系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件

系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件本講提綱網(wǎng)絡(luò)防護(hù)技術(shù)防火墻VPN入侵檢測(cè)/入侵防御安全網(wǎng)關(guān)終端防護(hù)技術(shù)云安全技術(shù)桌面安全管理技術(shù)本講提綱網(wǎng)絡(luò)防護(hù)技術(shù)一、網(wǎng)絡(luò)防護(hù)技術(shù)防火墻VPN入侵檢測(cè)/入侵防御安全網(wǎng)關(guān)一、網(wǎng)絡(luò)防護(hù)技術(shù)防火墻1防火墻技術(shù)1.1防火墻概述1.2防火墻的分類1.3防火墻的體系結(jié)構(gòu)1.4防火墻的局限性1防火墻技術(shù)1.1防火墻概述1.1防火墻概述防火墻概念WilliamCheswick和SteveBeilovin（1994）：防火墻是放置在兩個(gè)網(wǎng)絡(luò)之間的一組組件，這組組件共同具有下列性質(zhì)：只允許本地安全策略授權(quán)的通信信息通過(guò)雙向通信信息必須通過(guò)防火墻防火墻本身不會(huì)影響信息的流通防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過(guò)強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪問(wèn)以達(dá)到保護(hù)系統(tǒng)安全的目的。1.1防火墻概述防火墻概念1.1防火墻概述——防火墻的功能集中管理內(nèi)容控制訪問(wèn)控制日志流量控制1.1防火墻概述——防火墻的功能集中管理內(nèi)容控制訪問(wèn)控制日1.2防火墻的分類包過(guò)濾防火墻應(yīng)用網(wǎng)關(guān)狀態(tài)檢測(cè)防火墻電路級(jí)網(wǎng)關(guān)1.2防火墻的分類包過(guò)濾防火墻1.2.1包過(guò)濾防火墻包過(guò)濾防火墻是在網(wǎng)絡(luò)層中根據(jù)數(shù)據(jù)包中包頭信息有選擇地實(shí)施允許通過(guò)或阻斷即基于防火墻內(nèi)事先設(shè)定的過(guò)濾規(guī)則，檢查數(shù)據(jù)包的頭部，根據(jù)以下因素確定是否允許數(shù)據(jù)包通過(guò)：源IP地址目的IP地址源端口目的端口協(xié)議類型ACK字段在IP/TCP層實(shí)現(xiàn)1.2.1包過(guò)濾防火墻包過(guò)濾防火墻是在網(wǎng)絡(luò)層中根據(jù)數(shù)據(jù)包中關(guān)鍵技術(shù)數(shù)據(jù)包過(guò)濾依據(jù)事先設(shè)定的過(guò)濾規(guī)則，對(duì)所接收的每個(gè)數(shù)據(jù)包做允許拒絕的決定。數(shù)據(jù)包過(guò)濾優(yōu)點(diǎn)：速度快，性能高對(duì)用戶透明數(shù)據(jù)包過(guò)濾缺點(diǎn)：維護(hù)比較困難(需要對(duì)TCP/IP了解）安全性低（IP欺騙等）不提供有用的日志，或根本就不提供不防范數(shù)據(jù)驅(qū)動(dòng)型攻擊不能根據(jù)狀態(tài)信息進(jìn)行控制不能處理網(wǎng)絡(luò)層以上的信息無(wú)法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制互連的物理介質(zhì)應(yīng)用層表示層會(huì)話層傳輸層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層關(guān)鍵技術(shù)數(shù)據(jù)包過(guò)濾互連的物理介質(zhì)應(yīng)用層表示層會(huì)話層傳輸層應(yīng)用1.2.2應(yīng)用級(jí)網(wǎng)關(guān)建立在網(wǎng)絡(luò)應(yīng)用層，針對(duì)特別的應(yīng)用協(xié)議進(jìn)行數(shù)據(jù)過(guò)濾，并且能夠?qū)?shù)據(jù)包進(jìn)行分析。1.2.2應(yīng)用級(jí)網(wǎng)關(guān)建立在網(wǎng)絡(luò)應(yīng)用層，針對(duì)特別的應(yīng)用協(xié)議關(guān)鍵技術(shù)應(yīng)用層代理網(wǎng)關(guān)理解應(yīng)用協(xié)議，可以實(shí)施更細(xì)粒度的訪問(wèn)控制對(duì)每一類應(yīng)用，都需要一個(gè)專門的代理靈活性不夠客

