(100)网络基础知识(安全篇)

1、网络基础知识（安全篇）,2008年1月 赵波、郎勇,网关级的安全产品,Firewall，IDS，UTM等,安全架构,安全网关,网络设备,端点系统,ID Passwd,VPN,OS、APP Scan、IPS,IDS、AV FW,端点可信代理 PTA,网关可信代理 - GTA,可信安全管理系统-TSM,网络可信代理 - NTA,VPN Scan、IPS,IDS、AV FW,Router Access,Switch,信任 管理,身份 管理,脆弱性 管理,威胁 管理,防火墙,防火墙,防火墙发展历史,IDS多重检测技术,网络数据,误 用 检 测,异 常 检 测,智 能 协 议 分 析,会 话 状 态 分

2、 析,报警事件,实 时 关 联 检 测,IDS部署,Internet,DMZ,NGIDS 控制台,NGIDS引擎,服务器区,Intranet,中小型网络环境,IDS：误用检测,误用检测（ Misuse Detection ）指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。,异常检测,行为尺度,可能的入侵,异常检测(Anomaly Detection）指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测。,协议分析充分利用

3、了网络协议的高度有序性，使用这些知识快速检测某个攻击特征的存在。 与非智能化的模式匹配相比，协议分析减少了误报的可能性。 与模式匹配系统中传统的穷举分析方法相比，在处理数据包和会话时更迅速、有效。,智能协议分析,Ethernet,IP,TCP,模式匹配,Ethernet,IP,TCP,智能协议分析,HTTP,Unicode,XML,会话检测,按照客户-服务器间的通信内容，把数据包重组为连续的会话流。 而基于数据包的入侵检测技术只对每个数据包进行检查。 与基于数据包的入侵检测技术相比，准确率高。,实时关联检测,UTM和安全网关,安全网关,网络设备,端点系统,ID Passwd,VPN,OS、AP

4、P Scan、IPS,IDS、AV FW,端点可信代理 PTA,网关可信代理 - GTA,可信安全管理系统-TSM,网络可信代理 - NTA,VPN Scan、IPS,IDS、AV FW,Router Access,Switch,信任 管理,身份 管理,脆弱性 管理,威胁 管理,集成网关,FW IDS AV AS VPN IPS,各种名词,Firewall Intension detection system Anti viruses Anti spam Virtual private net Intension protection system,认识病毒,病毒问题,病毒 蠕虫 木马,传统的

5、病毒分类,Worm A program which copies itself from one computer system to another. Trojan Horse Program with a hidden payload Trojan horse is a program which appears to serve a useful purpose, yet actually intentionally performs a malicious action. They must be run by an unsuspecting user or manually intr

6、oduced by a third party. Polymorphic Virus Mutates itself each time it infects a new application, disk or document! “Retro Viruses” Attack anti-virus software! Typically delete fingerprint files or change detection virus signature databases. Will not infect AV products that perform self checks.,病毒演化

7、的趋势,邮件/互联网,Code Red Nimda,funlove Klez,2001,2002,邮件,Melissa,1999,2000,Love Letter,1969,物理介质,Brain,1986,1998,CIH,SQL Slammer,2003,2004,冲击波 震荡波,蠕虫病毒,WORM_SASSER.A,染毒电脑,未修补漏洞的系统,已修补漏洞的系统,被感染,不被感染,被感染,被感染,不被感染,不被感染,United States South Korea China Germany France Taiwan Canada Italy Great Britain Japan To

8、tal,35.4% 12.8% 6.9% 6.7% 4.0% 3.9% 3.2% 3.0% 2.2% 1.8% 80.0%,40.0% 7.4% 6.9% 7.6% 5.2% 2.4% 3.0% 2.7% 2.1% 2.1% 79.6%,29.6% 8.8% 7.8% 5.9% 4.5% 2.6% 3.9% 2.5% 2.5% 2.0% 70.1%,Country,Percent of Total(July 1, 2002 Dec 31, 2002),Percent of Total(Jan 1, 2002 July 31, 2002),Percent of Total(July 1, 200

9、1 Dec 31, 2001),Top Ten Attacking Countries(July 1, 2001 December 30, 2002),部署在DMZ区的前面,spam,垃圾邮件的发展速度和趋势,数据来源：Radicati，2004.6,据调查结果表明，全球垃圾信息的数量增长之快令人吃惊，2004年与2003年的150亿条相比增长了115%，达到350亿条。 美国SBL著名垃圾邮件对比资料库提供的资料表明，中国是全球第二大垃圾邮件受害国，仅位居美国之后 。SBL称，中国网民收到的垃圾邮件数量占全球的十分之一，并且这个数字每五个月会翻一番。,中国垃圾邮件现状,处理垃圾邮件原理,邮件

10、服务器,正常行为邮件,硬件架构分析,从X86到ASIC,硬件架构的趋势,硬件平台技术分析-x86,基于X86的平台 主要提供商Intel ，AMD,特点： 软件开发比较灵活 便于快速推出产品 投资少 发热比较大 受总线带宽的限制 难以满足高速环境,硬件平台技术分析-其他嵌入式,基于其他 嵌入的平台 包括Power PC 、ARM、MIPS,特点： 产品稳定 低功耗，低成本 软件比较灵活 开发环境需要投资 受总线带宽的限制,硬件平台技术分析-ASIC,基于ASIC的平台 采用厂家 Netscreen、Fortinet,特点： 性价比比较高 产品稳定 可以满足高性能要求 灵活性不高 投资非常大 门槛高,硬件平台技术分析-NPU,基于NPU的平台 提供厂家 Int