《网络安全防护技术.ppt》由会员分享,可在线阅读,更多相关《网络安全防护技术.ppt(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全防护技术网络安全防护技术情境三:情境三:企业网络安全防护企业网络安全防护任务三:企业网络安全预警任务三:企业网络安全预警任务目标任务目标o掌握入侵检测系统的网络部署、安装、测试掌握入侵检测系统的网络部署、安装、测试及配置方法及配置方法 o掌握入侵检测系统与防火墙的联动配置方法掌握入侵检测系统与防火墙的联动配置方法任务引入任务引入2-1o在计算机安全的发展中,信息系统安全模型在计算机安全的发展中,信息系统安全模型在逐步的实践中发生变化。由一开始的静态在逐步的实践中发生变化。由一开始的静态的系统安全模型逐渐过渡到动态的安全模型,的系统安全模型逐渐过渡到动态的安全模型,如如P2DR模型。模型
2、。P2DR表示表示Policy、Protection、Detection和和Response,即策略、保护、检测和响应即策略、保护、检测和响应任务引入任务引入2-2oP2DR模型是在整体的安全策略的控制和指模型是在整体的安全策略的控制和指导下,综合运用防护工具(如防火墙、身份导下,综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测系统等)了解和评估系漏洞评估、入侵检测系统等)了解和评估系统的安全状态,通过适当的响应将系统调整统的安全状态,通过适当的响应将系统调整到一个比较安全的状态。保护、检测和响应到一个比较安全的状态
3、。保护、检测和响应组成了一个完整的、动态的安全循环。由此组成了一个完整的、动态的安全循环。由此可见,检测已经是系统安全模型中非常重要可见,检测已经是系统安全模型中非常重要的一部分的一部分任务分析任务分析安全策略安全策略实实施方法施方法相关知相关知识识制定安全制定安全预预警策略警策略制定策略,制定策略,选择选择技技术术与与产产品品网网络络安全安全检测检测技技术术定期定期检测检测系系统统脆弱脆弱性性使用漏洞使用漏洞扫扫描工具描工具评评估估漏洞漏洞扫扫描描实时监实时监控网控网络络行行为为部署部署监监控控产产品品设设置置规则规则与策略与策略IDS、IPS、病、病毒毒预预警系警系统统相关知识相关知识o入
4、侵检测技术入侵检测技术 o入侵检测的部署入侵检测的部署入侵检测技术入侵检测技术3-1o入侵检测的定义入侵检测的定义n入侵检测是指在特定的网络环境中发现和识别入侵检测是指在特定的网络环境中发现和识别未经授权的或恶意的攻击和入侵,并对此做出未经授权的或恶意的攻击和入侵,并对此做出反映的过程反映的过程n入侵检测系统入侵检测系统IDS(Intrusion Detection System)是一套运用入侵检测技术对计算机)是一套运用入侵检测技术对计算机或网络资源进行实时检测的系统工具。或网络资源进行实时检测的系统工具。IDS一一方面检测未经授权的对象对系统的入侵,另一方面检测未经授权的对象对系统的入侵,
5、另一方面还监视授权对象对系统资源的非法操作方面还监视授权对象对系统资源的非法操作入侵检测技术入侵检测技术3-2o入侵检测的作用入侵检测的作用n监视、分析用户和系统的运行状况,查找非法监视、分析用户和系统的运行状况,查找非法用户和合法用户的越权操作用户和合法用户的越权操作n检测系统配置的正确性和安全漏洞,并提示管检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞理员修补漏洞n对用户非正常活动的统计分析,发现攻击行为对用户非正常活动的统计分析,发现攻击行为的规律的规律n检查系统程序和数据的一致性和正确性检查系统程序和数据的一致性和正确性n能够实时地对检测到的攻击行为进行响应能够实时地对检测到的攻
6、击行为进行响应入侵检测技术入侵检测技术3-3o入侵检测的意义入侵检测的意义n单纯的防护技术容易导致系统的盲目建设,一单纯的防护技术容易导致系统的盲目建设,一方面是不了解安全威胁的严峻和当前的安全现方面是不了解安全威胁的严峻和当前的安全现状;另一方面是安全投入过大而又没有真正抓状;另一方面是安全投入过大而又没有真正抓住安全的关键环节,导致资源浪费住安全的关键环节,导致资源浪费n防火墙策略有明显的局限性防火墙策略有明显的局限性n静态安全措施不足以保护安全对象属性。静态安全措施不足以保护安全对象属性。n而入侵检测系统在动态安全模型中占有重要的而入侵检测系统在动态安全模型中占有重要的地位地位入侵检测的
