網(wǎng)絡(luò)安全-網(wǎng)絡(luò)安全設(shè)備

網(wǎng)絡(luò)安全

——網(wǎng)絡(luò)安全設(shè)備南京師范大學(xué)計算機科學(xué)與技術(shù)學(xué)院陳波2$dollars$dollars$dollarsDetection入侵檢測Protect安全保護Reaction安全響應(yīng)Recovery安全備份Management安全管理統(tǒng)一管理、協(xié)調(diào)PDRR之間的行動回顧整體性原則：PDRR安全防護模型信息安全案例教程：技術(shù)與應(yīng)用本講要點：31.網(wǎng)絡(luò)安全設(shè)備：防火墻2.網(wǎng)絡(luò)安全設(shè)備：入侵檢測3.網(wǎng)絡(luò)安全新設(shè)備：

入侵防御、下一代防火墻、統(tǒng)一威脅管理信息安全案例教程：技術(shù)與應(yīng)用1.網(wǎng)絡(luò)安全設(shè)備：防火墻4（1）防火墻的概念國家標(biāo)準(zhǔn)GB/T20281-2006《信息安全技術(shù)防火墻技術(shù)要求和測試評價方法》給出的防火墻定義是：設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)絡(luò)和不可信的公共網(wǎng)絡(luò)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，能有效地監(jiān)控流經(jīng)防火墻的數(shù)據(jù)，保證內(nèi)部網(wǎng)絡(luò)和隔離區(qū)（DemilitarizedZone，DMZ，或譯作非軍事區(qū)）的安全。信息安全案例教程：技術(shù)與應(yīng)用1.網(wǎng)絡(luò)安全設(shè)備：防火墻5（1）防火墻的概念防火墻具有以下3種基本性質(zhì)：是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口；能根據(jù)網(wǎng)絡(luò)安全策略控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且自身具有較強的抗攻擊能力；本身不能影響網(wǎng)絡(luò)信息的流通。信息安全案例教程：技術(shù)與應(yīng)用1.網(wǎng)絡(luò)安全設(shè)備：防火墻6（1）防火墻的概念防火墻可以是軟件、硬件或軟硬件的組合。軟件防火墻就像其它的軟件產(chǎn)品一樣需要在計算機上安裝并做好配置才可以發(fā)揮作用，例如Windows系統(tǒng)自帶的軟件防火墻和著名安全公司CheckPoint推出的ZoneAlarmPro軟件防火墻。信息安全案例教程：技術(shù)與應(yīng)用1.網(wǎng)絡(luò)安全設(shè)備：防火墻7（1）防火墻的概念防火墻可以是軟件、硬件或軟硬件的組合。目前市場上大多數(shù)防火墻是硬件防火墻。這類防火墻一般基于PC架構(gòu)，也就是說這類防火墻和普通PC類似。還有基于特定用途集成電路（ApplicationSpecificIntegratedCircuit，ASIC）、基于網(wǎng)絡(luò)處理器（NetworkProcessor，NP）以及基于現(xiàn)場可編程門陣列（Field-ProgrammableGateArray，F(xiàn)PGA）的防火墻。這類防火墻采用專用操作系統(tǒng)，因此防火墻本身的漏洞比較少，而且由于基于專門的硬件平臺，因而處理能力強、性能高。信息安全案例教程：技術(shù)與應(yīng)用1.網(wǎng)絡(luò)安全設(shè)備：防火墻8（2）防火墻的工作原理包過濾防火墻工作在網(wǎng)絡(luò)層和傳輸層，它根據(jù)通過防火墻的每個數(shù)據(jù)包的源IP地址、目標(biāo)IP地址、端口號、協(xié)議類型等信息來決定是將讓該數(shù)據(jù)包通過還是丟棄，從而達到對進出防火墻的數(shù)據(jù)進行檢測和限制的目的。