入侵检测与防火墙3
- 格式:ppt
- 大小:1.40 MB
- 文档页数:34


了解网络安全中的防火墙和入侵防御网络安全是当今社会中一个非常重要的话题,随着互联网的普及和应用的广泛,网络安全问题也日益突出。
在网络安全中,防火墙和入侵防御是两个非常重要的概念和技术。
本文将介绍网络安全中的防火墙和入侵防御,并探讨它们在保护网络安全中的作用和意义。
一、防火墙的概念和作用防火墙(Firewall)是一种网络安全设备,用于控制网络流量,保护内部网络免受未经授权的访问和攻击。
防火墙通过建立一道屏障,过滤和监控网络流量,阻止不安全的流量进入或离开受保护的网络。
它可以根据预设的规则和策略,对网络连接进行检查和过滤,只允许符合规则的合法连接通过。
防火墙的作用主要有以下几个方面:1. 网络访问控制:防火墙可以根据管理员设定的规则和策略,控制哪些流量可以进入或离开内部网络。
通过限制网络流量的访问权限,防火墙可以阻止未经授权的访问和攻击。
2. 流量监控和过滤:防火墙可以对网络流量进行实时监控和过滤,检测和拦截潜在的网络攻击和恶意流量。
它可以根据预设的规则对流量进行筛选,阻止不安全的流量进入内部网络。
3. 网络地址转换:防火墙可以实现网络地址转换(NAT),将内部网络的私有IP地址转换为公有IP地址,增强网络的安全性和隐私保护。
4. 虚拟专用网络(VPN)支持:防火墙可以支持虚拟专用网络(VPN)的建立和管理,通过加密和隧道技术,实现远程用户和外部网络与内部网络的安全通信。
二、入侵防御的概念和技术入侵防御(Intrusion Defense)是一种网络安全技术,用于检测和阻止未经授权的访问和攻击。
入侵防御系统(IDS)和入侵防御系统(IPS)是常见的入侵防御技术。
1. 入侵检测系统(IDS):入侵检测系统通过监控和分析网络流量,检测和识别潜在的入侵行为和攻击。
它可以根据预设的规则和特征,对网络流量进行实时分析和比对,发现异常行为和攻击迹象,并及时发出警报。
2. 入侵防御系统(IPS):入侵防御系统在入侵检测系统的基础上,增加了阻止和防御的功能。
第7章入侵检测与防御技术7.1 入侵检测系统概述7.1.1 网络攻击的层次任何以干扰、破坏网络系统为目的的非授权行为都称为网络攻击或入侵,它可以是针对安全策略的违规行为、针对授权特征的滥用行为,还可以是针对正常行为特征的异常行为。
这些攻击可分为六个层次。
1.第一层第一层次的攻击一般是基于应用层的操作,第一层的各种攻击一般应是互不相干的。
典型的第一层攻击包括拒绝服务攻击和邮件炸弹攻击,这些攻击的目的只是为了干扰目标的正常工作,化解这些攻击一般是十分容易的。
拒绝服务发生的可能性很大,对付这种攻击最好的方法是把攻击者使用的主机/网络信息加入拒绝列表中,使攻击者网络中所有主机都不能对你的网络进行访问。
第一层的另一种攻击技术是与邮件或新闻服务器建立Telnet会话,然后设法了解哪些目录是共享的、哪些目录没被共享,如果在网络上采取了适当的安全措施,这些行为是不会带来危险的,如果共享目录未被正确地配置或系统正在运行远程服务,那么这类攻击就能方便得手。
网络上一旦发现服务拒绝攻击的迹象,就应在整个系统中查找攻击来源,拒绝服务攻击通常是欺骗攻击的先兆或一部分,如果发现在某主机的一个服务端口上出现了拥塞现象,那就应对此端口特别注意,找出绑定在此端口上的服务;如果服务是内部系统的组成部分,那就应该特别加以重视。
许多貌似拒绝服务的攻击可能会引起网络安全措施彻底失效,真正的持续很长时间的拒绝服务攻击对网络仅仅起干扰的作用。
2.第二层和第三层第二层是指本地用户获得不应获得的文件(或目录)读权限,第三层则上升为获得写权限。
这一攻击的严重程度根据被窃取读或写权限的文件的重要性决定。
如果某本地用户获得了访问tmp目录的权限,那么问题就是很糟糕的,可能使本地用户获得写权限从而将第二层攻击推进至第三层攻击,甚至可能继续下去。
本地攻击和其他攻击存在一些区别,“本地用户”(Local User)是一种相对的概念。
“本地用户”是指能自由登录到网络的任何一台主机上的用户。
入侵检测系统及部署一.什么是入侵检测系统?入侵检测系统(intrusion detection system,简称“IDS”),是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
而IDS在应对对自身的攻击时,对其他传输的检测也会被抑制。
同时由于模式识别技术的不完善,IDS的高虚警率也是它的一大问题。
图 1 入侵检测系统二.入侵检测系统的主要功能IDS是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。
IDS 入侵检测系统以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。
因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。
在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。
因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。
[1]这些位置通常是:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。
图 2 入侵检测系统的主要功能三.入侵检测系统的分类根据检测数据的采集来源,入侵检测系统可以分为:基于网络的入侵检测系统(NIDS) 和基于主机的入侵检测系统(HIDS)。
基于主机的入侵检测系统(HIDS):HIDS一般是基于代理的,即需要在被保护的系统上安装一个程序。
HIDS用于保护关键应用的服务器,实时监视可疑的连接、系统日志、非法访问的闯入等,并且提供对典型应用的监视。
谈网络入侵检测与防御安全“入侵”是指非法进入、闯入。
网络入侵(Intrusion)的概念,是指通过网络、未经授权而非法进行系统访问或系统操纵的过程。
从广义上讲,不仅包括发动攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝访问(Denial of Service)等对计算机系统造成危害的行为。
入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的检测发现。
它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动,因此成为继防病毒和防火墙之后的另一被广泛关注的网络安全设备。
它的主要功能有:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
可以支持深度防护安全规则,可以用于检测很大范围的欺诈事件,包括假冒企图、口令破解、协议攻击、缓冲区溢出、rootkit安装、恶意命令、软件缺陷探测、恶意代码(如病毒、蠕虫和特洛伊木马等)、非法数据处理、未经授权的文件访问、拒绝服务(DoS)攻击等内容。
这是一种集检测、记录、报警、响应的动态安全技术。
随着主动防御思想成为当代信息安全的强势主流思想,“入侵检测”已经渐渐地发展为“入侵防御”了。
在入侵检测系统检测到网络中的攻击或未授权行为时,传统的响应方式是显示消息、形成日志、报警或使用E-mail等方式通知安全管理员,然后由管理员手工采取相应措施来阻止入侵。
这无疑给安全管理增加了很多的工作量和难度,也大大地提高了安全维护费用,因此系统需要具有更多主动响应行为的入侵检测系统,如今的入侵检测系统可以将得到的数据进行智能记录分析,检查主机系统的变化或嗅探网络包离开网络的情况,以掌握恶意企图的踪迹,采取继续记录、发送预警、重定向该攻击或者防止恶意行为等对策措施。