戶網(wǎng)

關(guān)服務(wù)器發(fā)送請(qǐng)求轉(zhuǎn)發(fā)請(qǐng)求請(qǐng)求響應(yīng)轉(zhuǎn)發(fā)響應(yīng)關(guān)鍵技術(shù)應(yīng)用層代理客戶網(wǎng)關(guān)服務(wù)器發(fā)送請(qǐng)求轉(zhuǎn)發(fā)請(qǐng)求請(qǐng)求1.2.3狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)防火墻工作在4、5層之上。狀態(tài)檢測(cè)防火墻能夠?qū)崿F(xiàn)連接的跟蹤功能，比如對(duì)于一些復(fù)雜協(xié)議，除了使用一個(gè)公開(kāi)的端口進(jìn)性通信外，在通信過(guò)程中還會(huì)動(dòng)態(tài)建立自連接進(jìn)行數(shù)據(jù)傳輸。狀態(tài)檢測(cè)防火墻能夠分析主動(dòng)連接中的內(nèi)容信息，識(shí)別出縮寫上的自連接的端口而在防火墻上將其動(dòng)態(tài)打開(kāi)1.2.3狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)防火墻工作在4、5層之上。1.2.4電路級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)工作在會(huì)話層，在兩個(gè)主機(jī)首次建立TCP連接時(shí)建立電子屏障。監(jiān)視兩主機(jī)建立連接時(shí)的握手信息是否合乎邏輯，以后就是透明傳輸。1.2.4電路級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)工作在會(huì)話層，1.3防火墻的體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)被屏蔽主機(jī)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)1.3防火墻的體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)1.3.1雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，外部網(wǎng)絡(luò)能夠與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能夠與雙重宿主主機(jī)通信，但是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的通信必須經(jīng)過(guò)雙重宿主主機(jī)的過(guò)濾和控制。1.3.1雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接關(guān)鍵技術(shù)NAT（NetworkAddressTranslation）網(wǎng)絡(luò)地址轉(zhuǎn)就是在防火墻上裝一個(gè)合法IP地址集，然后當(dāng)內(nèi)部某一用戶要訪問(wèn)Internet時(shí)，防火墻動(dòng)態(tài)地從地址集中選一個(gè)未分配的地址分配給該用戶；同時(shí)，對(duì)于內(nèi)部的某些服務(wù)器如Web服務(wù)器，網(wǎng)絡(luò)地址轉(zhuǎn)換器允許為其分配一個(gè)固定的合法地址。地址翻譯主要用在兩個(gè)方面：網(wǎng)絡(luò)管理員希望隱藏內(nèi)部網(wǎng)絡(luò)的IP地址。這樣互聯(lián)網(wǎng)上的主機(jī)無(wú)法判斷內(nèi)部網(wǎng)絡(luò)的情況。內(nèi)部網(wǎng)絡(luò)的IP地址是無(wú)效的IP地址。這種情況主要是因?yàn)楝F(xiàn)在的IP地址不夠用，要申請(qǐng)到足夠多的合法IP地址很難辦到，因此需要翻譯IP地址。關(guān)鍵技術(shù)NAT（NetworkAddressTrans源IP目的IP10.0.0.108202.112.108.50源IP目的IP202.112.108.30源IP目的IP202.112.108.50202.112.108.3源IP目的IP202.112.108.5010.0.0.108防火墻網(wǎng)關(guān)源IP目的IP12.