《网络安全基础与实践》 课件 第6章 网络安全设备

第六章网络安全设备网络安全基础与实践FundamentalsandPracticesofNetworkSecurityNetworkSecurity目录IPS入侵防御系统漏洞扫描网络设备管理第一节第二节第三节网络安全设备加固第四节一、IPS入侵防御系统2．未来新一代计算机芯片技术什么是IPS入侵防御系统IPS（IntrusionPreventionSystem）入侵防御系统，是一种安全机制，它通过分析网络流量，检测入侵（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后，能自动丢弃入侵报文或者阻断攻击源，从而从根本上避免攻击行为。一、IPS入侵防御系统2．未来新一代计算机芯片技术IDS（IntrusionDetectionSystem）入侵检测系统IDS入侵检测是一种对网络传输进行即时监视，在发现可疑传输时发出警报或采取主动反应措施的网络安全设备。它是对那些异常、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。一、IPS入侵防御系统2．未来新一代计算机芯片技术IDS入侵检测技术IDS入侵检测技术分为基于主机入侵检测系统（HIDS）和基于网络入侵检测系统（NIDS）基于主机入侵检测系统（HIDS）：主要用于保护运行关键应用的服务器，通过监视与分析主机的审计记录和日志文件来检测入侵。基于网络入侵检测系统（NIDS）：主要用于实时监控网络关键路径的信息，它能够监听网络上的所有分组，并采集数据以分析现象。一、IPS入侵防御系统2．未来新一代计算机芯片技术IPS入侵检测技术IPS在传统IDS的基础上增加了强大的防御功能：传统IDS很难对基于应用层的攻击进行预防和阻止。入侵防御设备能够有效防御应用层攻击，可以对报文层层剥离，进行协议识别和报文解析，对解析后的报文分类并进行专业的特征匹配，保证了检测的精确性。IDS设备只能被动检测保护目标遭到何种攻击。为阻止进一步攻击，它只能通过响应机制报告给FW，由FW来阻断攻击。入侵防御是一种主动积极的入侵防范阻止系统，能有效地实现了主动防御功能。一、IPS入侵防御系统2．未来新一代计算机芯片技术IPS的分类IPS常见的有基于网络的IPS和基于主机的IPS：基于网络的IPS也称为网络入侵防御系统（NIPS），NIPS通过检测流经的网络流量，提供对网络系统的安全保护。由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以去除整个网络会话。基于主机IPS也称为主机入侵防御系统（HIPS），HIPS通过在主机/上安装程序，防止网络攻击入侵以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。。目录漏洞扫描IPS入侵防御系统网络设备管理第二节第一节第三节网络安全设备加固第四节二、漏洞扫描2．未来新一代计算机芯片技术漏洞扫描工作原理漏洞扫描是指基于CVE、CNVD、CNNVD等漏洞数据库，通过专用工具扫描手段对指定的远程或者本地的网络设备、主机、数据库、操作系统、中间件、业务系统等进行脆弱性评估，发现安全漏洞，并提供可操作的安全建议或临时解决办法的服务。网络安全漏洞扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。漏洞扫描技术的原理是通过远程检测目标主机TCP/IP不同端口的服务，记录目标的回答。二、漏洞扫描2．未来新一代计算机芯片技术漏洞扫描工作原理一次完整的漏洞扫描分为三个阶段：第一阶段发现目标主机或网络。第二阶段发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。第三阶段根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。二、漏洞扫描2．未来新一代计算机芯片技术漏洞扫描分类漏洞扫描技术可以分为主动扫描和被动扫描：主动扫描是指通过扫描工具对目标系统进行主动扫描，发现系统中存在的安全漏洞。主动扫描可以分为网络扫描和应用程序扫描两种。被动扫描是指通过网络监控工具对目标系统进行被动扫描，发现系统中存在的安全漏洞。被动扫描可以分为网络监控和应用程序监控两种。二、漏洞扫描2．未来新一代计算机芯片技术常见的漏洞扫描工具OpenVAS是一款开放式的漏洞评估工具，也叫漏扫工具，主要用来检测目标网络或主机的安全性。该工具是基于C/S（客户端/服务器），B/S（浏览器/服务器）架构进行工作，用户通过浏览器或者专用客户端程序来下达扫描任务，服务器端负载授权，执行扫描操作并提供扫描结果。Nessus是一款漏洞扫描程序，全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务，并随时更新其漏洞数据库，被称为目前最流行的漏洞扫描工具。二、漏洞扫描2．未来新一代计算机芯片技术常见的漏洞扫描工具除软件形式的漏洞扫描之外，还有基于硬件的漏洞扫描。基于硬件的漏洞扫描器是专门用于检测硬件设备中的安全漏洞和风险的工具：CHIPSEC：这是一款由英特尔发布的开源安全检测工具，专注于检测计算机主板上的硬件漏洞和安全问题。