网络安全理论与技术 课件全套 第1-12章 网络安全概述 -缓冲区溢出

网络安全概述主讲人：程远时间：2025.3课程简介各项安全技术相互依赖，形成一个完整的网络安全生态系统本课程共40学时，配套有网络安全理论与实践实验课程。理论课采用期末考试和平时考核相结合的方式组织课程考核。期末考核采用闭卷考试。期末考试占60%，作业占10%，课程论文/阶段测验占30%。参考书目：[1]刘建伟，王育民.网络安全——技术与实践(第三版).[2]黄晓芳.网络安全技术原理与实践.[3]胡建伟.网络安全与保密（第二版）.[4]张立江，苗春雨.网络安全。CONTENTS01计算机安全基本概念02OSI安全框架与网络攻击03安全服务与机制目录04网络安全模型与应用05P2DR安全模型与实践01计算机安全基本概念数据保密性与＆隐私性数据保密性：确保信息不向非授权者泄露，如银行账户信息，支付宝账号及密码。隐私性：保障个人对信息收集与保存的控制权，如社交媒体用户可选择公开或隐藏个人动态。数据完整性＆系统完整性数据完整性：信息只能以授权方式改变，如企业财务数据，防止篡改影响决策。系统完整性：防止非授权操作，确保系统正常运行，如工业控制系统，避免生产事故。可用性＆不可抵赖性可用性：保障系统为授权用户提供不间断的服务，如云存储服务，用户随时可访问数据。不可抵赖性：防止参与者否认其已执行的操作，如电子合同，确保双方承认签署行为。计算机安全定义与要素计算机安全是指通过技术手段和管理措施，保护计算机系统及其数据免受未经授权的访问、使用、修改或破坏，确保信息机密性、完整性和可用性。2022年西北工业大学遭美国网络攻击，关键服务器被控制，数据被窃取，凸显境外网络威胁。2024年上半年，全球网络攻击频发，如乌克兰黑客攻击俄罗斯数据中心，破坏工业运营。网络攻击案例与现状网络攻击与勒索软件，如企业服务器被勒索，导致业务中断，损失巨大。云计算、大数据发展带来新安全挑战，如数据存储与传输风险。网络安全挑战加强网络安全防护意识加强人才培养，提高技术防护能力完善法律法规推动网络安全与数字化、智能化的深度融合。如何应对未来挑战网络安全面临的挑战加强网络安全建设的重要性02OSI安全框架与网络攻击01安全攻击与机制安全攻击是危及信息系统的行为，如黑客入侵，需通过安全机制检测与阻止。安全机制如加密、访问控制，可有效抵御攻击，保障系统安全。02安全服务与框架应用安全服务通过机制实现，如认证服务防止身份冒用保障通信安全。OSI安全框架（X.800）为机构提供系统化方法，评价安全需求与选择产品政策。OSI安全框架概述被动攻击数据泄漏：使用户信息曝光，如邮箱账号被盗，隐私泄露。流量分析：可确定通信性质，攻击者通过观察消息频率与长度，推断通信内容。01主动攻击伪装攻击：非法实体冒充合法用户，获取系统访问权限。消息修改：通过截获与篡改消息，改变通信内容。拒绝服务攻击：使网络或服务器无法正常服务。02网络攻击类型与特点03安全服务与机制认证与访问控制服务认证服务：通过验证身份，确保通信实体真实性，如登录系统需验证用户名与密码。访问控制服务：限制用户对资源的访问权限，防止越权操作，保障系统安全。数据保密性与完整性服务不可否认性与可用性服务数据保密性服务：防止数据被窃听，如采用加密传输，保护用户数据隐私。数据完整性服务：确保数据未被篡改，如数字签名，验证数据真实与完整。不可否认性服务：防止消息发送与接收的抵赖，如电子商务中的数字签名。可用性服务：保障系统正常运行，满足用户需求，防止拒绝服务攻击。安全服务定义与分类安全服务是指加强数据处理系统和信息传输安全性的一种处理过程或通信服务。加密与数字签名机制访问控制与流量填充机制主体依据控制策略或权限对客体进行授权访问，阻止合法用户对系统资源的非法使用。流量填充机制防止流量分析。路由控制与公证机制加密机制可实现数据保密性与完整性，如AES加密算法保护数据传输安全。数字签名机制用于认证与不可否认性，如RSA签名算法，验证消息来源。路由控制机制可防止数据被截获，如选择安全路径传输数据。公证机制用于不可否认性服务，如第三方公证机构记录通信行为。安全机制与服务关系安全机制是指用来检测攻击、阻止攻击或者从攻击状态恢复到正常状态的过程。安全机制与服务关系每项安全服务是通过若干个安全机制的相互配合使用而得以实现。安全服务加密数字签名访问控制数据完整性认证流量填充路由控制公证同等实体认证YY

Y

数据源认证YY

访问控制

Y

保密性Y

Y

流量保密性Y

YY

数据完整性YY

Y

不可否认性

Y

Y

Y可用性

YY

04网络安全模型与应用设计攻击者无法攻破的算法，如公钥加密算法，保障数据安全。产生并管理秘密信息，如密钥分发中心，确保密钥安全共享。算法与秘密信息设计指明通信双方使用的协议，如SSL/TLS协议，实现数据加密与认证。设计合理且安全的密钥分发方案，确保密钥传输的安全性。协议与密钥分配方法网络安全模型构建要素网络系统安全模型网络访问安全模型恶意程序可获取或修改数据，如木马窃取用户信息。采用门卫功能与入侵检测程序，可以有效防止恶意程序访问与攻击。门卫功能通过口令登录，限制非授权用户访问。入侵检测程序实时监测网络流量，发现并阻止蠕虫、病毒攻击。05P2DR安全模型与实践0102策略与防护机制策略是实现信息系统安全目标的规则，如制定数据加密策略。防护措施通过安全技术实现，如防火墙、防病毒软件，保障系统安全。检测与响应机制检测机制评估系统安全状态，发现异常行为，如入侵检测系统。响应机制在发现异常后采取行动，如隔离受感染设备，恢复系统正常。P2DR模型组成与核心P2DR安全模型由策略、防护机制、检测和响应机制4部分组成。01.系统的安全目标保证Web服务器和FTP服务器能够提供服务。保证用户登录服务器时使用的私密信息不被泄漏。保证用户与服务器之间传输的信息没有被篡改，或者能够检测出发生了信息篡改。可以对访问服务器的终端实施控制。用户不能抵赖向服务器发送的请求消息。P2DR模型应用实例伪造服务器骗取用户登录用的私密信息（如钓鱼网站）；中间人采用某种手段截获用户与服务器之间传输的数据；黑客对目标服务器实施攻击，使服务器无法正常提供服务。02.风险分析03.安全策略与安全机制的应用制定安全策略，如使用加密通信，防止信息泄漏。应用安全机制，如数字签名，确保不可抵赖性，保障系统安全。P2DR模型应用实例为实现上述安全目标，可实施的安全策略包括：(1)限制向服务器发送数据的终端范围和数据类型，只允许特定终端向Web服务器发送超文本传输协议请求消息；(2)终端用户与服务器之间使用双向身份鉴别机制；如何实现？(3)终端加密传输登录服务器时使用的私密信息；如何实现？(4)终端对发送给服务器的请求消息进行数字签名；有何作用？(5)对终端与服务器之间传输的数据进行完整性检测；如何实现？(6)网络和服务器对黑客入侵行为进行监控。如何实现？谢谢大家第二章网络攻击第二章网络攻击2.3欺骗攻击2.2嗅探攻击2.1网络攻击定义及分类2.6黑客入侵2.4拒绝服务攻击2.5非法登录2.1网络攻击的定义及分类网络攻击的定义网络攻击是指利用网络中存在的漏洞和安全缺陷对网络中的硬件、软件及信息进行的攻击，其目的是破坏网络中信息的保密性、完整性、可用性、可控制性和不可抵赖性，削弱甚至瘫痪网络的服务功能。网络攻击的分类主动攻击是指会改变网络中的信息、状态和信息流模式的攻击行为。被动攻击是指不会对经过网络传输的信息、网络状态和网络信息流模式产生影响的攻击行为。2.1网络攻击的定义及分类典型的主动攻击包括篡改信息、欺骗攻击、拒绝服务、重放攻击等例：DNS欺骗又称DNS缓存中毒，是指攻击者通过篡改DNS中的记录，将用户原本意图访问的合法网站域名解析到攻击者控制的恶意IP地址上，从而使用户在毫不知情的情况下访问伪造的网站，实现了对用户流量的劫持与重定向。工作原理：攻击者会在DNS查询的传输路径中插入虚假的DNS响应。这些响应会伪装成合法的DNS服务器回复，欺骗用户的DNS解析器将域名解析到错误的IP地址。后续对该域名的访问都将被重定向至恶意网站。2.1网络攻击的定义及分类DNS欺骗的实施方式：1、中间人攻击（MITM）：攻击者拦截用户与DNS服务器之间的通信，并冒充DNS服务器向用户发送虚假的DNS响应。2、DNS服务器妥协：攻击者直接控制或劫持DNS服务器，修改其配置以返回恶意的IP地址。思考&讨论：如何抵御DNS欺骗攻击？DNS欺骗能够实施的根本原因在于DNS解析的分散性和无严格身份验证的特点。2.1网络攻击的定义及分类