源IP目的IP2021.3.2被屏蔽主機(jī)體系結(jié)構(gòu)被屏蔽主機(jī)體系結(jié)構(gòu)使用一個(gè)單獨(dú)的路由器提供來(lái)自僅僅與內(nèi)部的網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的橋梁。任何外部的系統(tǒng)試圖訪問(wèn)內(nèi)部的系統(tǒng)或服務(wù)將必須連接到這臺(tái)堡壘主機(jī)上。1.3.2被屏蔽主機(jī)體系結(jié)構(gòu)被屏蔽主機(jī)體系結(jié)構(gòu)使用一個(gè)單獨(dú)1.3.3被屏蔽子網(wǎng)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為：兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通常為Internet）之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)“隔離帶”。1.3.3被屏蔽子網(wǎng)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形1.4防火墻的局限性防火墻不能防范不經(jīng)防火墻的攻擊防火墻不能防止感染了病毒的軟件傳播防火墻不能防范內(nèi)部攻擊端到端加密可以繞開(kāi)防火墻防火墻不能提供細(xì)粒度的訪問(wèn)控制防火墻的局限性1.4防火墻的局限性防火墻不能防范不經(jīng)防火墻的攻擊防火墻不2VPN概述2.1VPN的分類2.2IPSec協(xié)議2.3SSL協(xié)議2.42VPN概述2.1VPN的分類2.2IPSec協(xié)議2.3S2.1VPN概述VPN是虛擬專用網(wǎng)(VirtualPrivateNetwork)的縮寫。是指不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用網(wǎng)絡(luò)連接成邏輯上的虛擬子網(wǎng)。VPN具有以下優(yōu)點(diǎn)：降低成本易于擴(kuò)展靈活性2.1VPN概述VPN是虛擬專用網(wǎng)(VirtualPr系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件2.1VPN概述訪問(wèn)控制完整性機(jī)密性認(rèn)證密鑰管理VPN的安全需求2.1VPN概述訪問(wèn)控制完整性機(jī)密性認(rèn)證密鑰管理VPN的安2.2VPN的分類按用途分類：遠(yuǎn)程訪問(wèn)VPN內(nèi)聯(lián)網(wǎng)VPN外聯(lián)網(wǎng)VPN按照隧道協(xié)議分類：PPTPL2FL2TPIPSecSSL2.2VPN的分類按用途分類：2.2VPN的分類PPTPL2FL2TPIPSecSSL/TLS層2223應(yīng)用/傳輸加密基于PPP、MPPE基于PPP、MPPEPPP加密，MPPEDES、3DESAES、IDEADES、3DESAES、IDEA認(rèn)證基于PPP基于PPP基于PPP數(shù)字證書、預(yù)共享密鑰數(shù)字證書、預(yù)共享密鑰數(shù)據(jù)的完整性無(wú)無(wú)無(wú)MD5、SHA-1MD5、SHA-1密鑰管理無(wú)無(wú)無(wú)IKE多重通信協(xié)議支持否是是否（僅IP）是主要支持的VPN類型用戶到網(wǎng)關(guān)用戶到網(wǎng)關(guān)用戶到網(wǎng)關(guān)用戶到網(wǎng)關(guān)、網(wǎng)關(guān)到網(wǎng)關(guān)用戶到網(wǎng)關(guān)RFC參考RFC2637RFC2341RFC2661RFC2401-2409RFC22462.2VPN的分類PPTPL2FL2TPIPSecSSL/2.3IPSec協(xié)議IPSec提供了一套安全算法和總體框架，允許一對(duì)通信實(shí)體利用其中的一個(gè)算法為通信提供安全性。安全服務(wù)集提供包括訪問(wèn)控制、數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證、抗重放(replay)保護(hù)和數(shù)據(jù)保密性在內(nèi)的服務(wù)?；贗P層提供對(duì)IP及其上層協(xié)議的保護(hù)。例如，TCP，UDP，ICMP等等。