包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，而是適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價，是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因為它能很大程度上滿足了絕大多數(shù)企業(yè)安全要求。信息安全案例教程：技術(shù)與應(yīng)用1.網(wǎng)絡(luò)安全設(shè)備：防火墻9（2）防火墻的工作原理包過濾技術(shù)在發(fā)展中出現(xiàn)了兩種不同版本，第一代稱為靜態(tài)包過濾，第二代稱為動態(tài)包過濾。1）靜態(tài)包過濾技術(shù)。這類防火墻幾乎是與路由器同時產(chǎn)生的，它根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的包頭信息進行制訂。這些規(guī)則常稱為數(shù)據(jù)包過濾訪問控制列表（ACL）。各個廠商的防火墻產(chǎn)品都有自己的語法用于創(chuàng)建規(guī)則。信息安全案例教程：技術(shù)與應(yīng)用1.網(wǎng)絡(luò)安全設(shè)備：防火墻10（2）防火墻的工作原理1）靜態(tài)包過濾技術(shù)。序號源IP目標(biāo)IP協(xié)議源端口目的端口標(biāo)志位操作1內(nèi)部網(wǎng)絡(luò)地址外部網(wǎng)絡(luò)地址TCP任意80任意允許2外部網(wǎng)絡(luò)地址內(nèi)部網(wǎng)絡(luò)地址TCP80>1023ACK允許3所有所有所有所有所有所有拒絕信息安全案例教程：技術(shù)與應(yīng)用1.網(wǎng)絡(luò)安安全設(shè)備：：防火火墻11（2）防火火墻的工作作原理理1）靜態(tài)態(tài)包過過濾技術(shù)的的缺陷陷。序號源IP目標(biāo)IP協(xié)議源端口目的端口標(biāo)志位操作1內(nèi)部網(wǎng)絡(luò)地址外部網(wǎng)絡(luò)地址TCP任意80任意允許2外部網(wǎng)絡(luò)地址內(nèi)部網(wǎng)絡(luò)地址TCP80>1023ACK允許3所有所有所有所有所有所有拒絕信息安安全案案例教教程：：技術(shù)術(shù)與應(yīng)應(yīng)用1.網(wǎng)絡(luò)安安全設(shè)備：：防火火墻12（2）防火火墻的工作作原理理2）狀態(tài)態(tài)包過過濾技技術(shù)。狀態(tài)包過濾濾（StatefulPacketFilter）是一一種基基于連連接的的狀態(tài)態(tài)檢測測機制制，將將屬于于同一一連接接的所所有包包作為為一個個整體體的數(shù)數(shù)據(jù)流流看待待，對對接收收到的的數(shù)據(jù)據(jù)包進進行分分析，，判斷斷其是是否屬屬于當(dāng)當(dāng)前合合法連連接，，從而而進行行動態(tài)態(tài)的過過濾。。跟傳統(tǒng)統(tǒng)包過過濾只只有一一張過過濾規(guī)規(guī)則表表不同同，狀狀態(tài)包包過濾濾同時時維護護過濾濾規(guī)則則表和和狀態(tài)態(tài)表。。過濾濾規(guī)則則表是是靜態(tài)態(tài)的，，而狀狀態(tài)表表中保保留著著當(dāng)前前活動動的合合法連連接，，它的的內(nèi)容容是動動態(tài)變變化的的，隨隨著數(shù)數(shù)據(jù)包包來回回經(jīng)過過設(shè)備備而實實時更更新。。當(dāng)新新的連連接通通過驗驗證，，在狀狀態(tài)表表中則則添加加該連連接條條目，，而當(dāng)當(dāng)一條條連接接完成成它的的通信信任務(wù)務(wù)后，，狀態(tài)態(tài)表中中的該該條目目將自自動刪刪除。。信息安安全案案例教教程：：技術(shù)術(shù)與應(yīng)應(yīng)用1.網(wǎng)絡(luò)安安全設(shè)備：：防火火墻13（2）防火火墻的工作作原理理2）狀態(tài)態(tài)包過過濾技術(shù)的的局限限?；诰W(wǎng)絡(luò)層層和傳傳輸層層實現(xiàn)現(xiàn)的包包過濾濾防火火墻難難以實實現(xiàn)對對應(yīng)用用層服服務(wù)的的過濾濾。