针对DNS欺骗攻击可采取的防范措施：1、使用DNSSEC：DNSSEC（域名系统安全扩展）为DNS响应添加数字签名，确保DNS查询的完整性和真实性。2、选择可信赖的DNS服务器：使用经过验证且安全性高的DNS服务器，减少被攻击的风险。3、加密通信：使用HTTPS来保护用户与DNS服务器之间的通信安全。4、定期系统更新：DNS服务器及时更新系统和DNS软件，安装最新的安全补丁，以抵御新出现的漏洞和攻击手段。5、网络监控与异常检测：通过监视网络流量，分析DNS请求模式，及时发现并阻止异常的DNS活动。2.1网络攻击的定义及分类典型的被动攻击包括信息嗅探、非法访问和数据流分析等非法访问是指读取主机中存储的信息，但不对信息做任何改变。信息嗅探是指复制经过网络传输的信息，但不会改变信息和信息传输过程。2.1网络攻击的定义及分类数据流分析是指对经过网络传输的数据流进行统计，通过分析统计结果得出网络中的信息传输模式。例如：通过记录每一个IP分组的源和目的地址及IP分组中净荷字段的长度，可以得出每一对终端之间传输的数据量，并因此推导出终端之间的流量分布。2.2嗅探攻击1.嗅探攻击的原理终端A向B传输信息过程中，信息不仅沿着A至B的传输路径传输，还沿着A至黑客的传输路径传输，且A至黑客终端的传输路径对A和B都是透明的。2.嗅探攻击的后果破坏信息的保密性便于实现数据流分析实施重放攻击2.2嗅探攻击正常情况下，当交换机的转发表(MAC表)中存在某个终端对应的转发项时，交换机只从连接该终端的端口输出MAC帧；如果交换机的转发表中没有地址为MACB的转发项，则交换机采用与集线器相同的转发机制，即向其它所有端口转发来自终端A的MAC帧。1.交换机的数据帧转发原理2.2嗅探攻击2.利用MAC表溢出攻击实施嗅探MAC表溢出攻击实施过程黑客不断发送源MAC地址变化的帧，如发送一系列源地址分别为MAC1、MAC2…MACn

的帧，使得交换机转发表中添加地址分别为MAC1、MAC2…MACn

的转发项，大量的转发项将耗尽交换机转发表的存储空间。结果：当交换机接收到终端B发送的帧时，由于转发表的存储空间耗尽，无法添加地址为MACB的新转发项。此时，若终端A向终端B发送MAC帧，交换机就会以广播方式完成MAC帧的传输，黑客终端完成了嗅探任务。2.2嗅探攻击3.嗅探攻击的防御机制对于通过交换机实现的嗅探攻击，需要有防止黑客终端接入交换机的措施。交换机需要具备防御MAC表溢出攻击的机制。对于无线通信过程，嗅探攻击是无法避免的，因此需要对传输的信息进行加密。

2.3欺骗攻击实际转发路径实际转发路径正常转发路径截获攻击的危害：冒充合法用户进行登录和访问；对于加密报文，可以进行重放攻击，导致系统数据异常。如何改变报文的转发路径，实现对报文的截获呢？截获攻击：通过改变信息的传输路径，使信息经过黑客终端。黑客终端截获A发往B的数据报文后，可以进行如下操作：篡改信息，再转发给终端B；保留信息一段时间后，再将信息转发给终端B，或者将同一信息多次转发给终端B；黑客终端只保留信息，不转发给终端B。

2.3欺骗攻击——MAC地址欺骗攻击黑客终端实施MAC地址欺骗的步骤：黑客将自己的MAC地址修改为终端A的MAC地址；黑客发送以MACA为源地址，以广播地址为目的地址的MAC帧结果：终端B发往终端A的数据帧都会被转发到黑客终端。如何抵御MAC地址欺骗攻击呢？2.3欺骗攻击——DHCP欺骗攻击动态主机配置协议(DynamicHostConfigurationProtocol，DHCP)：为终端接入网络自动配置必要的网络信息，如IP地址、子网掩码、默认网关地址和本地域名服务器地址等。DHCP欺骗攻击的根本目的：让目标主机相信并接受来自伪造DHCP服务器的网络配置信息，从而实现报文截获。LAN1内的终端通常先接收到伪造的DHCP服务器所发送的参数配置消息，因而会选择伪造的DHCP服务器为其配置网络参数。在LAN1内连接一个伪造的DHCP服务器，其配置的子网掩码和可分配的IP地址与正常的DHCP服务器相同，但默认网关地址设置为黑客终端地址2.3欺骗攻击——APR欺骗攻击ARP协议本身存在的安全漏洞为实施ARP欺骗攻击提供了可能。终端无法鉴别ARP请求/回复报文中IP地址与MAC地址绑定项的真实性。地址解析协议(AddressResolutionProtocol，ARP)：当发送终端只知道接收终端的IP地址时，需要根据接收终端的IP地址解析出接收终端的MAC地址的报文交互过程。2.3欺骗攻击——APR欺骗攻击案例：黑客通过ARP欺骗来截获发送给终端A的IP分组黑客首先广播一个ARP请求报文，并在请求报文中将终端A的IP地址和自己的MAC地址MACC绑定在一起；当路由器接收到ARP请求报文后，在ARP缓冲区中记录IPA与MACC的绑定项。当收到目的地址为IPA的分组时，将分组封装成目的地址为MACC的帧，再将该MAC帧传输给黑客终端，黑客成功拦截了原本发送给终端A的IP分组；为了更稳妥地拦截发送给终端A的IP分组，黑客终端通常通过攻击让A瘫痪掉。2.3欺骗攻击——生成树欺骗攻击

生成树协议：为交换机设计一个存在冗余链路的网络，通过阻塞某些端口使网络没有环路。当某条链路或是某个交换机发生故障时，重新开通原来阻塞的端口使网络依然保持连通性而又没有形成环路；该协议既提高了网络的可靠性，又消除了环路问题。2.3欺骗攻击——生成树欺骗攻击

