点击查看：软件水平考试《网络规划设计师》学习笔记汇总

　　ISA Server应用配置(P620-643)

　　1、ISA Server的安装

　　(1)安装准备

　　A、应保证网络正常工作。

　　B、必须为连接到ISA Server服务器的每个网络单独准备一个网络适配器，至少需要一个网络适配器。

　　C、DNS服务器。

　　(2)安装ISA Server

　　详情请参阅图4-33至图4-42。

　　2、配置允许所有内部用户访问Internet的所有服务的访问规则

　　(1)网络规则

　　网络连接方式：路由、网络地址转换、本地主机访问、VPN客户端到内部网络、Internet访问。

　　(2)访问规则

　　A、防火墙系统策略。

　　B、建立访问策略。

　　(3)配置拨号连接

　　3、使用边缘防火墙模板建立访问策略

　　具体内容参阅P635-638内容。

　　4、配置启用HTTP缓存

　　具体参阅P638-643。

　　4.5 IDS和IPS(P643-658)

　　1、入侵检测系统概述

　　(1)IDS的定义

　　是一种主动保护自己，使网络和系统免遭非法攻击的网络安全技术，它依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或攻击结果，以保证网络系统资源的机密性、完整性和可用性。

　　(2)IDS的作用

　　A、通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生。

　　B、检测其他安全措施未能阻止的攻击或安全违规行为。

　　C、检测黑客在攻击前的探测行为，预先给管理员发出警报。

　　D、报告计算机系统或网络中存在的安全威胁。

　　E、提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补。

　　F、在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。

　　(3)IDS的组成

　　一个IDS通常由探测器、分析器、响应单元、事件数据库组成。

　　(4)IDS的类型及技术

　　基于主机的入侵检测、基于网络的入侵检测、混合入侵检测系统(结合前两种技术)。

　　(5)分布式入侵检测系统

　　DIDS采用了分布式智能代理的结构方式，由几个中央智能代理和大量分布的本地代理组成，其中本地代理负责处理本地事件，而中央代理负责整体的分析工作。

　　2、入侵检测系统实例

　　(1)RIDS-100

　　由瑞星公司自主开发研制的新一代网络安全产品，它集入侵检测、网络管理、网络监视功能于一身。是一套基于网络的DIDS，它主要由入侵检测引擎和管理控制台两部分组成。

　　典型应用方案：

　　A、监听、检测发生在内网之间的连接和攻击。　　B、监听、检测外网对内网的攻击。

　　(2)Cisco入侵检测系统4200

　　Cisco IDS 4210可以监控45Mbps的流量，适用于T1/E1和T3环境。

　　Cisco IDS 4235可以监控200Mbps的流量，可以在交换环境中、多个T3子网上以及在10/100/1000接口的支持下提供保护。另外，它还可以部署在部分使用的千兆位链路上。

　　Cisco IDS 4250不但能以500Mbps的速度支持无与伦比的性能，还能保护千兆位子网以及正在穿越交换机的流量。

　　3、入侵防御系统

　　(1)入侵防御系统概述

　　IPS提供主动、实时的防护，其设计旨在对网络流量中的恶意数据包进行检测，对攻击性的流量进行自动拦截，使它们无法造成损失。IPS如果检测到攻击企图，就会睡去地将攻击包丢掉或采取措施阻断攻击源，而不把攻击流量放进内部网络。

　　注意区别：IPS与防火墙、IPS与IDS。

　　IPS系统根据部署方式可以分为在类：HIPS、NIPS、AIP。

　　IPS必须具备如下技术特征：嵌入式运行、深入分析的控制、入侵特征库、高效处理能力。

　　(2)入侵防御系统的原理

　　在ISO/OSI网路层次模型(见OSI模型) 中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱。而除病毒软体主要在第五到第七层起作用。为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档，几年前，工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然，亡羊补牢，尤未为晚，但是，防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时，迅速作出反应，并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展，汲取了二者的长处。

　　入侵预防系统也像入侵侦查系统一样，专门深入网路数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，大多数入侵预防系统同时结合考虑应用程序或网路传输重的异常情况，来辅助识别入侵和攻击。比如，用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒特征。

　　应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙和防病毒软体的补充来投入使用。在必要时，它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。

　　(3)IPS的检测技术

　　A、基于特征的匹配技术　　B、协议分析技术　　C、抗DDoS/Dos技术

　　D、智能化检测技术　　E、蜜罐技术

　　(4)IPS存在的问题

　　单点故障、性能瓶颈、误报率和漏报率。

　　相关推荐：

　　2018年软考报名时间※2018软考考试安排(全年)

　　考试吧特别策划：2018年计算机软考报考指南专题

　　软考各科目模拟试题及答案※各科目复习指导汇总

　　软考报考条件※软考报名方法※考试大纲※科目

　　历年软考真题及答案汇总※软件水平考试简介