《网络安全实训岗位》由会员分享,可在线阅读,更多相关《网络安全实训岗位(22页珍藏版)》请在金锄头文库上搜索。
1、. . . .山西大学商务学院信息学院网络工程专业岗位技术技能训练报告项目名称: 入侵检测及防火墙在校园网中的应用 专 业: 网络工程 班 级: 15网络G2班 学 号: 2015340216 姓 名: 刘骏达 电 话: 15003441820 提交日期: 2018.11.5 .下载可编辑.填写说明1. 所有项目必须为一个基本完整的设计。报告书旨在能够清晰准确地阐述(或图示)该项目(或方案)。2. 报告书采用A4纸撰写。除标题外,所有内容必需为宋体、小四号字、1.5倍行距。3. 报告中各部分说明文字部分仅供参考,报告书撰写完毕后,请删除所有说明文字。(本页不删除)4. 报告模板里已经列的内容仅
2、供参考,作者也可以多加内容。目 录第一章 摘要1第二章 文献综述2第三章 实现方案11第四章 创新性13第五章 总结14参考文献15第一章 项目介绍网络技术的发展正在改变校园内人们的学习生活, 我们在享受其带来的巨大的进步与利益同时, 数据信息被窃取和针对网络设备的攻击等等潜伏着的巨大的安全威胁也随之而来。作为开放网络的组成部分, 校园网络的安全也是不可忽视的。目前, 校园网己经具备的网络安全技术有防火墙、代理服务器、过滤器、加密、口令验证等等, 目前校园网所应用的很多安全设备都属于静态安全技术范畴, 如防火墙和系统外壳等外围保护设备。静态安全技术的缺点是需要人工来实施和维护, 不能主动跟踪入
3、侵者。而入侵检测则属于动态安全技术, 它能够主动检测网络的易受攻击点和安全漏洞, 并且通常能够先于人工探测到危险行为。基于以上问题, 详细研究以入侵检测技术为代表的动态安全技术和以防火墙为代表的静态安全技术各自的区别和联系及它们的优缺点, 提出了将动态技术与静态技术相结合的应用能够取长补短, 弥补各自的缺点, 并结合校园网建设和管理, 在校园网络中应用IDS 与原来的防火墙共同使用, 极大地提高了校园网的安全防护水平。防火墙(Firewall )技术是抵抗黑客入侵和防止未授权访问的最有效手段之一, 也是目前网络系统实现网络安全策略应用最为广泛的工具之一。.下载可编辑.第二章 文献综述1.入侵检
4、测1.1 入侵检测概述入侵检测系统(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。1.2 入侵检测系统组成事件产生器(Ev
5、ent generators),它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器(Event analyzers),它经过分析得到数据,并产生分析结果。响应单元(Response units ),它是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库(Event databases )事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。1.3 入侵检测分类1)基于主机一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的
6、信息以检测入侵。这种类型的检测系统不需要额外的硬件对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测网络攻击。2)基于网络通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于网络
7、的入侵检测系统.3)分布式这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测,同时分析来自主机系统的审计日志和来自网络的数据流,判断被保护系统是否受到攻击.1.4 入侵检测流程单个数据报的检测流程详细的分析如下:首先对收集到的数据报进行解码,然后调用预处理函数对解码后的报文进行预处理,再利用规则树对数据报进行匹配。在规则树匹配的过程中,IDS要从上到下依次对规则树进行判断,从链首、链表到规则头节点,一直到规则选项节点。基于规则的模式匹配是入侵检测系统的核心检测机制。入侵检测流程分成两大步:第一步是规则的解析流程,包括从规则文件中读取
8、规则和在内存中组织规则;第二步是使用这些规则进行匹配的入侵流程。1.5 规则匹配流程 一个采用模式匹配技术的IDS在从网络中读取一个数据包后大致按照下面方式进行攻击检测: (一)从数据包的第一个字节开始提取与特征库中第一个攻击特征串等长的一组字节与第一个攻击特征串比对,如果两组字节相同,则视为检测到一次攻击;如果两组字节不同,则从数据包的第二个字节开始提取与攻击特征串等长的一组字节与攻击特征串比对。 (二)接着比对过程重复进行,每次后移一个字节直到数据包的每个字节都比对完毕,最后将数据包与特征库中下一个攻击特征串进行匹配。 (三)重复进行直到匹配成功或者匹配到特征库中最后一个攻击特征依然没有结
9、果为止,然后整体模型从网络中读取下一个数据包进行另一次检测。规则匹配的过程就是对从网络上捕获的每一条数据报文和上面描述的规则树进行匹配的过程。如果发现存在一条规则匹配的报文,就表示检测到一个攻击,然后按照规指定的行为进行处理(如发送警告等),如果搜索完所有的规则都没有找到匹配的规则,就表示报文是正常的报文。 所有的规则被组织成规则树,然后分类存放在规则类列表中。总体的检测过程归根结底到对规则树进行匹配扫描,并找到报文所对应的规则。对规则树的匹配过程则是先根据报文的IP地址和端口号,在规则头链表中找到相对应的规则头,找到后再接着匹配此规则头附带的规则选项链表。1.6 规则语法树的生成IDS采用链
10、表的方式构建规则的语法树,规则语法所用到的数据结构主要都在rules.h文件中,其中最为要的数据结构形式有以下一些:规则头函数指针列表、规则选项函数指针列表、响应函数指针列表、规则选项结构体、IP地址结构体、表头、规则列表结构体、变量体等。当防火墙和入侵检测系统互动时,所有的数据通信是通过认证和加密来确保传输信息的可靠性和保密性。通信双方可以事先约定并设定通信端口,并且相互正确配置对方IP地址,防火墙以服务器(Server)的模式来运行,IDS以客户端(Client)的模式来运行。将防火墙与IDS结合起来互动运行,防火墙便可通过IDS及时发现其策略之外的攻击行为,IDS也可以通过防火墙对来自外
11、部网络的攻击行为进行阻断。IDS与防火墙有效互动就可以实现一个较为有效的安全防护体系,可以大大提高整体防护性能,解决了传统信息安全技术的弊端、解决了原先防火墙的粗颗粒防御和检测系统只发现难响应的问题。2.防火墙2.1 防火墙简介所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防
12、火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。2.2 防火墙种类1)网络层防火墙网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤,例如:
13、来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型(如 HTTP 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段.等属性来进行过滤。2)应用层防火墙应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言,这个方法既烦且杂(软件有千千百百种
14、啊),所以大部分的防火墙都不会考虑以这种方法设计。3)XML 防火墙是一种新型态的应用层防火墙。根据侧重不同,可分为:包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。4)数据库防火墙数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。数据库防火墙通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。数据库防火墙面对来自于外部的入侵行为,提供SQL注入禁止和数据库虚拟补丁包功能。2.3基本特性(1) 内部网络
15、和外部网络之间的所有网络数据流都必须经过防火墙防火墙布置图这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网内部网络不受侵害。根据美国国家安全局制定的信息保障技术框架,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。典型的防火墙体系网络结构如下图所示。从图中可
