《網(wǎng)絡安全工程師考試》由會員分享，可在線閱讀，更多相關《網(wǎng)絡安全工程師考試（33頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,入侵檢測,防火墻,是位于兩個或多個網(wǎng)絡之間，執(zhí)行訪問控制策略的一個或一組系統(tǒng)，是一類防范措施的總稱。,它可以有效地保護本地系統(tǒng)或網(wǎng)絡，抵制外部網(wǎng)絡安全威脅，同時支持受限的通過WAN或Internet對外界進行訪問。,防火墻,防火墻嵌入在局域網(wǎng)和,Internet,連接的網(wǎng)關上,所有從內到外和從外到內的數(shù)據(jù)都必須通過防火墻（物理上阻塞其它所有訪問）,只有符合安全政策的數(shù)據(jù)流才能通過防火墻,防火墻系統(tǒng)自身應對滲透,(,peneration,),免疫，（如一般必須是一個安裝了安全操作系統(tǒng)的可信任系統(tǒng)）,防火墻特

2、征,防火墻對企業(yè)內部網(wǎng)實現(xiàn)了集中的安全管理，可以強化網(wǎng)絡安全策略，比分散的主機管理更經(jīng)濟易行,防火墻能防止非授權用戶進入內部網(wǎng)絡，有效地對抗外部網(wǎng)絡入侵,由于所有的訪問都經(jīng)過防火墻，防火墻成為審計和記錄網(wǎng)絡的訪問和使用的最佳地點，可以方便地監(jiān)視網(wǎng)絡的安全性并報警。,可以作為部署網(wǎng)絡地址轉換（,Network Address Translation,）的地點，利用,NAT,技術，可以緩解地址空間的短缺，隱藏內部網(wǎng)的結構。,利用防火墻對內部網(wǎng)絡的劃分，可以實現(xiàn)重點網(wǎng)段的分離，從而限制安全問題的擴散。,防火墻可以作為,IPSec,的平臺，可以基于隧道模式實現(xiàn),VPN,。,防火墻的優(yōu)點,為了提高安全性

3、，限制或關閉了一些有用但存在安全缺陷的網(wǎng)絡服務，給用戶帶來使用的不便。,防火墻不能對繞過防火墻的攻擊提供保護，如撥號上網(wǎng)等。,不能對內部威脅提供防護支持。,受性能限制，防火墻對病毒傳輸保護能力弱。,防火墻對用戶不完全透明，可能帶來傳輸延遲、性能瓶頸及單點失效。,防火墻不能有效地防范數(shù)據(jù)內容驅動式攻擊。,作為一種被動的防護手段，防火墻不能自動防范因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。,防火墻的局限性,為什么需要IDS,不安全的防火墻設計,入侵檢測系統(tǒng)（IDS）,入侵（,Intrusion,）,:,企圖進入或濫用計算機系統(tǒng)的行為。,入侵檢測,（Intrusion Detection）：,對系統(tǒng)的運行狀

4、態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證系統(tǒng)資源的機密性、完整性和可用性,。,入侵檢測系統(tǒng)（,Intrusion Detection System）,進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng),入侵檢測的分類（1）,按照分析方法（檢測方法）,異常檢測,（Anomaly Detection):首先總結正常操作應該具有的特征（用戶輪廓），,當用戶活動與正常行為有重大偏離時即被認為是入侵,誤用檢測,（Misuse Detection)：收集非正常操作的行為特征，建立相關的特征庫，,當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵,入侵檢測的分類（2）,按照數(shù)

5、據(jù)來源：,基于主機：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機，保護的目標也是系統(tǒng)運行所在的主機,基于網(wǎng)絡：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡傳輸?shù)臄?shù)據(jù)包，保護的是網(wǎng)絡的運行,混合型,IDS 分類,網(wǎng)絡入侵檢測系統(tǒng)(NIDS),-在網(wǎng)絡中的某個節(jié)點上裝有探測器來監(jiān)測整個網(wǎng)絡(工作對象基于網(wǎng)絡),特點：,1.擁有較低的成本-在幾個很少的監(jiān)測點上進行配置就可以監(jiān)控一個網(wǎng)絡中所發(fā)生的入侵行為,2.能監(jiān)測主機IDS所不能監(jiān)測到的某些攻擊(如DOS、Teardrop)通過分析IP包的頭可以捕捉這些須通過分析包頭才能發(fā)現(xiàn)的攻擊,3.與操作系統(tǒng)無關性-基于網(wǎng)絡的IDS與所監(jiān)測的主機所運行的操作系統(tǒng)無關，而主機IDS則必須在特