终端C终端A终端B终端B终端A终端C黑客终端连接到交换机S1，S2，然后运行生成树协议黑客终端伪装成交换机并配置很小的交换机优先级其他交换机运行生成树协议时将黑客终端作为根交换机2.3欺骗攻击——路由项欺骗攻击

案例：黑客通过路由项欺骗攻击来截获发送给终端B的IP分组黑客终端发送一个以组播地址为目的地址的路由消息，该路由消息伪造了一项黑客终端直接和LAN4连接的路由项；路由器R1接收到该路由消息后，生成错误的路由表项；路由器R1将连接在LAN1上的终端A发送给连接在LAN4上终端B的IP分组错误地转发给黑客终端。2.3欺骗攻击——源IP地址欺骗攻击源IP地址欺骗：某个终端发送IP分组时，不是以该终端真实的IP地址作为源IP地址，而是用其他终端的IP地址，或者伪造一个本不存在的IP地址作为IP分组的源IP地址的行为。源IP地址欺骗主要用在以下两种攻击过程：拒绝服务攻击SYN泛洪攻击：黑客终端用不存在的IP地址请求建立TCP连接；Smurf攻击：黑客终端用攻击目标的IP地址作为ICMPECHO请求报文的源IP地址。实施非法登录有些服务器只允许特定IP地址的终端访问，因此，黑客终端为了实施非法登录，用授权终端的IP地址作为源IP地址。如何防御源IP地址欺骗攻击？2.3欺骗攻击——钓鱼网站1.谈谈你对钓鱼网站的了解钓鱼网站是指黑客模仿某个著名网站的假网站，用户虽然在浏览器地址栏中输入该著名网站的域名，但实际访问的是黑客模仿该著名网站的假网站。常见的钓鱼网站类型2.3欺骗攻击——钓鱼网站2.钓鱼网站的传播方式有哪些？一是修改终端的hosts文件，也称为hosts文件劫持，黑客入侵终端后经常实施的攻击行为。二是修改终端配置的本地域名服务器地址，用假域名服务器地址取代原来正确的本地域名服务器地址。黑客实施钓鱼攻击的手段社工学或者用户操作不慎往往会登录到钓鱼网站2.3欺骗攻击——钓鱼网站3.抵御钓鱼网站的机制有哪些？1主机应当具有防御黑客入侵的能力，使得黑客无法修改主机信息2交换机应当具有防止伪造DHCP服务器接入的能力，只允许经过认证的DHCP服务器接入以太网3终端要具备鉴别Web服务器的能力，只有验证Web服务器身份后，才允许对其进行访问。2.4拒绝服务攻击拒绝服务攻击就是用某种方法耗尽网络设备、链路或服务器资源，使其不能正常提供服务的一种攻击手段。案例1‌：2024年，互联网档案馆遭受了一系列DDoS攻击，导致服务中断，影响了超过3100万用户的访问‌。案例2：六安网安部门破获了一起DDoS攻击案件，犯罪嫌疑人姚某利用境外通联软件搭建自动化攻击平台提供DDoS服务。1SYN泛洪攻击是一种通过耗尽服务器资源，使服务器不能正常提供服务的攻击手段。2Smurf攻击是一种通过耗尽网络带宽，使被攻击终端不能和其他终端正常通信的攻击手段。3分布式拒绝服务(DistributedDenialofService，DDoS)攻击是目前最常见的拒绝服务攻击形式。2.4拒绝服务攻击基本原理：Web服务器在会话表中为每一个TCP连接创建一项连接项；由于会话表中的连接项是有限的，与服务器建立的TCP连接数量也有限。SYN泛洪攻击通过快速消耗掉服务器TCP会话表中的连接项，使得正常的TCP连接无法建立的行为。黑客终端伪造多个不存在的IP地址，请求建立与Web服务器之间的TCP连接;服务器无法接收到来自客户端的确认报文，导致大量TCP连接处于半开放状态;当会话表中的内存被耗尽时，Web服务器无法为正常的TCP连接请求做出响应。1.SYN泛洪攻击SYN泛洪攻击过程2.4拒绝服务攻击黑客终端发送一个源IP地址为，目的IP地址为55的ICMPECHO请求报文；该IP分组在LAN3中以广播方式传输，到达LAN3中的所有终端；LAN3中的终端生成以自身IP为源地址，为目的地址的ICMPECHO响应报文，这些IP分组一起被发送到攻击目标；到达攻击目标的传输链路发生拥塞，导致其他终端无法和攻击目标正常通信。2.Smurf攻击Smurf攻击示例假定：攻击目标的IP地址为，LAN3和LAN4的网络地址分别为/16和/16（a）伪装（b）重播2.4拒绝服务攻击1.3.2主动攻击3.DDos攻击由肉鸡向其他正常主机发送大量无用的IP分组，分组经过这些正常主机系统反射后，被送往攻击目标，使攻击目标丧失服务能力。追踪间接DDoS攻击源的难度更大。

直接攻击间接攻击通过控制已经攻陷的主机直接向攻击目标发送大量无用的IP分组，使其丧失服务能力；2.4拒绝服务攻击2022年，国家互联网应急中心发现一个新的DDoS僵尸网络Fodcha，其每日境内上线肉鸡数已超过1万，且每日会针对超过100个攻击目标发起攻击。Fodcha僵尸网络位于境内肉鸡数按省份统计，排名前三位的分别为山东省(12.9%)、辽宁省(11.8%)和浙江省(9.9%)；按运营商统计，联通占59.9%，电信占39.4%，移动占0.5%。DDoS间接攻击案例：攻击者激活植入肉鸡中的攻击程序，程序随机产生以攻击目标IP地址为源地址的ICMPECHO请求报文。当请求报文到达目的端后，目的端产生大量ICMPECHO响应报文发往攻击目标，使攻击目标的网络链路发生过载，处理器资源消耗殆尽。2.4拒绝服务攻击DDoS攻击成功防御案例案例12016年，Cloudflare成功抵御了一次超过400Gbps的SYNFloodDDoS攻击。其成功之处在于采用了全球分布式的网络架构，实时流量分析以及智能过滤算法，迅速识别并阻断了恶意流量。案例2某大型商业银行在其数据中心前端部署了多层次防御系统，包括边界防火墙、流量清洗设备以及应用层防护机制，有效抵御了多次针对性的DDoS攻击，保障了线上金融服务的稳定性。抵御DDoS攻击的有效策略采用分布式架构与全局流量调度能够有效抵抗大规模DDoS攻击；防御体系应具备深度防御和动态响应能力，涵盖网络层、传输层到应用层的全方位防护；定期进行风险评估与应急演练，确保在真实攻击来临时快速做出响应。非法登录是指非授权用户远程登录（Telnet）网络设备和Web服务器，并对网络设备和Web服务器进行非法配置的攻击行为。2.5非法登录方式1由于Telnet用明码传输用户名和口令，一旦截获用户远程登录过程中传输的信息，就可获得授权用户的用户名和口令。方式2采用暴力破解口令的方法得到授权用户的用户名和口令非法登录的前提是获取授权用户的用户名和口令，怎样实现？防御策略：授权用户登录时以密文方式向网络设备和Web服务器传输身份信息。要求口令必须具备一定长度，同时包含数字、大写字母、小写字母和特殊字符，使黑客短时间内无法通过暴力破解来获得口令。2.6黑客入侵黑客入侵是指黑客利用主机系统存在的漏洞，远程入侵主机系统的过程。黑客成功入侵有两个前提：一是黑客终端与攻击目标之间存在网络可达的通路；二是攻击目标存在安全漏洞。信息收集黑客攻击的基本步骤开放的网络服务；企业服务器域名和IP地址；企业信息；无线接入设备扫描企业的网络拓扑结构；应用服务器使用的操作系统和程序的类型、版本渗透利用服务器漏洞上传木马病毒，利用木马病毒实现对服务器的非法访问攻击通过木马程序开启后门，植入DDoS攻击程序；启动Telnet服务，建立具有管理员权限的用户，获取主机资源2.6黑客入侵1.快速阻断黑客终端与攻击目标之间的传输通路针对黑客入侵，可以采取哪些防御措施？2.消除操作系统和应用程序存在的漏洞是防御黑客入侵的最有效方法；定期更新系统和程序补丁。3.主机安装入侵检测程序，一旦黑客入侵，检测程序能够记录黑客的入侵过程，还能消除黑客入侵后留下的隐患。THANKS第三章防火墙第三章防火墙3.3包过滤防火墙3.2网络地址转换3.1防火墙概述3.6应用层网关3.4状态检查防火墙3.8堡垒主机及其应用3.5电路层网关3.9防火墙的发展趋势3.7Web应用防火墙3.1防火墙概述谈谈你对防火墙的认识和理解（用途、功能特点、形态、类型……）3.1防火墙概述0102部署位置用途防火墙是一种位于企业内部网络与外部Internet之间的网络安全设备它将内部网络和外部网络隔离，保护内部网络免受未经授权的访问、恶意攻击和网络威胁0304工作原理物理形态防火墙通过监测、过滤和控制流量，确保只有符合规则的数据包才能在不同网络间进行传输防火墙可以是一台单独的计算机，也可以通过功能模块的形式集成在路由器或者网关设备中3.1防火墙概述防火墙应具备的基本要求：所有内外网之间的通信，都必须经过防火墙。只有被授权的通信才能通过防火墙，不同类型的防火墙可以实现不同的安全策略。防火墙本身对于攻击必须是免疫的。3.1防火墙概述部署防火墙的关键——设置合适的访问策略IP地址和协议值：根据源地址或目的地址以及端口号，对入站或出站流量进行访问控制。应用协议：基于应用协议数据类型进行访问控制。例如，检查SMTP垃圾邮件或者仅对授权网站的HTTP网络请求允许其通过。用户身份：基于用户身份的访问控制，通常采用某种形式的安全认证技术证明用户的身份部署了防火墙就可以阻挡所有网络攻击了吗？3.1防火墙概述防火墙也有一定的局限性：

