安全技術(shù)-防火墻與入侵檢測(cè)2024/4/3安全技術(shù)防火墻與入侵檢測(cè)安全技術(shù)-防火墻與入侵檢測(cè)2024/4/2安全技術(shù)防火墻與入1第一節(jié)防火墻－主流安全防護(hù)技術(shù)安全技術(shù)防火墻與入侵檢測(cè)第一節(jié)防火墻－主流安全防護(hù)技術(shù)安全技術(shù)防火墻與入侵檢測(cè)2本節(jié)主要內(nèi)容一、防火墻概述二、防火墻技術(shù)分析三、防火墻布置安全技術(shù)防火墻與入侵檢測(cè)本節(jié)主要內(nèi)容一、防火墻概述安全技術(shù)防火墻與入侵檢測(cè)3什么是防火墻在網(wǎng)絡(luò)安全領(lǐng)域中，防火墻用來(lái)指應(yīng)用于內(nèi)部網(wǎng)絡(luò)（局域網(wǎng)）和外部網(wǎng)絡(luò)（Internet）之間的，用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法訪問(wèn)和破壞的網(wǎng)絡(luò)安全系統(tǒng)。

安全技術(shù)防火墻與入侵檢測(cè)什么是防火墻在網(wǎng)絡(luò)安全領(lǐng)域中，防火墻用來(lái)指應(yīng)用于內(nèi)部網(wǎng)絡(luò)（局4防火墻主要功能防止不安全的協(xié)議和服務(wù)；防止外部對(duì)內(nèi)部網(wǎng)絡(luò)信息的獲取；提供與外部連接的集中管理；

安全技術(shù)防火墻與入侵檢測(cè)防火墻主要功能防止不安全的協(xié)議和服務(wù)；安全技術(shù)防火墻與入侵檢5防火墻不能防范的攻擊來(lái)自內(nèi)部的安全威脅各種操作系統(tǒng)和應(yīng)用服務(wù)程序的漏洞特洛伊木馬社會(huì)工程不當(dāng)配置安全技術(shù)防火墻與入侵檢測(cè)防火墻不能防范的攻擊來(lái)自內(nèi)部的安全威脅安全技術(shù)防火墻與入侵檢6本節(jié)主要內(nèi)容一、防火墻概述二、防火墻技術(shù)分析三、防火墻布置安全技術(shù)防火墻與入侵檢測(cè)本節(jié)主要內(nèi)容一、防火墻概述安全技術(shù)防火墻與入侵檢測(cè)7常用防火墻技術(shù)包過(guò)濾應(yīng)用代理安全技術(shù)防火墻與入侵檢測(cè)常用防火墻技術(shù)包過(guò)濾安全技術(shù)防火墻與入侵檢測(cè)8包過(guò)濾普通路由器當(dāng)數(shù)據(jù)包到達(dá)時(shí)，查看路由表，來(lái)決定能否以及如何傳送數(shù)據(jù)包

屏蔽路由器即在決定能否及如何傳送數(shù)據(jù)包之外，查看其規(guī)則集，看是否應(yīng)該傳送該數(shù)據(jù)包

安全技術(shù)防火墻與入侵檢測(cè)包過(guò)濾普通路由器安全技術(shù)防火墻與入侵檢測(cè)9規(guī)則制定的策略允許任何訪問(wèn)，除非規(guī)則特別地禁止

拒絕任何訪問(wèn)，除非被規(guī)則特別允許

安全技術(shù)防火墻與入侵檢測(cè)規(guī)則制定的策略允許任何訪問(wèn)，除非規(guī)則特別地禁止安全技術(shù)防火10包過(guò)濾所檢查的內(nèi)容接口和方向

源和目的的IP地址

IP選項(xiàng)

IP的上層協(xié)議類型（TCP/UDP/ICMP）

TCP和UDP的源及目的端口

ICMP的報(bào)文類型和代碼

安全技術(shù)防火墻與入侵檢測(cè)包過(guò)濾所檢查的內(nèi)容接口和方向安全技術(shù)防火墻與入侵檢測(cè)11規(guī)則舉例上述規(guī)則定義了局域網(wǎng)用戶可以使用外部網(wǎng)絡(luò)的發(fā)信（SMTP）服務(wù)器方向源IP目標(biāo)IPIP選項(xiàng)上層協(xié)議源端口目標(biāo)端口－>內(nèi)部外部無(wú)TCP>102425<－外部?jī)?nèi)部無(wú)TCP25>1024安全技術(shù)防火墻與入侵檢測(cè)規(guī)則舉例上述規(guī)則定義了局域網(wǎng)用戶可以使用外部網(wǎng)絡(luò)的發(fā)信（SM12包過(guò)濾的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：速度快價(jià)格低用戶透明

