1、第六章 網(wǎng)絡(luò)安全本章學(xué)習(xí)目的掌握防火墻主要功能、安全策略和部署掌握入侵檢測(cè)和入侵防御系統(tǒng)基本知識(shí)了解網(wǎng)絡(luò)掃描器、網(wǎng)絡(luò)隔離技術(shù)基本知識(shí)了解拒絕服務(wù)攻擊的檢測(cè)與防護(hù)基本知識(shí)了解VPN的基本原理與應(yīng)用整理ppt本章概覽網(wǎng)絡(luò)安全技術(shù)是一類包含內(nèi)容非常廣泛的技術(shù)。廣義上，任何檢測(cè)、防御和抵制網(wǎng)絡(luò)攻擊的技術(shù)都屬于網(wǎng)絡(luò)安全技術(shù)，而且很多網(wǎng)絡(luò)安全技術(shù)都是攻擊驅(qū)動(dòng)的。本章重點(diǎn)闡述了防火墻、入侵檢測(cè)、漏洞掃描與網(wǎng)絡(luò)隔離、拒絕服務(wù)攻擊檢測(cè)與防御、計(jì)算機(jī)病毒防治以及VPN技術(shù)的概念、原理、應(yīng)用部署等方面。整理ppt第一節(jié) 防火墻技術(shù)一、防火墻的概念防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）之間，實(shí)施訪問控制策略的一

2、個(gè)或一組系統(tǒng)，是訪問控制機(jī)制在網(wǎng)絡(luò)安全環(huán)境中的應(yīng)用。防火墻使得內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)互相隔離，通過限制網(wǎng)絡(luò)互訪來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻在網(wǎng)絡(luò)中所處的位置如下圖所示：防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）之間，實(shí)施訪問控制策略的一個(gè)或一組系統(tǒng)，是訪問控制機(jī)制在網(wǎng)絡(luò)安全環(huán)境中的應(yīng)用。防火墻使得內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)互相隔離，通過限制網(wǎng)絡(luò)互訪來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻在網(wǎng)絡(luò)中所處的位置如下圖所示：整理ppt防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)制定的安全策略（允許、拒絕及監(jiān)視等）控制出入網(wǎng)絡(luò)的數(shù)據(jù)流，且本身具有較強(qiáng)的抗攻擊能力。簡(jiǎn)單的防火墻功能可以在路由器上實(shí)現(xiàn)，復(fù)雜的功能可以由主機(jī)甚至一

3、個(gè)子網(wǎng)來實(shí)現(xiàn)。防火墻的目的就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)通信的審計(jì)和控制。整理ppt二、防火墻的分類（一）按防火墻技術(shù)劃分防火墻發(fā)展至今，按照防火墻對(duì)數(shù)據(jù)包的處理方法，可分為包過濾防火墻、應(yīng)用代理網(wǎng)關(guān)防火墻、狀態(tài)檢測(cè)防火墻和自適應(yīng)代理網(wǎng)關(guān)防火墻。1.包過濾（PacketFilter）防火墻2.應(yīng)用代理網(wǎng)關(guān)（Application-ProxyGateway）防火墻3.狀態(tài)檢測(cè)（StatefulInspection）防火墻4.自適應(yīng)代理網(wǎng)關(guān)（AdaptiveProxyGateway）防火墻（二）按防火墻應(yīng)用部署位

4、置劃分如果按防火墻的應(yīng)用部署位置劃分，可以分為邊界防火墻、個(gè)人防火墻和分布式防火墻三大類。1.邊界防火墻2.個(gè)人防火墻3.分布式防火墻（三）按防火墻軟、硬件結(jié)構(gòu)劃分1.軟件防火墻2.硬件防火墻3.芯片級(jí)防火墻（四）按防火墻性能劃分如果按防火墻的性能劃分，可以分為十兆級(jí)防火墻、百兆級(jí)防火墻和千兆級(jí)防火墻三類。整理ppt三、防火墻的主要功能（一）主流防火墻功能介紹目前，防火墻除了提供傳統(tǒng)的包過濾、應(yīng)用代理等訪問控制功能外，或多或少地實(shí)現(xiàn)了一些增值功能，在防火墻上常見的一些增值功能包括：網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、虛擬專用網(wǎng)（VPN）、虛擬局域網(wǎng)（VLAN）、動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）、入侵檢測(cè)、病毒

