收藏
下载资源

cisp0205网络安全设备

上传人:ji****en 文档编号:107885702 上传时间:2019-10-21 格式:PDF 页数:95 大小:1.55MB
返回 下载 相关 举报
cisp0205网络安全设备_第1页
第1页 / 共95页
cisp0205网络安全设备_第2页
第2页 / 共95页
cisp0205网络安全设备_第3页
第3页 / 共95页
cisp0205网络安全设备_第4页
第4页 / 共95页
cisp0205网络安全设备_第5页
第5页 / 共95页
点击查看更多>>
资源描述

《cisp0205网络安全设备》由会员分享,可在线阅读,更多相关《cisp0205网络安全设备(95页珍藏版)》请在金锄头文库上搜索。

1、网络安全设备网络安全设备 培训机构名称 讲师名字 课程内容课程内容 2 知识子域:防火墙技术知识子域:防火墙技术 3 理解防火墙的作用 理解包过滤技术、状态检测技术和应用代理技术 的原理和优缺点 掌握防火墙选择和使用中的基本注意事项 防火墙技术防火墙技术 什么是防火墙? 为什么需要防火墙? 防火墙的功能 防火墙的典型部署 防火墙的分类 防火墙的工作模式 防火墙的相关技术 防火墙的弱点和局限性 选择防火墙需考虑的要素 防火墙使用中的注意事项 4 防火墙技术-什么是防火墙?防火墙技术-什么是防火墙? 在网络间(内部/外部网 络、不同信息级别)提供 安全连接的设备; 在网络间(内部/外部网 络、不同

2、信息级别)提供 安全连接的设备; 用于实现和执行网络之间 通信的安全策略 用于实现和执行网络之间 通信的安全策略 Internet 公司网站公司网站 防火墙防火墙 5 防火墙技术为什么需要防火墙?防火墙技术为什么需要防火墙? 阻止来自不可信网络的攻击阻止来自不可信网络的攻击 保护关键数据的完整性保护关键数据的完整性 维护客户对企业或机构的信任维护客户对企业或机构的信任 6 防火墙技术-防火墙的功能防火墙技术-防火墙的功能 控制进出网络的信息流向和数据包,过滤不安全 的服务; 控制进出网络的信息流向和数据包,过滤不安全 的服务; 隐藏内部IP地址及网络结构的细节;隐藏内部IP地址及网络结构的细节

3、; 提供使用和流量的日志和审计功能;提供使用和流量的日志和审计功能; 部署NAT(Network Address Translation,网络 地址转换); 部署NAT(Network Address Translation,网络 地址转换); 逻辑隔离内部网段,对外提供WEB和FTP;逻辑隔离内部网段,对外提供WEB和FTP; 实现集中的安全管理;实现集中的安全管理; 提供VPN功能。提供VPN功能。 7 这是最为普通的企业环境防火墙部署案例。利用防火墙将网 络分为三个安全区域,企业内部网络,外部网络和服务器专 网(DMZ区)。 这是最为普通的企业环境防火墙部署案例。利用防火墙将网 络分为三

4、个安全区域,企业内部网络,外部网络和服务器专 网(DMZ区)。 可信网络 不可信的网络采取预防措施阻止某些攻击; 是否能够实时检测到剩余的攻击?是否能够实时检测到剩余的攻击? 监控各种恶意行为:监控各种恶意行为: 网络流量;网络流量; 主机中的行为;主机中的行为; 实时分析大量的审计数据,来识别入侵或误用。实时分析大量的审计数据,来识别入侵或误用。 入侵检测技术针对入侵构建防御系统入侵检测技术针对入侵构建防御系统 35 对入侵做出响应对入侵做出响应 实时响应;实时响应; 识别入侵并做出响应;识别入侵并做出响应; 做出反应以减小入侵造成的响应,并尽快恢复服务。做出反应以减小入侵造成的响应,并尽快

5、恢复服务。 入侵检测技术-入侵检测系统的作用入侵检测技术-入侵检测系统的作用 36 克服某些传统的防御机制的限制;克服某些传统的防御机制的限制; 在“深度防御”的基础上成为安全框架的一部分;在“深度防御”的基础上成为安全框架的一部分; 在整个组织的网络中能够识别入侵或违反安全策略 的行为,并能够做出回应。 在整个组织的网络中能够识别入侵或违反安全策略 的行为,并能够做出回应。 入侵检测技术-入侵检测系统的功能入侵检测技术-入侵检测系统的功能 37 自动检测入侵行为;自动检测入侵行为; 监视网络流量(Network IDS)和主机(Host IDS)中的操作; 监视网络流量(Network ID