6、定的操作系統(tǒng)下才能運 行,4.檢測未成功能攻擊和不良意圖-與之相比，主機IDS只能檢測到成功的攻擊，而很多未成功的攻擊對系統(tǒng)的風險評估成到關鍵的作用,5.實時檢測和響應-網(wǎng)絡IDS可以在攻擊發(fā)生的同時將其檢測出來，并進行實時的報警和響應，而主機IDS只能在可疑信息被記錄下來后才能做出響應，而這時，可以系統(tǒng)已被摧毀或主機IDS已被摧毀,IDS 分類,主機入侵檢測系統(tǒng)(HIDS),-在網(wǎng)絡中所監(jiān)測的每臺主機上都裝有探測器(工作對象基于主 機),特點：,1.確定攻擊是否成功-使用已發(fā)生的事件信息做為檢測條件，比網(wǎng)絡IDS更準確的判定攻擊是否成功,2.系統(tǒng)行動監(jiān)視的更好-對于每一個用戶(尤其是系統(tǒng)管理

7、員)上 網(wǎng)下網(wǎng)的信息、連入網(wǎng)絡后的行為和所受到的入侵行為監(jiān)測的 更為詳細，記錄的更準確，相比之下，網(wǎng)絡IDS要想做到這一點存在很大的難度,3.能夠檢測到網(wǎng)絡IDS檢測不到的特殊攻擊-如某服務器上有人直接對該機進行非法操作，網(wǎng)絡IDS不能檢測出該攻擊，而主 機IDS則可以做到,4.適用于加密的環(huán)境-在某些特殊的加密網(wǎng)絡環(huán)境中，由于網(wǎng)絡IDS所需要的網(wǎng)絡環(huán)境不能滿足，所以在這種地方應用主機 IDS就可以完成這一地方的監(jiān)測任務,5.不需要額外的硬件設備-與網(wǎng)絡IDS相比，不需要專用的硬件檢測系統(tǒng)，降低的硬件成本,IDS 分類,大規(guī)模分布式入侵檢測系統(tǒng)(DIDS),-,系統(tǒng)中既包括網(wǎng)絡探測器也包括主機

8、探測器(工作對象同時基,于網(wǎng)絡和主機),特點：,1.適用于大規(guī)模復雜的網(wǎng)絡環(huán)境-分層次、多級的分布的系統(tǒng)結,構適用于大規(guī)模的網(wǎng)絡環(huán)境中,2.全面的檢測方式更好的保護網(wǎng)絡-包含網(wǎng)絡IDS和主機IDS兩,種入侵檢測系統(tǒng)的檢測部分，更全面、更詳細的監(jiān)測網(wǎng)絡及系,統(tǒng)動態(tài)。,入侵檢測的分類（3）,按系統(tǒng)各模塊的運行方式,集中式：系統(tǒng)的各個模塊包括數(shù)據(jù)的收集分析集中在一臺主機上運行,分布式：系統(tǒng)的各個模塊分布在不同的計算機和設備上,入侵檢測的分類（4）,根據(jù)時效性,脫機分析：行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進行分析,聯(lián)機分析：在數(shù)據(jù)產(chǎn)生的同時或者發(fā)生改變時進行分析,IDS能做什么？,監(jiān)控網(wǎng)絡和系統(tǒng),發(fā)現(xiàn)入侵企圖或

9、異?，F(xiàn)象,實時報警,主動響應（非常有限）,入侵響應系統(tǒng)（IRS）,入侵響應（Intrusion Response）：,當檢測到入侵或攻擊時，采取適當?shù)拇胧┳柚谷肭趾凸舻倪M行。,入侵響應系統(tǒng)（Intrusion Response System）,實施入侵響應的系統(tǒng),入侵響應系統(tǒng)分類（1）,按響應類型,報警型響應系統(tǒng),人工響應系統(tǒng),自動響應系統(tǒng),入侵響應系統(tǒng)分類（2）,按響應方式：,基于主機的響應,基于網(wǎng)絡的響應,入侵響應系統(tǒng)分類（3）,按響應范圍,本地響應系統(tǒng),協(xié)同入侵響應系統(tǒng),響應方式（1）,記錄安全事件,產(chǎn)生報警信息,記錄附加日志,激活附加入侵檢測工具,隔離入侵者,IP,禁止被攻擊對象的特

10、定端口和服務,隔離被攻擊對象,較溫和,被動響應,介于溫和,和嚴厲之間,主動響應,響應方式（2）,警告攻擊者,跟蹤攻擊者,斷開危險連接,攻擊攻擊者,較嚴厲,主動響應,自動響應系統(tǒng)的結構,響應決策,響應執(zhí)行,響應決策,知識庫,響應,工具庫,安全事件,響應策略,響應命令,自動入侵響應總體結構,IDS部署方式,IDS 部署方式,NIDS的位置必須要看到所有數(shù)據(jù)包,共享媒介HUB,交換環(huán)境,隱蔽模式,千兆網(wǎng),分布式結構,探測器,控制中心,IDS 部署方式,共享式部署,HUB,Monitored Servers,Console,IDS 部署方式,交換環(huán)境部署方式,Switch,IDS Sensor,Mon