5、檢測(cè)和內(nèi)容過濾等。而其中有些增值功能也已經(jīng)成為了防火墻事實(shí)上必備的功能，如NAT等。目前，市場(chǎng)上的主流防火墻一般提供以下功能：1.數(shù)據(jù)包狀態(tài)檢測(cè)過濾；2.應(yīng)用代理；3.數(shù)據(jù)包內(nèi)容過濾；4.強(qiáng)身份認(rèn)證；5.日志分析和流量統(tǒng)計(jì)分析；6.VPN；7.NAT；8.VLAN；9.多種接入模式；10.雙機(jī)熱備和接口冗余；11.支持核心網(wǎng)絡(luò)中生成樹（STP）的計(jì)算；12.廣泛的協(xié)議支持整理ppt（二）防火墻的局限性1.防火墻不能防御繞過了它的攻擊2.防火墻不能消除來自內(nèi)部的威脅3.防火墻不能阻止病毒感染過的程序和文件進(jìn)出網(wǎng)絡(luò)4.防火墻的管理及配置相當(dāng)復(fù)雜5.防火墻只是整體安全防范策略的一部分（三）防火墻的發(fā)

6、展趨勢(shì)總的來說，傳統(tǒng)的防火墻已經(jīng)無法滿足人們?nèi)找嬖鲩L的安全需求，其功能不足以應(yīng)付眾多不斷出現(xiàn)的新的安全威脅。防火墻的發(fā)展趨勢(shì)體現(xiàn)在以下幾個(gè)方面：第一，在功能方面，防火墻的發(fā)展趨勢(shì)是融合越來越多的安全技術(shù)。第二，防火墻的另一個(gè)發(fā)展趨勢(shì)是與多個(gè)安全產(chǎn)品實(shí)現(xiàn)集成化管理和聯(lián)動(dòng)。第三，在防火墻體系結(jié)構(gòu)方面，對(duì)分布式防火墻將會(huì)有一定的需求。第四，在防火墻的硬件化方面，防火墻逐步由通用x86平臺(tái)防火墻向基于網(wǎng)絡(luò)處理器的防火墻和ASIC芯片防火墻方向發(fā)展。第五，在其他功能方面，防火墻在模塊化、智能化、高性能、多端口等方面的趨勢(shì)也十分明顯。整理ppt四、防火墻安全策略（一）防火墻策略防火墻策略不但指出防火墻處理

7、諸如Web、Email或Telnet等應(yīng)用程序通訊的方式，還描述了防火墻的管理和更新方式。在創(chuàng)建防火墻策略以前，必須對(duì)那些必不可少的應(yīng)用軟件執(zhí)行風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)分析的結(jié)果包含一個(gè)應(yīng)用程序列表和這些應(yīng)用程序的安全保護(hù)方式。企業(yè)的信息技術(shù)基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)分析應(yīng)該建立在對(duì)下面元素的估價(jià)之上：即威脅、脆弱性、減輕脆弱性的對(duì)策和敏感數(shù)據(jù)被泄漏所產(chǎn)生的影響。風(fēng)險(xiǎn)分析的目標(biāo)是：在建立防火墻安全策略之前理解和評(píng)估這些元素。風(fēng)險(xiǎn)分析的結(jié)果將決定防火墻系統(tǒng)處理網(wǎng)絡(luò)應(yīng)用程序通信的方式。創(chuàng)建一個(gè)防火墻策略的步驟如下：第一步：識(shí)別確實(shí)必要的網(wǎng)絡(luò)應(yīng)用程序；第二步：識(shí)別與應(yīng)用程序相關(guān)的脆弱性；第三步：對(duì)應(yīng)用程序的保護(hù)方式進(jìn)行成

8、本效益分析；第四步：創(chuàng)建表示保護(hù)方式的應(yīng)用程序通信矩陣，并在應(yīng)用程序通信矩陣的基礎(chǔ)上建立防火墻規(guī)則集。整理ppt（二）執(zhí)行防火墻規(guī)則集大多數(shù)防火墻平臺(tái)都使用規(guī)則集作為它們執(zhí)行安全控制的機(jī)制。規(guī)則集的內(nèi)容決定了防火墻的真正功能。防火墻規(guī)則集根據(jù)防火墻平臺(tái)體系結(jié)構(gòu)的不同，包含不同的信息。然而幾乎所有的規(guī)則集至少包含下面的域：數(shù)據(jù)包的源地址和目的地址、協(xié)議類型、數(shù)據(jù)包的源端口和目的端口、數(shù)據(jù)包通過的網(wǎng)絡(luò)接口和對(duì)數(shù)據(jù)包的處理動(dòng)作（拒絕、允許或者丟棄等，丟棄與拒絕的不同是前者不給數(shù)據(jù)包的發(fā)送者發(fā)送響應(yīng)）。一般而言，防火墻應(yīng)該阻止下面所列的網(wǎng)絡(luò)數(shù)據(jù)包：（1）來自未授權(quán)的源地址且目的地址為防火墻地址的所有入

