6-2网络安全——网络安全设备

网络安全——网络安全设备南京师范大学计算机科学与技术学院陈波12$dollars$dollars$dollarsDetection入侵检测Protect安全保护Reaction安全响应Recovery安全备份Management安全管理统一管理、协调PDRR之间的行动回顾整体性原则：PDRR安全防护模型信息安全案例教程：技术与应用本讲要点：31.网络安全设备：防火墙2.网络安全设备：入侵检测3.网络安全新设备：入侵防御、下一代防火墙、统一威胁管理信息安全案例教程：技术与应用31.网络安全设备：防火墙4（1）防火墙的概念国家 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 GB/T20281-2006《信息安全技术防火墙技术要求和测试评价方法》给出的防火墙定义是：设置在不同网络（如可信任的企业内部网络和不可信的公共网络）或网络安全域之间的一系列部件的组合。在逻辑上，防火墙是一个分离器，一个限制器，也是一个 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 器，能有效地监控流经防火墙的数据，保证内部网络和隔离区（DemilitarizedZone，DMZ，或译作非军事区）的安全。信息安全案例教程：技术与应用41.网络安全设备：防火墙5（1）防火墙的概念防火墙具有以下3种基本性质：是不同网络或网络安全域之间信息的唯一出入口；能根据网络安全策略控制(允许、拒绝、监测)出入网络的信息流，且自身具有较强的抗攻击能力；本身不能影响网络信息的流通。信息安全案例教程：技术与应用51.网络安全设备：防火墙6（1）防火墙的概念防火墙可以是软件、硬件或软硬件的组合。软件防火墙就像其它的软件产品一样需要在计算机上安装并做好配置才可以发挥作用，例如Windows系统自带的软件防火墙和著名安全公司CheckPoint推出的ZoneAlarmPro软件防火墙。信息安全案例教程：技术与应用如图所示，为Windows中自带的防火墙设置界面。如图所示，为ZoneAlarmPro防火墙软件控制界面。软件形式的防火墙具有安装灵活，便于升级扩展等优点，缺点是安全性受制于其支撑操作系统平台，性能不高。61.网络安全设备：防火墙7（1）防火墙的概念防火墙可以是软件、硬件或软硬件的组合。目前市场上大多数防火墙是硬件防火墙。这类防火墙一般基于PC架构，也就是说这类防火墙和普通PC类似。还有基于特定用途集成电路（ApplicationSpecificIntegratedCircuit，ASIC）、基于网络处理器（NetworkProcessor，NP）以及基于现场可编程门阵列（Field-ProgrammableGateArray，FPGA）的防火墙。这类防火墙采用专用操作系统，因此防火墙本身的漏洞比较少，而且由于基于专门的硬件平台，因而处理能力强、性能高。信息安全案例教程：技术与应用如图所示，为我国天融信公司的超万兆平台（擎天）防火墙产品。71.网络安全设备：防火墙8（2）防火墙的工作原理包过滤防火墙工作在网络层和传输层，它根据通过防火墙的每个数据包的源IP地址、目标IP地址、端口号、协议类型等信息来决定是将让该数据包通过还是丢弃，从而达到对进出防火墙的数据进行检测和限制的目的。包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，而是适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。信息安全案例教程：技术与应用总体来讲可分为“包过滤型”和“应用代理型”两大类。81.网络安全设备：防火墙9（2）防火墙的工作原理包过滤技术在发展中出现了两种不同版本，第一代称为静态包过滤，第二代称为动态包过滤。1）静态包过滤技术。这类防火墙几乎是与路由器同时产生的，它根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的包头信息进行制订。这些规则常称为数据包过滤访问控制列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf （ACL）。各个厂商的防火墙产品都有自己的语法用于创建规则。信息安全案例教程：技术与应用91.网络安全设备：防火墙10（2）防火墙的工作原理1）静态包过滤技术。 