FirmwareSecurityAnalyzer(FSA)：FSA是一款用于分析嵌入式设备固件的工具，它可以识别固件中的漏洞、恶意代码和安全风险.二、漏洞扫描2．未来新一代计算机芯片技术常见的漏洞扫描工具OpenOCD：是一个开源的调试和编程工具，可以用于与硬件设备进行通信，进行硬件漏洞扫描和调试。它为微控制器和处理器提供调试和编程功能。它允许开发人员与各种目标设备（如基于ARM和RISC-V的系统）的片上调试功能进行通信和控制。FirmwareSecurityAnalyzer(FSA)：FSA是一款用于分析嵌入式设备固件的工具，它可以识别固件中的漏洞、恶意代码和安全风险.二、漏洞扫描2．未来新一代计算机芯片技术常见的漏洞扫描工具OpenOCD：是一个开源的调试和编程工具，可以用于与硬件设备进行通信，进行硬件漏洞扫描和调试。它为微控制器和处理器提供调试和编程功能。它允许开发人员与各种目标设备（如基于ARM和RISC-V的系统）的片上调试功能进行通信和控制。RouterSploit：是一款用于网络路由器的渗透测试和漏洞扫描的工具，能够检测和利用路由器中的漏洞。目录网络设备管理漏洞扫描IPS入侵防御系统第三节第二节第一节网络安全设备加固第四节三、网络设备管理2．未来新一代计算机芯片技术网络设备管理网络设备管理是指有效地管理、监控和维护组织或企业网络中的各种网络设备的过程。网络设备管理的主要目标是确保网络的可用性、性能、安全性和可靠性，以满足组织的业务需求。网络设备管理对于组织和企业的网络运营和安全性至关重要，它不仅有助于保持网络的稳定性、安全性和性能，还减少了网络故障和数据丢失的风险。它是网络运营的关键组成部分，有助于确保网络能够满足组织的业务需求并适应不断变化的技术环境。三、网络设备管理2．未来新一代计算机芯片技术网络设备管理协议SNMP（SimpleNetworkManagementProtocol）：是一种用于监控和管理网络设备的协议。管理员可以使用SNMP来获取设备的状态信息、配置参数以及执行一些操作，如重启设备。SSH（SecureShell）：是一种用于远程访问和管理网络设备的加密协议。管理员可以使用SSH客户端连接到设备的命令行界面，进行配置和管理操作。三、网络设备管理2．未来新一代计算机芯片技术网络设备管理协议Telnet：是一种用于远程访问网络设备的协议，类似于SSH。它允许管理员通过文本界面连接到设备并执行操作。HTTP和HTTPS协议：用于通过Web界面管理网络设备。管理员可以使用Web浏览器访问设备的Web管理界面来配置和监控设备。RADIUS（RemoteAuthenticationDial-InUserService）：是一种身份验证和授权协议，用于管理用户访问网络设备。它通常用于控制远程用户访问VPN设备、路由器和交换机等设备。三、网络设备管理2．未来新一代计算机芯片技术网络设备管理协议TFTP（TrivialFileTransferProtocol）：是一种用于快速传输配置文件、固件和映像文件的协议。常用于更新网络设备固件或配置文件。ICMP（InternetControlMessageProtocol）：主要用于网络故障排除，但也可用于管理任务，如Ping操作，用于测试设备的可达性。NetFlow：是一种用于收集和分析网络流量数据的协议，可用于监控网络设备的流量和性能。三、网络设备管理2．未来新一代计算机芯片技术网络设备管理告警网络设备管理告警方案的基本架构：第一确定告警类型：可能包括硬件故障、网络性能下降、安全事件等。第二选择告警工具：选择适当的告警工具或平台，用于监控和管理网络设备。第三配置监控规则：配置监控规则，以确定何时触发告警。第四设定告警级别：定义告警级别，以区分不同类型的告警。三、网络设备管理2．未来新一代计算机芯片技术网络设备管理告警网络设备管理告警方案的基本架构：第五设置告警通知，配置告警通知方式，以便在触发告警时通知相关人员。第六定义告警接收人，确定哪些人员或团队将接收告警通知。第七建立告警处理流程，并记录和报告。第九定期测试和优化，确保它能够及时准确地检测问题。最后是集中化告警管理、安全性和合规性。目录网络安全设备加固漏洞扫描网络设备管理第四节第二节第三节IPS入侵防御系统第一节四、网络安全设备加固2．未来新一代计算机芯片技术网络安全设备加固思路网络安全设备加固对于维护网络安全至关重要。它有助于预防各种威胁，减少风险，保护关键数据和系统，确保组织的正常运行。主要思路有：风险评估和需求分析，识别潜在的威胁和漏洞。设备清单和分类，根据设备的关键性和敏感性进行分类。更新和补丁管理，确保设备的操作系统、应用程序和固件是最新的，并及时应用安全补丁。关闭不必要的服务和端口，禁用设备上不需要的服务和端口。四、网络安全设备加固2．未来新一代计算机芯片技术网络安全设备加固思路强化访问控制，确保只有经过授权的用户和系统可以访问设备。网络隔离和分段，将网络分成不同的安全区域，根据需要使用防火墙或VLAN进行隔离。设备监控和日志记录，启用详细的日志记录以便于事件分析和安全审计。物理安全，将设备放置在安全的物理位置，限制物理访问。安全审计和漏洞扫描。四、网络安全设备加固2．未来新一代计算机芯片技术网络安全设备加固思路制定明确的安全策略和规范，以确保设备加固的一致性。制定应急响应计划，明确在发生安全事件时应该采取的步骤。培训管理员和操作人员，确保他们