文章目录

1.防火墙的基本类型和原理
- 1.1防火墙技术
- 1.2防火墙的特点
- 1.3防火墙的功能
- - 1.3.1过滤不安全的服务和通信
  - 1.3.2禁止未授权用户访问内部网络
  - 1.3.3控制对内网的访问方式
- 1.4防火墙的基本内容
- - 1.4.1包过滤防火墙
  - 1.4.2代理网关
  - 1.4.3包检查防火墙
  - 1.4.4混合型防火墙
2.入侵检测技术
- 2.1定义
- 2.2三种方式
- 2.3入侵检测(IDS)系统结构
- 2.4入侵检测(IDS)的类型
- 2.5分析检测的方法
- - 2.5.1误用检测
  - 2.5.2异常检测
  - 2.5.3其他检测
- 2.6入侵相应
- - 2.6.1被动响应
  - 2.6.2主动响应
3.“蜜罐”技术的原理
- 3.1定义
- 3.2分类
- 3.3步骤
4.应急响应的一般步骤
- 4.1响应应急技术
- 4.2应急响应系统构建
5.简答题

1.防火墙的基本类型和原理

1.1防火墙技术

防火墙技术是一个网络安全设备或由多个硬件设备和相应软件组成的系统，位于不可信的网络和被保护的内部网络之间，目的是保护内部网络不遭受来自外部网络的攻击和执行规定的访问控制策略

1.2防火墙的特点

所有内网到外网与外网到内网的通信都经过它
只有满足内部访问控制策略的通信才允许通过
系统本身具有较高的计算和通信处理能力

1.3防火墙的功能

1.3.1过滤不安全的服务和通信

禁止对外部的ping
禁止内部网络违规开设的信息服务
防止信息泄露

1.3.2禁止未授权用户访问内部网络

不允许来自特殊地址的通信
对外部连接进行认证

1.3.3控制对内网的访问方式

只允许外部访问链接网内的www、FTP和邮件服务器而不允许访问其他主机
记录相关的访问事件

1.4防火墙的基本内容

1.4.1包过滤防火墙

定义
通过检查协议类型控制各个协议下的通信，通过P地址控制来自特定源地址或发往特定目的地址的通信，由于TCP/IP网络的服务和端口是对应的，因此包过滤防火墙可以通过检查端口控制对外部服务的访问和内部服务的开设。包过滤防火墙的操作者负责制定这些规则并且将它们配置到防火墙系统中去。
优缺点

1.4.2代理网关

1. 定义
—般认为来自外部网络的连接请求是不可靠的，代理网关是执行连接代理程序的网关设备或系统，设置它的目的是为了保护内部网络，它按照一定的安全策略判断是否将外部网络对内部网络的访问请求提交给相应的内部服务器如果可以提交，代理程序将代替外部用户与内部服务器进行连接，也代替内部服务器与外部用户连接。
2. 回路代理层
回路层代理亦称电路级代理，建立在传输层上。

3.应用代理层
应用层代理针对不同的应用或服务具体设计。

1.4.3包检查防火墙

在包过滤防火墙的基础上，检查对象不限于IP包的包头还可能检查TCP包头或TCP包的数据，因此可以在一定的计算代价下实施更多、更灵活的安全策略。

1.4.4混合型防火墙

集成了多种防火墙技术，其中:

IP包过滤防火墙可以用于底层控制通信;
包检查型防火墙可以用于增加可实施的安全策略;
回路层代理用于保证建立连接时的安全;
应用层代理用于保障应用安全。

2.入侵检测技术

2.1定义

入侵检测是用于检测损害或企图损害系统的机密性、完整性或可用性等行为的一类安全技术。这类技术通过在受保护网络或系统中部署检测设备来监视受保护网络或系统的状态与活动，根据所采集的数据，采用相应的检测方法发现非授权或恶意的系统及网络行为，并为防范入侵行为提供支持手段。

2.2三种方式

采集网络和系统中的数据、提取描述网络和系统行为的特征
根据数据和特征，高效准确判断网络和系统的行为性质
对网络和系统入侵提供响应手段

2.3入侵检测(IDS)系统结构

2.4入侵检测(IDS)的类型

基于主机的IDS:
运行在被检测的主机或单独的主机上，根据主机的审计数据和系统日志发现可疑迹象。
基于网络的IDS:
根据网络流量、单台或者多台主机的审计数据和日志检测入侵。