(1)对能够绕过防火墙的攻击行为无法防御。

(2)防火墙不能消除来自内部(比如某个心怀不满的雇员或者某个私下里与网络外部攻击者联手的雇员)的威胁。

(3)可以从组织外访问一个防护措施不够的无线局域网。内部防火墙将企业网分隔成不同区域，但不能阻止内部防火墙隔离的不同区域之间的无线通信。

(4)笔记本电脑、移动存储设备可能在企业网外部使用时被感染，然后连接到企业网并在内部使用，从而感染内部网络。部署了防火墙就可以阻挡所有网络攻击了吗？‌NAT（NetworkAddressTranslation，网络地址转换）‌技术于1994年提出，广泛应用于家庭、小型办公室和大型企业网络中，特别是在网络地址资源有限的环境下。NAT将内部网络地址转换成公网地址，以实现多台计算机共用一个公网IP地址上网‌。NAT常用于连接私有网络与公共网络之间的路由器或者防火墙上。3.2网络地址转换（NAT)InternetIP:IP:……..主机要上网，需要申请一个IP地址32位IP地址资源稀缺3.2网络地址转换（NAT)‌使用NAT技术可以带来哪些好处？‌通过NAT技术实现内部计算机与外部网络之间的通信‌。通过将多个私有IP地址映射到一个公网IP地址上，节省公网IP地址；隐藏内部网络的IP地址，防止外部攻击，保护内部计算机‌，增强安全性；‌3.2网络地址转换（NAT)‌注：Internet上的主机通过IP地址访问路由器；内网中的主机则通过内网的IP地址0访问路由器。NAT应用场景示例内网（专用）IP地址NAT路由器工作原理：(1)对于输出数据包，NAT路由器用其外部地址替换数据包本来的源地址；(2)对于输入数据包，NAT路由器用最终目标主机的IP地址替换数据包原来的目的地址(路由器的外部地址)。3.2网络地址转换（NAT)思考：对于输入数据包，NAT路由器如何知道该将此数据包发给内网中的哪一台主机呢？输出数据方向输入数据方向3.2网络地址转换（NAT)要解决这个问题，NAT路由器需要维护一个转换表，该表将内部主机的地址映射到外部主机的地址。替换如果有多个内部主机同时与外网同一台主机通信，NAT路由器如何确定应该将响应数据包发给哪一台内部主机呢？3.2网络地址转换（NAT)路由器生成的端口号03.2网络地址转换（NAT)例：多个内部主机（、）同时与外网同一台主机（0）通信，路由器连接互联网侧的端口地址为（），请描述数据包在进出内部网络时地址及端口号是如何进行转换的。3.3包过滤防火墙1.包过滤防火墙的工作原理包过滤防火墙依据一套规则对收到的IP数据包进行转发或者丢弃。防火墙需要对两个方向（进入内部网络和从内部网络发出）的数据包分别设置过滤规则；可选的过滤参数有源IP地址：产生数据包的源主机的IP地址(如)。目标IP地址：数据包目标主机的IP地址(如)。源和目的传输层端口号：如SNMP和TELNET必须在传输层进行，端口号分别为161和23。IP协议字段：定义传输净荷封装的内容。如果没有任何一条规则与数据包匹配，就执行默认操作。

(1)默认丢弃：所有没有被规定允许转发的数据包都将被丢弃。

(2)默认转发：所有没有被规定丢弃的数据包都将被转发。（a）伪装（b）重播包过滤防火墙应用实例安全策略：允许入站和出站的邮件流量通过，阻止其他类型流量通过。(1)规则A：从外部进入防火墙内部的邮件被允许通过(端口25对应SMTP服务)。(2)规则B：准许响应内部SMTP连接。(3)规则C：准许邮件流向外部。(4)规则D：准许响应外部SMTP连接。(5)规则E：这是一个默认策略。所有的规则集都需要包含一条默认规则。3.3包过滤防火墙包过滤防火墙的优点包括：部署配置简单、对用户透明、处理速度快。3.3包过滤防火墙包过滤防火墙的缺陷：包过滤器防火墙不检查上层数据，对于利用特定应用漏洞的攻击无法防范。日志功能十分有限，包过滤器日志一般只记录那些进行过过滤处理的关键信息。多数包过滤防火墙不支持高级用户认证方案。容易受到利用TCP/IP标准和协议栈漏洞的攻击，如IP地址欺骗。由于包过滤防火墙安全策略是由少数几个参数决定，因此，不恰当的设置导致其面对安全威胁显得十分脆弱。3.4状态检查防火墙状态检查防火墙的主要特点：状态包检查防火墙与包过滤防火墙审查相同的信息字段，同时还记录TCP连接信息，通过建立TCP连接的目录来增强TCP通信的安全。有些状态包检查防火墙还能跟踪TCP序列号，以防止基于序列号的攻击。实例：某状态检查防火墙建立的TCP连接记录表数据包经过状态检查防火墙，其源地址9，目的地址00，源端口80，目的端口1030，状态检查防火墙应对其执行什么操作？3.5电路层网关（1）电路层网关的工作原理电路层网关不允许端到端的直接TCP连接，而是由网关建立两个TCP连接。一个连接位于网关与内部网络的主机之间，另一个连接位于网关与外部网络的主机之间。连接建立之后，网关起着中继的作用。电路层网关工作于会话层，电路层网关除了要进行基本的包过滤检查外，还要对连接建立过程中握手信息SYN、ACK及序列号的合法性验证。3.5电路层网关（2）基于SOCKS的电路层网关SOCKS是一种网络传输协议，用于客户端与服务器之间通信的中继。SOCKS像代理一样为客户端和服务器端之间的数据通信提供安全服务。终端B首先与SOCKS代理建立TCP连接(SOCKS使用1080端口)；终端B向SOCKS代理提交身份认证信息；通过验证后，再向SOCKS后面的Web服务器发起TCP连接请求。SOCKS代理为会话双方转发TCP报文3.5电路层网关（3）电路层网关的优点对网络性能有适中程度的影响：工作的层次比包过滤防火墙高，因此过滤性能稍差，但比应用代理防火墙性能好。

