網(wǎng)絡(luò)安全-網(wǎng)絡(luò)安全設(shè)備

網(wǎng)絡(luò)安全——網(wǎng)絡(luò)安全設(shè)備第一頁，共43頁。$dollars$dollars$dollarsDetection入侵檢測(cè)Protect安全保護(hù)Reaction安全響應(yīng)Recovery安全備份Management安全管理統(tǒng)一管理、協(xié)調(diào)PDRR之間的行動(dòng)回顧整體性原則：PDRR安全防護(hù)模型2第二頁，共43頁。本講要點(diǎn)：1.網(wǎng)絡(luò)安全設(shè)備：防火墻2.網(wǎng)絡(luò)安全設(shè)備：入侵檢測(cè)3.網(wǎng)絡(luò)安全新設(shè)備：

入侵防御、下一代防火墻、統(tǒng)一威脅管理3第三頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（1）防火墻的概念國家標(biāo)準(zhǔn)GB/T20281-2006《信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法》給出的防火墻定義是：設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)絡(luò)和不可信的公共網(wǎng)絡(luò)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，能有效地監(jiān)控流經(jīng)防火墻的數(shù)據(jù)，保證內(nèi)部網(wǎng)絡(luò)和隔離區(qū)（DemilitarizedZone，DMZ，或譯作非軍事區(qū)）的安全。4第四頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（1）防火墻的概念防火墻具有以下3種基本性質(zhì)：是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口；能根據(jù)網(wǎng)絡(luò)安全策略控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且自身具有較強(qiáng)的抗攻擊能力；本身不能影響網(wǎng)絡(luò)信息的流通。5第五頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（1）防火墻的概念防火墻可以是軟件、硬件或軟硬件的組合。軟件防火墻就像其它的軟件產(chǎn)品一樣需要在計(jì)算機(jī)上安裝并做好配置才可以發(fā)揮作用，例如Windows系統(tǒng)自帶的軟件防火墻和著名安全公司CheckPoint推出的ZoneAlarmPro軟件防火墻。6第六頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（1）防火墻的概念防火墻可以是軟件、硬件或軟硬件的組合。目前市場(chǎng)上大多數(shù)防火墻是硬件防火墻。這類防火墻一般基于PC架構(gòu)，也就是說這類防火墻和普通PC類似。還有基于特定用途集成電路（ApplicationSpecificIntegratedCircuit，ASIC）、基于網(wǎng)絡(luò)處理器（NetworkProcessor，NP）以及基于現(xiàn)場(chǎng)可編程門陣列（Field-ProgrammableGateArray，F(xiàn)PGA）的防火墻。這類防火墻采用專用操作系統(tǒng)，因此防火墻本身的漏洞比較少，而且由于基于專門的硬件平臺(tái)，因而處理能力強(qiáng)、性能高。7第七頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理包過濾防火墻工作在網(wǎng)絡(luò)層和傳輸層，它根據(jù)通過防火墻的每個(gè)數(shù)據(jù)包的源IP地址、目標(biāo)IP地址、端口號(hào)、協(xié)議類型等信息來決定是將讓該數(shù)據(jù)包通過還是丟棄，從而達(dá)到對(duì)進(jìn)出防火墻的數(shù)據(jù)進(jìn)行檢測(cè)和限制的目的。包過濾方式是一種通用、廉價(jià)和有效的安全手段。之所以通用，是因?yàn)樗皇轻槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，而是適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價(jià)，是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因?yàn)樗芎艽蟪潭壬蠞M足了絕大多數(shù)企業(yè)安全要求。8第八頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理包過濾技術(shù)在發(fā)展中出現(xiàn)了兩種不同版本，第一代稱為靜態(tài)包過濾，第二代稱為動(dòng)態(tài)包過濾。1）靜態(tài)包過濾技術(shù)。這類防火墻幾乎是與路由器同時(shí)產(chǎn)生的，它根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的包頭信息進(jìn)行制訂。