IPSec協(xié)議可以在主機(jī)和網(wǎng)關(guān)（如路由器、防火墻）上進(jìn)行配置，對(duì)主機(jī)與主機(jī)間、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)間、安全網(wǎng)關(guān)與主機(jī)間的路徑進(jìn)行安全保護(hù)。2.3IPSec協(xié)議IPSec提供了一套安全算法和總體框架IPSec的體系結(jié)構(gòu)IPSec的體系結(jié)構(gòu)2.3IPSec概述AH提供無(wú)連接的數(shù)據(jù)完整性認(rèn)證（hash校驗(yàn)）、數(shù)據(jù)源身份認(rèn)證（帶密鑰的hmac）和防重防攻擊（AH頭中的序列號(hào)）ESP比AH多了兩種功能，數(shù)據(jù)包加密和數(shù)據(jù)流加密。數(shù)據(jù)包加密可以加密整個(gè)IP包，也可以只加密IP包的載荷，一般用于計(jì)算機(jī)端；數(shù)據(jù)流加密用于路由器，源端路由把整個(gè)IP包加密后傳輸，目的端路由解密后轉(zhuǎn)發(fā)。AH和ESP可以單獨(dú)/組合使用。2.3IPSec概述AH提供無(wú)連接的數(shù)據(jù)完整性認(rèn)證（has2.3IPSec概述IKE負(fù)責(zé)密鑰管理和策略協(xié)商，定義了通信實(shí)體之間進(jìn)行身份認(rèn)證、協(xié)商加密算法和生成會(huì)話密鑰的方法。協(xié)商結(jié)果保存在SA中。解釋域（DOI）為使用IKE進(jìn)行協(xié)商SA的協(xié)議統(tǒng)一分配標(biāo)識(shí)符。2.3IPSec概述IKE負(fù)責(zé)密鑰管理和策略協(xié)商，定義了通2.3IPSec概述IPSec有兩種運(yùn)行模式：傳輸模式和隧道模式。AH和ESP都支持兩種使用模式。傳輸模式只保護(hù)IP載荷，可能是TCP/UDP/ICMP，IP頭沒(méi)有保護(hù)。隧道模式保護(hù)的內(nèi)容是整個(gè)IP包，隧道模式為IP協(xié)議提供安全保護(hù)。通常IPSec的雙方只要有一方是網(wǎng)關(guān)或者路由，就必須使用隧道模式。路由器需要將要保護(hù)的原始IP包看成一個(gè)整體，在前面添加AH或者ESP頭，再添加新的IP頭，組成新的IP包之后再轉(zhuǎn)發(fā)出去。2.3IPSec概述IPSec有兩種運(yùn)行模式：傳輸模式和隧2.3.1IPSec概述原始IP數(shù)據(jù)包外部IP頭IPSec頭數(shù)據(jù)TCP頭IP頭IP頭IPSec頭數(shù)據(jù)TCP頭IP頭TCP頭數(shù)據(jù)傳輸模式隧道模式

IP數(shù)據(jù)包對(duì)比2.3.1IPSec概述2.4SSL協(xié)議SSL基本概念協(xié)議的設(shè)計(jì)目標(biāo)：為兩個(gè)通訊個(gè)體之間提供保密性和完整性(身份認(rèn)證)；互操作性、可擴(kuò)展性、相對(duì)效率為上層協(xié)議提的供安全性：保密性、身份認(rèn)證和數(shù)據(jù)完整性SSL連接（connection)一個(gè)連接是一個(gè)提供一種合適類型服務(wù)的傳輸（OSI分層的定義）。SSL的連接是點(diǎn)對(duì)點(diǎn)的關(guān)系。連接是暫時(shí)的，每一個(gè)連接和一個(gè)會(huì)話關(guān)聯(lián)。SSL會(huì)話（session）一個(gè)SSL會(huì)話是在客戶與服務(wù)器之間的一個(gè)關(guān)聯(lián)。會(huì)話由HandshakeProtocol創(chuàng)建。會(huì)話定義了一組可供多個(gè)連接共享的加密安全參數(shù)。會(huì)話用以避免為每一個(gè)連接提供新的安全參數(shù)所需昂貴的談判代價(jià)。2.4SSL協(xié)議SSL基本概念SSL協(xié)議體系：協(xié)議分為兩層底層：TLS記錄協(xié)議上層：TLS握手協(xié)議、TLS密碼變化協(xié)議、TLS警告協(xié)議SSL協(xié)議體系：協(xié)議分為兩層TLS記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上，為更高層提供基本安全服務(wù)。特別是HTTP，它提供了Web的client/server交互的傳輸服務(wù)，可以構(gòu)造在SSL之上。