《组网补充知识》PPT课件.ppt

1、2020/10/9,上海交通大学计算机系,1,补充： 组网补充知识,2020/10/9,上海交通大学计算机系,2,目 录,一、入侵检测和入侵响应 二、容灾方案 三、网络存储技术,2020/10/9,上海交通大学计算机系,3,一、入侵检测和入侵响应,防范入侵的几种方法： 入侵预防 利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。 入侵检测 容忍入侵 当系统遭受一定的入侵或攻击的情况下，仍然能够提供所希望的服务。 入侵响应,2020/10/9,上海交通大学计算机系,4,入侵检测系统（IDS）,入侵（ Intrusion）: 企图进入或滥用计算机系统的行为。 入侵检测（Intrusion

2、Detection）： 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。 入侵检测系统（Intrusion Detection System ） 进行入侵检测的软件与硬件的组合便是入侵检测系统,2020/10/9,上海交通大学计算机系,5,入侵检测的分类（1）,按照分析方法（检测方法） 异常检测（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为

3、与库中的记录相匹配时，系统就认为这种行为是入侵,2020/10/9,上海交通大学计算机系,6,入侵检测的分类（2）,按照数据来源： 基于主机（Host-based IDS简称HIDS）： HIDS从主机/服务器上采集数据，包括操作系统日志、系统进程、文件访问和注册表访问等信息，系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。 HIDS的检测引擎被称为主机代理。 基于网络（ Network-based IDS，简称NIDS） ：系统获取的数据是网络传输的数据包，保护整个网段，保证网络的运行。 NIDS的检测引擎被称为网络引擎。NIDS的网络引擎放置在需要保护的网段内，不

4、占用网络资源，保护整个网段。 混合型（Hybrid IDS）：目前主流IDS产品都采用HIDS和NIDS有机结合，既可以发现网络中的攻击信息，也能从主机中发现异常情况。,2020/10/9,上海交通大学计算机系,7,HIDS的主要优点： 误报率低；监视特定的系统活动，HIDS既可以监视用户在系统上的活动，也可以监视只有管理员才能实施的非正常行为；适合加密和交换的环境；能够检查到NIDS检查不出的攻击；确定攻击是否成功，HIDS使用含有已发生事件的信息，准确判断攻击是否成功；不需要额外的硬件设备。 NIDS的优点： 成本较低，无需在被保护的主机上安装软件，将安全策略配置在几个关键访问点上就可以保

5、护大量主机/服务器；可检测到HIDS漏掉的攻击，通过检查分组的头部和数据内容，识别来自网络层的攻击；便于取证，NIDS利用正在发生的网络通信进行攻击的实时检测，攻击者无法转移证据；实时检测和响应，能检测未成功的攻击和企图。,2020/10/9,上海交通大学计算机系,8,入侵检测的分类（3）,按系统各模块的运行方式 集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行 分布式：系统的各个模块分布在不同的计算机和设备上,2020/10/9,上海交通大学计算机系,9,入侵检测的分类（4）,根据时效性 脱机分析：行为发生后，对产生的数据进行分析 联机分析：在数据产生的同时或者发生改变时进行分析

6、,2020/10/9,上海交通大学计算机系,10,IDS能做什么？,监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应（非常有限）,2020/10/9,上海交通大学计算机系,11,入侵检测技术,1、模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，来发现违背安全策略的入侵行为。该过程可以很简单，也可以很复杂。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断，能减少系统占用，并且技术已相当成熟，检测准确率和效率也相当高。但是，该技术需要不断进行升级以对付不断出现的攻击手法，并且不能检测未知攻击手段。,2020/1

7、0/9,上海交通大学计算机系,12,2、异常检测 异常检测首先给系统对象（用户、文件、目录和设备等）创建一个统计描述，包括统计正常使用时的测量属性，如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较，当观察值在正常值范围之外时，IDS就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵，缺点是误报、漏报率高。,2020/10/9,上海交通大学计算机系,13,3、完整性分析 完整性分析关注文件或对象是否被篡改，主要根据文件和目录的内容及属性进行判断，这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。完整性分析利用消息摘要函数的加密机制

