333456NetScreen91111131415115216IntrusionDetectionSystem17DVPVPNDIPSec第一章VPNVPNVPNVPNVPNVPNVPNE-mailbannerWebsessionVPNSLAVPNVPNVPNVPNVPNVPNVPNVPNHubandSpokeVPNHTTPrampratedenialofserviceattacks1.2.3.VPNIPVPN1.2.3.ServrTrnjfSFtr-加搂五臥搂Mi务as*醉InternetInternetIDSNetScreen-500VPNetScreen-第二章NetScreenNetScreen-5002UNetScreen-500NetScreen-100NetScreen-500VPNVPNVPN1Gbps300MbpsLCD”10/10GBIC(SLX)A700MbpsNAT”250Mbps3DESVPNA250,000A22,00010,000VPNA25100VLAN”NATNATVPN-►Websense”10/100LCDServerProtectOfficeScanBIOSCIHInternet第三章TMCMTMCM198320SirCAM80CordRedNimdaDoSVoteNimda911ICQIRCInternetSirCamInternetonthefly1InterScanIDC20022002NIMDAInternetTCP/IPServerProtectNT/2000NetwareLinuxSeanMailforNotesNT/2000SolarisLinuxAIXAS400S/390NotesScanMailforExchangeMicrosoftExchangeServer4.0/5.0/5.5/2000IDC20021TMCMTMCMNT/2000TMCM2IMSS3ServerProtectIDSIDS4OffieeSeanNT/2000OffieeSeanIntrusionDetectionSystemIDSsystemseannerIDSIDSDnnnnnnnnnnnDnnnnnnnnnnnnnnnnnnnnnnDnnnnnnnnnnnnDnnnnnnnnnnnnnnnnDnnnnnnnnnnnnnnnnnnnnnnnnnnn对一个成功的入侵检测系统来讲,它不便可使系统管理员时刻了解翩络系统(包括程序、文件和硬件设备等)的任何变更,还能给囲络安全策略的制订提洪指南.更为重要的一点.是,它应该管理、配苴简单,从而使非专业人员非常容易地获得翩络安全.而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变-入侵检测系统在发现入侵右,会及时作出响应,包括切断刚络连接、记录事件和报警等口信息收集入侵检测的第一步是信息收集,內容包括系统、网络、数据及用户活动的状态和行为-而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点但从几亍源来的信息的不一致性却是可疑行两或入侵的最好标识°当然,入侵检测很夫程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息.因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其它工具-黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是.例如,un揺系统的PS指令可次被替换两一个不显示侵入过程的指令,或者是编辑器被替换戚一亍读取不同于指定文件的文件(黒客隐藏了初试文件并用另—版本代替)o这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被轉改而收集到错误的信息口入侵检测利用的信息一股来自次下四亍方面:1.系统和网络日志文件黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件.日志中包含发生在系统和翩络上的不寻常和不期望活动的证据,这些证据可収指出有人正在入侵或已戚功入侵了系统-通过查看日志文件,能够发现戚功的入侵或入侵企图,并很快地启动相应的应急响应程序-日志文件中记录了各种行两类型,勢种类型又包含不同的信息,例如记录“用户活动■"类型的日志,就包含登录、用户功改变、用户对文件的访问、授枫.和认证信息等內容-很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位首以及非授枫的企图访间重要文件等等・2.目录和文件中的不期望的改变翩络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标-目录和文件中的不期望的改变(包括修改、创建和刪除),特别是那些正常情況下限制访间的,很可能就是一种入侵产生的指示和信号-黑客经常替换、修改和破坏他们获得访间枫的系统上的文件,同时齿了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件・乩程序执行中的不期望行齿网络系统上的程序执行一股包括操作系统、网络服务、用户起动的程序和特宦目的...