它提供連接安全性，有兩個(gè)特點(diǎn)保密性，使用了對(duì)稱加密算法完整性，使用HMAC算法用來(lái)封裝高層的協(xié)議SSLHandshakeProtocol,SSLChangeCipherSpecProtocol,SSLAlertProtocol是SSL的高層協(xié)議，用于管理SSL交換。TLS記錄協(xié)議SSL握手協(xié)議功能客戶和服務(wù)器之間相互認(rèn)證協(xié)商加密算法和密鑰它提供連接安全性，有三個(gè)特點(diǎn)身份認(rèn)證，至少對(duì)一方實(shí)現(xiàn)認(rèn)證，也可以是雙向認(rèn)證協(xié)商得到的共享密鑰是安全的，中間人不能夠知道協(xié)商過(guò)程是可靠的SSL握手協(xié)議整體流程(1)、交換Hello消息，對(duì)于算法、交換隨機(jī)值等協(xié)商一致(2)、交換必要的密碼參數(shù)，以便雙方得到統(tǒng)一的premastersecret(3)、交換證書和相應(yīng)的密碼信息，以便進(jìn)行身份認(rèn)證(4)、產(chǎn)生mastersecret(5)、把安全參數(shù)提供給TLS記錄層(6)、檢驗(yàn)雙方是否已經(jīng)獲得同樣的安全參數(shù)整體流程3入侵檢測(cè)/入侵防御技術(shù)3.1入侵檢測(cè)概述3.2入侵檢測(cè)系統(tǒng)分類3.3入侵防御系統(tǒng)3入侵檢測(cè)/入侵防御技術(shù)3.1入侵檢測(cè)概述3.1入侵檢測(cè)系統(tǒng)IDS入侵檢測(cè)是從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)搜集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或者系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象的一種機(jī)制。入侵檢測(cè)采用旁路偵聽(tīng)的機(jī)制，通過(guò)對(duì)數(shù)據(jù)包流的分析，可以從數(shù)據(jù)流中過(guò)濾除可以數(shù)據(jù)包，通過(guò)與已知的入侵方式進(jìn)行比較，確定入侵是否發(fā)生以及入侵的類型并進(jìn)行報(bào)警。網(wǎng)絡(luò)管理員可以根據(jù)這些報(bào)警確切的知道所周到的攻擊并采取相應(yīng)的措施。3.1入侵檢測(cè)系統(tǒng)IDS入侵檢測(cè)是從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中3.1入侵檢測(cè)概述CIDF——入侵檢測(cè)系統(tǒng)的通用模型3.1入侵檢測(cè)概述CIDF——入侵檢測(cè)系統(tǒng)的通用模型3.2入侵檢測(cè)系統(tǒng)分類3.2.1基于主機(jī)的入侵檢測(cè)系統(tǒng)3.2.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)3.2入侵檢測(cè)系統(tǒng)分類3.2.1基于主機(jī)的入侵檢測(cè)系統(tǒng)3.2.1基于主機(jī)的入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)連接檢測(cè)對(duì)試圖進(jìn)入該主機(jī)的數(shù)據(jù)流進(jìn)行檢測(cè)，分析確定是否有入侵行為，避免或減少這些數(shù)據(jù)流進(jìn)入主機(jī)系統(tǒng)后造成傷害?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)可以保護(hù)單臺(tái)主機(jī)不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在受保護(hù)的主機(jī)上?？梢杂行У貦z測(cè)出是否存在攻擊探測(cè)行為。3.2.1基于主機(jī)的入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)連接檢測(cè)基于主機(jī)的入侵3.2.1基于主機(jī)的入侵檢測(cè)系統(tǒng)主機(jī)文件檢測(cè)1系統(tǒng)日志2文件系統(tǒng)3進(jìn)程記錄系統(tǒng)日志文件記錄了各種類型的信息。如果日志文件中存在異常記錄，就可以認(rèn)為發(fā)生了網(wǎng)絡(luò)入侵。