返回
安全设备规划与配置

安全设备规划与配置

ID:39515810

大小:613.00 KB

页数:32页

时间:2019-07-04

安全设备规划与配置_第1页
安全设备规划与配置_第2页
安全设备规划与配置_第3页
安全设备规划与配置_第4页
安全设备规划与配置_第5页
资源描述:

《安全设备规划与配置》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第17章安全设备规划与配置本章要点网络安全设备概述网络安全设计与配置CiscoASDM配置17.1网络安全设备概述无论是大中型企业网络,还是小型家庭办公网络,对网络安全方面的要求一直保持上升趋势。解决网络安全问题最常用的防护手段就是安装相应的安全设备,尤其是对于大中型规模的网络而言,网络安全设备更是实现网络安全必不可少的装备。网络安全设备目前主要包括3种类型,即防火墙、IDS和IPS。17.1.1防火墙CiscoPIX535防火墙防火墙的英文名称为“FireWall”,是目前最重要的一种网络防护设备。网络防火墙的主要功能就是

2、抵御外来非法用户的入侵,就像是矗立在内部网络和外部网络之间的一道安全屏障。1.防火墙的主要功能防火墙的主要功能,一般来说主要有以下几个方面。(1)创建一个阻塞点(2)隔离不同的网络(3)强化网络安全策略(4)包过滤(5)网络地址转换(6)流量控制和统计分析(7)URL级信息过滤2.防火墙的局限性与脆弱性17.1.2IDS入侵检测系统(IntrusionDetectionSystems,IDS)作为一种网络安全的监测设备,依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网

3、络系统资源的机密性、完整性和可用性。1.IDS概述不同于防火墙,IDS入侵检测系统是一个监听设备,无需串接在任何链路中,无需网络流量流经该设备,即可监测到网络中的异常传输。事实上,IDS就是网络中的一个窃听设备,时刻关注着网络中的数据传输。CiscoIDS2.IDS的优势与缺陷(1)IDS的优势●整体部署,实时检测,可根据用户的历史行为模型、存储在计算机中的专家知识及神经网络模型,对用户当前的操作进行判断,及时发现入侵事件。●对于入侵与异常不必做出阻断通信的决定,能够从容提供大量的网络活动数据,有利于在事后入侵分析中评估系统

4、关键资源和数据文件的完整性。●独立于所检测的网络,黑客难于消除入侵证据,便于入侵追踪与网络犯罪取证。●同一网段或者同一台主机上一般只需部署一个监测点就近监测,速度快,拥有成本低(2)IDS的缺陷●检测范围不够广。●检测效果不理想。●无力防御UDP攻击。●只能检测,不能防御。●无法把攻击防御在网络之外。●过分依赖检测主机。●难以突破百兆瓶颈。●性能有待提高。●伸缩性欠佳。●部署难度大。●安全策略不够丰富。17.1.3IPS入侵防御系统(IntrusionPreventionSystem,IPS)的设计基于一种全新的思想和体系架

5、构。工作于串联(IN-LINE)方式,采用ASIC、FPGA或NP(网络处理器)等硬件设计技术实现网络数据流的捕获,引擎综合特征检测、异常检测、DoS检测和缓冲区溢出检测等多种手段;并使用硬件加速技术进行深层数据包分析处理,能高效、准确地检测和防御已知、未知的攻击及DoS攻击;并实施多种响应方式,如丢弃数据包、终止会话、修改防火墙策略、实时生成警报和日志记录等,突破了传统IDS只能检测不能防御入侵的局限性,提供了一个完整的入侵防护解决方案。1.IPS概述CiscoIPS设备2.IPS的技术特征作为信息安全保障主动防御的核心技

6、术,IPS一般应具有下列主要的技术特征。(1)完善的安全策略(2)嵌入式运行模式(3)丰富的入侵检测手段(4)强大的响应功能(5)高效的运行机制(6)较强的自身防护能力3.IPS的分类IPS大致可以分为以下几类。(1)基于主机的入侵防御(HIPS)(2)基于网络的入侵防御(NIPS)(3)应用入侵防御(AIP)4.IPS的技术优势实时检测与主动防御是IPS最为核心的设计理念,也是其区别于防火墙和IDS的立足之本。为实现这一理念,IPS在如下5个方面实现了技术突破,形成了不可低估的优势。(1)在线安装(In-Line)。(2)

7、实时阻断(Real-timeInterdiction)(3)先进的检测技术(AdvancedDetectionTechnology)(4)特殊规则植入功能(Build-inSpecialRule)(5)自学习与自适应能力(Self-study&Self-adaptationAbility)5.IPS的缺陷IPS技术的缺陷主要包括4个方面,即单点故障、性能瓶颈、误报与漏报和总拥有成本较高。(1)单点故障(Single-pointFault)(2)性能瓶颈(PerformanceBottle-neck)(3)误报(Falsepo

8、sitive)与漏报(Falsenegatives)(4)总体拥有成本(TOC)高17.2网络安全设计与配置17.2.1防火墙设计防火墙通常部署于网络的边界。边界可以是局域网与广域的、局域网与Internet的、不同子网之间,以及子网与服务器之间的等。1.内部网络与Internet的连接之

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。