信息安全技術（HCIA-Security）（微課版）（第2版） 課件 第10章 入侵防御簡介

入侵防御簡介要壓實互聯(lián)網(wǎng)企業(yè)的主體責任，決不能讓互聯(lián)網(wǎng)成為傳播有害信息、造謠生事的平臺。要加強互聯(lián)網(wǎng)行業(yè)自律，調(diào)動網(wǎng)民積極性，動員各方面力量參與治理。文字學習網(wǎng)絡安全法：網(wǎng)絡強國，制度保障拓展主題法律法規(guī)、法律制度在目前出現(xiàn)的各種安全威脅當中，惡意程序類別占有很高的比例，灰色軟件的影響也逐漸擴大，而與犯罪程序有關的安全威脅已經(jīng)成為威脅網(wǎng)絡安全的重要因素。目前用戶面臨的不再是傳統(tǒng)的病毒攻擊，“網(wǎng)絡威脅”經(jīng)常是融合了病毒、黑客入侵、木馬、僵尸、間諜等危害等于一身的混合體，因此單靠以往的防毒或者防黑技術往往難以抵御。本章節(jié)主要介紹了入侵的概念以及華為USG產(chǎn)品對于入侵防御的支持。學完本課程后，您將能夠：描述入侵防御的種類部署網(wǎng)絡反病毒策略入侵概述入侵防御系統(tǒng)簡介網(wǎng)絡防病毒簡介入侵初印象“復仇者聯(lián)盟”？說到入侵，大家最先想到的是什么呢？恐怖電影“鐵線蟲入侵”？網(wǎng)絡威脅現(xiàn)狀現(xiàn)在大多數(shù)病毒等網(wǎng)絡威脅不再單純地攻擊電腦系統(tǒng)，而是被黑客攻擊和不法分子利用，成為他們獲取利益的工具。因此，傳統(tǒng)的電腦病毒等網(wǎng)絡威脅，正在向由利益驅(qū)動的、全面的網(wǎng)絡威脅發(fā)展變化。黑客入侵拒絕服務攻擊病毒及惡意軟件黑客入侵網(wǎng)絡黑客、企業(yè)內(nèi)部惡意員工利用系統(tǒng)及軟件的漏洞，入侵服務器，嚴重威脅企業(yè)關鍵業(yè)務數(shù)據(jù)的安全。核心交換機郵件服務器數(shù)據(jù)服務器Web服務器路由器黑客惡意員工蠕蟲蠕蟲入侵拒絕服務攻擊威脅以經(jīng)濟利益為目的的DDOS攻擊不斷威脅著企業(yè)正常運營，且攻擊造成的危害越來越嚴重?？偛繖C構僵尸網(wǎng)絡SMURF正常網(wǎng)絡用戶SYNFloodUDPFlood僵尸網(wǎng)絡僵尸網(wǎng)絡ICMPFloodCC攻擊僵尸網(wǎng)絡僵尸網(wǎng)絡Internet病毒及惡意軟件安全威脅隨著企業(yè)業(yè)務拓展，更多業(yè)務應用依賴于IT信息系統(tǒng)來完成。在業(yè)務運行過程中，不斷面臨著病毒、木馬、間諜軟件等的嚴重威脅。間諜軟件木馬病毒核心交換機郵件服務器數(shù)據(jù)服務器Web服務器路由器蠕蟲病毒什么是入侵？上述網(wǎng)絡威脅都有什么樣的相似特征呢？入侵是指未經(jīng)授權而嘗試訪問信息系統(tǒng)資源、竄改信息系統(tǒng)中的數(shù)據(jù)，使信息系統(tǒng)不可靠或不能使用的行為；入侵企圖破壞信息系統(tǒng)的完整性、機密性、可用性以及可控性。未經(jīng)授權訪問未經(jīng)授權篡改未經(jīng)授權破壞黑客入侵拒絕服務攻擊威脅病毒及惡意軟件威脅特征√√√√√√√√入侵入侵防御系統(tǒng)簡介網(wǎng)絡防病毒簡介安全設備在安全體系中的位置監(jiān)視器入侵檢測系統(tǒng)保安員掃描器、漏洞查找安全傳輸加密、VPN門禁系統(tǒng)身份認證、訪問控制監(jiān)控室安全管理中心加固的房間系統(tǒng)加固、免疫門防火墻入侵防御系統(tǒng)入侵防御系統(tǒng)（IPS，IntrusionPreventionSystem）是一種智能化的入侵檢測和防御產(chǎn)品，它不但能檢測入侵的發(fā)生，而且能通過一定的響應方式，實時地中止入侵行為的發(fā)生和發(fā)展，實時地保護信息系統(tǒng)不受實質(zhì)性的攻擊。IPS在網(wǎng)絡中一般有兩種部署方式：串接在網(wǎng)絡邊界，在線部署，在線阻斷。直路旁掛在交換機上，通過交換機做端口鏡像。旁路入侵防御系統(tǒng)技術特點IntrusionPreventionSystem實時阻斷業(yè)務感知（ServiceAwareness）自定義規(guī)則自學習及自適應零配置上線查看入侵及防御行為入侵的分類入侵防御系統(tǒng)簡介網(wǎng)絡防病毒簡介計算機病毒基本概念計算機病毒編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼被稱為計算機病毒（ComputerVirus）。惡意代碼一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數(shù)據(jù)、運行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。病毒、蠕蟲和木馬項目病毒蠕蟲木馬存在形式寄生獨立個體有寄生性復制機制插入宿主程序中自身拷貝不自我復制傳染性宿主程序運行系統(tǒng)存在漏洞依據(jù)載體或功能傳染目標主要是針對本地文件針對網(wǎng)絡上其它計算機肉機或僵尸觸發(fā)機制計算機使用者程序自身遠程控制影響重點文件系統(tǒng)網(wǎng)絡性能、系統(tǒng)性能信息竊取或拒絕服務防治措施從宿主程序中摘除為系統(tǒng)打補丁(Patch)防止木馬植入反病毒技術反病毒技術根據(jù)防護對象分為：單機反病毒網(wǎng)絡反病毒進程名稱進程描述進程所屬公司可識別桌面任意程序網(wǎng)絡反病毒應用場景IntranetInternet

病毒文件正常文件網(wǎng)關防病毒主要實現(xiàn)方式代理掃描方式將所有經(jīng)過網(wǎng)關的需要進行病毒檢測的數(shù)據(jù)報文透明的轉(zhuǎn)交給網(wǎng)關自身的協(xié)議棧，通過網(wǎng)關自身的協(xié)議棧將文件全部緩存下來后，再送入病毒檢測引擎進行病毒檢測。流掃描方式依賴于狀態(tài)檢測技術以及協(xié)議解析技術，簡單的提取文件的特征與本地簽名庫進行匹配。防火墻反病毒工作原理反病毒工作原理反病毒響應動作檢測到病毒后的響應動作。包括：告警阻斷宣告刪除附件查看防火墻反病毒結(jié)果郵件反病毒提示信息以下哪些動作可以配置為SMTP的反病毒動作？（）阻斷警告宣告刪除附件以下關于入侵防御說法不正確的是（）