這些規(guī)則常稱為數(shù)據(jù)包過濾訪問控制列表（ACL）。各個(gè)廠商的防火墻產(chǎn)品都有自己的語法用于創(chuàng)建規(guī)則。9第九頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理1）靜態(tài)包過濾技術(shù)。序號(hào)源IP目標(biāo)IP協(xié)議源端口目的端口標(biāo)志位操作1內(nèi)部網(wǎng)絡(luò)地址外部網(wǎng)絡(luò)地址TCP任意80任意允許2外部網(wǎng)絡(luò)地址內(nèi)部網(wǎng)絡(luò)地址TCP80>1023ACK允許3所有所有所有所有所有所有拒絕10第十頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理1）靜態(tài)包過濾技術(shù)的缺陷。序號(hào)源IP目標(biāo)IP協(xié)議源端口目的端口標(biāo)志位操作1內(nèi)部網(wǎng)絡(luò)地址外部網(wǎng)絡(luò)地址TCP任意80任意允許2外部網(wǎng)絡(luò)地址內(nèi)部網(wǎng)絡(luò)地址TCP80>1023ACK允許3所有所有所有所有所有所有拒絕11第十一頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理2）狀態(tài)包過濾技術(shù)。狀態(tài)包過濾（StatefulPacketFilter）是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，對(duì)接收到的數(shù)據(jù)包進(jìn)行分析，判斷其是否屬于當(dāng)前合法連接，從而進(jìn)行動(dòng)態(tài)的過濾。跟傳統(tǒng)包過濾只有一張過濾規(guī)則表不同，狀態(tài)包過濾同時(shí)維護(hù)過濾規(guī)則表和狀態(tài)表。過濾規(guī)則表是靜態(tài)的，而狀態(tài)表中保留著當(dāng)前活動(dòng)的合法連接，它的內(nèi)容是動(dòng)態(tài)變化的，隨著數(shù)據(jù)包來回經(jīng)過設(shè)備而實(shí)時(shí)更新。當(dāng)新的連接通過驗(yàn)證，在狀態(tài)表中則添加該連接條目，而當(dāng)一條連接完成它的通信任務(wù)后，狀態(tài)表中的該條目將自動(dòng)刪除。12第十二頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理2）狀態(tài)包過濾技術(shù)的局限。基于網(wǎng)絡(luò)層和傳輸層實(shí)現(xiàn)的包過濾防火墻難以實(shí)現(xiàn)對(duì)應(yīng)用層服務(wù)的過濾。訪問控制列表的配置和維護(hù)困難。對(duì)安全管理人員的要求高，在建立安全規(guī)則時(shí)，必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的了解。包過濾防火墻難以詳細(xì)了解主機(jī)之間的會(huì)話關(guān)系。大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制，只能依據(jù)包頭信息，而不能對(duì)用戶身份進(jìn)行驗(yàn)證，很容易遭受欺騙型攻擊。13第十三頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理3）應(yīng)用代理技術(shù)采用應(yīng)用代理技術(shù)的防火墻工作在應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。應(yīng)用代理技術(shù)的發(fā)展也經(jīng)歷了兩個(gè)版本，第一代的應(yīng)用層網(wǎng)關(guān)（ApplicationGateway）技術(shù)，第二代的自適應(yīng)代理（AdaptiveProxy）技術(shù)。14第十四頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理3）應(yīng)用代理技術(shù)應(yīng)用層網(wǎng)關(guān)可分3種類型：雙宿主主機(jī)網(wǎng)關(guān)；屏蔽主機(jī)網(wǎng)關(guān)；屏蔽子網(wǎng)網(wǎng)關(guān)。這三種網(wǎng)關(guān)都要求有一臺(tái)主機(jī)，通常稱為“堡壘主機(jī)”（BastionHost），它起著防火墻的作用，即隔離內(nèi)外網(wǎng)的作用。15第十五頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理3）應(yīng)用代理技術(shù)：雙宿主主機(jī)網(wǎng)關(guān)特點(diǎn)：堡壘主機(jī)充當(dāng)應(yīng)用層網(wǎng)關(guān)。在主機(jī)中需要插入兩塊網(wǎng)卡，用于將主機(jī)分別連接到被保護(hù)的內(nèi)網(wǎng)和外網(wǎng)上。