訪問控制列列表的的配置置和維維護困困難。對安全管管理人人員的的要求求高，，在建建立安安全規(guī)規(guī)則時時，必必須對對協(xié)議議本身身及其其在不不同應(yīng)應(yīng)用程程序中中的作作用有有較深深入的的了解解。包過濾防防火墻墻難以以詳細細了解解主機機之間間的會會話關(guān)關(guān)系。大多數(shù)數(shù)過濾器器中缺缺少審審計和和報警警機制制，只只能依依據(jù)包包頭信信息，，而不不能對對用戶戶身份份進行行驗證證，很很容易易遭受受欺騙騙型攻攻擊。。信息安安全案案例教教程：：技術(shù)術(shù)與應(yīng)應(yīng)用1.網(wǎng)絡(luò)安安全設(shè)備：：防火火墻14（2）防火火墻的工作作原理理3）應(yīng)用代理技技術(shù)采用應(yīng)應(yīng)用代代理技技術(shù)的的防火火墻工工作在在應(yīng)用用層。。其特特點是是完全全“阻阻隔””了網(wǎng)網(wǎng)絡(luò)通通信流流，通通過對對每種種應(yīng)用用服務(wù)務(wù)編制制專門門的代代理程程序，，實現(xiàn)現(xiàn)監(jiān)視視和控控制應(yīng)應(yīng)用層層通信信流的的作用用。應(yīng)用代代理技技術(shù)的的發(fā)展展也經(jīng)經(jīng)歷了了兩個個版本本，第第一代代的應(yīng)應(yīng)用層層網(wǎng)關(guān)關(guān)（ApplicationGateway）技術(shù)術(shù)，第第二代代的自自適應(yīng)應(yīng)代理理（AdaptiveProxy）技術(shù)術(shù)。信息安安全案案例教教程：：技術(shù)術(shù)與應(yīng)應(yīng)用1.網(wǎng)絡(luò)安安全設(shè)備：：防火火墻15（2）防火火墻的工作作原理理3）應(yīng)用代理技技術(shù)應(yīng)用層層網(wǎng)關(guān)可可分3種類型型：雙宿主主主機網(wǎng)網(wǎng)關(guān)；屏蔽主機網(wǎng)網(wǎng)關(guān)；屏蔽子網(wǎng)網(wǎng)網(wǎng)關(guān)。這三種網(wǎng)網(wǎng)關(guān)都都要求求有一一臺主主機，，通常常稱為為“堡堡壘主主機””（BastionHost），它它起著著防火火墻的的作用用，即即隔離離內(nèi)外外網(wǎng)的的作用用。信息安安全案案例教教程：：技術(shù)術(shù)與應(yīng)應(yīng)用1.網(wǎng)絡(luò)安安全設(shè)備：：防火火墻16（2）防火火墻的工作作原理理3）應(yīng)用代理技技術(shù)：：雙宿主主主機網(wǎng)關(guān)特點：堡壘壘主機充充當(dāng)應(yīng)應(yīng)用層層網(wǎng)關(guān)關(guān)。在在主機機中需需要插插入兩兩塊網(wǎng)網(wǎng)卡，，用于于將主主機分分別連連接到到被保保護的的內(nèi)網(wǎng)網(wǎng)和外外網(wǎng)上上。在在主機機上運運行防防火墻墻軟件件，被被保護護內(nèi)網(wǎng)網(wǎng)與外外網(wǎng)間間的通通信必必須通通過主主機，，因而而可以以將內(nèi)內(nèi)網(wǎng)很很好地地屏蔽蔽起來來。內(nèi)內(nèi)網(wǎng)可可以通通過堡堡壘主主機獲獲得外外網(wǎng)提提供的的服務(wù)務(wù)。優(yōu)點：這種種應(yīng)用層層網(wǎng)關(guān)關(guān)能有有效地地保護護和屏屏蔽內(nèi)內(nèi)網(wǎng)，，且要要求的的硬件件較少少，因因而是是應(yīng)用用較多多的一一種防防火墻墻；缺點：但堡壘主主機本本身缺缺乏保保護，，容易易受到到攻擊擊。信息安安全案案例教教程：：技術(shù)術(shù)與應(yīng)應(yīng)用1.網(wǎng)絡(luò)安安全設(shè)備：：防火火墻17（2）防火火墻的工作作原理理3）應(yīng)用代理技技術(shù)：：屏蔽主機網(wǎng)關(guān)特點：為了了保護護堡壘壘主機機而將將它置置入被被保護護網(wǎng)的的范圍圍中，，在被被保護護內(nèi)網(wǎng)網(wǎng)與外外網(wǎng)之之間設(shè)設(shè)置一一個屏屏蔽路由器器。