8、，能够识别微小变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要攻击导致文件或对象发生了改变，完整性分析都能够发现。完整性分析一般是以批处理方式实现，不用于实时响应。尽管如此，完整性分析依然是IDS产品的必要手段之一。,2020/10/9,上海交通大学计算机系,14,入侵检测新进展,1、协议分析和状态协议分析 协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用了网络协议的高度有序性，并结合了高速数据包捕捉、协议分析和命令解析，来快速检测某个攻击特征是否存在，这种技术正逐渐进入成熟应用阶段。协议分析大大减少了计算量，即使在高负载的高速网络上，也能逐个分析所

9、有的数据包。,2020/10/9,上海交通大学计算机系,15,2、互操作 IETF制定了IDS之间信息交换的规范IDXP（Intrusion Detection Exchange Protocol）和IDMEF（Intrusion Detection Message Exchange Formats）。IDXP是一个应用级协议，是为IDS之间提供IDMEF消息、非结构化文本和二进制数据等信息的交换而设计。IDMEF为IDS之间共享信息定义数据格式和交换程序，IDMEF同样适用于与IDS交互的其他系统。 国外以Check Point为首的安全厂商，提出了开放平台安全互联OPSEC的概念。OPSE

10、C提供开放的接口，通过安全、灵活和可理解的框架来建立安全解决方案。,2020/10/9,上海交通大学计算机系,16,3、移动代理 将移动代理技术应用到IDS中，不仅能实现全网络范围内的入侵检测功能，具有良好的可移植性; 而且对网络系统和主机的资源占用较低，减少了出现网络瓶颈的可能。移动代理使得分布式协同入侵检测更为灵活。,2020/10/9,上海交通大学计算机系,17,入侵响应系统（IRS）,入侵响应（ Intrusion Response） ： 当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行。 入侵响应系统（Intrusion Response System） 实施入侵响应的系统,

11、2020/10/9,上海交通大学计算机系,18,入侵响应系统分类（1）,按响应类型 报警型响应系统 人工响应系统 自动响应系统,2020/10/9,上海交通大学计算机系,19,入侵响应系统分类（2）,按响应方式： 基于主机的响应 基于网络的响应,2020/10/9,上海交通大学计算机系,20,入侵响应系统分类（3）,按响应范围 本地响应系统 协同入侵响应系统,2020/10/9,上海交通大学计算机系,21,响应方式（1）,记录安全事件 产生报警信息 记录附加日志 激活附加入侵检测工具 隔离入侵者IP 禁止被攻击对象的特定端口和服务 隔离被攻击对象,较温和 被动响应,介于温和 和严厉之间 主动响

12、应,2020/10/9,上海交通大学计算机系,22,响应方式（2）,警告攻击者 跟踪攻击者 断开危险连接 攻击攻击者,较严厉 主动响应,2020/10/9,上海交通大学计算机系,23,自动响应系统的结构,响应决策,响应执行,响应决策 知识库,响应 工具库,安全事件,响应策略,响应命令,自动入侵响应总体结构,2020/10/9,上海交通大学计算机系,24,几种自动入侵响应,基于代理自适应响应系统 AAIRS（Adaptive Agent-based Intrusion Response System） 基于移动代理（Mobile Agent)的入侵响应系统 基于IDIP协议的响应系统 IDIP协

13、议（Intruder Detection and Isolation Protocol，入侵者检测与隔离协议） 基于主动网络(Active Network)的响应系统,2020/10/9,上海交通大学计算机系,25,二、容灾方案,1.什么是容灾 2.衡量灾难恢复系统的几个指标 3.容灾的实现方式,2020/10/9,上海交通大学计算机系,26,1. 什么是容灾 国务院信息办2005年颁布的重要信息系统灾难恢复指南中定义： 灾难指由于人为或自然的原因，造成信息系统运行严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件，这类事件通常导致信息系统需要切换到备用

14、场地运行。灾难恢复指为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。,2020/10/9,上海交通大学计算机系,27,IT行业的灾难可大体分为物理灾难和逻辑灾难。物理灾难指的是自然灾害等不可抗力造成的数据和应用载体（如硬件设备）的灭失，而逻辑灾难指的是数据丢失、被篡改和丧失一致性。物理灾难往往伴随着逻辑灾难，而逻辑灾难通常独自发生，而且比物理灾难要频繁得多。,2020/10/9,上海交通大学计算机系,28,2. 衡量灾难恢复系统的几个指标,数据恢复点目标(Recovery Point Objective