7、部署入侵检测的部署4-1o共享网络共享网络n共享式局域网是最简单的网络,它由共享式共享式局域网是最简单的网络,它由共享式HUB连接各个主机。在这种网络环境下,一般连接各个主机。在这种网络环境下,一般来说,只需要配置一个网络探测器就可以达到来说,只需要配置一个网络探测器就可以达到监控全网的目的监控全网的目的o墙前监听和墙后监听墙前监听和墙后监听n安装两个在防火墙的前段和后端,随时监视数安装两个在防火墙的前段和后端,随时监视数据包的情况,可以保护防火墙据包的情况,可以保护防火墙入侵检测的部署入侵检测的部署4-2o交换机具备管理功能(端口镜像)交换机具备管理功能(端口镜像)n使用交换机(使用交换机(
8、Switch)作为网络中心交换设备)作为网络中心交换设备的网络即为交换式网络。交换机工作在的网络即为交换式网络。交换机工作在OSI模模型的数据链接层,交换机各端口之间能有效地型的数据链接层,交换机各端口之间能有效地分隔冲突域,由交换机连接的网络会将整个网分隔冲突域,由交换机连接的网络会将整个网络分隔成很多小的网域。大多数三层或三层以络分隔成很多小的网域。大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜上交换机以及一部分二层交换机都具备端口镜像功能,当网络中的交换机具备此功能时,可像功能,当网络中的交换机具备此功能时,可在交换机上配置好端口镜像(关于交换机镜像在交换机上配置好端口镜像(
9、关于交换机镜像端口),再将主机连接到镜像端口即可,此时端口),再将主机连接到镜像端口即可,此时可以捕获整个网络中所有的数据通讯可以捕获整个网络中所有的数据通讯入侵检测的部署入侵检测的部署4-3o代理服务器代理服务器n在代理服务器上安装入侵检测就可以监听整个在代理服务器上安装入侵检测就可以监听整个网络数据网络数据oDMZ区区n将入侵检测部署在将入侵检测部署在DMZ区对外网络节点上进行区对外网络节点上进行监控监控入侵检测的部署入侵检测的部署4-4o交换机不具备管理功能交换机不具备管理功能n一般简易型的交换机不具备管理功能,不能通一般简易型的交换机不具备管理功能,不能通过端口镜像来实现网络的监控分析
10、。如果中心过端口镜像来实现网络的监控分析。如果中心交换或网段交换没有端口镜像功能,一般可采交换或网段交换没有端口镜像功能,一般可采取串接集线器(取串接集线器(Hub)或分接器()或分接器(Tap)的方)的方法进行部署法进行部署实施过程实施过程o1.1 入侵检测的部署、安装及配置入侵检测的部署、安装及配置o1.2 防火墙与入侵检测联动预警防火墙与入侵检测联动预警1.1 入侵检测的部署、安装及配置入侵检测的部署、安装及配置2-1o训练目的训练目的n掌握入侵检测系统的网络部署、安装、测试及掌握入侵检测系统的网络部署、安装、测试及配置方法配置方法 o训练步骤训练步骤n入侵检测系统的部署入侵检测系统的部
11、署n入侵检测的物理安装入侵检测的物理安装n入侵检测的软件安装入侵检测的软件安装n入侵检测系统探测器超级终端配置入侵检测系统探测器超级终端配置1.1 入侵检测的部署、安装及配置入侵检测的部署、安装及配置2-2o训练目的训练目的n掌握入侵检测系统的网络部署、安装、测试及掌握入侵检测系统的网络部署、安装、测试及配置方法配置方法 o训练步骤训练步骤n入侵检测系统探测器系统配置入侵检测系统探测器系统配置n控制台系统配置控制台系统配置n入侵检测数据库系统的配置入侵检测数据库系统的配置n配置探头配置探头n策略配置策略配置1.2 防火墙与入侵检测联动预警防火墙与入侵检测联动预警o训练目的训练目的n掌握入侵检测
12、系统与防火墙的联动配置方法掌握入侵检测系统与防火墙的联动配置方法 o训练步骤训练步骤n生成防火墙和生成防火墙和IDS的通讯密钥的通讯密钥n联想网御联想网御IDS与防火墙联动证书上传到防火墙与防火墙联动证书上传到防火墙n网御网御IDS与防火墙联动与防火墙联动IDS端配置端配置联想网联想网御御IDS与防火墙联动证书上传给与防火墙联动证书上传给IDS探测引擎探测引擎n网御网御IDS与防火墙联动与防火墙联动IDS端配置端配置策略编策略编辑及应用辑及应用小结小结o本任务设计了入侵检测安装配置、入侵检本任务设计了入侵检测安装配置、入侵检测和防火墙联动两个实践技能训练,通过测和防火墙联动两个实践技能训练,通过技能练习,达到能够根据实际情况搭建配技能练习,达到能够根据实际情况搭建配置网络安全设备的能力训练目标,掌握识置网络安全设备的能力训练目标,掌握识别、发现已知或未知网络攻击的知识别、发现已知或未知网络攻击的知识