缺點(diǎn)：難于配置能力有限

規(guī)則失效時(shí)成為無(wú)安全保護(hù)狀態(tài)安全技術(shù)防火墻與入侵檢測(cè)包過(guò)濾的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：安全技術(shù)防火墻與入侵檢測(cè)13應(yīng)用代理WEB代理工作原理示意頁(yè)面緩沖文件HTTP請(qǐng)求WEB頁(yè)面HTTP請(qǐng)求WEB頁(yè)面安全技術(shù)防火墻與入侵檢測(cè)應(yīng)用代理WEB代理工作原理示意頁(yè)面緩沖文件HTTP請(qǐng)求WEB14應(yīng)用代理防火墻可以防止攻擊者對(duì)內(nèi)部網(wǎng)絡(luò)信息的探測(cè)實(shí)現(xiàn)基于內(nèi)容的過(guò)濾安全技術(shù)防火墻與入侵檢測(cè)應(yīng)用代理防火墻可以防止攻擊者對(duì)內(nèi)部網(wǎng)絡(luò)信息的探測(cè)安全技術(shù)防火15應(yīng)用代理的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：可以隱藏內(nèi)部網(wǎng)絡(luò)的信息；可以具有強(qiáng)大的日志審核；可以實(shí)現(xiàn)內(nèi)容的過(guò)濾；缺點(diǎn)：價(jià)格高速度慢

失效時(shí)造成網(wǎng)絡(luò)的癱瘓安全技術(shù)防火墻與入侵檢測(cè)應(yīng)用代理的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：安全技術(shù)防火墻與入侵檢測(cè)16本節(jié)主要內(nèi)容一、防火墻概述二、防火墻技術(shù)分析三、防火墻布置安全技術(shù)防火墻與入侵檢測(cè)本節(jié)主要內(nèi)容一、防火墻概述安全技術(shù)防火墻與入侵檢測(cè)17包過(guò)濾路由內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過(guò)濾路由器安全技術(shù)防火墻與入侵檢測(cè)包過(guò)濾路由內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過(guò)濾路由器安全技術(shù)防火墻與入侵檢18應(yīng)用代理網(wǎng)關(guān)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)應(yīng)用代理網(wǎng)關(guān)（雙宿主主機(jī)）安全技術(shù)防火墻與入侵檢測(cè)應(yīng)用代理網(wǎng)關(guān)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)應(yīng)用代理網(wǎng)關(guān)安全技術(shù)防火墻與入侵19屏蔽主機(jī)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)保護(hù)應(yīng)用代理安全技術(shù)防火墻與入侵檢測(cè)屏蔽主機(jī)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)保護(hù)應(yīng)用代理安全技術(shù)防火墻與入侵檢測(cè)20屏蔽子網(wǎng)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)保護(hù)內(nèi)部網(wǎng)絡(luò)安全技術(shù)防火墻與入侵檢測(cè)屏蔽子網(wǎng)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)保護(hù)內(nèi)部網(wǎng)絡(luò)安全技術(shù)防火墻與入侵檢測(cè)21常見防火墻產(chǎn)品比較知名的防火墻產(chǎn)品包括：CheckPoint公司的“FireWall-1”NetScreen公司的“Netscreen系列”天融信的“網(wǎng)絡(luò)衛(wèi)士”安全技術(shù)防火墻與入侵檢測(cè)常見防火墻產(chǎn)品比較知名的防火墻產(chǎn)品包括：安全技術(shù)防火墻與入侵22第二節(jié)入侵檢測(cè)－主流安全檢測(cè)技術(shù)安全技術(shù)防火墻與入侵檢測(cè)第二節(jié)入侵檢測(cè)－主流安全檢測(cè)技術(shù)安全技術(shù)防火墻與入侵檢測(cè)23本節(jié)主要內(nèi)容一、入侵檢測(cè)概述二、入侵檢測(cè)基本模型三、入侵檢測(cè)結(jié)構(gòu)安全技術(shù)防火墻與入侵檢測(cè)本節(jié)主要內(nèi)容一、入侵檢測(cè)概述安全技術(shù)防火墻與入侵檢測(cè)24什么是入侵檢測(cè)入侵檢測(cè)（IDS）指可以發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為并響應(yīng)的安全系統(tǒng)。安全技術(shù)防火墻與入侵檢測(cè)什么是入侵檢測(cè)入侵檢測(cè)（IDS）指可以發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為并響應(yīng)25入侵檢測(cè)的作用檢測(cè)防護(hù)部分阻止不了的入侵