6、S)和主机(Host IDS)中的操作; 分析入侵行为:分析入侵行为: 基于特征基于特征 基本异常基本异常 按预定的规则做出响应:按预定的规则做出响应: 阻止指定的行为。阻止指定的行为。 入侵检测技术-入侵检测系统的典型部署入侵检测技术-入侵检测系统的典型部署 38 可信网络 不可信的网络&服务 防火墙 可信网络 不可信的网络&服务 防火墙 Internet Intranet 以旁路的方式接入到网络中,且部署在需要 的关键位置。 以旁路的方式接入到网络中,且部署在需要 的关键位置。 HIDS NIDS NIDS 入侵检测技术-入侵检测模型入侵检测技术-入侵检测模型 39 数据源数据源感应器感应

7、器 管理员管理员 管理器管理器 操作员操作员 分析器分析器 安全 策略 响应 安全 策略 响应 事件 告警 通知 行为 事件 告警 通知 行为 入侵检测技术-入侵检测模型入侵检测技术-入侵检测模型 40 入侵检测系统的通用模型(CIDF) Common Intrusion Detection Framework 入侵检测系统的通用模型(CIDF) Common Intrusion Detection Framework 事件生成器事件生成器 事件分析器事件分析器 事件响应器事件响应器 事件数据库事件数据库 入侵检测技术-入侵检测模型入侵检测技术-入侵检测模型 41 事件生成器事件生成器 事件数

8、据库事件数据库 事件响应器事件响应器事件分析器事件分析器 交互数据交互数据行动 交互数据 交互数据 行动 交互数据 交互数据 入侵检测技术-入侵检测系统的分类入侵检测技术-入侵检测系统的分类 42 按检测方法按检测方法 异常检测异常检测 特征检测特征检测 按检测范围按检测范围 基于主机基于主机 基于网络基于网络 基于网络节点基于网络节点 入侵检测技术异常检测入侵检测技术异常检测 43 设定“正常”的行为模式;设定“正常”的行为模式; 假设所有的入侵行为是异常的;假设所有的入侵行为是异常的; 基于系统和基于用户的异常;基于系统和基于用户的异常; 优点:优点: 可检测未知的攻击;可检测未知的攻击;

9、 自适应、自学习功能;自适应、自学习功能; 不需要先验知识。不需要先验知识。 关键问题:关键问题: “正常”行为特征的选择;“正常”行为特征的选择; 统计算法、统计点的选取等。统计算法、统计点的选取等。 入侵检测技术异常检测入侵检测技术异常检测 44 使用的检测方法使用的检测方法 基于规则基于规则 统计分析统计分析 神经网络神经网络 数据来源数据来源 审计日志或网络流量审计日志或网络流量 特殊用途的数据收集机制特殊用途的数据收集机制 键盘击键监控键盘击键监控 入侵检测技术特征检测入侵检测技术特征检测 45 建立入侵行为模型(攻击特征);建立入侵行为模型(攻击特征); 假设可以识别和表示所有可能

10、的特征;假设可以识别和表示所有可能的特征; 基于系统的和基于用户;基于系统的和基于用户; 优点:优点: 准确率高;准确率高; 算法简单。算法简单。 关键问题:关键问题: 有所有的攻击特征,建立完备的特征库;有所有的攻击特征,建立完备的特征库; 特征库要不断更新;特征库要不断更新; 无法检测新的入侵。无法检测新的入侵。 入侵检测技术特征检测入侵检测技术特征检测 46 使用的检测方法使用的检测方法 基于规则基于规则 模式匹配模式匹配 状态转换分析状态转换分析 神经网络神经网络 数据来源数据来源 审计日志或网络流量审计日志或网络流量 特殊用途的数据收集机制特殊用途的数据收集机制 入侵检测技术主机入侵