序号 源IP 目标IP 协议 源端口 目的端口 标志位 操作 1 内部网络地址 外部网络地址 TCP 任意 80 任意 允许 2 外部网络地址 内部网络地址 TCP 80 >1023 ACK 允许 3 所有 所有 所有 所有 所有 所有 拒绝信息安全案例教程：技术与应用在表6-2所示的过滤规则样表中包含了：规则执行顺序、源IP地址、目标IP地址、协议类型（TCP包、UDP包和ICMP包）、TCP或UDP包的源端口、TCP或UDP包的目的端口、TCP包头的标志位（如ACK）、对数据包的操作、数据流向在实际应用中，过滤规则表中还可以包含TCP包的序列号、IP校验和等，如果设备有多个网卡，表中还应该包含网卡名称。该表中的第1条规则允许内部用户向外部Web服务器发送数据包，并定向到80端口，第2条规则允许外部网络向内部的高端口发送TCP包，只要ACK位置位，且入包的源端口为80。即允许外部Web服务器的应答返回内部网络。最后一条规则拒绝所有数据包，以确保除了先前规则所允许的数据包外，其他所有数据包都被丢弃。当数据流进入包过滤防火墙后，防火墙检查数据包的相关信息，开始从上至下扫描过滤规则，如果匹配成功则按照规则设定的操作执行，不再匹配后续规则。所以，在访问控制列表中规则的出现顺序至关重要。101.网络安全设备：防火墙11（2）防火墙的工作原理1）静态包过滤技术的缺陷。 序号 源IP 目标IP 协议 源端口 目的端口 标志位 操作 1 内部网络地址 外部网络地址 TCP 任意 80 任意 允许 2 外部网络地址 内部网络地址 TCP 80 >1023 ACK 允许 3 所有 所有 所有 所有 所有 所有 拒绝信息安全案例教程：技术与应用111.网络安全设备：防火墙12（2）防火墙的工作原理2）状态包过滤技术。状态包过滤（StatefulPacketFilter）是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，对接收到的数据包进行分析，判断其是否属于当前合法连接，从而进行动态的过滤。跟传统包过滤只有一张过滤规则表不同，状态包过滤同时维护过滤规则表和状态表。过滤规则表是静态的，而状态表中保留着当前活动的合法连接，它的内容是动态变化的，随着数据包来回经过设备而实时更新。当新的连接通过验证，在状态表中则添加该连接条目，而当一条连接完成它的通信任务后，状态表中的该条目将自动删除。信息安全案例教程：技术与应用121.网络安全设备：防火墙13（2）防火墙的工作原理2）状态包过滤技术的局限。基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤。访问控制列表的配置和维护困难。对安全管理人员的要求高，在建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的了解。包过滤防火墙难以详细了解主机之间的会话关系。大多数过滤器中缺少审计和报警机制，只能依据包头信息，而不能对用户身份进行验证，很容易遭受欺骗型攻击。信息安全案例教程：技术与应用基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤。对于包过滤防火墙而言，数据包来自远端主机。由于防火墙不是数据包的最终接收者，仅仅能够对数据包网络层和传输层信息头等控制信息进行分析，所以难以了解数据包是由哪个应用程序发起。目前的网络攻击和木马程序往往伪装成常用的应用层服务的数据包逃避包过滤防火墙的检查，这也正是包过滤技术难以解决的问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 之一。访问控制列表的配置和维护困难。包过滤技术的实现依赖于详细和正确的访问控制列表。在实际应用中，对于一个大型的网络，由于可信任的IP数目巨大而且经常变动，而防火墙的安全性能与访问控制列表中的配置规则出现的先后顺序有关，网络安全策略维护将变得非常繁杂。而且，基于IP地址的包过滤技术，即使采用严策略的防火墙规则也无法避免IP地址欺骗的攻击。对安全管理人员的要求高，在建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的了解。包过滤防火墙难以详细了解主机之间的会话关系。包过滤防火墙处于网络边界并根据流经防火墙的数据包进行网络会话分析，生成会话连接状态表。