對遠程互聯(lián)網(wǎng)絡(luò)提出了越來越高的要求 隨著企業(yè)業(yè)務(wù)范圍的不斷擴大 他們擴張的區(qū)域越來越大 需要聯(lián)系的客戶和合作伙伴越來越多 實施地域也越來越廣 因此企業(yè)迫切需要一種簡單 快捷和節(jié)省的方式實現(xiàn)遠程互聯(lián) 虛擬專用