惡意的網(wǎng)絡(luò)攻擊者會(huì)修改網(wǎng)絡(luò)主機(jī)上的各種數(shù)據(jù)文件。如果入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)文件系統(tǒng)發(fā)生了異常的改變，就可以懷疑發(fā)生了網(wǎng)絡(luò)入侵。黑客可能使程序終止，或執(zhí)行違背用戶意圖的操作。如果入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)某個(gè)進(jìn)程存在異常行為，就可以懷疑有網(wǎng)絡(luò)入侵。4系統(tǒng)運(yùn)行控制針對(duì)操作系統(tǒng)的特性，采取措施防止緩沖區(qū)溢出，增加對(duì)文件系統(tǒng)的保護(hù)3.2.1基于主機(jī)的入侵檢測(cè)系統(tǒng)主機(jī)文件檢測(cè)1系統(tǒng)日志2文3.2.1基于主機(jī)的入侵檢測(cè)系統(tǒng)檢測(cè)準(zhǔn)確度較高可以檢測(cè)到?jīng)]有明顯行為特征的入侵成本較低不會(huì)因?yàn)榫W(wǎng)絡(luò)流量影響性能適用于加密和交換環(huán)境優(yōu)點(diǎn)3.2.1基于主機(jī)的入侵檢測(cè)系統(tǒng)檢測(cè)準(zhǔn)確度較高可以檢測(cè)到?jīng)]3.2.1基于主機(jī)的入侵檢測(cè)系統(tǒng)實(shí)時(shí)性較差無(wú)法檢測(cè)數(shù)據(jù)包的全部檢測(cè)效果取決于日志系統(tǒng)占用主機(jī)資源性能隱蔽性較差缺點(diǎn)3.2.1基于主機(jī)的入侵檢測(cè)系統(tǒng)實(shí)時(shí)性較差無(wú)法檢測(cè)數(shù)據(jù)包的3.2.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)報(bào)作為進(jìn)行攻擊分析的數(shù)據(jù)源，一般利用一個(gè)網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視和分析所有通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ拧４蠖鄶?shù)的攻擊都有一定的特征，入侵檢測(cè)系統(tǒng)將實(shí)際的數(shù)據(jù)流量記錄與入侵模式庫(kù)中的入侵模式進(jìn)行匹配，尋找可能的攻擊特征。3.2.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用3.2.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵監(jiān)測(cè)系統(tǒng)可以實(shí)現(xiàn)如下功能：對(duì)數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)、詳細(xì)的檢查數(shù)據(jù)包檢測(cè)端口掃描檢測(cè)常見(jiàn)的攻擊行為識(shí)別各種各樣可能的IP欺騙攻擊當(dāng)檢測(cè)到一個(gè)不希望的活動(dòng)時(shí)，入侵檢測(cè)系統(tǒng)可以重新配置防火墻以攔截從入侵者發(fā)來(lái)的數(shù)據(jù)。3.2.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵監(jiān)測(cè)系統(tǒng)可以典型部署方式典型部署方式3.2.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以提供實(shí)時(shí)的網(wǎng)絡(luò)監(jiān)測(cè)行為可以同時(shí)保護(hù)多臺(tái)網(wǎng)絡(luò)主機(jī)具有良好的隱蔽性有效保護(hù)入侵證據(jù)不影響被保護(hù)主機(jī)的性能優(yōu)點(diǎn)3.2.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以提供實(shí)時(shí)的網(wǎng)絡(luò)監(jiān)測(cè)行為3.2.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)防入侵欺騙的能力較差在交換式網(wǎng)絡(luò)環(huán)境中難以配置檢測(cè)性能受硬件條件限制不能處理加密后的數(shù)據(jù)缺點(diǎn)3.2.