9、站數(shù)據(jù)包。（2）源地址是內(nèi)部網(wǎng)絡(luò)地址的所有入站數(shù)據(jù)包，這些數(shù)據(jù)包很可能是某種類型的欺騙嘗試。（3）源地址不在本地局部網(wǎng)絡(luò)地址范圍內(nèi)的所有出站數(shù)據(jù)包。（4）包含ICMP（ICMP是（Internet Control Message Protocol）Internet控制報(bào)文協(xié)議）請(qǐng)求的所有入站數(shù)據(jù)包。（5）源地址在私有地址或不合法地址范圍內(nèi)的所有入站數(shù)據(jù)包。（6）來自未授權(quán)的源地址，包含SNMP的所有入站數(shù)據(jù)包。（7）包含源路由的所有入站和出站數(shù)據(jù)包。I（8）包含直接廣播地址的所有入站和出站數(shù)據(jù)包。（9）所有入站和出站數(shù)據(jù)包片段。 （三）iptables中規(guī)則設(shè)置舉例iptables是Linux

10、下的防火墻配置工具，目前市場(chǎng)上很多國產(chǎn)防火墻也都是基于這個(gè)工具開發(fā)而來的。有興趣的同學(xué)下去自行了解具體命令的使用。整理ppt（四）測(cè)試防火墻策略防火墻策略時(shí)刻都被執(zhí)行，但這些策略通常很少被檢查和驗(yàn)證。對(duì)幾乎所有的企業(yè)和機(jī)構(gòu)來說，防火墻策略應(yīng)該至少每季度被審計(jì)和驗(yàn)證一次。很多情況下，可以使用下面兩種方法對(duì)防火墻策略進(jìn)行驗(yàn)證：第一種方法也是最簡(jiǎn)單的方法，獲得防火墻配置的拷貝，然后把這些拷貝和根據(jù)已定義的策略產(chǎn)生的期望配置進(jìn)行比較。企業(yè)應(yīng)該至少使用這種方法對(duì)防火墻策略進(jìn)行審查。第二種方法是對(duì)防火墻配置進(jìn)行實(shí)際測(cè)試。通過使用測(cè)試工具去嘗試執(zhí)行那些應(yīng)該被禁止的操作來對(duì)防火墻設(shè)備進(jìn)行評(píng)估。測(cè)試既可以使用公

11、域軟件完成，也可以使用商業(yè)軟件完成。測(cè)試防火墻策略的目的是確保防火墻（和其他安全設(shè)施）完全根據(jù)已制定的策略進(jìn)行配置。對(duì)防火墻系統(tǒng)本身使用安全評(píng)估工具進(jìn)行測(cè)試也是同樣重要的。這些安全評(píng)估工具被用來檢查防火墻底層操作系統(tǒng)以及防火墻軟件。和前述一樣，這些安全評(píng)估工具可以是公域軟件或商業(yè)軟件。 。整理ppt（五）防火墻維護(hù)和管理商業(yè)防火墻通常采用下面兩種方式進(jìn)行配置和日常維護(hù)：第一種方式是通過命令行界面配置。第二種方式是通過圖形界面配置，這種方式也是最常見的。任何一種配置方式都必須保證所有對(duì)防火墻進(jìn)行管理的網(wǎng)絡(luò)通信是安全的。（六）周期性審查安全策略信息同任何形式的策略一樣，信息安全策略必須定期審查，以

12、確保準(zhǔn)確性和及時(shí)性。防火墻系統(tǒng)以及其他資源必須定期地被規(guī)范審計(jì)。除了傳統(tǒng)的審計(jì)外，由企業(yè)雇用另外的措施確保防火墻整體環(huán)境的安全同樣重要。種子滲透是由組織或團(tuán)隊(duì)進(jìn)行評(píng)估，并在實(shí)施評(píng)估之前擁有詳細(xì)的網(wǎng)絡(luò)和系統(tǒng)信息的一種滲透分析方式。盲目滲透是在開始評(píng)估之前擁有很少網(wǎng)絡(luò)和系統(tǒng)信息的一種滲透分析方式。整理ppt五、防火墻環(huán)境的部署防火墻環(huán)境，是指在網(wǎng)絡(luò)中支持防火墻功能的系統(tǒng)和組件的集合。簡(jiǎn)單的防火墻環(huán)境可能只包含一個(gè)包過濾路由器，復(fù)雜和安全的防火墻環(huán)境可能包含幾個(gè)防火墻、代理和專門的拓?fù)浣Y(jié)構(gòu)。（一）防火墻環(huán)境構(gòu)建準(zhǔn)則：1.保持簡(jiǎn)單；2.設(shè)備專用；3.深度防御；4.注意內(nèi)部威脅（二）防火墻選購要點(diǎn)防火墻