在主機(jī)上運(yùn)行防火墻軟件，被保護(hù)內(nèi)網(wǎng)與外網(wǎng)間的通信必須通過主機(jī)，因而可以將內(nèi)網(wǎng)很好地屏蔽起來。內(nèi)網(wǎng)可以通過堡壘主機(jī)獲得外網(wǎng)提供的服務(wù)。優(yōu)點(diǎn)：這種應(yīng)用層網(wǎng)關(guān)能有效地保護(hù)和屏蔽內(nèi)網(wǎng)，且要求的硬件較少，因而是應(yīng)用較多的一種防火墻；缺點(diǎn)：但堡壘主機(jī)本身缺乏保護(hù)，容易受到攻擊。16第十六頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理3）應(yīng)用代理技術(shù)：屏蔽主機(jī)網(wǎng)關(guān)特點(diǎn)：為了保護(hù)堡壘主機(jī)而將它置入被保護(hù)網(wǎng)的范圍中，在被保護(hù)內(nèi)網(wǎng)與外網(wǎng)之間設(shè)置一個(gè)屏蔽路由器。它不允許外網(wǎng)用戶對(duì)被保護(hù)內(nèi)網(wǎng)進(jìn)行直接訪問，只允許對(duì)堡壘主機(jī)進(jìn)行訪問，屏蔽路由器也只接收來自堡壘主機(jī)的數(shù)據(jù)。與前述的雙宿主主機(jī)網(wǎng)關(guān)類似，也在堡壘主機(jī)上運(yùn)行防火墻軟件。優(yōu)點(diǎn)：屏蔽主機(jī)網(wǎng)關(guān)是一種更為靈活的防火墻軟件，它可以利用屏蔽路由器來做更進(jìn)一步的安全保護(hù)。缺點(diǎn)：此時(shí)的路由器又處于易受攻擊的地位。此外，網(wǎng)絡(luò)管理員應(yīng)該管理在路由器和堡壘主機(jī)中的訪問控制表，使兩者協(xié)調(diào)一致，避免出現(xiàn)矛盾。17第十七頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理3）應(yīng)用代理技術(shù)：屏蔽子網(wǎng)網(wǎng)關(guān)特點(diǎn)：使用一個(gè)或者更多的屏蔽路由器和堡壘主機(jī)，同時(shí)在內(nèi)外網(wǎng)間建立一個(gè)被隔離的子網(wǎng)——DMZ。18第十八頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理3）應(yīng)用代理技術(shù)：屏蔽子網(wǎng)網(wǎng)關(guān)優(yōu)點(diǎn)：這種防火墻系統(tǒng)的安全性很好，因?yàn)閬碜酝獠烤W(wǎng)絡(luò)將要訪問內(nèi)部網(wǎng)絡(luò)的流量，必須經(jīng)過這個(gè)由屏蔽路由器和堡壘主機(jī)組成的DMZ子網(wǎng)絡(luò)；可信網(wǎng)絡(luò)內(nèi)部流向外界的所有流量，也必須首先接收這個(gè)子網(wǎng)絡(luò)的審查。堡壘主機(jī)上運(yùn)行代理服務(wù)，它是一個(gè)連接外部非信任網(wǎng)絡(luò)和可信網(wǎng)絡(luò)的“橋梁”。堡壘主機(jī)是最容易受侵襲的，萬一堡壘主機(jī)被控制，如果采用了屏蔽子網(wǎng)體系結(jié)構(gòu)，入侵者仍然不能直接侵襲內(nèi)部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)仍受到內(nèi)部屏蔽路由器的保護(hù)。19第十九頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理4）自適應(yīng)代理技術(shù)：特點(diǎn)：采用這種技術(shù)的防火墻有兩個(gè)基本組件：自適應(yīng)代理服務(wù)器（AdaptiveProxyServer）與動(dòng)態(tài)包過濾器（DynamicPacketFilter）。在“自適應(yīng)代理服務(wù)器”與“動(dòng)態(tài)包過濾器”之間存在一個(gè)控制通道。在對(duì)防火墻進(jìn)行配置時(shí)，用戶僅僅將所需要的服務(wù)類型、安全級(jí)別等信息通過相應(yīng)代理的管理界面進(jìn)行設(shè)置就可以了。然后，自適應(yīng)代理就可以根據(jù)用戶的配置信息，決定是使用代理服務(wù)從應(yīng)用層代理請(qǐng)求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動(dòng)態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對(duì)速度和安全性的雙重要求。20第二十頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理4）自適應(yīng)代理技術(shù)：優(yōu)點(diǎn)：安全性高。由于它工作于最高層，所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門的代理，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì)，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。