2.5分析检测的方法

2.5.1误用检测

建立各类入侵的行为模式，对他们进行标识或编码，建立误用模式库对来自数据源的数据进行分析检测，检查是否存在已知的误用模式
缺点∶只能检测已知的攻击

2.5.2异常检测

判断系统行为或用户行为与正常使用描述(NUP)的偏离程度，对超出阈值或变化范围的行为作出响应

2.5.3其他检测

生物免疫系统
自适应检测系统

2.6入侵相应

2.6.1被动响应

被动响应:检测到攻击后进行报警，为管理者或用户提供信息，由他们决定要采取的措施

2.6.2主动响应

主动响应:按照配置的策略阻断攻击过程，或者以其他方式影响、制约攻击过程或攻击的再次发生。

3.“蜜罐”技术的原理

3.1定义

蜜罐技术是指一类对攻击、攻击者信息的收集技术，通过诱使攻击者入侵蜜罐，系统搜集、分析相关的信息。

3.2分类

应用型研究型
低交互高交互
真实型虚拟型

3.3步骤

伪装和引入>>信息控制>> 数据捕获和分析

4.应急响应的一般步骤

4.1响应应急技术

网络和信息系统设施可能由于各种因素遭到破坏，因qian此需要在这种破坏到来前后采取相应的预防和应对措施，这些被统称为应急响应。

前期响应：系统没被攻击前，预先做的分流
中期响应：系统正在被攻击时，处理方式包括蜜罐技术和停止系统运行等
后期响应：系统被攻击后，恢复系统

4.2应急响应系统构建

5.简答题

1.什么是防火墙？功能是什么？
2.防火墙的基本类型有哪些？
3.什么是入侵检测技术？
4.什么是蜜罐技术？
5.什么是应急响应技术？

信息安全技术——（七）安全防护与应急响应技术相关推荐

信息安全-网络安全应急响应技术原理与应用(二)
一.网络安全应急响应技术与常见工具 1.1 网络安全应急响应技术概况网络安全应急响应是一个复杂的过程,需要综合应用多种技术和安全机制在网络安全应急响应过程中,常用到的技术如表所示应急响应常用技术 ...
信安软考第十七章网络安全应急响应技术原理与应用
一.网络安全应急响应概述网络安全应急响应是指为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测.预警. 分析.响应和恢复等工作网络安全应急响应是网络空间安全保障的重要机制,<中华人 ...
【第17章】网络安全应急响应技术原理与应用（软考: 信息安全工程师） --学习笔记
第17章网络安全应急响应技术原理与应用 17.1 网络安全应急响应概述居安思危,思则有备,有备无患.网络安全应急响应是针对潜在发生的网络安全事件而采取的网络安全措施. 17.1.1 网络安全应急响 ...
Windows系统入侵排查与应急响应技术
文章目录前言入侵排查系统账户排查进程端口排查启动项的排查计划服务排查系统信息排查日志信息排查应急工具总结前言前面一篇文章:浅析Linux系统入侵排查与应急响应技术介绍了 Li ...
信安教程第二版-第17章网络安全应急响应技术原理与应用
第17章网络安全应急响应技术原理与应用 17.1 网络安全应急响应概述 353 17.1.1 网络安全应急响应概念 353 17.1.2 网络安全应急响应发展 353 17.1.3 网络安全应急响应 ...
《网络安全应急响应技术实战指南》知识点总结（第9章数据泄露网络安全应急响应）
一.数据泄露概述 1.数据泄露简介数据泄露指对存储.传输或以其他形式处理的个人或机构数据造成意外或非法破坏.遗失.变更.未授权披露和访问的一类安全事件. 确认是否为数据泄露安全事件的主要依据以下三条 ...
网络安全应急响应技术实战指南
文章转载:https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md 用于安全事件响应的工具与资源的列表 ...
信息安全技术——（三）标识与认证技术
文章目录 1.标识的概念 1.1概念 1.2分类 2.口令与挑战-响应技术 2.1概念 2.2面临的安全威胁 2.3经典口令方案 3.非公钥在线认证技术 3.1概念 3.2由验证者联系服务器 4.公钥 ...
《网络安全应急响应技术实战指南》知识点总结（第1~2章网络安全应急响应概述和基础技能）
一.应急响应概念一个组织为应对各种意外事件的发生所做的准备,以及在时间发生之后所采取的措施,以减少突发事件造成的损失. 二.应急响应流程 PDCERF方法: 准备阶段(预防) 检测阶段(检测已发生或 ...

信息安全技术——（七）安全防护与应急响应技术