11、itored Servers,Console,通過端口鏡像實現(xiàn),（SPAN/Port Monitor）,IDS 部署方式,安全隱蔽模式,Switch,Monitored Servers,Console,不設IP,IDS 應用,與其它網(wǎng)絡安全設備聯(lián)動工作,全方位發(fā)揮IDS的功能-與其它安全設備的聯(lián)動工作,1.與防火墻聯(lián)動,IDS不能做最好的阻斷-IDS根據(jù)實時檢測出的結果,調整防火墻來進行相應的阻斷,2.與掃描器聯(lián)動,IDS可以根據(jù)掃描器所做的掃描結果，對一點特殊系統(tǒng)做重點監(jiān),測，也可讓掃描器根據(jù)實時探測的結果做更詳細的安全評估,3.與其它一些安全設備聯(lián)動工作以保障網(wǎng)絡系統(tǒng)安全,IDS 應用,實

12、際網(wǎng)絡環(huán)境中的應用方式,在外部網(wǎng)絡中設置NIDS(放在防火墻前面)，可以捕捉外部攻擊機的真實地址來源并調整防火墻進行相應的阻斷,在內部網(wǎng)絡中設置NIDS(放在防火墻后面)，可以捕捉內部攻擊機的真實地址來源,在所保護的主機上安裝HIDS，重點分析系統(tǒng)做接受的操作及相應用戶的系統(tǒng)行為，以彌補NIDS的遺漏點,同時采用以上三種設置方式相結合能更好的保護網(wǎng)絡安全，更全面的監(jiān)測所保護的網(wǎng)絡系統(tǒng),IDS 應用,NIDS應用的局限性,網(wǎng)絡局限,1.交換機局限,-網(wǎng)絡監(jiān)聽需要共享環(huán)境，主機的網(wǎng)絡上多采用交換機，而很多,交換機不能提供鏡像口，或所提供的鏡像口不能滿足需要,2.監(jiān)聽端口流量局限,-交換機的端口是全

13、雙工，例如百兆交換機的理論雙向流量是,200兆，而監(jiān)聽端口只有100兆，這樣在雙向流量大于100兆的情,況下會造成丟包，同時如果利用一個端口監(jiān)聽其它多個端口時，,在網(wǎng)絡流量大的情況下也可能造成丟包,IDS 應用,網(wǎng)絡拓撲局限,1.特殊路由局限,-如果IP源路由選項允許，可以通過精心設計IP路由繞過NIDS,2.MTU值的局限,-因為受保護的主機各式各樣，其MTU值設置也不會完全相,同，如果其中一些MTU值設置的與NIDS的MTU值不同的話，可,以設置MTU值處于兩者之間，并且設置此包不會片，這樣就使,NIDS收到的包與受保護主機收到的包不同，從而繞過NIDS的檢,測,3.TTL值的局限,-如果

14、數(shù)據(jù)包到達NIDS和主機的HOP數(shù)不同，可以通過精心設,置TTL值使得該包只能被受保護的主機收到而不能被NIDS收到，從而繞,過NIDS的檢測,產(chǎn)品是否可擴展,系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫大小、傳感器與控制臺之間通信帶寬和對審計日志溢出的處理,該產(chǎn)品是否進行過攻擊測試,了解產(chǎn)品提供商提供的產(chǎn)品是否進行過攻擊測試，明確測試步驟和內容，主要關注本產(chǎn)品抵抗拒絕服務攻擊的能力,產(chǎn)品支持的入侵特征數(shù),不同廠商對檢測特征庫大小的計算方法都不一樣，盡量參考國際標準,特征庫升級與維護的周期、方式、費用,入侵檢測的特征庫需要不斷更新才能檢測出新出現(xiàn)的攻擊方法,最大可處理流量,一般有百兆、千兆、萬兆之分,是否

15、通過了國家權威機構的測評,主要的權威測評機構有：國家信息安全測評認證中心、公安部計算機信息系統(tǒng)安全產(chǎn)品質量監(jiān)督檢驗中心,是否有成功案例,需要了解產(chǎn)品的成功應用案例，有必要進行實地考察和測試使用,系統(tǒng)的價格,性能價格比，以要保護系統(tǒng)的價值為主要的因素,入侵檢測系統(tǒng)選擇標準,IDS 技術的發(fā)展方向,1.分布式入侵檢測,1)針對分布式攻擊的檢測方法,2)使用分布式的方法來檢測分布式的攻擊，關鍵技術為檢,測信息的協(xié)同處理與入侵攻擊的全局信息提取,2.智能化入侵檢測,使用智能化的手法也實現(xiàn)入侵檢測，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡、模糊,算法、遺傳算法、免疫原理等技術,3.全面的安全防御方案,采用安全工程風險管理的理論也來處理網(wǎng)絡安全問題，將網(wǎng)絡安全做為一個整體工程來處理，從管理、網(wǎng)絡結構、防火墻、防病毒、入侵檢測、漏洞掃描等多方面對網(wǎng)結進行安全分析,隨著網(wǎng)絡技術的發(fā)展，還會有更多新技術應用到入侵檢測系統(tǒng)中來!,