切断了外部网络与防火墙后面服务器的直接连接。比包过滤防火墙、状态检查防火墙具有更高的安全性。3.6应用层网关应用层网关产生的背景互联网上的大量黑客攻击行为都是针对某种特定类型的网络应用服务，例如SQL注入、XSS攻击都是针对Web应用。因此，需要针对特定应用的自身特点开发出专用的防火墙设备。应用层网关的定义用于防御针对某种特定网络应用服务的攻击行为的设备称为应用层网关。应用层网关3.6应用层网关过滤不同应用的数据流不区分应用类型，只检查数据包的源地址和目的地址或检查UDP/TCP的端口号和某些标志位。过滤某种特定应用的数据必须为特定的应用服务编写代理程序，应用级网关分别扮演客户端代理和服务器代理的角色。包过滤防火墙应用级网关包过滤防火墙与应用级网关的区别3.7Web应用防火墙(WebApplicationFirewall，WAF)Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的网络安全产品。本质上来说，WAF是针对Web应用的一种特殊的应用层网关。WAF的防护对象是部署在数据中心的Web服务器；WAF通常部署在企业对外提供Web服务的DMZ或者数据中心服务区。WAF主要具有以下功能：URL过滤和分类。出入站流量监控。限制命令执行。分析网络流量，对敏感命令进行过滤和阻止。网页防篡改。可视化和集中化管理。威胁情报库可以与WAF联动防护，实现CDN全网共享威胁情报及同行业威胁情报透明代理模式3.7Web应用防火墙(WebApplicationFirewall，WAF)一、WAF的部署方式透明代理路由代理串联部署模式旁路部署模式WAF本身是针对Web应用的防火墙，因而它不能过滤其他应用协议的流量，如FTP、PoP3协议等；WAF无法实现其他防火墙的网络地址转换功能，也不能防止网络层的DDoS攻击等。二、WAF的局限性云安全管理服务3.7Web应用防火墙(WebApplicationFirewall，WAF)网宿云WAF提供对常见Web应用攻击的防护，主要包含：HTTP请求合规检测跨站脚本类攻击防护防护扫描类攻击Webshell防护防护授权和认证类攻击Cookie篡改及盗用会话劫持目录遍历Web框架类攻击防护迪普科技WAF3000系列Web应用防火墙网宿科技云WAF◼Web漏洞扫描防护◼地理位置访问控制◼策略智能生成智能监控设备状态精准识别Webshell云安全管理服务Webshell的常见形式：PHPWebshell：如

<?php@eval($_POST['cmd']);?>ASPWebshell：如

<%evalrequest("cmd")%>JSPWebshell：如

<%Runtime.getRuntime().exec(request.getParameter("cmd"));%>3.8堡垒主机及其应用堡垒主机（BastionHost）是一种专门设计用于增强网络安全的主机，通常作为内部网络与外部网络之间的关键接入点。堡垒主机自身特点强化的安全性：经过专门配置，具备高安全性，能够抵御外部攻击。单一访问点：作为内部网络的唯一入口，便于集中管理和监控。最小化服务：仅运行必要的服务，减少攻击面。严格访问控制：通过防火墙、身份验证等措施，限制访问权限。堡垒主机的作用远程访问：允许授权用户通过堡垒主机安全访问内部资源。网络隔离：作为内外网络的缓冲区，减少直接暴露的风险。日志与监控：记录所有访问行为，便于审计和检测异常。防御攻击：通过安全配置和监控，抵御外部攻击，保护内部网络。堡垒主机的应用场景云计算：在云环境中作为访问虚拟机和资源的入口。企业网络：保护企业内网，防止外部威胁。3.8堡垒主机及其应用堡垒主机的常用组网方式主要有以下几种：双宿主堡垒主机堡垒主机有两个网络接口，分别连接内部网络和外部网络或DMZ。优点：安全性较高，可有效隔离内外网络。缺点：配置复杂，成本较高。2.多宿主堡垒主机堡垒主机有多个网络接口，连接多个网络或DMZ。优点：适合复杂网络环境，提供更高安全性。缺点：配置复杂，成本高。3.DMZ中的堡垒主机堡垒主机放置在DMZ中，连接外部网络和内部网络。优点：提供额外安全层，减少内部网络暴露。缺点：需额外设备，成本增加。4.云堡垒主机堡垒主机部署在云平台上，通过云服务访问内部资源。优点：弹性扩展，按需付费，适合分布式环境。缺点：依赖云服务商，需考虑数据安全和合规性。3.8堡垒主机及其应用双宿主堡垒主机应用部署示例3.8堡垒主机及其应用在DMZ中部署堡垒主机示例堡垒主机3.8堡垒主机及其应用防火墙和堡垒主机在网络安全中各有不同的角色和功能，主要区别如下：防火墙堡垒主机功能定位网络流量控制、边界防护访问控制点、强化安全部署位置通常部署在内网和外网之间，作为第一道防线通常部署在DMZ（非军事区）或内网边界，作为内外网之间的缓冲区安全机制包过滤、状态检测、应用层过滤访问控制：限制访问权限。日志与监控：详细记录所有访问行为，便于审计和检测异常应用场景用于保护整个内部网络，防止未经授权的访问和攻击远程管理内部服务器和网络设备。单一访问点：作为内部网络的唯一入口，便于集中管理和监控。管理与维护规则管理：需要定期更新和维护防火墙规则，应对新的威胁；日志分析：需要分析防火墙日志，检测和响应安全事件。系统加固：需要定期更新和加固操作系统和应用程序。访问审计：需要定期审查访问日志，确保没有未经授权的访问。3.8堡垒主机及其应用总结防火墙：主要用于网络流量的监控和控制，是网络边界的第一道防线。堡垒主机：主要用于提供安全的访问控制点，经过特别加固，用于管理和控制对内部资源的访问。两者在网络安全中相辅相成，防火墙提供广泛的流量控制，而堡垒主机提供具体的访问管理和安全强化。3.9防火墙的发展趋势防火墙技术正朝着智能化、云端化、高性能和集成化的方向发展。防火墙在技术上的发展趋势主要体现在以下几个方面：下一代防火墙（NGFW）深度包检测（DPI）：NGFW不仅检查数据包头，还深入分析数据包内容，识别应用层协议和恶意流量。集成威胁情报：结合实时威胁情报，提升对新型攻击的检测和响应能力。应用层控制：基于应用、用户和内容进行精细化的访问控制。云防火墙云端部署：随着企业上云，云防火墙提供与本地防火墙相同的安全功能，保护云环境中的资源。弹性扩展：根据流量需求自动扩展，适应云环境的动态变化。SaaS化：提供基于订阅的服务模式，简化部署和管理。零信任架构微隔离：在内部网络中实施细粒度访问控制，防止横向移动。持续验证：不默认信任任何用户或设备，持续验证身份和权限。4.AI与机器学习异常检测：利用AI和机器学习识别异常流量和行为，提升威胁检测能力。自动化响应：自动响应和缓解威胁，减少人工干预。5.集成与协同安全生态系统：与其他安全设备（如IDS、SIEM等）集成，形成协同防御体系。统一管理平台：通过集中管理平台统一配置和监控多台防火墙，提升管理效率。6.高性能与低延迟硬件加速：采用专用硬件（如FPGA、ASIC）提升处理性能，降低延迟。软件优化：通过算法和架构优化，提升软件防火墙的性能。7.边缘计算与IoT安全边缘防火墙：在边缘计算节点部署防火墙，保护边缘设备。IoT设备保护：针对IoT设备设计轻量级防火墙，提供基本安全防护。8.可视化与报告流量可视化：提供流量和威胁的可视化工具，帮助管理员快速识别问题。详细报告：生成详细的安全报告，支持审计和合规需求。3.9防火墙的发展趋势THANKS@benxinxin第四章入侵检测系统第四章入侵检测系统4.3入侵检测系统的分类及评价指标4.2入侵检测系统架构4.1入侵检测系统概述4.6入侵检测系统的发展方向4.4网络入侵检测系统4.5主机入侵检测系统4.7IDS与IPS的区别和联系（一）IDS的定义与功能定义：入侵检测系统（IDS）的功能是发现并反制针对网络或主机的入侵行为。主要功能：捕获信息、检测入侵、反制入侵。与防火墙的区别：防火墙控制信息传输，IDS检测异常信息。4.1入侵检测系统概述（二）

