办公局域网入侵检测篇.doc

1、 办公局域网安全策略设计入侵检测篇班级：计科0801姓名：于佳涛学号：080102060051指导老师：杨在华 目录1.引言12.关键词注释33.网络结构框架图54.入侵检测技术设计与应用85.效果与评价9多技术整合优势9多层次防护优势9灵活的技术配置9优异的性能优势9全局性安全优势96.经费预算111引言 1.引言 网络安全，是计算机信息系统安全的一个重要方面。计算机系统的互联，在大大扩展信息资源的共享空间的同时，也将其本身暴露在更多恶意攻击之下。如何保证网络信息存储、处理的安全和信息传输的安全的问题，就是我们所谓的计算机网络安全。网络安全问题已经不再是一个新鲜的课题了，也己不再是一个高深的

2、课题了，以前它基本上是跟网络人士打交道，但现在每一个人都可能与它打交道。只要他的电脑连在网络上。特别是随着网络应用范围的不断大。例如：政治、军事、文化、经济、教育、卫生、科技、公共服务等等都在普及网络，它们的网络安全问题也越来越突出，特别是在关键应用系统，如金融、电信、民航、电力等系统中。可以预见，随着网络的超规模的发展，网络安全问题也越来越严重，会越来越被人重视。信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辩识、控制；确保信息的保密性、完整性、可用性、可控性。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密和鉴别七个方面。通俗地说

3、，网络信息安全与保密主要是指保护网络信息系统，使其没有危险、不受威胁、不出事故。从技术角度来说，网络信息安全与保密的目标主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性、可控性等方面。可靠性是网络信息系统能够在规定的条件下和规定时间内完成规定功能的特性。可靠性是系统安全的最基本要求之一，是所有网络信息系统的建设和运行目标。可用性是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。保密性是指防止信息泄露给非授权个人或实体，

4、信息只为授权用户使用的特性。保密性是在可靠性和可用性的基础之上，保障网络信息安全的重要手段。完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意的删除、修改、伪造、乱放、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、正确存储和正确传输。不可抵赖性是指在网络信息系统的信息交互过程中，确信参与者证据可以防止发信方否认已发送信息，利用递交接收证据可以防止收信方事后否认已经接受的信息。可控性是对网络信息的传播及内容具有控制能力的特性。2办公局域网安全策略 3关键词注释2.关键词注释入侵检测入侵检测系统是一

5、种主动防御手段，能够实时分析校园网外部及校园网内部的数据通信信息，检测出入侵行为或分辨入侵企图，在校园网络系统受到危害前以各种方式发出警报，并且及时对网络入侵采取相应措施，最大限度保护校园网系统的安全。通过多级、分布式的网络监督、管理、控制机制，全面体现了管理层对校园网关键资源的全局控制、把握和调度能力。防火墙防火墙（Firewall）是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间实现访问控制的一个或一组已经或软件系统。它是一道“门槛”，能有效的把互联网与内部网隔开，从而保护内部网免受非法用户的入侵。在某种意义上，防火墙就像一个私人俱乐部的看门人，他检查每个人的ID

6、，并确保只有俱乐部会员才能通过该们进入。4办公局域网安全策略5网络结构框架3.网络结构框架图在此架构中，防火墙采用启用了路由功能的Linux主机，并安装包过滤防火墙Iptables软件加上应用层代理软件Squid和socks。入侵检测系统有三个组成部分，数据捕捉器采用著名的开放源代码的基于网络的SnortIDS，安装Snort的主机(Linux操作系统)用于捕获办公网内部的网络数据，并将相关的警报数据保存到安装有PostgreSQL数据库管理系统的主机(linux操作系统)中，为了对入侵检测数据进行方便有效的监视和分析，同时在该主机中安装了ApacheWeb服务器和PHP脚本语言，从而在入侵检

7、测分析控制台主机(Windows操作系统)的Web浏览器中就可以对检测结果进行分析和监视。入侵检测系统是接入到交换式而不是广播式的网络中，所以要把交换机配置成允许一个端口监视所有的网络流量，然后将安装有Snort的Linux主机连接到那个端口上。因为交换机的核心芯片上一般有一个用于调试的端口(spanport)，任何其它端口的进出信息都可从此得到。如果交换机厂商把此端口开放山来，用户可将入侵检测系统接到此端口上。6办公局域网安全策略7入侵检测技术设计与应用4.入侵检测技术设计与应用入侵检测系统+防火墙的局域网安全策略不可否认，防火墙是保证局域网安全的最基本方式。防火墒可以按照需要米阻断或允许网