13、作為網(wǎng)絡(luò)安全體系的基礎(chǔ)設(shè)施，其作用是通過從邏輯上切斷受控網(wǎng)絡(luò)的通信主干線，對(duì)通過受控干線的網(wǎng)絡(luò)通信進(jìn)行安全處理。目前，市場(chǎng)上防火墻種類繁多，用戶在選購防火墻時(shí)應(yīng)注意考慮以下因素：1.安全性2.高效性防火墻的性能可以從以下幾個(gè)方面進(jìn)行評(píng)價(jià)：（1）并發(fā)會(huì)話連接數(shù)。（2）吞吐量。（3）延遲。（4）平均無故障時(shí)間。3.功能靈活性4.配置方便性5.管理方便性6.抗DoS和DDoS攻擊7.可靠性8.可擴(kuò)展和可升級(jí)性整理ppt（三）防火墻環(huán)境下的服務(wù)器部署DMZ是英文DemilitarizedZone的縮寫，中文名稱為?；饏^(qū)，也稱非軍事化區(qū)。DMZ是一個(gè)位于可信的內(nèi)部網(wǎng)絡(luò)和不可信的外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）之間的

14、計(jì)算機(jī)或者小的子網(wǎng)。DMZ作為需要被內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)訪問，但又不能放置在內(nèi)部受保護(hù)網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)或資源的附屬點(diǎn)。在一個(gè)有多個(gè)防火墻存在的環(huán)境中，每個(gè)連接兩個(gè)防火墻的計(jì)算機(jī)或網(wǎng)絡(luò)都是DMZ。內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和DMZ的關(guān)系如下：（1）內(nèi)部網(wǎng)絡(luò)可以無限制地訪問外部網(wǎng)絡(luò)以及DMZ；（2）外部網(wǎng)絡(luò)可以訪問DMZ的服務(wù)器的公開端口，如Web服務(wù)器的80端口；（3）外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)以及防火墻；（4）DMZ不可以訪問內(nèi)部網(wǎng)絡(luò)，因?yàn)槿绻`背此策略，那么當(dāng)入侵者攻陷DMZ時(shí)，就可以進(jìn)一步攻陷內(nèi)部網(wǎng)絡(luò)的重要設(shè)備對(duì)防火墻環(huán)境下各種應(yīng)用服務(wù)器的放置必須要遵守以下原則：（1）通過邊界路由過濾設(shè)備保護(hù)外部網(wǎng)絡(luò)

15、可訪問的服務(wù)器，或者將它們放置在外部DMZ中；（2）絕不可將外部網(wǎng)絡(luò)可訪問的服務(wù)器放置在內(nèi)部保護(hù)網(wǎng)絡(luò)中；（3）根據(jù)內(nèi)部服務(wù)器的敏感程度和訪問方式，將它們放置在內(nèi)部防火墻之后；（4）盡量隔離各種服務(wù)器，防止一個(gè)服務(wù)器被攻破后危及到其他服務(wù)器的安全。整理ppt第二節(jié) 入侵檢測(cè)與入侵防御技術(shù)一、入侵檢測(cè)與入侵防御概述（一）入侵檢測(cè)技術(shù)與入侵檢測(cè)系統(tǒng)1.入侵檢測(cè)技術(shù)的定義入侵檢測(cè)（Intrusion Detection）技術(shù)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的機(jī)密性、完整性或可用性等行為的一種網(wǎng)絡(luò)安全技術(shù)。入侵檢測(cè)技術(shù)通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用異常檢測(cè)或誤用檢測(cè)的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)