檢測(cè)入侵的前兆

入侵事件的歸檔

網(wǎng)絡(luò)受威脅程度的評(píng)估

幫助從入侵事件中恢復(fù)

安全技術(shù)防火墻與入侵檢測(cè)入侵檢測(cè)的作用檢測(cè)防護(hù)部分阻止不了的入侵安全技術(shù)防火墻與入26本節(jié)主要內(nèi)容一、入侵檢測(cè)概述二、入侵檢測(cè)基本模型三、入侵檢測(cè)結(jié)構(gòu)安全技術(shù)防火墻與入侵檢測(cè)本節(jié)主要內(nèi)容一、入侵檢測(cè)概述安全技術(shù)防火墻與入侵檢測(cè)27入侵檢測(cè)原理入侵檢測(cè)和其它的檢測(cè)技術(shù)一樣，其核心任務(wù)都是從一組數(shù)據(jù)中檢測(cè)出符合某一特點(diǎn)的數(shù)據(jù)。

安全技術(shù)防火墻與入侵檢測(cè)入侵檢測(cè)原理入侵檢測(cè)和其它的檢測(cè)技術(shù)一樣，其核心任務(wù)都是從一28入侵檢測(cè)通用模型事件收集器事件分析器響應(yīng)單元事件數(shù)據(jù)庫(kù)安全技術(shù)防火墻與入侵檢測(cè)入侵檢測(cè)通用模型事件收集器安全技術(shù)防火墻與入侵檢測(cè)29事件收集基于主機(jī)操作系統(tǒng)的審核日志以及應(yīng)用程序日志基于網(wǎng)絡(luò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)安全技術(shù)防火墻與入侵檢測(cè)事件收集基于主機(jī)安全技術(shù)防火墻與入侵檢測(cè)30事件分析模式匹配（誤用檢測(cè)）將收集的事件和數(shù)據(jù)與已知網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，檢測(cè)入侵準(zhǔn)確率高，容易漏報(bào)統(tǒng)計(jì)分析（異常檢測(cè)）統(tǒng)計(jì)正常狀態(tài)網(wǎng)絡(luò)和主機(jī)的各類數(shù)據(jù)，安全技術(shù)防火墻與入侵檢測(cè)事件分析模式匹配（誤用檢測(cè)）安全技術(shù)防火墻與入侵檢測(cè)31響應(yīng)單元主動(dòng)響應(yīng)進(jìn)一步收集入侵相關(guān)信息阻止入侵反擊被動(dòng)響應(yīng)報(bào)警安全技術(shù)防火墻與入侵檢測(cè)響應(yīng)單元主動(dòng)響應(yīng)安全技術(shù)防火墻與入侵檢測(cè)32事件數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)保存事件信息，包括正常和入侵事件。安全技術(shù)防火墻與入侵檢測(cè)事件數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)保存事件信息，包括正常和入侵事件。安全技術(shù)防33本節(jié)主要內(nèi)容一、入侵檢測(cè)概述二、入侵檢測(cè)基本模型三、入侵檢測(cè)結(jié)構(gòu)安全技術(shù)防火墻與入侵檢測(cè)本節(jié)主要內(nèi)容一、入侵檢測(cè)概述安全技術(shù)防火墻與入侵檢測(cè)34體系結(jié)構(gòu)單型IDS主從型IDS對(duì)等型IDS安全技術(shù)防火墻與入侵檢測(cè)體系結(jié)構(gòu)單型IDS安全技術(shù)防火墻與入侵檢測(cè)35單型IDS事件收集事件分析單型IDS設(shè)計(jì)簡(jiǎn)單，適合小型環(huán)境，但存在局部性檢測(cè)的問(wèn)題安全技術(shù)防火墻與入侵檢測(cè)單型IDS事件收集單型IDS設(shè)計(jì)簡(jiǎn)單，適合小型環(huán)境，但存在局36主從型IDS事件收集信息中心事件分析主從型IDS克服了局部檢測(cè)問(wèn)題，但網(wǎng)絡(luò)性能影響比較大安全技術(shù)防火墻與入侵檢測(cè)主從型IDS事件收集信息中心主從型IDS克服了局部檢測(cè)問(wèn)題，37對(duì)等型IDS代理：事件