入侵的定义与手段入侵的定义：破坏网络可用性、保密性和完整性的行为。入侵的常见手段：恶意代码（病毒、后门）非法访问（漏洞利用、账号破解）拒绝服务攻击（SYN泛洪、僵尸网络）4.1入侵检测系统概述（三）IDS产生的背景现有网络安全技术的局限性：无法防御XSS攻击、蠕虫病毒、垃圾邮件等。IDS的功能需求：获取信息流、检测攻击、综合分析、记录入侵、追踪入侵源。（一）IDS的通用框架结构由事件发生器、事件分析器、响应单元、事件数据库组成。掌握各模块的功能与协作关系。4.2入侵检测系统架构事件发生器能够提供哪些类型事件消息？根据事件分析器的分析结果，响应单元可以执行哪些操作？事件数据库中存储哪些数据模型？4.2入侵检测系统架构（二）入侵检测系统的两种应用方式2.杂凑方式（镜像）优点：不会影响信息流在关键链路的传输；一旦检测出入侵行为，可以实时反制入侵行为。缺点：无法实时阻断入侵信息的传输过程。在线方式优点：一旦检测出入侵行为，可以实时阻断该入侵信息的传输过程，实时反制入侵行为。缺点：对IDS处理能力提出了较高要求，否则会对业务产生较大时延。4.3入侵检测系统的分类及评价指标根据不同的功能和部署位置，入侵检测系统可分为HIDS和NIDS1.主机入侵检测系统（HIDS）使用HIDS的必要性：（1）网络入侵检测系统通常只能捕获单段链路的信息流，无法对流经网络各条链路的所有信息进行检测；（2）网络入侵检测系统无法检测出所有已知或未知的攻击；（3）对不同配置的主机，入侵过程是不同的；（4）主机是判别信息流是否包含入侵信息的最合适位置；（5）黑客访问主机往往采用应用层安全协议，如HTTPS。网络入侵检测系统无法检测捕获的密文，而主机最终能够处理解密后的信息。4.3入侵检测系统的分类及评价指标HIDS的主要特点包括：有效抵御恶意代码。例如，通过网络下载的某个软件运行时，企图使用属于其他进程的存储空间，可以确定该软件带有缓冲区溢出攻击的恶意代码。管理信息传输。例如，发现通过某个TCP连接传输的信息被主机入侵检测系统定义为敏感信息，则可以确定主机中存在后门或间谍软件，HIDS将立即释放该TCP连接并记录下该TCP连接发起或响应进程。检测主机资源访问操作，强化资源保护。HIDS可以为主机的资源建立访问控制阵列，访问控制阵列给出每一个用户和进程允许访问的资源、资源访问属性等，根据访问控制阵列对主机资源的访问过程进行严格控制。4.3入侵检测系统的分类及评价指标2.网络入侵检测系统（NIDS）NIDS的主要特点包括：保护网络资源的可用性。例如，拒绝服务攻击通过阻塞链路来达到使正常用户无法正常访问网络资源，这一类攻击无法依靠HIDS防御。能够大规模的保护主机。单个网络入侵检测系统可以采用统一的安全策略保护一大批主机免遭攻击，这是HIDS难以实现的。与HIDS相辅相成。例如，黑客进行主机扫描时，网络入侵检测系统可以根据规定时间内主机发出的超量请求建立TCP连接的报文，从而确定网络正在遭受黑客对主机或端口扫描。而主机入侵检测系统则无法根据被响应报文确定黑客正在进行主机或端口扫描。4.3入侵检测系统的分类及评价指标评价入侵检测系统的指标主要有正确性、全面性和性能。一、正确性正确性要求入侵检测系统减少误报，误报是把正常的信息交换过程或网络资源访问过程作为攻击过程予以反制和报警的情况。减少误报的途径是建立能够正确区分正常信息(或操作)与攻击行为的统计值和规则集。二、全面性全面性要求入侵检测系统减少漏报，漏报主要发生在对未知攻击的检测中，减少漏报的关键同样在于用于区分正常信息交换过程(或资源访问过程)与攻击过程的统计值和规则集。三、性能性能是指捕获和检测信息流的能力。NIDS在线方式下必须具有线速捕获的能力。HIDS不能降低主机系统尤其是服务器响应服务请求的能力。

4.4网络入侵检测系统（NIDS）(一)NIDS的基本结构探测器是NIDS的核心设备，它负责信息流捕获、分析和异常检测，执行反制动作。探测器有两种工作方式，分别是在线方式和杂凑方式安全管理器负责探测器安全策略的配置，报警信息的处理，登记信息的分析、归类，最终形成有关网络安全状态的报告提供给网络安全管理员。

4.4网络入侵检测系统（NIDS）(二)信息流捕获机制杂凑方式下的探测器捕获信息流可以利用集线器、交换机端口镜像、虚拟策略路由三种方式。例如：交换机的端口镜像功能是指，如果某个端口配置为另一个端口的镜像，从该端口输出的所有MAC帧都将被复制到镜像端口；通过将端口2配置为不同端口的镜像，探测器可以捕获从不同端口输出的MAC帧

4.4网络入侵检测系统（NIDS）(三)NIDS的检测机制网络入侵检测系统的入侵检测机制主要可以分为三类：攻击特征检测、协议译码和异常检测。攻击特征检测：从已经发现的攻击中提取出标识这一攻击的特征信息，构成攻击特征库，对捕获到的信息进行攻击特征匹配操作；如果匹配到某个攻击特征，则说明捕获到的信息就是攻击信息。协议译码：对IP分组格式、TCP报文格式进行检测。根据协议要求对应用层净荷格式、净荷中各字段内容、请求和响应过程进行检测。如果发现和协议要求不一致的地方，则表明该信息可能是攻击信息。异常检测：首先需要建立正常网络访问过程中的信息流模式库和资源访问操作规则库，然后实时分析捕获到的信息。如果根据捕获到的信息得出的信息流模式或者网络资源访问操作与已经建立的信息流模式库或资源访问操作规则库中的相应规则存在较大偏差，则说明发现异常信息。