它不允允許外外網(wǎng)用用戶對對被保保護內(nèi)內(nèi)網(wǎng)進進行直直接訪訪問，，只允允許對對堡壘壘主機機進行行訪問問，屏屏蔽路路由器器也只只接收收來自自堡壘壘主機機的數(shù)數(shù)據(jù)。。與前前述的的雙宿宿主主主機網(wǎng)網(wǎng)關(guān)類類似，，也在在堡壘壘主機機上運運行防防火墻墻軟件件。優(yōu)點：屏蔽蔽主機機網(wǎng)關(guān)關(guān)是一一種更更為靈靈活的的防火火墻軟軟件，，它可可以利利用屏屏蔽路路由器器來做做更進進一步步的安安全保保護。缺點：此時的路路由器又處處于易受攻攻擊的地位位。此外，，網(wǎng)絡(luò)管理理員應(yīng)該管管理在路由由器和堡壘壘主機中的的訪問控制制表，使兩兩者協(xié)調(diào)一一致，避免免出現(xiàn)矛盾盾。信息安全案案例教程：：技術(shù)與應(yīng)應(yīng)用1.網(wǎng)絡(luò)安全設(shè)備：防火火墻18（2）防火墻的工作原理3）應(yīng)用代理技術(shù)：屏蔽子網(wǎng)網(wǎng)關(guān)關(guān)特點：使用一個或或者更多的屏屏蔽路由器和和堡壘主機，，同時在內(nèi)外外網(wǎng)間建立一一個被隔離的的子網(wǎng)——DMZ。信息安全案例例教程：技術(shù)術(shù)與應(yīng)用1.網(wǎng)絡(luò)安全設(shè)備：防火墻墻19（2）防火墻的工作原理3）應(yīng)用代理技術(shù)：屏蔽子網(wǎng)網(wǎng)關(guān)關(guān)優(yōu)點：這種防火墻墻系統(tǒng)的安全全性很好，因因為來自外部部網(wǎng)絡(luò)將要訪訪問內(nèi)部網(wǎng)絡(luò)絡(luò)的流量，必必須經(jīng)過這個個由屏蔽路由由器和堡壘主主機組成的DMZ子網(wǎng)絡(luò)；可信信網(wǎng)絡(luò)內(nèi)部流流向外界的所所有流量，也也必須首先接接收這個子網(wǎng)網(wǎng)絡(luò)的審查。。堡壘主機上運運行代理服務(wù)務(wù)，它是一個個連接外部非非信任網(wǎng)絡(luò)和和可信網(wǎng)絡(luò)的的“橋梁”。。堡壘主機是是最容易受侵侵襲的，萬一一堡壘主機被被控制，如果果采用了屏蔽蔽子網(wǎng)體系結(jié)結(jié)構(gòu)，入侵者者仍然不能直直接侵襲內(nèi)部部網(wǎng)絡(luò)，內(nèi)部部網(wǎng)絡(luò)仍受到到內(nèi)部屏蔽路路由器的保護護。信息安全案例例教程：技術(shù)術(shù)與應(yīng)用1.網(wǎng)絡(luò)安全設(shè)備：防火墻墻20（2）防火墻的工作原理4）自適應(yīng)代理理技術(shù)：特點：采用這種技術(shù)的防防火墻有兩個個基本組件：：自適應(yīng)代理理服務(wù)器（AdaptiveProxyServer）與動態(tài)包過過濾器（DynamicPacketFilter）。在“自適應(yīng)代理理服務(wù)器”與與“動態(tài)包過過濾器”之間間存在一個控控制通道。在對防火墻進行行配置時，用用戶僅僅將所所需要的服務(wù)務(wù)類型、安全全級別等信息息通過相應(yīng)代代理的管理界界面進行設(shè)置置就可以了。。然后，自適適應(yīng)代理就可可以根據(jù)用戶戶的配置信息息，決定是使使用代理服務(wù)務(wù)從應(yīng)用層代代理請求還是是從網(wǎng)絡(luò)層轉(zhuǎn)轉(zhuǎn)發(fā)包。如果果是后者，它它將動態(tài)地通知包過濾器器增減過濾規(guī)規(guī)則，滿足用用戶對速度和和安全性的雙雙重要求。信息安全案例例教程：技術(shù)術(shù)與應(yīng)用1.網(wǎng)絡(luò)安全設(shè)備：防火墻墻21（2）防火墻的工作原理4）自適應(yīng)代理理技術(shù)：優(yōu)點：安全性高。由于它工工作于最高層層，所以它可可以對網(wǎng)絡(luò)中中任何一層數(shù)數(shù)據(jù)通信進行行篩選保護，，而不是像包包過濾那樣，只是對網(wǎng)絡(luò)層的數(shù)數(shù)據(jù)進行過濾濾。