由于包过滤防火墙并非会话连接的发起者，所以对网络会话连接的上下文关系难以详细了解，容易受到欺骗。大多数过滤器中缺少审计和报警机制，只能依据包头信息，而不能对用户身份进行验证，很容易遭受欺骗型攻击。131.网络安全设备：防火墙14（2）防火墙的工作原理3）应用代理技术采用应用代理技术的防火墙工作在应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。应用代理技术的发展也经历了两个版本，第一代的应用层网关（ApplicationGateway）技术，第二代的自适应代理（AdaptiveProxy）技术。信息安全案例教程：技术与应用141.网络安全设备：防火墙15（2）防火墙的工作原理3）应用代理技术应用层网关可分3种类型：双宿主主机网关；屏蔽主机网关；屏蔽子网网关。这三种网关都要求有一台主机，通常称为“堡垒主机”（BastionHost），它起着防火墙的作用，即隔离内外网的作用。信息安全案例教程：技术与应用151.网络安全设备：防火墙16（2）防火墙的工作原理3）应用代理技术：双宿主主机网关特点：堡垒主机充当应用层网关。在主机中需要插入两块网卡，用于将主机分别连接到被保护的内网和外网上。在主机上运行防火墙软件，被保护内网与外网间的通信必须通过主机，因而可以将内网很好地屏蔽起来。内网可以通过堡垒主机获得外网提供的服务。优点：这种应用层网关能有效地保护和屏蔽内网，且要求的硬件较少，因而是应用较多的一种防火墙；缺点：但堡垒主机本身缺乏保护，容易受到攻击。信息安全案例教程：技术与应用161.网络安全设备：防火墙17（2）防火墙的工作原理3）应用代理技术：屏蔽主机网关特点：为了保护堡垒主机而将它置入被保护网的范围中，在被保护内网与外网之间设置一个屏蔽路由器。它不允许外网用户对被保护内网进行直接访问，只允许对堡垒主机进行访问，屏蔽路由器也只接收来自堡垒主机的数据。与前述的双宿主主机网关类似，也在堡垒主机上运行防火墙软件。优点：屏蔽主机网关是一种更为灵活的防火墙软件，它可以利用屏蔽路由器来做更进一步的安全保护。缺点：此时的路由器又处于易受攻击的地位。此外，网络管理员应该管理在路由器和堡垒主机中的访问控制表，使两者协调一致，避免出现矛盾。信息安全案例教程：技术与应用171.网络安全设备：防火墙18（2）防火墙的工作原理3）应用代理技术：屏蔽子网网关特点：使用一个或者更多的屏蔽路由器和堡垒主机，同时在内外网间建立一个被隔离的子网——DMZ。信息安全案例教程：技术与应用不少被保护网有这样一种要求，即它能向外网上的用户提供部分信息。这部分存放在公用信息服务器上的信息，应允许由外网的用户直接读取。针对这种情况，屏蔽子网网关结构使用一个或者更多的屏蔽路由器和堡垒主机，同时在内外网间建立一个被隔离的子网——DMZ。DMZ网络是一个与内部网络和外部网络隔离的小型网络，一般将堡垒主机、Web服务器、邮件服务器以及其他公用服务器放在DMZ网络中。整个体系结构中存在3道防线。外部屏蔽路由器防火墙用于管理所有外部网络对DMZ的访问，它只允许外部系统访问堡垒主机或是DMZ中对外开放的服务器，并防范来自外部网络的攻击。内部屏蔽路由器防火墙位于DMZ网络和内部网之间，提供第三层防御。它只接受源于堡垒主机的数据包，管理DMZ到内部网络的访问。它只允许内部系统访问DMZ网络中的堡垒主机或是服务器。181.网络安全设备：防火墙19（2）防火墙的工作原理3）应用代理技术：屏蔽子网网关优点：这种防火墙系统的安全性很好，因为来自外部网络将要访问内部网络的流量，必须经过这个由屏蔽路由器和堡垒主机组成的DMZ子网络；可信网络内部流向外界的所有流量，也必须首先接收这个子网络的审查。堡垒主机上运行代理服务，它是一个连接外部非信任网络和可信网络的“桥梁”。堡垒主机是最容易受侵袭的，万一堡垒主机被控制，如果采用了屏蔽子网体系结构，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部屏蔽路由器的保护。信息安全案例教程：技术与应用191.网络安全设备：防火墙20（2）防火墙的工作原理4）自适应代理技术：特点：采用这种技术的防火墙有两个基本组件：自适应代理服务器（AdaptiveProxyServer）与动态包过滤器（DynamicPacketFilter）。在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应代理的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。