21第二十一頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（2）防火墻的工作原理4）自適應(yīng)代理技術(shù)：缺點(diǎn)：速度相對(duì)比較慢，當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù)，在自己的代理程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間，所以給系統(tǒng)性能帶來了一些負(fù)面影響，但通常不會(huì)很明顯。22第二十二頁，共43頁。1.網(wǎng)絡(luò)安全設(shè)備：防火墻（3）防火墻的部署處于外部不可信網(wǎng)絡(luò)（包括因特網(wǎng)、廣域網(wǎng)和其他公司的專用網(wǎng)）與內(nèi)部可信網(wǎng)絡(luò)之間，控制來自外部不可信網(wǎng)絡(luò)對(duì)內(nèi)部可信網(wǎng)絡(luò)的訪問，防范來自外部網(wǎng)絡(luò)的非法攻擊。同時(shí)，保證DMZ區(qū)服務(wù)器的相對(duì)安全性和使用便利性。處于內(nèi)部不同可信等級(jí)安全域之間，起到隔離內(nèi)網(wǎng)關(guān)鍵部門、子網(wǎng)或用戶的目的。應(yīng)用于廣大的個(gè)人主機(jī)用戶，通常為軟件防火墻，安裝于單臺(tái)主機(jī)中，防護(hù)的也只是單臺(tái)主機(jī)。23第二十三頁，共43頁。本講要點(diǎn)：1.網(wǎng)絡(luò)安全設(shè)備：防火墻2.網(wǎng)絡(luò)安全設(shè)備：入侵檢測(cè)3.網(wǎng)絡(luò)安全新設(shè)備：

入侵防御、下一代防火墻、統(tǒng)一威脅管理24第二十四頁，共43頁。2.網(wǎng)絡(luò)安全設(shè)備：入侵檢測(cè)系統(tǒng)（1）入侵檢測(cè)的概念入侵（Intrusion）是指任何企圖危及資源的完整性、機(jī)密性和可用性的活動(dòng)。不僅包括發(fā)起攻擊的人（如惡意的黑客）取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕服務(wù)等對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生危害的行為。入侵檢測(cè)顧名思義，是指通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。25第二十五頁，共43頁。2.網(wǎng)絡(luò)安全設(shè)備：入侵檢測(cè)系統(tǒng)（1）入侵檢測(cè)的概念入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）。與防火墻類似，除了有基于PC架構(gòu)、主要功能由軟件實(shí)現(xiàn)的IDS，還有基于ASIC、NP以及FPGA架構(gòu)開發(fā)的IDS。26第二十六頁，共43頁。2.網(wǎng)絡(luò)安全設(shè)備：入侵檢測(cè)系統(tǒng)（2）入侵檢測(cè)的工作原理事件產(chǎn)生器：從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器：分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元：對(duì)分析結(jié)果作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫：是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡(jiǎn)單的文本文件。事件來源事件產(chǎn)生器事件分析器響應(yīng)單元事件數(shù)據(jù)庫27第二十七頁，共43頁。2.網(wǎng)絡(luò)安全設(shè)備：入侵檢測(cè)系統(tǒng)（2）入侵檢測(cè)的工作原理根據(jù)檢測(cè)數(shù)據(jù)的不同，IDS分為主機(jī)型和網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)。1）基于主機(jī)的IDS（HIDS），通過監(jiān)視和分析主機(jī)的審計(jì)記錄檢測(cè)入侵。2）基于網(wǎng)絡(luò)的IDS（NIDS），通過在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽，檢測(cè)入侵。28第二十八頁，共43頁。2.網(wǎng)絡(luò)安全設(shè)備：入侵檢測(cè)系統(tǒng)（2）入侵檢測(cè)的工作原理根據(jù)其采用的分析方法可分為異常檢測(cè)和誤用檢測(cè)。1）異常檢測(cè)。需要建立目標(biāo)系統(tǒng)及其用戶的正?；顒?dòng)模型，然后基于這個(gè)模型對(duì)系統(tǒng)和用戶的實(shí)際活動(dòng)進(jìn)行審計(jì)，當(dāng)主體活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，則將其視為可疑行為。該技術(shù)的關(guān)鍵是異常閾值和特征的選擇。