它可以為每一種種應(yīng)用服務(wù)建建立一個專門門的代理，所所以內(nèi)外部網(wǎng)網(wǎng)絡(luò)之間的通通信不是直接接的，而都需需先經(jīng)過代理理服務(wù)器審核核，通過后再再由代理服務(wù)務(wù)器代為連接接，根本沒有有給內(nèi)、外部部網(wǎng)絡(luò)計算機機任何直接會會話的機會，，從而避免了了入侵者使用用數(shù)據(jù)驅(qū)動類類型的攻擊方方式入侵內(nèi)部部網(wǎng)。信息安全案例例教程：技術(shù)術(shù)與應(yīng)用1.網(wǎng)絡(luò)安全設(shè)備：防火墻墻22（2）防火墻的工作原理4）自適應(yīng)代理理技術(shù)：缺點：速度相對比較較慢，當(dāng)用戶戶對內(nèi)外部網(wǎng)網(wǎng)絡(luò)網(wǎng)關(guān)的吞吞吐量要求比比較高時，代代理防火墻就就會成為內(nèi)外外部網(wǎng)絡(luò)之間間的瓶頸。因為防火墻需要為為不同的網(wǎng)絡(luò)絡(luò)服務(wù)建立專專門的代理服服務(wù)，在自己己的代理程序序為內(nèi)、外部部網(wǎng)絡(luò)用戶建建立連接時需需要時間，所所以給系統(tǒng)性性能帶來了一一些負面影響響，但通常不不會很明顯。。信息安全案例例教程：技術(shù)術(shù)與應(yīng)用1.網(wǎng)絡(luò)安全設(shè)備：防火墻墻23（3）防火墻的部署處于外部不可可信網(wǎng)絡(luò)（包包括因特網(wǎng)、、廣域網(wǎng)和其其他公司的專專用網(wǎng)）與內(nèi)內(nèi)部可信網(wǎng)絡(luò)絡(luò)之間，控制制來自外部不不可信網(wǎng)絡(luò)對對內(nèi)部可信網(wǎng)網(wǎng)絡(luò)的訪問，，防范來自外外部網(wǎng)絡(luò)的非非法攻擊。同同時，保證DMZ區(qū)服務(wù)器的相相對安全性和和使用便利性性。處于內(nèi)部不同同可信等級安安全域之間，，起到隔離內(nèi)內(nèi)網(wǎng)關(guān)鍵部門門、子網(wǎng)或用用戶的目的。應(yīng)用于廣大的的個人主機用用戶，通常為為軟件防火墻墻，安裝于單單臺主機中，，防護的也只只是單臺主機機。信息安全案例例教程：技術(shù)術(shù)與應(yīng)用本講要點：241.網(wǎng)絡(luò)安全設(shè)備：防火墻2.網(wǎng)絡(luò)安全設(shè)備備：入侵檢測3.網(wǎng)絡(luò)安全新設(shè)設(shè)備：入侵防御、下下一代防火墻墻、統(tǒng)一威脅脅管理信息安全案例例教程：技術(shù)術(shù)與應(yīng)用2.網(wǎng)絡(luò)安全設(shè)備：入侵檢檢測系統(tǒng)25（1）入侵檢測的的概念入侵（Intrusion）是指任何企圖圖危及資源的的完整性、機機密性和可用用性的活動。。不僅包括發(fā)發(fā)起攻擊的人人（如惡意的的黑客）取得得超出合法范范圍的系統(tǒng)控控制權(quán)，也包包括收集漏洞洞信息，造成成拒絕服務(wù)等等對計算機系系統(tǒng)產(chǎn)生危害害的行為。入侵檢測顧名思義，是是指通過對計計算機網(wǎng)絡(luò)或或計算機系統(tǒng)統(tǒng)中的若干關(guān)關(guān)鍵點收集信信息并對其進進行分析，從從中發(fā)現(xiàn)網(wǎng)絡(luò)絡(luò)或系統(tǒng)中是是否有違反安安全策略的行行為和被攻擊擊的跡象。信息安全案例例教程：技術(shù)術(shù)與應(yīng)用2.網(wǎng)絡(luò)安全設(shè)備：入侵檢檢測系統(tǒng)26（1）入侵檢測的的概念入侵檢測的軟軟件與硬件的的組合便是入侵檢測系統(tǒng)統(tǒng)（IntrusionDetectionSystem，IDS）。與防火墻類似，，除了有基于于PC架構(gòu)、主要功功能由軟件實實現(xiàn)的IDS，還有基于ASIC、NP以及FPGA架構(gòu)開發(fā)的IDS。信息安全案例例教程：技術(shù)術(shù)與應(yīng)用2.