信息安全案例教程：技术与应用201.网络安全设备：防火墙21（2）防火墙的工作原理4）自适应代理技术：优点：安全性高。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。信息安全案例教程：技术与应用211.网络安全设备：防火墙22（2）防火墙的工作原理4）自适应代理技术：缺点：速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。信息安全案例教程：技术与应用221.网络安全设备：防火墙23（3）防火墙的部署处于外部不可信网络（包括因特网、广域网和其他公司的专用网）与内部可信网络之间，控制来自外部不可信网络对内部可信网络的访问，防范来自外部网络的非法攻击。同时，保证DMZ区服务器的相对安全性和使用便利性。处于内部不同可信等级安全域之间，起到隔离内网关键部门、子网或用户的目的。应用于广大的个人主机用户，通常为软件防火墙，安装于单台主机中，防护的也只是单台主机。信息安全案例教程：技术与应用只需要把防火墙的LAN端口与组织内部的局域网线路连接，把防火墙的WAN端口连接到外部网络线路连接即可。其实这是非常错误的观点，防火墙的具体部署方法要根据实际的应用需求而定，不是一成不变的。考虑一个典型的网络应用结构在这种应用中，整个网络结构分为3个不同的安全区域1）外部网络。包括外部因特网用户主机和设备，这个区域为防火墙的非可信网络区域，此边界上设置的防火墙将对外部网络用户发起的通信连接按照防火墙的安全过滤规则进行过滤和审计，不符合条件的则不允许连接，起到保护内网的目的。2）DMZ网络。它是从内部网络中划分的一个小区域，其中包括内部网络中用于公众服务的服务器，如Web服务器、Email服务器、FTP服务器、外部DNS服务器等，都是为因特网公众用户提供某种信息服务的。在这个区域中，由于需要对外开放某些特定的服务和应用，因而网络受保护的级别较低，如果级别太高，则这些提供公共服务的网络应用就无法进行。也正因此，在这个区域中的网络设备所运行的应用也非常单一。3）内部网络。这是防火墙要保护的对象，包括全部的内部网络设备、内网核心服务器及用户主机。要注意的是，内部网络还可能包括不同的安全区域，具有不同等级的安全访问权限。虽然内部网络和DMZ区都属于内部网络的一部分，但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络来说，在一般情况下，禁止所有来自因特网用户的访问；而由企业内部网络划分出去的DMZ区，因需为因特网应用提供相关的服务，所以在一定程度上没有内部网络限制得那么严格，如Web服务器通常是允许任何人进行正常访问的。虽然这些服务器很容易遭受攻击，但是由于在这些服务器上所安装的服务非常少，所允许的权限非常低，真正的服务器数据是在受保护的内部网络主机上，所以黑客攻击这些服务器最可能的后果就是使服务器瘫痪。23本讲要点：241.网络安全设备：防火墙2.网络安全设备：入侵检测3.网络安全新设备：入侵防御、下一代防火墙、统一威胁管理信息安全案例教程：技术与应用242.网络安全设备：入侵检测系统25（1）入侵检测的概念入侵（Intrusion）是指任何企图危及资源的完整性、机密性和可用性的活动。不仅包括发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务等对计算机系统产生危害的行为。入侵检测顾名思义，是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。信息安全案例教程：技术与应用252.网络安全设备：入侵检测系统26（1）入侵检测的概念入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，IDS）。与防火墙类似，除了有基于PC架构、主要功能由软件实现的IDS，还有基于ASIC、NP以及FPGA架构开发的IDS。信息安全案例教程：技术与应用如图6-11所示，为著名的开源入侵检测软件Snort官方网站。如图6-12所示，为我国启明星辰公司的入侵检测产品——天阗（音同“填”）。262.网络安全设备：入侵检测系统27（2）入侵检测的工作原理事件产生器：从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器：分析得到的数据，并产生分析结果。