8、络通信。入侵检测系统IDS不能充当防火墙的替代品。IDS技术不是川米解决这些问题的。lDS的基本功能是监视内部网络的流鼙，并对识别到的重要攻击特征进行警报。但是IDS的确能作为防火墙的补充，冈为它能帮助监视内部网络的流量。有时在防火墙之外或者在DMZ(DeMilitarizd zone，1卜军事区)里面放置IDS是很不错的，这样你就能了解对防火墙进行攻击的情况。但是，在这种情况卜，IDS并不是替代防火墒的作川，而是作为入侵检测设备使刚。最普遍的一种策略是在的防火墒遭受攻击时止IDS重新配置防火墙。例如IDS利防火墙通信并让它臼动地关掉端口或禁J：主机。但是这个功能在开放源代码的防火墒产晶IPt

9、ables里是没有的，州户可以编写脚本米实现这个功能。防火墙是减少扫描威胁的最有效的方式。IDS可以帮助探测和阻碍主机扫描。但是IDS主要是监控内部网络传输，而不能作为防火墒来保护网络。这是冈为防火墙作为集中点，能够拦截或允许进出通信。有防火墙的地方，可以有效地使川一个系统去保护上白个其它系统免受扫描、嗅探雨l Dos(Denial OfService，拒绝服务攻击)攻击。可以将IDS安装在一台独立的网络主机上，这样也不消耗防火墙的系统资源，IDS主机可以向防火墙发送随机的Ping命令，以测试其是否启动，并能够通知系统管理员主机是否停机。另外IDS也可以监视与IPtables和Linux内核有

10、关的错误报告，记录当前的这些变化可以帮助系统管理员一口发现问题快速升级系统。冈此为了保证局域网的安全，采川IDS+防火墙的网络安全技术是最好的策略，冈为它不仅可以保护局域网免受外界攻击，也可以对局域网内部的网络通信进行检测，并发出警报或采取相应的主动行为。技术划分（1）异常检测模型：检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。 （2）误用检测模型：检测与已知的不可

11、接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。对象划分基于主机：系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理（agent）来实现的，代理是运行在目标主机上的小8办公局域网安全策略的可执行程序，它们与

12、命令控制台（console）通信。 基于网络：系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。 混合型：基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。9效果与评价5.效果与评价多技术整合优势各自为战的安全系统根本无法满足电信行业复杂应用的安全需求，本方案中高度重视多重技术的整合，各安全系统均采用统一的底层架构，这

13、就使得相互之间的通讯非常便利，通过个系统的相互联动，相互配合，从而更有效地解决电信行业用户办公局域网的安全需求，形成动态的、整体的安全防护体系。多层次防护优势方案全面分析了主机、网络、应用、管理的安全需求，从多个层面上抽取不同的安全需求，在技术选择和措施配置上，也充分覆盖了电信行业用户对主机、网络、应用和管理层面的安全需求，形成全面的安全解决方案。灵活的技术配置方案强调根据保护对象来采取不同的防护措施，对于电信行业用户办公局域网不同类型的业务系统和信息资产，采取了不同强度的访问控制技术、认证方式、授权方式、接入方式、审计方式等，充分满足电信行业用户对安全技术的灵活性需求，并保障了系统的可扩展性

14、。优异的性能优势隔离安全网关在技术平台上选择基于ASIC、多核处理器等多种硬件技术，设备具有极高的包转发效率和强大的吞吐能力，在千兆环境下实现全线速转发，并可支持万兆的网络环境，充分符合电信行业用户对高性能的要求;全局性安全优势方案引入的安全运营中心从全局的层面，深入分析电信行业用户办公局域网的整体安全事件，有效地保障了内控支撑体系的建设，同时运营平台能够与方案中采取的安全措施有效通讯，形成无缝集成的整体安全方10办公局域网安全策略11经费预算6.经费预算开办费网络中心的各项设施已在中心机房建设等建设项目中分项列支各项办公环境、设备配备等初始投资总计28万。年度运行费包括人工、办公、网络维修、局部功能扩展、个别关键点省级等，按建设投资总额的8%预算。