网络安全技术--入侵检测和VPN
入侵检测技术
Intrusion Detection Systems,IDS
入侵检测定义
- 一种主动的安全防护技术,以旁路方式接入网络,通过实时监测计算机网络和系统安全策略的过程。
- 网络安全技术中防火墙之后的第 2 道防线
- 部署在计算机网络的枢纽节点上,在不影响计算机网络的前提下条件下,通过实时的收集和分析计算机网络和系统的审计信息来检查是否出现违反安全策略的行为和攻击,达到防止攻击和预防攻击的目的
入侵检测的作用和优势
- 能够快速检测到入侵行为
- 形成网络入侵的威慑力,防护入侵者的作用
- 收集信息,增强路线,防护系统的防护能力
可以把防火墙看做一栋大厦的入口检查门禁系统,或者是门锁,而入侵检测系统则相当于部署在大厦内部关键位置的实时监控和报警系统。
入侵检测系统
检测系统通过对网络机器上的系统进行监视,可以识别恶意的使用行为,并根据监测结果进行不同的安全动作,(比如报警、阻断)最大限度的降低可能的入侵危害。
入侵检测系统的主要功能
- 监控、分析用户和系统的活动
- 发现入侵企图和异常现象
- 审计系统的配置和漏洞
- 评估关键系统的和数据文件的完整性
- 对异常活动的统计于分析
- 识别攻击的活动模型
- 实时报警于活动响应
入侵检测系统的通用模型
事件产生器
负责原始数据采集,对数据、日志文件进行追踪,将原始数据转换为事件,并提供给其他组件
事件分析器
接收事件信息,并检测方法进行分析,判断是否入侵行为或者异常现象,将分析结果转变为警告信息
响应单元
根据警告信息作出反应,如:与防火墙设备进行联动进行立即切断通信,修改文件访问权限,向终端或 Email 发出警报信息。
事件数据库
从事件产生器和事件分析器接收数据,存放各种或者最终数据
入侵检测系统分类
基于网络的入侵检测系统
基于主机的入侵检测系统
分布式入侵检测系统
基于网络的入侵检测系统以网络数据包为数据源
基于主机的入侵检测系统以主机的审计记录和日志作为数据源
分布式入侵检测系统 在关键主机上采用主机入侵检测,在其余节点上采用网络入侵检测
入侵检测方法分类
- 特征检测---检测已知攻击(又称误用检测)
通过特定的特征匹配来检测入侵和攻击的存在
- 异常检测---检测未知攻击
通过使用机器学习来建立用户正常使用的算法模型,如果当前行为违反了模型,就判定为攻击行为(误判概率较大)
虚拟专用网技术(VPN)
虚拟专用网 Virtual Private Network,(VPN)
VPN 技术出现起因
- 为确保机构内部信息安全
- 机构的全球 IP 地址数量不足
- 机构内不同部门和主机分布范围较广
使用本地 IP 地址(本地专用地址)实现机构内部主机的地址分配
本地专用 IP 地址
RFC 1918 指明:
本地 IP 地址智能用作本地地址而不能用作全球 IP 地址,在互联网中的所有路由器,对目的地是本地地址的数据报一律不进行转发
采用本地 IP 地址的互联网称为 专用互联网、本地互联网、专用网
VPN
采用共用的 互联网作为本机构个专用网之间的通信载体,这样的专用网又称为虚拟专用网 VPN
考虑到机构信息不透明,因此 VPN 采用加密隧道使得机构信息之间在互联网上传输数据不被窃取。
源主机发送数据时加密,目的主机收到数据解密,针对源主机和目的主机来说这些信息好像是透明的,但是对于互联网上的其它人来说,经过 VPN 传输的数据是加密的,不可读的,因此 VPN 技术很有效的保证了机构间的在互联网上传输的安全性。
举个例子,我们在学校使用校园网可以用 IP 登录图书馆或知网免费下载论文,但疫情期间我们在家,无法接入校园网,我们可以采用 VPN 技术远程接入校园网实现对校内图书馆以及知网资源的免费查看与下载。许多高校都已经实现了这种,比如中国地址大学和电子科技大学的图书馆都支持校外访问图书馆资源。
因为防火墙所处的位置都在专用网的边界处,我们只需要在防火墙上增加加密功能,就能实现 VPN 的功能,基于防火墙的 VPN 是最常见的一个实现方案。
VPN 是防火墙的标准配置之一
虚拟专用网
- 企业专用网建设的最佳方案之一。
- 节省企业专用网的建设和运行成本。
- 增减网络的可靠性与安全性
- 加快了企业网的建设步伐,可以安全、快速、有效地将企业分布在各地的专用网互联起来
标题:网络安全技术--入侵检测和VPN
作者:shuaibing90
版权声明:本站所有文章除特别声明外,均采用 CC BY-SA 4.0转载请于文章明显位置附上原文出处链接和本声明
地址:https://xysycx.cn/articles/2020/03/12/1584000879051.html
欢迎加入博主QQ群点击加入群聊:验证www.xysycx.cn