4.4网络入侵检测系统（NIDS）（1）攻击特征检测攻击特征分为元攻击特征和有状态攻击特征两类。元攻击特征是指用于标识某个攻击的单一字符串。IDS一旦在捕获到的信息中发现和元攻击特征相同的内容就意味着该信息是攻击信息；元攻击特征检测是针对每一个IP分组独立进行的。在具体实现过程中，为了检测出分散在多个TCP报文中的元攻击特征，需要进行TCP报文拼装。有状态攻击特征是由分散在整个攻击过程中的多个攻击特征标识某个攻击，且这些攻击特征的出现位置和顺序都有着严格的限制。只有在规定位置并按照规定顺序检测到全部攻击特征，才能确定发现攻击。/etc/pIP首部TCP报文序列号nasswdIP首部TCP报文序列号n+1TCP报文拼装后，检测到攻击字符串/etc/passwd

4.4网络入侵检测系统（NIDS）（2）协议译码协议译码可以在网络层、传输层和应用层分别对捕获的信息流进行检测IP分组检测检测各个字段值是否符合协议要求，重点检测分片是否正确；要求单个IP分组的分片必须完整包含整个TCP报文首部；要求所有分片拼装后的总长度限制在64kB。TCP报文检测通过检测TCP报文的序号，确定该TCP连接是否被攻击者用来传输攻击信息。应用层协议检测对净荷格式、净荷中各字段内容、请求和响应过程进行检测。

4.4网络入侵检测系统（NIDS）（3）异常检测有效检测出异常的前提：正常访问网络资源的信息流模式与入侵者攻击网络或非法访问网络资源的信息流模式之间存在较大区别。目前广泛采用两种用于建立正常访问网络资源的信息流模型（基准信息）的机制：基于统计机制和基于规则机制。生成基准信息后，网络入侵检测系统通过实时分析捕获到的信息流，找出和基准信息之间的偏差；如果偏差超过设定的范围，则意味着检测到异常信息。

4.4网络入侵检测系统（NIDS）基于统计机制通过对大量报文信息的统计分析，系统能够生成两类基准信息：阈值。如单位时间内建立的TCP连接数，传输的IP分组数，特定终端发送给特定服务器的建立TCP连接的请求数等。描述特定终端行为或特定终端和服务器之间行为的一组参数。例如，特定终端请求建立TCP连接的平均间隔、平均传输间隔、持续传输时间分布、特定应用层数据分布等。案例：系统建立的统计基准信息：IP地址为

的终端每秒发送的请求建立TCP连接的请求报文数为500。通过实时分析捕获到的信息流，如果发现IP地址为

的终端目前每秒发送的请求建立TCP连接的请求报文数为1000，则可以断定该终端正在实施主机扫描或端口扫描，必须予以防范。

4.4网络入侵检测系统（NIDS）基于规则机制基于规则机制是通过分析用户正常网络访问状态下，登记的信息和用户操作特点总结出的限制特定用户操作的规则。例如：系统建立了具有交互特性的TCP连接的规则如下：相邻TCP报文的最小间隔：500ms。相邻TCP报文的最大间隔：30s。TCP报文包含的最小字节数：20B。TCP报文包含的最大字节数：100B。背靠背TCP报文的最小比例：50%。TCP小报文的最小比例：80%。

4.4网络入侵检测系统（NIDS）异常检测的误报和漏报从正常访问过程和攻击过程的行为分布图可以发现，正常访问网络的行为和攻击网络的行为之间存在重叠。将A和B之间原本是攻击行为认为是正常访问，会存在漏报（红色部分）将A和B之间原本是正常访问误认为是攻击，会产生误报（黄色部分）

