1、1防 火 墙 基 础2黑客会对我们的网络感兴趣吗?对黑客来说,只要看到一点点从系统漏洞发出的光亮就会蠢蠢欲动如何保护我们的网络?防火墙3防火墙的概念隔离在本地网络和外界网络之间的一道防御系统可以隔离风险区域与安全区域的连接但不会妨碍人们对风险区域的访问4防火墙的功能过滤不安全的服务和非法用户控制对特殊站点的访问提供监视Internet安全访问和预警的可靠节点实现公司的安全策略5防火墙的功能防止暴露内部网结构,可以在防火墙上布置NAT,既可以保护内部网,又可以解决地址空间紧张的问题是审计和记录Internet使用费用的一个最佳地点在物理上设置一个单独的网段,放置WWW、FTP和Mail服务器等6
2、防火墙的分类包过滤防火墙(Checkpoint和PIX为代表)代理防火墙(NAI公司的防火墙为代表)7包 过 滤 技 术8910111213包过滤技术的优点在网络中需要时时通信时,可以使用这种方法。对用户来说是完全透明的可以通过普通的路由器实现14包过滤技术的缺点包过滤技术是通过设置具体的数据包过滤准则来实现的,为了实现更强的过滤功能,必须设置非常复杂的包过滤准则。大幅度降低了数据包的过滤速度。由于包过滤技术是工作在OSI模型的网络层和传输层,对于高层的协议,都无法实现有效的过滤15包过滤技术的缺点包过滤技术一般只能实现基于主机和端口的过滤,无法实现针对用户和应用程序的过滤当网络安全的方案十分
3、复杂时,一般不采用包过滤技术单独解决,原因主要包括:维护的代价很高;数据包的限制规则十分复杂;16如果黑客伪装DNS服务器的地址,那么它在理论上当然可以从附着DNS的UDP端口发起攻击。只要允许DNS查询和反馈包进入网络,这个问题就必然存在。解决办法是采用代理服务器。17代 理 技 术18与包过滤技术不同,代理服务技术工作在OSI模型中的应用层,而不是前者的网络层1920代理技术的优点使用代理技术,可以实现基于用户级的身份认证和访问控制。由于代理服务器工作于客户机和真实的服务器之间,可以完全控制两者之间的对话,从而提供非常详细的日志功能。在代理服务技术中,可以使用第三方的身份认证系统和日志记录
4、系统。从而提供这两方面更为完善的功能21代理技术的优点具有内部地址屏蔽及转换功能使用代理技术可以简化包过滤规则的设定22代理技术的缺点代理服务技术需要对每一种网络服务都必须有特定的服务代理通常,每一种网络服务的版本总是落后于现实环境。因此,多种情况下,无法找到新的网络服务的代理版本由于彻底割断了内外部网络之间的直接连接,使网络的性能受到很大影响。2324其他技术NAT技术VPN技术内容检查技术加密技术安全审计身份认证负载均衡25案 例 分 析26问题描述某公司购买了防火墙之后,紧接着又购买了漏洞扫描和IDS(入侵检测)产品。当系统管理员利用IDS发现入侵行为后必须每次都要手工调整防火墙的安全策
5、略,使管理工作量剧增,而且经常调整安全策略,也会给整个网络带来不良影响。27问题分析选购防火墙时未充分考虑到与其它安全产品的联动功能,导致不能最大程度的发挥安全系统的作用28解决办法 确认防火墙是否有IDS等其他安全产品的联动功能 29结论和忠告 具有保护网络安全的功能不仅仅是防火墙一种产品,只有将多种安全产品无缝的结合起来,充分利用它们各自的优点,才能最大限度的保证网络的安全30入 侵 检 测 技 术(I D S)31全球80%以上的入侵来自于内部 对入侵攻击的检测与防范,保障计算机系统、网络系统、以及整个信息基础设施的安全已经成为刻不容缓的重要课题。32IDS的概念入侵检测是防火墙的合理补
6、充扩展了系统管理员的安全管理能力提高了信息安全基础结构的完整性33IDS的任务监视、分析用户及系统活动系统的构造和弱点的审计识别已知进攻的活动模式并向相关人士报警异常行为模式的统计分析评估重要系统和数据文件的完整性操作系统的审计跟踪管理,并识别用户违反安全策略的行为34IDS的类型基于主机的IDS基于网络的IDS35基于主机的IDS(HIDS)的优点对分析“可能的攻击”非常有效能够提供更详尽的相关信息误报率低36HIDS的弱点安装在需要保护的设备上它依赖于服务器固有的日志与监视能力全面部署主机入侵检测系统代价较大37基于网络的入侵检测产品(NIDS)的优点目前,大部分的入侵检测是基于网络的不需要改变服务器等主机的配置NIDS发生故障不会影响业务的正常运行风险小近年内有向专门的设备发展的趋势38NIDS的弱点只检查他直接连接网段的通信很难实现一些需要大量计算与分析时间的攻击检测处理加密的会话过程较困难39NIDS存在的问题基于网络的入侵检测系统不能处理加密后的数据资源和处理能力的局限性还受到内存和硬盘的限制40结 论防火墙和IDS的结合将会大大增强网络安全性41E N D