16、及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。2.入侵檢測(cè)系統(tǒng)的定義入侵檢測(cè)系統(tǒng)（Intrusion Detection System，簡(jiǎn)稱IDS）是由硬件和軟件組成，用來檢測(cè)系統(tǒng)或網(wǎng)絡(luò)以發(fā)現(xiàn)可能的入侵或攻擊的系統(tǒng)。入侵檢測(cè)系統(tǒng)通過實(shí)時(shí)的檢測(cè)，檢查特定的攻擊模式、系統(tǒng)配置、系統(tǒng)漏洞、存在缺陷的程序版本以及系統(tǒng)或用戶的行為模式，監(jiān)視與安全有關(guān)的活動(dòng)。3.入侵檢測(cè)系統(tǒng)的發(fā)展歷程從實(shí)驗(yàn)室原型研究到推出商業(yè)化產(chǎn)品走向市場(chǎng)并獲得廣泛認(rèn)同，入侵檢測(cè)系統(tǒng)已經(jīng)經(jīng)歷了二十多年的風(fēng)雨歷程。4.入侵檢測(cè)系統(tǒng)的主要作用（1）入侵檢測(cè)系統(tǒng)能使系統(tǒng)對(duì)入侵事件和過程做出實(shí)時(shí)響應(yīng)。（2）入侵檢測(cè)系統(tǒng)是防火墻的合理補(bǔ)充。（3）入侵

17、檢測(cè)是系統(tǒng)動(dòng)態(tài)安全的核心技術(shù)之一。整理ppt（二）入侵防御系統(tǒng)1.入侵防御系統(tǒng)的產(chǎn)生入侵防御系統(tǒng)是一種智能化的網(wǎng)絡(luò)安全產(chǎn)品，它不但能檢測(cè)入侵行為的發(fā)生，而且能通過一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為的發(fā)生和發(fā)展，實(shí)時(shí)地保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性的攻擊。入侵防御系統(tǒng)使得入侵檢測(cè)系統(tǒng)和防火墻走向了統(tǒng)一。2.入侵防御系統(tǒng)的作用入侵防御系統(tǒng)提供一種主動(dòng)的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)旨在對(duì)常規(guī)網(wǎng)絡(luò)通信中的惡意數(shù)據(jù)包進(jìn)行檢測(cè)，阻止入侵活動(dòng)，預(yù)先對(duì)攻擊性的數(shù)據(jù)包進(jìn)行自動(dòng)攔截，使它們無法造成損失，而不是簡(jiǎn)單地在檢測(cè)到網(wǎng)絡(luò)入侵的同時(shí)或之后進(jìn)行報(bào)警。入侵防御系統(tǒng)是通過直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實(shí)現(xiàn)這一功能的，即入侵防御系統(tǒng)接收到數(shù)

18、據(jù)流量時(shí)，如果檢測(cè)到攻擊企圖，就會(huì)自動(dòng)地將攻擊包丟棄或采取措施將攻擊源阻斷。入侵防御系統(tǒng)的設(shè)計(jì)側(cè)重于網(wǎng)絡(luò)訪問控制，注重主動(dòng)防御，而不僅僅是檢測(cè)和日志記錄，解決了入侵檢測(cè)系統(tǒng)的不足，為企業(yè)提供了一個(gè)全新的入侵防御解決方案。整理ppt二、入侵檢測(cè)系統(tǒng)介紹（一）入侵檢測(cè)系統(tǒng)模型1.Denning入侵檢測(cè)系統(tǒng)模型DorothyDenning于1986年提出了一個(gè)通用的入侵檢測(cè)系統(tǒng)模型，該模型由以下六個(gè)部分組成：（1）主體（Subjects）（2）客體（Objects）（3）審計(jì)記錄（Auditrecords）（4）活動(dòng)概要（Activityprofile）：（5）異常記錄（Anomalyrecord）

19、（6）規(guī)則集（Activityrules）處理引擎Denning入侵檢測(cè)系統(tǒng)模型側(cè)重于分析檢測(cè)特定主機(jī)上的活動(dòng)，后來開發(fā)的許多入侵檢測(cè)系統(tǒng)都基于或參考這個(gè)模型。Denning入侵檢測(cè)系統(tǒng)模型的最大缺點(diǎn)是它沒有包含系統(tǒng)漏洞或攻擊方法的知識(shí)，而這些知識(shí)在許多情況下是非常有用的信息。整理ppt 2.CIDF入侵檢測(cè)系統(tǒng)模型CIDF的目的是使各個(gè)入侵檢測(cè)研究項(xiàng)目可以共享信息和資源，使得各組件可以共享使用，并定義一系列協(xié)議和應(yīng)用程序接口。CIDF將入侵檢測(cè)系統(tǒng)分為四個(gè)組件：事件產(chǎn)生器（Event Generator）、事件分析器（Event Analyzer）、響應(yīng)單元（Response Unit）和事