响应单元：对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据库：是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。事件来源事件产生器事件分析器响应单元事件数据库信息安全案例教程：技术与应用272.网络安全设备：入侵检测系统28（2）入侵检测的工作原理根据检测数据的不同，IDS分为主机型和网络型入侵检测系统。1）基于主机的IDS（HIDS），通过监视和分析主机的审计记录检测入侵。2）基于网络的IDS（NIDS），通过在共享网段上对通信数据进行侦听，检测入侵。信息安全案例教程：技术与应用282.网络安全设备：入侵检测系统29（2）入侵检测的工作原理根据其采用的分析方法可分为异常检测和误用检测。1）异常检测。需要建立目标系统及其用户的正常活动模型，然后基于这个模型对系统和用户的实际活动进行审计，当主体活动违反其统计规律时，则将其视为可疑行为。该技术的关键是异常阈值和特征的选择。优点是可以发现新型的入侵行为，漏报少。缺点是容易产生误报。信息安全案例教程：技术与应用292.网络安全设备：入侵检测系统30（2）入侵检测的工作原理根据其采用的分析方法可分为异常检测和误用检测。2）误用检测。假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征，系统的目标就是检测主体活动是否符合这些模式。该技术的关键是模式匹配。优点是可以有针对性地建立高效的入侵检测系统，其精确性较高，误报少。主要缺陷是只能发现攻击库中已知的攻击，不能检测未知的入侵，也不能检测已知入侵的变种，因此可能发生漏报。且其复杂性将随着攻击数量的增加而增加。信息安全案例教程：技术与应用302.网络安全设备：入侵检测系统31（3）入侵检测的部署与防火墙不同，入侵检测主要是一个监听和分析设备，不需要跨接在任何网络链路上，无需网络流量流经它，便可正常工作。对入侵检测系统的部署，唯一的要求是：应当挂接在所有所关注的流量都必须流经的链路上，即IDS采用旁路部署方式接入网络。这些流量通常是指需要进行监视和统计的网络报文。IDS和防火墙均具备对方不可代替的功能，因此在很多应用场景中，IDS与防火墙共存，形成互补。信息安全案例教程：技术与应用312.网络安全设备：入侵检测系统32（3）入侵检测的部署信息安全案例教程：技术与应用一种简单的IDS部署如图6-15所示，IDS旁路部署在因特网接入路由器之后的第一台交换机上。322.网络安全设备：入侵检测系统33（3）入侵检测的部署检测引擎检测引擎检测引擎控制台信息安全案例教程：技术与应用一种IDS在典型网络环境中的部署如图6-16中，控制台位于公开网段，它可以监控位于各个内网的检测引擎。33本讲要点：341.网络安全设备：防火墙2.网络安全设备：入侵检测3.网络安全新设备：入侵防御、下一代防火墙、统一威胁管理信息安全案例教程：技术与应用343.网络安全新设备35（1）入侵防御系统主动防御能力的需求主动防御能力是指：系统不仅要具有入侵检测系统的入侵发现能力和防火墙的静态防御能力，还要有针对当前入侵行为动态调整系统安全策略，阻止入侵和对入侵攻击源进行主动追踪和发现的能力。入侵防御系统IPS（IntrusionPreventionSystem，也有称作IntrusionDetectionPrevention，即IDP）作为IDS的替代技术诞生了。信息安全案例教程：技术与应用虽然传统的安全防御技术在某种程度上对防止系统非法入侵起到了一定的作用，但这些安全措施自身存在许多缺点，尤其是对网络环境下日新月异的攻击手段缺乏主动防御能力。353.网络安全新设备36（1）入侵防御系统IPS的概念IPS是一种主动的、智能的入侵检测、防范、阻止系统，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。信息安全案例教程：技术与应用363.网络安全新设备37（2）下一代防火墙著名市场分析咨询机构Gartner于2009年发布的一份名为《DefiningtheNext-GenerationFirewall》的文档给出了下一代防火墙NGFW(Next-GenerationFirewall)的定义。1）传统防火墙。2）支持与防火墙自动联动的集成化IPS。