網(wǎng)絡(luò)安全設(shè)備：入侵檢檢測系統(tǒng)27（2）入侵檢測的的工作原理事件產(chǎn)生器：從整個計算環(huán)境境中獲得事件件，并向系統(tǒng)統(tǒng)的其他部分分提供此事件件。事件分析器：：分析得到的數(shù)數(shù)據(jù)，并產(chǎn)生生分析結(jié)果。。響應(yīng)單元：對分析結(jié)果作作出反應(yīng)的功功能單元，它它可以作出切切斷連接、改改變文件屬性性等強烈反應(yīng)應(yīng)，也可以只只是簡單的報報警。事件數(shù)據(jù)庫：：是存放各種中中間和最終數(shù)數(shù)據(jù)的地方的的統(tǒng)稱，它可可以是復(fù)雜的的數(shù)據(jù)庫，也也可以是簡單單的文本文件件。事件來源事件產(chǎn)生器事件分析器響應(yīng)單元事件數(shù)據(jù)庫信息安全案例例教程：技術(shù)術(shù)與應(yīng)用2.網(wǎng)絡(luò)安全設(shè)備：入侵檢檢測系統(tǒng)28（2）入侵檢測的的工作原理根據(jù)檢測數(shù)據(jù)據(jù)的不同，IDS分為主機型和網(wǎng)絡(luò)型入侵檢測系統(tǒng)統(tǒng)。1）基于主機的的IDS（HIDS），通過監(jiān)視視和分析主機機的審計記錄錄檢測入侵。。2）基于網(wǎng)絡(luò)的的IDS（NIDS），通過在共共享網(wǎng)段上對對通信數(shù)據(jù)進進行偵聽，檢檢測入侵。信息安全案例例教程：技術(shù)術(shù)與應(yīng)用2.網(wǎng)絡(luò)安全設(shè)備：入侵檢檢測系統(tǒng)29（2）入侵檢測的的工作原理根據(jù)其采用的的分析方法可可分為異常檢測和誤用檢測。1）異常檢測。需要建立目標(biāo)標(biāo)系統(tǒng)及其用用戶的正常活活動模型，然然后基于這個個模型對系統(tǒng)統(tǒng)和用戶的實實際活動進行行審計，當(dāng)主主體活動違反反其統(tǒng)計規(guī)律律時，則將其其視為可疑行行為。該技術(shù)術(shù)的關(guān)鍵是異異常閾值和特特征的選擇。優(yōu)點是可以發(fā)現(xiàn)新新型的入侵行行為，漏報少少。缺點是容易產(chǎn)生誤誤報。信息安全案案例教程：：技術(shù)與應(yīng)應(yīng)用2.網(wǎng)絡(luò)安全設(shè)備：入侵侵檢測系統(tǒng)統(tǒng)30（2）入侵檢測測的工作原原理根據(jù)其采用用的分析方方法可分為為異常檢測和誤用檢測。2）誤用檢測。假定所有入入侵行為和和手段(及其變種)都能夠表達達為一種模模式或特征征，系統(tǒng)的的目標(biāo)就是是檢測主體體活動是否否符合這些些模式。該技術(shù)的的關(guān)鍵是模模式匹配。。優(yōu)點是可以有針針對性地建建立高效的的入侵檢測測系統(tǒng)，其其精確性較較高，誤報報少。主要缺陷是只能發(fā)現(xiàn)現(xiàn)攻擊庫中中已知的攻攻擊，不能能檢測未知知的入侵，，也不能檢檢測已知入入侵的變種種，因此可可能發(fā)生漏漏報。且其其復(fù)雜性將將隨著攻擊擊數(shù)量的增增加而增加加。信息安全案案例教程：：技術(shù)與應(yīng)應(yīng)用2.網(wǎng)絡(luò)安全設(shè)備：入侵侵檢測系統(tǒng)統(tǒng)31（3）入侵檢測測的部署與防火墻不不同，入侵侵檢測主要要是一個監(jiān)監(jiān)聽和分析析設(shè)備，不不需要跨接接在任何網(wǎng)網(wǎng)絡(luò)鏈路上上，無需網(wǎng)網(wǎng)絡(luò)流量流流經(jīng)它，便便可正常工工作。對入侵檢測系系統(tǒng)的部署署，唯一的的要求是：：應(yīng)當(dāng)掛接接在所有所所關(guān)注的流流量都必須須流經(jīng)的鏈鏈路上，即即IDS采用旁路部部署方式接接入網(wǎng)絡(luò)。。這些流量量通常是指指需要進行行監(jiān)視和統(tǒng)統(tǒng)計的網(wǎng)絡(luò)報文。IDS和防火墻均均具備對方方不可代替替的功能，，因此在很很多應(yīng)用場場景中，IDS與防火墻共共存，形成成互補。信息安全案案例教程：：技術(shù)與應(yīng)應(yīng)用2.