20、件數(shù)據(jù)庫（Event Database）。整理ppt（二）入侵檢測(cè)系統(tǒng)的分類1.按信息源分類根據(jù)收集的待分析信息的來源，入侵檢測(cè)系統(tǒng)可以分成以下三類：（1）基于主機(jī)的入侵檢測(cè)系統(tǒng)。（2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。（3）基于應(yīng)用的入侵檢測(cè)系統(tǒng)。2.按分析技術(shù)分類（1）異常入侵檢測(cè)技術(shù)。（2）誤用入侵檢測(cè)技術(shù)。整理ppt（三）入侵檢測(cè)系統(tǒng)的響應(yīng)入侵檢測(cè)系統(tǒng)的響應(yīng)可以分為主動(dòng)響應(yīng)（ActiveResponse）和被動(dòng)響應(yīng)（PassiveResponse）。在主動(dòng)響應(yīng)中，系統(tǒng)自動(dòng)地或以用戶設(shè)置的方式阻斷攻擊過程或以其他方式影響攻擊過程；而在被動(dòng)響應(yīng)中，系統(tǒng)只報(bào)告和記錄發(fā)生的事件。主動(dòng)響應(yīng)和被動(dòng)響應(yīng)并不是

21、相互對(duì)立的。1.主動(dòng)響應(yīng)主動(dòng)響應(yīng)，是指基于一個(gè)檢測(cè)到的入侵所采取的措施。對(duì)于主動(dòng)響應(yīng)來說，可以選擇的措施包括針對(duì)入侵者采取措施、修正系統(tǒng)和收集更詳細(xì)的信息。（1）針對(duì)入侵者采取措施。針對(duì)入侵者采取措施是主動(dòng)響應(yīng)的第一種措施。（2）修正系統(tǒng)。修正系統(tǒng)是主動(dòng)響應(yīng)的第二種措施。（3）收集更詳細(xì)的信息。收集更詳細(xì)的信息是主動(dòng)響應(yīng)的第三種措施。2.被動(dòng)響應(yīng)被動(dòng)響應(yīng)，是指為用戶提供信息，由用戶決定接下來應(yīng)該采取什么措施的一類響應(yīng)方法。（1）警報(bào)和通知。（2）SNMP陷阱和插件。整理ppt（四）入侵檢測(cè)系統(tǒng)的選擇在選購入侵檢測(cè)系統(tǒng)之前，用戶首先需要熟悉自己網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)（特別是將要與入侵檢測(cè)系統(tǒng)交互的部分）

22、，然后對(duì)各種現(xiàn)有的入侵檢測(cè)系統(tǒng)進(jìn)行調(diào)查評(píng)估，選擇一款滿足自己需求的入侵檢測(cè)系統(tǒng)產(chǎn)品。通?？梢詮囊韵聨讉€(gè)方面對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行評(píng)估，具體包括：1.系統(tǒng)本身的安全性2.系統(tǒng)的性能入侵檢測(cè)系統(tǒng)的性能可以從以下幾個(gè)方面進(jìn)行評(píng)價(jià)：（1）吞吐量。（2）平均無故障時(shí)間。3.系統(tǒng)的可升級(jí)性4.系統(tǒng)對(duì)抗入侵逃避（Evasion）的能力5.系統(tǒng)的可擴(kuò)展性6.運(yùn)行與維護(hù)系統(tǒng)的開銷7.系統(tǒng)的準(zhǔn)確性8.系統(tǒng)的易用性系統(tǒng)的易用性主要體現(xiàn)在以下五個(gè)方面：（1）界面的易用性。（2）幫助的易用性。（3）策略編輯的易用性。（4）日志報(bào)告的易用性。（5）報(bào)警事件優(yōu)化技術(shù)。整理ppt（五）入侵檢測(cè)系統(tǒng)的部署入侵檢測(cè)系統(tǒng)是對(duì)每個(gè)大型企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的必要補(bǔ)充。由于企業(yè)入侵檢測(cè)系統(tǒng)產(chǎn)品的相對(duì)缺乏和系統(tǒng)管理員安全水平的限制，部署入侵檢測(cè)系統(tǒng)需要謹(jǐn)慎地規(guī)劃、準(zhǔn)備、設(shè)計(jì)原型、測(cè)試和對(duì)管理員進(jìn)行專門的訓(xùn)練。1.入侵檢測(cè)系