要有两套防火墙 一套内外网之间,一套核心部门与其他部门之间
题:假设你是CIO,如何购买信息安全产品对企业进行安全防护,不计成本。 1. 入侵检测
两种分类:基于主机,网络中某一台主机作为嗅探器,网卡置于非混杂模式(接受所有IP目标的地址的信息和广播地址)。
基于网络,内部网的网线上装上嗅探器,加一台入侵检测管理设备
入侵检测设备(配置结构图会画): 一个或多个嗅探器+管理主机+入侵检测算法 防火墙:
一个或多个路由器+堡垒主机
要求错误接受率和错误拒绝率之间的平衡
2. 访问控制
3. 密码技术与设备
总之把我们每章学过的堆上去
第九章 (入侵检测)
入侵检测系统通过对网络中的数据包或主机的日志等信息进行提取、分析,发现入侵和攻击行为,并对入侵或攻击做出相应。入侵检测系统是一种主动防御技术。 IDS 三个部分:
1、提供事件记录流的信息源,即对信息的收集和预处理; 2、入侵分析引擎;
3、基于分析引擎的结果产生反应的响应部件。
IDS能够完成的活动: ", 监控、分析用户和系统的活动
", 审计系统的配置和弱点 ", 评估关键系统和数据的完整性 ", 对异常活动的统计分析 ", 识别攻击的活动模式 ", 实时报警和主动响应
入侵检测系统主要分为两类:基于网络的 IDS、基于主机的 IDS IDS 基本技术:误用检测、异常检测、混合型检测
检测器放置于防火墙的DMZ区域
检测器放置于路由器和边界防火墙之间 检测器放在主要的网络中枢 检测器放在安全级别高的子网