網(wǎng)絡(luò)安全設(shè)備：入侵侵檢測系統(tǒng)統(tǒng)32（3）入侵檢測測的部署信息安全案案例教程：：技術(shù)與應(yīng)應(yīng)用2.網(wǎng)絡(luò)安全設(shè)備：入侵侵檢測系統(tǒng)統(tǒng)33（3）入侵檢測測的部署檢測引擎檢測引擎檢測引擎控制臺信息安全案案例教程：：技術(shù)與應(yīng)應(yīng)用本講要點：：341.網(wǎng)絡(luò)安全設(shè)備：防火墻2.網(wǎng)絡(luò)安全設(shè)設(shè)備：入侵侵檢測3.網(wǎng)絡(luò)安全新新設(shè)備：入侵防御、、下一代防防火墻、統(tǒng)統(tǒng)一威脅管管理信息安全案案例教程：：技術(shù)與應(yīng)應(yīng)用3.網(wǎng)絡(luò)安全新設(shè)備備35（1）入侵防御系系統(tǒng)主動防御能力的需求求主動防御能能力是指：：系統(tǒng)不僅要具有有入侵檢測測系統(tǒng)的入入侵發(fā)現(xiàn)能能力和防火火墻的靜態(tài)態(tài)防御能力力，還要有有針對當(dāng)前前入侵行為為動態(tài)調(diào)整整系統(tǒng)安全全策略，阻阻止入侵和和對入侵攻攻擊源進行行主動追蹤蹤和發(fā)現(xiàn)的的能力。入侵防御系系統(tǒng)IPS（IntrusionPreventionSystem，也有稱作作IntrusionDetectionPrevention，即IDP）作為IDS的替代技術(shù)術(shù)誕生了。。信息安全案案例教程：：技術(shù)與應(yīng)應(yīng)用3.網(wǎng)絡(luò)安全新設(shè)備備36（1）入侵防御御系統(tǒng)IPS的概念I(lǐng)PS是一種主動動的、智能能的入侵檢檢測、防范范、阻止系系統(tǒng)，其設(shè)設(shè)計旨在預(yù)預(yù)先對入侵侵活動和攻攻擊性網(wǎng)絡(luò)絡(luò)流量進行行攔截，避避免其造成成任何損失失，而不是是簡單地在在惡意流量量傳送時或或傳送后才才發(fā)出警報報。它部署署在網(wǎng)絡(luò)的的進出口處處，當(dāng)它檢檢測到攻擊擊企圖后，，它會自動動地將攻擊擊包丟掉或或采取措施施將攻擊源源阻斷。信息安全案案例教程：：技術(shù)與應(yīng)應(yīng)用3.網(wǎng)絡(luò)安全新設(shè)備備37（2）下一代防火墻著名市場分分析咨詢機機構(gòu)Gartner于2009年發(fā)布的一一份名為《DefiningtheNext-GenerationFirewall》的文檔給出出了下一代代防火墻NGFW(Next-GenerationFirewall)的定義。1）傳統(tǒng)防火火墻。2）支持與防防火墻自動動聯(lián)動的集集成化IPS。3）應(yīng)用識別別、控制與與可視化。4）智能化聯(lián)聯(lián)動。信息安全案案例教程：：技術(shù)與應(yīng)應(yīng)用3.網(wǎng)絡(luò)安全新設(shè)備備38（3）統(tǒng)一威脅脅管理UTM市場分析咨咨詢機構(gòu)IDC這樣定義UTM：這是一類類集成了常常用安全功功能的設(shè)備備，必須包包括傳統(tǒng)防防火墻、網(wǎng)網(wǎng)絡(luò)入侵檢檢測與防護護和網(wǎng)關(guān)防防病毒功能能，并且可可能會集成成其他一些些安全或網(wǎng)網(wǎng)絡(luò)特性。。UTM可以說是將將防火墻、、IDS系統(tǒng)、防病病毒和脆弱弱性評估等等技術(shù)的優(yōu)優(yōu)點與自動動阻止攻擊擊的功能融融為一體。信息安全全案例教教程：技技術(shù)與應(yīng)應(yīng)用3.網(wǎng)絡(luò)安全新設(shè)設(shè)備39（3）統(tǒng)一威威脅管理理UTM市場分析析咨詢機機構(gòu)IDC這樣定義義UTM：這是一一類集成成了常用用安全功功能的設(shè)設(shè)備，必必須包括括傳統(tǒng)防防火墻、、網(wǎng)絡(luò)入入侵檢測測與防護護和網(wǎng)關(guān)關(guān)防病毒毒功能，，并且可可能會集集成其他他一些安安全或網(wǎng)網(wǎng)絡(luò)特性性。