11、检测系统入侵检测技术主机入侵检测系统 47 基于主机的入侵检测系统是以代理软件的形式 安装在每台主机或服务器上,以监测主机上的 各种活动; 基于主机的入侵检测系统是以代理软件的形式 安装在每台主机或服务器上,以监测主机上的 各种活动; 代理软件实现对入侵的检测分析;代理软件实现对入侵的检测分析; 由代理软件向统一的管理/策略服务器发送日志 和告警信息。 由代理软件向统一的管理/策略服务器发送日志 和告警信息。 入侵检测技术主机入侵检测系统入侵检测技术主机入侵检测系统 48 主机入侵检测系统的优点:主机入侵检测系统的优点: 在长期监控谁访问什么在长期监控谁访问什么 可以将问题映射到一个具体的用户

12、ID可以将问题映射到一个具体的用户ID 系统可以跟踪滥用行为的变化系统可以跟踪滥用行为的变化 适用于加密环境适用于加密环境 可以运行在交换环境中可以运行在交换环境中 监测分布在多台主机上的负载,并只将有关数据 上报中央控制台 监测分布在多台主机上的负载,并只将有关数据 上报中央控制台 入侵检测技术主机入侵检测系统入侵检测技术主机入侵检测系统 49 主机入侵检测系统的缺点:主机入侵检测系统的缺点: 无法监测网络活动;无法监测网络活动; 审计机制的运行增加了系统负载;审计机制的运行增加了系统负载; 审计记录会占用大量的存储空间;审计记录会占用大量的存储空间; 由于操作系统的漏洞可能破坏代理软件的有

13、效性;由于操作系统的漏洞可能破坏代理软件的有效性; 不同类型的操作系统需要不同的代理软件;不同类型的操作系统需要不同的代理软件; 升级的问题;升级的问题; 更高的部署和维护成本。更高的部署和维护成本。 入侵检测技术网络入侵检测系统入侵检测技术网络入侵检测系统 50 以混杂模式接入网络;以混杂模式接入网络; 感应器可部署在网络的关键位置;感应器可部署在网络的关键位置; 将日志/告警信息发送至位于企业防火墙内部 的服务器。 将日志/告警信息发送至位于企业防火墙内部 的服务器。 入侵检测技术网络入侵检测系统入侵检测技术网络入侵检测系统 51 网络入侵检测系统的优点:网络入侵检测系统的优点: 不需重新

14、配置或重定向日志机制即可快速获 取信息; 不需重新配置或重定向日志机制即可快速获 取信息; 其部署不影响现有的网络架构或数据源;其部署不影响现有的网络架构或数据源; 实时监视与检测网络攻击或误用;实时监视与检测网络攻击或误用; 与操作系统无关;与操作系统无关; 不会增加系统开销。不会增加系统开销。 入侵检测技术网络入侵检测系统入侵检测技术网络入侵检测系统 52 网络入侵检测系统的缺点:网络入侵检测系统的缺点: 无法分析加密的数据;无法分析加密的数据; 从网络流量可以推断发生了什么,但不能判 断结果 从网络流量可以推断发生了什么,但不能判 断结果 对全交换网络需要配置交换机端口镜像;对全交换网络

15、需要配置交换机端口镜像; 对于带宽的要求较高。对于带宽的要求较高。 入侵检测技术网络节点入侵检测系统入侵检测技术网络节点入侵检测系统 53 安装在网络节点的主机中;安装在网络节点的主机中; 结合了NIDS和HIDS的技术;结合了NIDS和HIDS的技术; 适合于高速交换环境和加密环境。适合于高速交换环境和加密环境。 入侵检测技术入侵的响应方式入侵检测技术入侵的响应方式 54 IDS控制台显示告警信息;IDS控制台显示告警信息; 通过电子邮件向管理员发送告警信息;通过电子邮件向管理员发送告警信息; 根据预先设定的规则阻断连接;根据预先设定的规则阻断连接; IDS自身阻断IDS自身阻断 与防火墙联动与防火墙联动 采取事件归并,以确保响应机制不被入侵者利用 ,导致拒绝服务。 采取事件归并,以确保响应机制不被入侵者利用 ,导致拒绝服务。 入侵检测技术部署中需注意的问题入侵检测技术部署中需注意的问题 55 首先在企业中有效地进行IDS的部署,需要大量的 管理机制为后盾; 首先在企业中有效地进行IDS的部署,需要大量的 管理机制为后盾; IDS必须被广泛部署在的关键位置(不仅仅是互联 网连接),才能获得最大的利益; IDS必须被广泛部署在的关键位置(不仅仅是互联 网连接),才能获得最大的利益; 特征库

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 电子/通信 > 综合/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号