15、, RPO) 灾难发生时数据的损失量，指能够恢复到可以支持业务运作，系统及数据恢复的程度，可以是上一周的备份数据，也可以是上一次交易的实时数据。体现为该流程在灾难发生后恢复运转时数据丢失的可容忍程度。 恢复时间目标 (Recovery Time Objective, RTO) 灾难发生后恢复到业务重新运营所需要的时间。,2020/10/9,上海交通大学计算机系,29,网络恢复目标 (Network Recovery Objective, NRO) 营运网点需要多少时间才能通过备份网络与数据中心重新恢复通信。 一般来说，达到RPO指标的基本要求(即仅仅考虑数据保存到接近故障点)被称为数据级灾难备

16、份系统，实现成本较低。如达到RPO和RTO双重要求，被称为应用级灾备系统，其实现代价较高。,2020/10/9,上海交通大学计算机系,30,3.容灾的实现方式,(1) 容灾方案的分类 1) 离线式容灾 主要依靠备份技术来实现。 即将数据通过备份系统复制到磁带上，而后将磁带运用到异地保存管理。这种方式实现容易，投资少，但数据恢复慢，实时性差。 2) 在线式容灾 要求生产中心和灾备中心同时工作，两中心之间有传输链路连接，数据实时从生产中心传送复制到灾备中心，出现故障时，可由灾备中心自动接管并继续提供服务。数据重要性高的用户应采用这种方式。,2020/10/9,上海交通大学计算机系,31,(2)数据

17、复制的实现方式 从实现复制功能的设备分布可分为三层：服务器层、交换机层和存储层。 1)服务器层 生产中心和灾备中心的服务器上安装专用的数据复制软件，增加应用远程切换功能，以实现远程复制。这种数据复制方式相对投入较少，主要成本是采购复制软件；兼容性较好，可以兼容不同品牌的服务器和存储设备，较适合硬件组成复杂的用户。但这种方式要在服务器上运行复制软件，影响了服务器的性能。 2)交换机层 由交换机采用存储交换机技术完成复制功能，在生产中心和灾备中心都部署这样的交换机，交换机之,2020/10/9,上海交通大学计算机系,32,通过专用链路连接起来。用户需要将生产数据都存储在交换机所连接的存储设备中，实

18、现交换机对数据的管理和复制。目前使用这种技术的产品还不多，成熟性有待提高，价格也较贵，选用的用户比较少。 3) 存储层 现在中高端存储设备一般都具有先进的数据管理功能，可以进行远程数据复制。在生产中心和灾备中心都有这种功能的存储系统，实现数据复制。在存储层的数据复制功能是很成熟的技术，而且对应用服务器的性能基本没有影响，在应用层增加远程集群软件后就可以实现自动灾难切换的整体容灾解决方案。这种容灾方案稳定性高，是目前的主流。,2020/10/9,上海交通大学计算机系,33,三、网络存储技术 NAS (Network Attached Storage) SAN (Storage Area Netw

19、ork) 问题的提出： Internet上的信息存储容量急剧增长，已达1.4百万TB 传统存储技术(直接存储，DAS)不足 可扩展性差；主机存储容量不足；访问时间慢；平均磁盘利用率低；数据共享困难；数据备份不方便。,2020/10/9,上海交通大学计算机系,34,当前网络业务对存储系统提出的要求,高可用性 数据不丢失；系统不停机；性能不下降。 高性能 高数据传输率；高I/O吞吐率；高并行。 可扩展性 动态可扩展。 可维护性,2020/10/9,上海交通大学计算机系,35,主机,网络存储控制器,网络存储控制器,交叉开关,客户机,客户机,NAS体系结构,控制网络,2020/10/9,上海交通大学计

20、算机系,36,NAS与DAS的比较 网络附加存储（NAS） 通过文件系统的集中化管理能够实现网络文件的访问。 用户能够共享文件系统并查看共享的数据。 专业化的文件服务器与存储技术相结合，为网络访问提供高可靠性的数据。,2020/10/9,上海交通大学计算机系,37,直接连接存储（DAS） 只能通过与之连接的主机进行访问。 每一个主机管理它本身的文件系统，但不能实现与其他主机共享数据。 只能依靠存储设备本身为主机提供高可靠性的数据。,2020/10/9,上海交通大学计算机系,38,SAN 体系结构,The SAN architecture uses the Fibre Channel (FC) interface to prov