网络工程设计与应用(第).ppt

基于网络的入侵检测系统 从数据分析手段看，入侵检测通常可以分为两类： 误用(Misuse)入侵检测； 异常(Anomaly)入侵检测。 IDS系统的部署位置 IDS系统可以部署在网络中各个关键节点，它们的工作效果大不相同的。 7.4.5虚拟专用网VPN 虚拟专用网指的是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商） 在公用网络中建立专用的数据通信网络的技术。 在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路 而是利用某种公众网的资源动态组成的。 基于IP的VPN为使用IP机制仿真出一个私有的广域网 是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 VPN应用的例子 VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用 VPN采用的安全技术有： 隧道技术、加密和解密技术、密钥管理技术、用户与设备认证技术 7.4.6物理安全性 物理安全性通常的做法是把物理设备和网络数据进行隔离和异地存放 网络物理隔离采用的方法有： 集中上因特网 完全冗余的主机 启动时，选择某台机器与某网络相连 对物理设备的监视、防火、防水和防盗等措施 网络数据的异地备份 技术文档的物理安全性 7.4.7 网络隔离技术 网络隔离的技术可以采用 网络物理隔离卡 协议隔离技术 安全隔离网闸（GAP）是通过专用软硬件技术，使两个或两个以上的网络在不联通的情况下，实现数据安全传输和资源共享 安全隔离网络设计可以采用的方法是： 利用GAP技术的组网设计；利用网络物理隔离卡组网设计，使用网络物理隔离卡的安全主机，内网和外网最好分别使用两个IP地址。 7.4.8 网络安全保密管理制度 安全策略是由一系列安全策略文件所组成的 策略文件的繁简程度与网络的规模有关 网络安全策略中网络安全保密管理制度包括的内容 不得利用各种软、硬件技术从事网上侦听、盗用活动 每周检查网络设备登录、使用日志 涉密信息不得进入国际互联网传输或存储 网络中心负责网络系统的运行、管理和维护工作 禁止非工作人员操纵网络关键设备 7.4.9 提供网络安全性例子 提供网络服务安全性 内部网络服务可以使用鉴别和授权、分组过滤、审计日志、物理安全性和加密等安全手段。 提供用户服务安全性 用户服务包括端系统、应用程序、主机、文件服务器、数据库服务器和其他服务等。 对于需要高可靠性的网络最基本的方法就是采用冗余设计 7.5 网络数据备份与容错技术 7.5.1 网络数据备份 7.5.2 容错技术 7.5.3 网络存储技术 7.5.4 异地容灾和容错电源 7.5.1网络数据备份 网络数据备份是指为防止系统出现操作失误或系统故障导致数据丢失 且可以将历史数据保存归档 有一句话是“幸运的是那些做了数据备份的悲观主义者” 数据备份经常采用的方法 1、使用应用软件自带的备份功能，进行网络数据备份； 2、提供将整个目录备份到另一个设备的默认路径； 3、网络数据备份采用压缩技术； 4、可以采用多种不同的备份介质，可以是磁的介质或光的介质； 5、定期进行数据备份，并对备份数据的保留时间做出合适的规定； 6，尽可能保存有价值的数据，不保存无用的数据，节约资金和时间； 7、将备份数据放置在安全、可靠的位置，防火、防盗； 8，经常检查所备份数据的可用性； 9、备份数据应有规范、明确、易用的标识和标签。 不同网络业务采用的网络安全备份策略 在存储备份设计中，常用的备份方式有： 全备份；增量备份；差异备份。 7.5.2 容错技术 容错是指系统在部分出现故障的情况下仍能提供正确功能的能力 容错就是容许出现错误，并能在出错时，及时恢复正常状态 容错需要采取冗余措施、增加冗余设备 例如，冗余磁盘阵列、冗余主机、双电源等 RAID采用的冗余技术 1、镜像冗余，将完整的数据复制到另一个设备或位置； 2、校验冗余，利用计算矩阵中成员磁盘上数据的校验值可以实现校验冗余； 3、电源冗余，采用双电源，主电源出现故障，自动切换到备用电源。 RAID是一种工业标准，得到业界广泛认同的5种是： RAID 0、RAID 1、RAID3、RAID 5、 RAID10。 磁盘冗余阵列（RAID）主要性能参数 7.5.3 网络存储技术 20世纪90年代以前，存储产品大多作为服务器的组成部分之一 这种形式的存储被称为服务器附属存储(Server Attached Storage，SAS)或直接附属存储(Direct Attached Storage，DAS) 网络存储技术是在服务器附属存储SAS和直接附属存储DAS基础上发展起来的 采用的网络存储技术主要有： 直接附属存储(DAS)； 存储区域网络(SAN)； 网络附属存储(NAS)