3）应用识别、控制与可视化。4）智能化联动。信息安全案例教程：技术与应用1）传统防火墙。NGFW必须拥有传统防火墙所提供的所有功能，如基于连接状态的访问控制、NAT、VPN等等。虽然传统防火墙已经不能满足需求，但它仍然是一种无可替代的基础性访问控制手段。2）支持与防火墙自动联动的集成化IPS。NGFW内置的防火墙与IPS之间应该具有联动的功能，例如IPS检测到某个IP地址不断地发送恶意流量，可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当由NGFW自动完成，而不再需要管理员介入。比起传统防火墙与IDS间的联动机制，这一属性将能让管理和安全业务处理变得更简单、高效。3）应用识别、控制与可视化。NGFW必须具有与传统的基于端口和IP协议不同的方式进行应用识别的能力，并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天，或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况，保证关键业务的畅通。虽然严格意义上来讲应用流量优化(俗称应用QoS)不是一个属于安全范畴的特性，但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。4）智能化联动。获取来自“防火墙外面”的信息，作出更合理的访问控制，例如从域控制器上获取用户身份信息，将权限与访问控制策略联系起来，或是来自URL过滤判定的恶意地址的流量直接由防火墙去阻挡，而不再浪费IPS的资源去判定。也可以理解这个“外面”是NGFW本体内的其他安全业务，它们应该像之前提到的IPS那样与防火墙形成紧密的耦合关系，实现自动联动的效果(如思科的“云火墙”解决方案)。373.网络安全新设备38（3）统一威胁管理UTM市场分析咨询机构IDC这样定义UTM：这是一类集成了常用安全功能的设备，必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。UTM可以说是将防火墙、IDS系统、防病毒和脆弱性评估等技术的优点与自动阻止攻击的功能融为一体。信息安全案例教程：技术与应用383.网络安全新设备39（3）统一威胁管理UTM市场分析咨询机构IDC这样定义UTM：这是一类集成了常用安全功能的设备，必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。UTM可以说是将防火墙、IDS系统、防病毒和脆弱性评估等技术的优点与自动阻止攻击的功能融为一体。应当说，UTM和NGFW只是针对不同级别用户的需求，对宏观意义上的防火墙的功能进行了更有针对性的归纳 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf ，是互为补充的关系。信息安全案例教程：技术与应用393.网络安全新设备40发展趋势由于网络攻击技术的不确定性，靠单一的产品往往不能够满足不同用户的不同安全需求。信息安全产品的发展趋势是不断地走向融合，走向集中管理。通过采用协同技术，让网络攻击防御体系更加有效地应对重大网络安全事件，实现多种安全产品的统一管理和协同操作、分析，从而实现对网络攻击行为进行全面、深层次的有效管理，降低安全风险和管理成本，成为网络攻击防护产品发展的一个主要方向。信息安全案例教程：技术与应用40本讲要点：411.网络安全设备：防火墙2.网络安全设备：入侵检测3.网络安全新设备：入侵防御、下一代防火墙、统一威胁管理信息安全案例教程：技术与应用41本讲思考与练习42名词解释：FW、NGFW、IDS、IPS、UTM操作实验：1.网络防火墙的使用和攻防测试。实验内容：学习使用网络防火墙软件ZoneAlarmPro（http://www.zonealarm.com），理解和掌握防火墙原理和主要技术。完成实验报告。2.Windows下安装配置开放源码的入侵检测系统Snort（http://www.snort.org）。Snort是一个轻量级的网络入侵检测系统，能完成协议分析，内容的查找/匹配，可用来探测多种攻击的入侵探测器(如缓冲区溢出、秘密端口扫描、CGI攻击、SMB嗅探、指纹采集尝试等)。完成实验报告。更多资源请访问南京师范大学信息化教学网本课程主页http://jxw.njnu.edu.cn信息安全案例教程：技术与应用42