4.4网络入侵检测系统（NIDS）异常检测机制总结：异常检测虽然能够发现一些未知的攻击，但阈值或行为规则的设定过程比较复杂，需要根据应用特点和实际情况反复调整，还需根据所保护资源的重要性在误报和漏报之间权衡利弊。没有一种检测机制可以一劳永逸地解决入侵检测问题。随着攻击过程越来越复杂，黑客攻击的隐蔽性越来越好，必须在入侵检测技术领域不断创新，研究跟踪能力更强、智能性更高的入侵检测机制，提升国家网络安全技术水平。（四）NIDS安全策略的配置定义需要检测的信息流：安全策略通过指定IP分组的源IP地址范围和目的IP地址范围来确定需要实施入侵检测的IP分组。确定检测机制：包括协议译码、攻击特征检测和异常检测；通过指定攻击特征库来指定需要检测的攻击特征，例如，指定攻击特征库为HTTP-严重。制定反制动作：常见的反制动作有丢弃包含入侵信息的IP分组、复位包含入侵信息的TCP报文所属的TCP连接、阻塞源IP地址等。4.4网络入侵检测系统（NIDS）针对Web和FTP服务器的安全要求，配置相应的的安全策略。根据表中配置的两条安全策略，在线方式下的网络入侵检测系统只允许转发哪两类IP分组？在安全策略中，对检测出的攻击行为实施具体的反制动作。4.4网络入侵检测系统（NIDS）安全策略的配置实例4.5主机入侵检测系统（HIDS）由于黑客实施攻击的每个阶段都需要通过系统调用对主机资源进行操作，因此主机入侵检测系统的核心功能是拦截系统调用，根据安全策略和主机状态来检测系统调用的合理性和合法性，拒绝执行可疑的系统调用，并对发出可疑系统调用的进程和进程所属的用户进行反制。一、主机入侵检测系统的功能检测主机是否遭受黑客攻击需要从两个方面考虑：检测接收到的信息流中是否包含恶意代码，是否具备利用操作系统和应用程序漏洞实施攻击的特征。检测系统调用的合理性和合法性。4.5主机入侵检测系统（HIDS）1.修改操作系统内核当操作系统内核接收到操作请求时，根据操作请求中携带的信息和配置，如表中的访问控制阵列，由内核确定是否为正常访问操作。若操作系统厂家完成对操作系统内核的修改，则HIDS就成为操作系统的有机组成部分.二、拦截系统调用的机制2.系统调用拦截程序系统调用拦截程序能够拦截应用程序发出的系统调用，并根据发出系统调用的应用程序、需要访问的主机资源、访问操作类型等数据，结合所配置的安全策略，确定是否允许该访问操作主机资源。4.5主机入侵检测系统（HIDS）HIDS根据用户配置的访问控制策略实施对主机资源的访问控制过程。1.主机入侵检测系统拦截到某个访问操作请求时，首先收集以下信息:操作请求的发起者资源访问操作操作对象主机位置用户和系统状态2.根据上述收集的信息，HIDS依据配置的访问控制策略，确定允许/拒绝对主机资源的访问操作请求。三、HIDS中访问控制策略的配置4.5主机入侵检测系统（HIDS）（a）伪装（b）重播案例——使用入侵检测系统成功防范网络攻击背景：某大型电子商务公司面临频繁的网络攻击，尤其是SQL注入和DDoS攻击，威胁其业务连续性和客户数据安全。解决方案：部署NIDS和HIDS，并结合SIEM系统进行集中监控和分析。SQL注入攻击防范检测：NIDS检测到某次HTTP请求中包含可疑的SQL语句片段，立即触发警报。分析：SIEM系统分析该请求，确认其为SQL注入攻击。响应：系统自动阻断该请求，并通知安全团队进行进一步调查。结果：成功阻止了通过SQL注入获取数据库中的敏感信息，保护了客户数据安全。DDoS攻击防范检测：NIDS检测到大量异常流量，确认为DDoS攻击。分析：SIEM系统分析流量模式，确认攻击来源和类型。响应：系统自动启动防御机制，如流量清洗和黑洞路由，成功抵御攻击。结果：确保了网站的正常运行，避免了业务中断和客户流失。4.6入侵检测系统的发展方向（a）伪装（b）重播SIEM（安全信息和事件管理）系统SIEM系统的主要功能包括：日志收集与聚合、事件关联与分析、威胁检测与响应、合规性管理、可视化与报告、历史数据分析。IDS是实时入侵检测工具，而SIEM是综合安全管理平台。两者主要区别如下：4.6入侵检测系统的发展方向功能互补。IDS专注于实时监控和检测潜在入侵行为。SIEM不仅收集和分析IDS的告警，还整合其他安全设备的日志，提供更全面的安全分析和事件管理。数据整合。SIEM系统通常整合来自多个IDS的数据，结合其他日志（如防火墙、服务器）综合分析。增强分析：IDS提供初步检测，SIEM通过关联分析、历史数据挖掘，提供更深入的安全洞察。4.6入侵检测系统的发展方向入侵检测系统的不足（1）主机入侵检测系统存在的不足主机入侵检测系统只是一个应用程序，而操作系统无法对主机入侵检测系统提供额外的安全保护，因此，很容易发生卸载主机入侵检测系统、修改主机入侵检测系统配置的事件。（2）网络入侵检测系统存在的不足对于黑客通过HTTPS攻击Web服务器的情况，网络入侵检测系统是无能为力的。另外，为每一段链路都配置网络入侵检测系统的成本较高，运维管理难度较大。（3）难以防御未知攻击正常的网络资源访问过程可能被误认为是攻击；真正的攻击可能因为与正常的网络操作过程相似而被认为是合法操作。1.人工智能与机器学习的深度应用行为分析与异常检测：利用机器学习模型分析用户和设备行为，识别异常模式。例如，通过深度学习检测零日攻击或高级持续性威胁（APT）。自适应学习：IDS能够动态调整检测规则，适应不断变化的网络环境和攻击手法。减少误报：通过AI优化规则引擎，降低误报率，提高检测准确性。2.大数据分析与威胁情报集成海量数据关联分析：结合大数据技术，对网络流量、日志和事件进行实时关联分析。例如，使用Spark、Hadoop等框架处理大规模数据。威胁情报共享：集成全球威胁情报源（如CVE、MITREATT&CK），实时更新攻击特征库。支持自动化响应，快速阻断已知威胁。4.6入侵检测系统的发展方向入侵检测技术的六大发展趋势3.云原生与边缘计算支持云环境适配：针对云原生架构（如Kubernetes、微服务）设计轻量级IDS。支持容器、无服务器计算（Serverless）等新型技术。边缘计算部署：在边缘设备（如IoT、5G网络）上部署IDS，实现本地化检测和响应。减少延迟，提高实时性。4.自动化与协同响应SOAR集成：与安全编排、自动化与响应（SOAR）平台集成，实现自动化威胁响应。例如，自动隔离受感染主机、阻断恶意IP。协同防御：IDS与防火墙、SIEM（安全信息与事件管理）等系统联动，形成协同防御体系。例如，检测到攻击后自动更新防火墙规则。4.6入侵检测系统的发展方向5.加密流量（SSL/TLS）检测随着加密流量的普及，IDS需要支持SSL/TLS解密，检测隐藏在加密流量中的威胁。例如，使用中间人（MITM）技术解密流量进行分析。6.轻量化与高性能资源优化：开发轻量级IDS，适用于资源受限的环境（如IoT设备）。高性能检测：利用硬件加速（如FPGA、GPU）提升检测性能，支持高吞吐量网络。4.6入侵检测系统的发展方向总结未来IDS的发展将更加智能化、自动化和协同化，同时适应云原生、边缘计算和零信任等新兴架构。通过结合AI、大数据、威胁情报和自动化技术，IDS将能够更高效地应对日益复杂的网络威胁，为网络安全提供更强大的保障。4.6入侵检测系统的发展方向4.7IDS、IPS的区别和联系IDS（入侵检测系统）和IPS（入侵防御系统）是网络安全领域的两个核心组件，两者既有密切关联，又在功能、部署方式和作用上存在显著差异。它们共同构成网络安全的“检测”与“防御”闭环。特性IDS（入侵检测系统）IPS（入侵防御系统）主要目标监测和告警：识别潜在攻击行为并生成警报。主动防御：检测到攻击后实时阻断恶意流量工作模式被动模式：仅分析流量，不干预网络通信。主动模式：直接拦截或丢弃可疑流量。部署位置通常部署在网络内部（旁路监听）通常部署在网络边界（如防火墙后，串联模式）。延迟影响无网络延迟（仅监听）。可能引入微秒级延迟（需实时处理流量）误报风险误报仅触发告警，不影响业务。误报可能导致合法流量被阻断，需更高准确性。IDS与IPS的协同关系：检测与防御的互补(1)IDS的核心作用威胁发现：通过特征匹配或行为分析（基于异常的检测）识别攻击。事后分析：记录攻击日志，用于安全事件溯源和取证。安全态势感知：长期监控网络流量，帮助构建安全基线。(2)IPS的核心作用实时阻断：在攻击到达目标前自动拦截，例如阻断SQL注入、DDoS攻击流量。策略执行：根据预定义规则动态调整访问控制（如封锁恶意IP）。威胁缓解：结合威胁情报快速响应已知攻击。(3)典型协同场景分层防御：

IPS：作为第一道防线，拦截已知攻击（如漏洞利用）。

IDS：作为第二层，检测绕过IPS的隐蔽攻击（如APT）。联动响应：IDS检测到未知威胁后，通知IPS更新规则库或联动防火墙阻断攻击源。日志整合：IDS和IPS的日志共同输入SIEM（安全信息与事件管理）系统，实现全局分析。4.7IDS与IPS的区别和联系IDS与IPS技术实现差异技术维度IDS（入侵检测系统）IPS（入侵防御系统）检测方法基于签名、异常检测、启发式分析。同样基于签名和异常检测，但需更高实时性。处理机制 镜像流量分析（不影响原始流量）。 实时处理并修改流量（丢弃或重置连接）。性能要求 可容忍一定延迟，侧重分析深度。 需高吞吐量和低延迟，避免成为瓶颈。典型部署 Suricata、Snort（IDS模式）。 CiscoFirepower、PaloAltoIPS。随着技术发展，IDS和IPS的界限逐渐模糊，出现以下融合方案：统一威胁管理（UTM）：集成IDS、IPS、防火墙等功能于一体（如FortiGate）。下一代防火墙（NGFW）：内置IPS功能，同时支持深度流量检测。XDR（扩展检测与响应）：整合IDS/IPS数据，结合终端和云日志实现跨层分析。4.7IDS与IPS的区别和联系总结：IDS和IPS是网络安全体系中“监测”与“阻断”的双重支柱：IDS是“安全摄像头”，专注发现威胁并告警。IPS是“智能门禁”，主动拦截攻击以保护系统。两者协同工作可构建纵深防御体系，兼顾实时防护与深度分析，是现代企业应对复杂威胁的必备组合。4.7IDS与IPS的区别和联系THANKS@benxinxin数字证书与公钥基础设施（PKI）数字证书的撤销机制01/PKI的基本概念02/PKI的组成04/数字证书的生成与管理05/数字证书的签名与验证目录contents03/数字证书的概念与结构06/PKI的基本概念Part01公钥基础设施的含义公钥基础设施（PKI）是一种利用公钥加密技术构建的基础设施，用于提供身份认证、数据加密等安全服务，是网络安全的核心技术之一。所谓基础设施，是指在某个大型环境下普遍适用的基础和准则，只要遵循相应的准则，不同实体即可方便地使用基础设施所提供的服务。PKI通过管理公钥和私钥对，解决网络通信中的身份认证、数据完整性和机密性问题，确保网络环境的安全可靠。PKI的定义PKI的核心任务是确立可信的数字