UTM可以說是是將防火火墻、IDS系統(tǒng)、防防病毒和和脆弱性性評估等等技術(shù)的的優(yōu)點與與自動阻阻止攻擊擊的功能能融為一一體。應(yīng)當(dāng)說，UTM和NGFW只是針對對不同級級別用戶戶的需求求，對宏宏觀意義義上的防防火墻的的功能進進行了更更有針對對性的歸歸納總結(jié)結(jié)，是互互為補充充的關(guān)系系。信息安全全案例教教程：技技術(shù)與應(yīng)應(yīng)用3.網(wǎng)絡(luò)安全新設(shè)設(shè)備40發(fā)展趨勢勢由于網(wǎng)絡(luò)攻擊擊技術(shù)的的不確定定性，靠靠單一的的產(chǎn)品往往往不能能夠滿足足不同用用戶的不不同安全全需求。。信息安安全產(chǎn)品品的發(fā)展展趨勢是是不斷地地走向融融合，走走向集中中管理。。通過采用用協(xié)同技技術(shù)，讓讓網(wǎng)絡(luò)攻攻擊防御御體系更更加有效效地應(yīng)對對重大網(wǎng)網(wǎng)絡(luò)安全全事件，，實現(xiàn)多多種安全全產(chǎn)品的的統(tǒng)一管管理和協(xié)協(xié)同操作作、分析析，從而而實現(xiàn)對對網(wǎng)絡(luò)攻攻擊行為為進行全全面、深深層次的的有效管管理，降降低安全全風(fēng)險和和管理成成本，成成為網(wǎng)絡(luò)絡(luò)攻擊防防護產(chǎn)品品發(fā)展的的一個主主要方向向。信息安全全案例教教程：技技術(shù)與應(yīng)應(yīng)用本講要點點：411.網(wǎng)絡(luò)安全設(shè)備：防火墻2.網(wǎng)絡(luò)安全全設(shè)備：：入侵檢測3.網(wǎng)絡(luò)安全全新設(shè)備備：入侵防御御、下一一代防火火墻、統(tǒng)統(tǒng)一威脅脅管理信息安全全案例教教程：技技術(shù)與應(yīng)應(yīng)用本講思考考與練習(xí)習(xí)42信息安全全案例教教程：技技術(shù)與應(yīng)應(yīng)用9、靜靜夜夜四四無無鄰鄰，，荒荒居居舊舊業(yè)業(yè)貧貧。。。。12月月-2212月月-22Tuesday,December20,202210、雨雨中中黃黃葉葉樹樹，，燈燈下下白白頭頭人人。。。。01:25:0701:25:0701:2512/20/20221:25:07AM11、以以我我獨獨沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2201:25:0701:25Dec-2220-Dec-2212、故故人人江江海海別別，，幾幾度度隔隔山山川川。。。。01:25:0701:25:0701:25Tuesday,December20,202213、乍見翻翻疑夢，，相悲各各問年。。。12月-2212月-2201:25:0701:25:07December20,202214、他鄉(xiāng)生生白發(fā)，，舊國見見青山。。。20十十二月20221:25:07上午午01:25:0712月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月221:25上午午12月-2201:25December20,202216、行動動出成成果，，工作作出財財富。。。2022/12/201:25:0801:25:0820December202217、做前前，能能夠環(huán)環(huán)視四四周；；做時時，你你只能能或者者最好好沿著著以腳腳為起起點的的射線線向前前。。。1:25:08上上午1:25上上午午01:25:0812月月-229、沒有有失敗敗，只只有暫暫時停停止成成功??！。12月月-2212月月-22Tuesday,December20,202210、很多事情情努力了未未必有結(jié)果果，但是不不努力卻什什么改變也也沒有。。。01:25:0801:25:0801:2512/20/20221:25:08AM11、成功功就是是日復(fù)復(fù)一日日那一一點點點小小小努力力的積積累。。。12月月-2201:25:0801:25Dec-2220-Dec-2212、世間間成事事，不不求其其絕對對圓滿滿，留留一份份不足足，可可得無無限完完美。