優(yōu)點(diǎn)是可以發(fā)現(xiàn)新型的入侵行為，漏報(bào)少。缺點(diǎn)是容易產(chǎn)生誤報(bào)。29第二十九頁，共43頁。2.網(wǎng)絡(luò)安全設(shè)備：入侵檢測(cè)系統(tǒng)（2）入侵檢測(cè)的工作原理根據(jù)其采用的分析方法可分為異常檢測(cè)和誤用檢測(cè)。2）誤用檢測(cè)。假定所有入侵行為和手段(及其變種)都能夠表達(dá)為一種模式或特征，系統(tǒng)的目標(biāo)就是檢測(cè)主體活動(dòng)是否符合這些模式。該技術(shù)的關(guān)鍵是模式匹配。優(yōu)點(diǎn)是可以有針對(duì)性地建立高效的入侵檢測(cè)系統(tǒng)，其精確性較高，誤報(bào)少。主要缺陷是只能發(fā)現(xiàn)攻擊庫中已知的攻擊，不能檢測(cè)未知的入侵，也不能檢測(cè)已知入侵的變種，因此可能發(fā)生漏報(bào)。且其復(fù)雜性將隨著攻擊數(shù)量的增加而增加。30第三十頁，共43頁。2.網(wǎng)絡(luò)安全設(shè)備：入侵檢測(cè)系統(tǒng)（3）入侵檢測(cè)的部署與防火墻不同，入侵檢測(cè)主要是一個(gè)監(jiān)聽和分析設(shè)備，不需要跨接在任何網(wǎng)絡(luò)鏈路上，無需網(wǎng)絡(luò)流量流經(jīng)它，便可正常工作。對(duì)入侵檢測(cè)系統(tǒng)的部署，唯一的要求是：應(yīng)當(dāng)掛接在所有所關(guān)注的流量都必須流經(jīng)的鏈路上，即IDS采用旁路部署方式接入網(wǎng)絡(luò)。這些流量通常是指需要進(jìn)行監(jiān)視和統(tǒng)計(jì)的網(wǎng)絡(luò)報(bào)文。IDS和防火墻均具備對(duì)方不可代替的功能，因此在很多應(yīng)用場(chǎng)景中，IDS與防火墻共存，形成互補(bǔ)。31第三十一頁，共43頁。2.網(wǎng)絡(luò)安全設(shè)備：入侵檢測(cè)系統(tǒng)（3）入侵檢測(cè)的部署32第三十二頁，共43頁。2.網(wǎng)絡(luò)安全設(shè)備：入侵檢測(cè)系統(tǒng)（3）入侵檢測(cè)的部署檢測(cè)引擎檢測(cè)引擎檢測(cè)引擎控制臺(tái)33第三十三頁，共43頁。本講要點(diǎn)：1.網(wǎng)絡(luò)安全設(shè)備：防火墻2.網(wǎng)絡(luò)安全設(shè)備：入侵檢測(cè)3.網(wǎng)絡(luò)安全新設(shè)備：

入侵防御、下一代防火墻、統(tǒng)一威脅管理34第三十四頁，共43頁。3.網(wǎng)絡(luò)安全新設(shè)備（1）入侵防御系統(tǒng)主動(dòng)防御能力的需求主動(dòng)防御能力是指：系統(tǒng)不僅要具有入侵檢測(cè)系統(tǒng)的入侵發(fā)現(xiàn)能力和防火墻的靜態(tài)防御能力，還要有針對(duì)當(dāng)前入侵行為動(dòng)態(tài)調(diào)整系統(tǒng)安全策略，阻止入侵和對(duì)入侵攻擊源進(jìn)行主動(dòng)追蹤和發(fā)現(xiàn)的能力。入侵防御系統(tǒng)IPS（IntrusionPreventionSystem，也有稱作IntrusionDetectionPrevention，即IDP）作為IDS的替代技術(shù)誕生了。35第三十五頁，共43頁。3.網(wǎng)絡(luò)安全新設(shè)備（1）入侵防御系統(tǒng)IPS的概念I(lǐng)PS是一種主動(dòng)的、智能的入侵檢測(cè)、防范、阻止系統(tǒng)，其設(shè)計(jì)旨在預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。36第三十六頁，共43頁。3.網(wǎng)絡(luò)安全新設(shè)備（2）下一代防火墻著名市場(chǎng)分析咨詢機(jī)構(gòu)Gartner于2009年發(fā)布的一份名為《DefiningtheNext-GenerationFirewall》的文檔給出了下一代防火墻NGFW(Next-GenerationFirewall)的定義。1）傳統(tǒng)防火墻。2）支持與防火墻自動(dòng)聯(lián)動(dòng)的集成化IPS。3）應(yīng)用識(shí)別、控制與可視化。4）智能化聯(lián)動(dòng)。37第三十七頁，共43頁。3.網(wǎng)絡(luò)安全新設(shè)備（3）統(tǒng)一威脅管理UTM市場(chǎng)分析咨詢機(jī)構(gòu)IDC這樣定義UTM：這是一類集成了常用安全功能的設(shè)備，必須包括傳統(tǒng)防火墻、網(wǎng)絡(luò)入侵檢測(cè)與防護(hù)和網(wǎng)關(guān)防病毒功能，并且可能會(huì)集成其他一些安全或網(wǎng)絡(luò)特性。UTM可以說是將防火墻、IDS系統(tǒng)、防病毒和脆弱性評(píng)估等技術(shù)的優(yōu)點(diǎn)與自動(dòng)阻止攻擊的功能融為一體。38第三十八頁，共43頁。3.網(wǎng)絡(luò)安全新設(shè)備（3）統(tǒng)一威脅管理UTM市場(chǎng)分析咨詢機(jī)構(gòu)IDC這樣定義