安全设备规划与配置.ppt

**安全设备规划与配置第1页，共32页，星期日，2025年，2月5日17.1网络安全设备概述无论是大中型企业网络，还是小型家庭办公网络，对网络安全方面的要求一直保持上升趋势。解决网络安全问题最常用的防护手段就是安装相应的安全设备，尤其是对于大中型规模的网络而言，网络安全设备更是实现网络安全必不可少的装备。网络安全设备目前主要包括3种类型，即防火墙、IDS和IPS。第2页，共32页，星期日，2025年，2月5日17.1.1防火墙CiscoPIX535防火墙防火墙的英文名称为“FireWall”，是目前最重要的一种网络防护设备。网络防火墙的主要功能就是抵御外来非法用户的入侵，就像是矗立在内部网络和外部网络之间的一道安全屏障。第3页，共32页，星期日，2025年，2月5日1.防火墙的主要功能防火墙的主要功能，一般来说主要有以下几个方面。（1）创建一个阻塞点（2）隔离不同的网络（3）强化网络安全策略（4）包过滤（5）网络地址转换（6）流量控制和统计分析（7）URL级信息过滤2.防火墙的局限性与脆弱性第4页，共32页，星期日，2025年，2月5日17.1.2IDS入侵检测系统（IntrusionDetectionSystems，IDS）作为一种网络安全的监测设备，依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。第5页，共32页，星期日，2025年，2月5日1.IDS概述不同于防火墙，IDS入侵检测系统是一个监听设备，无需串接在任何链路中，无需网络流量流经该设备，即可监测到网络中的异常传输。事实上，IDS就是网络中的一个窃听设备，时刻关注着网络中的数据传输。CiscoIDS第6页，共32页，星期日，2025年，2月5日2.IDS的优势与缺陷（1）IDS的优势●整体部署，实时检测，可根据用户的历史行为模型、存储在计算机中的专家知识及神经网络模型，对用户当前的操作进行判断，及时发现入侵事件。●对于入侵与异常不必做出阻断通信的决定，能够从容提供大量的网络活动数据，有利于在事后入侵分析中评估系统关键资源和数据文件的完整性。●独立于所检测的网络，黑客难于消除入侵证据，便于入侵追踪与网络犯罪取证。●同一网段或者同一台主机上一般只需部署一个监测点就近监测，速度快，拥有成本低第7页，共32页，星期日，2025年，2月5日（2）IDS的缺陷●检测范围不够广。●检测效果不理想。●无力防御UDP攻击。●只能检测，不能防御。●无法把攻击防御在网络之外。●过分依赖检测主机。●难以突破百兆瓶颈。●性能有待提高。●伸缩性欠佳。●部署难度大。●安全策略不够丰富。第8页，共32页，星期日，2025年，2月5日17.1.3IPS入侵防御系统（IntrusionPreventionSystem，IPS）的设计基于一种全新的思想和体系架构。工作于串联（IN-LINE）方式，采用ASIC、FPGA或NP（网络处理器）等硬件设计技术实现网络数据流的捕获，引擎综合特征检测、异常检测、DoS检测和缓冲区溢出检测等多种手段；并使用硬件加速技术进行深层数据包分析处理，能高效、准确地检测和防御已知、未知的攻击及DoS攻击；并实施多种响应方式，如丢弃数据包、终止会话、修改防火墙策略、实时生成警报和日志记录等，突破了传统IDS只能检测不能防御入侵的局限性，提供了一个完整的入侵防护解决方案。第9页，共32页，星期日，2025年，2月5日1.IPS概述CiscoIPS设备第10页，共32页，星期日，2025年，2月5日2.IPS的技术特征作为信息安全保障主动防御的核心技术，IPS一般应具有下列主要的技术特征。（1）完善的安全策略（2）嵌入式运行模式（3）丰富的入侵检测手段（4）强大的响应功能（5）高效的运行机制（6）较强的自身防护能力第11页，共32页，星期日，2025年，2月5日3.IPS的分类IPS大致可以分为以下几类。（1）基于主机的入侵防御（HIPS）（2）基于网络的入侵防御（NIPS）（3）应用入侵防御（AIP）第12页，共32页，星期日，2025年，2月5日4.IPS的技术优势实时检测与主动防御是IPS最为核心的设计理念，也是其区别于防火墙和IDS的立足之本。为实现这一理念，IPS在如下5个方面实现了技术突破，形成了不可低估的优势。（1）在线安装（In-Line）。（2）实时阻断（Real-timeInterdiction）（3）先进的检测技术（Advanced