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)防入侵欺騙的能力較差在交換3.3入侵防御系統(tǒng)IPS入侵檢測(cè)的目的是提供網(wǎng)絡(luò)活動(dòng)的監(jiān)測(cè)、審計(jì)、證據(jù)以及報(bào)告。入侵防御的目的是為了提供資產(chǎn)、資源、數(shù)據(jù)和網(wǎng)絡(luò)的保護(hù)。IDS和IPS之間最根本的不同在于確定性，即IDS可以使用非確定性的方法從現(xiàn)有的和以前的通信中預(yù)測(cè)出任何形式的威脅而IPS所有的決策必須是正確的、確定的3.3入侵防御系統(tǒng)IPS入侵檢測(cè)的目的是提供網(wǎng)絡(luò)活動(dòng)的監(jiān)測(cè)、3.3入侵防御系統(tǒng)IPS就像小區(qū)門口的保安，在通行證和其它預(yù)設(shè)的規(guī)則或策略的基礎(chǔ)上允許和拒絕訪問(wèn)。IDS就像巡警的巡邏車，監(jiān)測(cè)活動(dòng)并提供異常情況3.3入侵防御系統(tǒng)IPS就像小區(qū)門口的保安，在通行證和其它預(yù)典型部署方式服務(wù)器IPSIDS防火墻交換機(jī)outboundinterfaceinboundinterface典型部署方式服務(wù)器IPSIDS防火墻交換機(jī)outbound3.3入侵防御系統(tǒng)IPS的優(yōu)勢(shì)入侵的迅速終止更準(zhǔn)確和可靠的檢測(cè)積極防御IPS的設(shè)計(jì)需求能夠準(zhǔn)確、可靠的檢測(cè)，精確的阻斷攻擊IPS的運(yùn)行對(duì)網(wǎng)絡(luò)的性能和可用性沒(méi)有負(fù)面影響可以有效地安全管理可以容易的實(shí)現(xiàn)對(duì)未來(lái)攻擊的防御3.3入侵防御系統(tǒng)IPS的優(yōu)勢(shì)4安全網(wǎng)關(guān)概述4.1安全網(wǎng)關(guān)的分類4.2UTM4.34安全網(wǎng)關(guān)概述4.1安全網(wǎng)關(guān)的分類4.2UTM4.34.1概述早期的網(wǎng)關(guān)就是指路由器?，F(xiàn)在主要有三種網(wǎng)關(guān)，即協(xié)議網(wǎng)關(guān)、應(yīng)用網(wǎng)關(guān)和安全網(wǎng)關(guān)安全網(wǎng)關(guān)布置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。現(xiàn)在的網(wǎng)關(guān)多數(shù)都是集成多種功能為一體的集成網(wǎng)關(guān)。UTM通過(guò)對(duì)各種安全技術(shù)的整合，構(gòu)建起一個(gè)立體防護(hù)體系，為信息網(wǎng)絡(luò)提供全面動(dòng)態(tài)的安全防護(hù)體系。內(nèi)容過(guò)濾、應(yīng)用層協(xié)議處理是發(fā)展趨勢(shì)4.1概述早期的網(wǎng)關(guān)就是指路由器。現(xiàn)在主要有三種網(wǎng)關(guān)，即協(xié)4.2安全網(wǎng)關(guān)的分類從應(yīng)用角度的分類防火墻VPN網(wǎng)關(guān)Web安全網(wǎng)關(guān)反病毒網(wǎng)關(guān)郵件安全網(wǎng)關(guān)UTM安全網(wǎng)關(guān)4.2安全網(wǎng)關(guān)的分類從應(yīng)用角度的分類防火墻VPN網(wǎng)關(guān)Web4.3UTMUTM(UnifiedThreatManagement)是集防病毒、入侵檢測(cè)/防御和防火墻、VPN于一體的網(wǎng)關(guān)設(shè)備，有的廠商還加上了防垃圾郵件、內(nèi)容過(guò)濾等功能UTM可以通過(guò)軟件實(shí)現(xiàn)，即在通用處理器上通過(guò)軟件編程來(lái)實(shí)現(xiàn)，也可以通過(guò)硬件實(shí)現(xiàn)，即在ASIC芯片或者FPGA加上CPU來(lái)實(shí)現(xiàn)。4.3UTMUTM(UnifiedThreatManaUTM簡(jiǎn)介VPN反病毒防火墻Web過(guò)濾IDS/IPS反垃圾郵件UTMUTM簡(jiǎn)介VPN反病毒防火墻Web過(guò)濾IDS/IPS反垃圾郵UTM部署方式UTM部署方式UTM技術(shù)的優(yōu)勢(shì)成本較低1統(tǒng)一管理，降低人力投入2技術(shù)復(fù)雜度低3UTM技術(shù)的優(yōu)勢(shì)成本較低1統(tǒng)一管理，降低人力投入2技術(shù)復(fù)雜度UTM技術(shù)的不足單一功能性能較低1穩(wěn)定性需要提升2功能過(guò)度集中，出現(xiàn)故障影響較大3UTM技術(shù)的不足單一功能性能較低1穩(wěn)定性需要提升2功能過(guò)度集二、終端防護(hù)技術(shù)云安全技術(shù)桌面安全管理技術(shù)二、終端防護(hù)技術(shù)云安全技術(shù)1、云安全技術(shù)“云安全（CloudSecurity）”融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念，通過(guò)網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè)，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到Server端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。1、云安全技術(shù)“云安全（CloudSecurity）”融云安全技術(shù)的應(yīng)用特征庫(kù)或類特征庫(kù)在云端的儲(chǔ)存與共享信息安全產(chǎn)品具有很強(qiáng)的終端特性，僅僅將特征庫(kù)放在云端，并無(wú)優(yōu)勢(shì)。因?yàn)樵诂F(xiàn)有網(wǎng)絡(luò)環(huán)境中，下載速度不成問(wèn)題，而且在本地存放特征庫(kù)還會(huì)大大減少因網(wǎng)絡(luò)故障帶來(lái)的響應(yīng)失敗問(wèn)題。作為一個(gè)最新的惡意代碼、垃圾郵件或釣魚網(wǎng)址等的快速收集、匯總和響應(yīng)處理的系統(tǒng)隨著惡意程序的爆炸式增長(zhǎng)，用戶更為迫切地需要能夠在第一時(shí)間就對(duì)新的惡意程序及其產(chǎn)生的不良影響進(jìn)行防御，甚至在新的惡意威脅出現(xiàn)之前就具備對(duì)其進(jìn)行防御的能力。云安全技術(shù)的應(yīng)用特征庫(kù)或類特征庫(kù)在云端的儲(chǔ)存與共享來(lái)源挖掘云安全中心即時(shí)升級(jí)服務(wù)器互聯(lián)網(wǎng)內(nèi)容惡意威脅下載網(wǎng)站門戶網(wǎng)站搜索網(wǎng)站云安全客戶端互聯(lián)網(wǎng)用戶威脅信息數(shù)據(jù)中心即時(shí)查殺平臺(tái)自動(dòng)分析處理系統(tǒng)威脅挖掘集群威脅信息分析來(lái)源挖掘即時(shí)升級(jí)服務(wù)器互聯(lián)網(wǎng)內(nèi)容惡意威脅下載網(wǎng)站門戶網(wǎng)站搜索McAfee云安全Artemis工作流程McAfee云安全Artemis工作流程2、桌面安全管理技術(shù)內(nèi)部網(wǎng)絡(luò)和應(yīng)用系統(tǒng)發(fā)生故障的原因很少是由于網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)自身的問(wèn)題所引起，更多的是因?yàn)閮?nèi)網(wǎng)的其它安全因素導(dǎo)致，如病毒爆發(fā)、資源濫用、惡意接入、用戶誤操作等。而這些安全因素，幾乎全部來(lái)源于用戶桌面計(jì)算機(jī)。典型問(wèn)題包括：缺乏必要的安全加固手段缺乏有效的接入控制手段缺乏有效的行為監(jiān)控手段缺乏必要的配置管理手段2、桌面安全管理技術(shù)內(nèi)部網(wǎng)絡(luò)和應(yīng)用系統(tǒng)發(fā)生故障的原因很少是由概念桌面安全管理將終端安全管理、終端補(bǔ)丁管理、終端用戶行為管理、網(wǎng)上行為管理有機(jī)地結(jié)合在一起，通過(guò)對(duì)網(wǎng)絡(luò)中所有設(shè)備的統(tǒng)一策略制定、用戶行為的統(tǒng)一管理，安全工具的集中審計(jì)，最大限度地減少安全隱患。同時(shí)，它還對(duì)個(gè)人桌面系統(tǒng)的軟件資源實(shí)施安全管理，通過(guò)對(duì)個(gè)人桌面系統(tǒng)的工作狀況進(jìn)行管理，有效地提高員工工作效