防火墙与入侵检测技术

《防火墙与入侵检测技术》由会员分享，可在线阅读，更多相关《防火墙与入侵检测技术（12页珍藏版）》请在金锄头文库上搜索。

1、防火墙与入侵检测技术防火墙与入侵检测技术本文由 wongBBETTY 贡献ppt 文档可能在 WAP 端浏览体验不佳。建议您优先选择 TXT，或下载源文件到本机查看。第九章 防火墙与入侵检测内容提要本章介绍两部分的内容：防火墙和入侵检测技术。介绍防火墙的基本概念，常见防火墙类 型以及如何使用规则集实现防火墙。 介绍入侵检测系统的基本概念以及入侵 检测的常用方法 如何编写入侵检测工具以及如何使用工 具实现入侵检测。防火墙的定义防火墙的本义原是指古代人们房屋之间修建的墙，这 道墙可以防止火灾发生的时候蔓延到别的房屋，如图 9-1 所示。防火墙的定义这里所说的防火墙不是指为了防火而造的墙，而是指隔离

2、在本地网络与 外界网络之间的一道防御系统。 在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离 风险区域（Internet 或有一定风险的网络）与安全区域（局域网）的连接， 同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如图 9-2 所示。安全区域 安全区域 工作站 服务器 台式 PC 打印机 工作站 台式 PC 打印机服务器服务器 服务器防火墙 Internet 网络防火墙的功能根据不同的需要，防火墙的功能有比较大差异，但是 一般都包含以下三种基本功能。可以限制未授权的用户进入内部网络，过滤掉不安全的服务 和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点由于

3、防火墙假设了网络边界和服务，因此适合于相对 独立的网络，例如 Intranet 等种类相对集中的网络。 Internet 上的 Web 网站中，超过三分之一的站点都是有 某种防火墙保护的，任何关键性的服务器，都应该放 在防火墙之后。防火墙的必要性随着世界各国信息基础设施的逐渐形成，国与国之间 变得“近在咫尺” 。Internet 已经成为信息化社会发展 的重要保证。已深入到国家的政治、军事、经济、文 教等诸多领域。许多重要的政府宏观调控决策、商业 经济信息、银行资金转帐、股票证券、能源资源数据、 科研数据等重要信息都通过网络存贮、传输和处理。 因此，难免会遭遇各种主动或被动的攻击。例如信息 泄

4、漏、信息窃取、数据篡改、数据删除和计算机病毒 等。因此，网络安全已经成为迫在眉睫的重要问题， 没有网络安全就没有社会信息化防火墙的局限性没有万能的网络安全技术，防火墙也不例外。 防火墙有以下三方面的局限： 防火墙不能防范网络内部的攻击。比如：防火 墙无法禁止变节者或内部间谍将敏感数据拷贝 到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称 新雇员的黑客们劝说没有防范心理的用户公开 其口令，并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件， 不能期望防火墙去对每一个文件进行扫描，查 出潜在的病毒。防火墙的分类常见的放火墙有三种类型：1、分组过滤防火墙；2、应用代理防 火墙

5、；3、状态检测防火墙。 分组过滤（Packet Filtering）：作用在协议组的网络层和传输层， 根据分组包头源地址、目的地址和端口号、协议类型等标志确定 是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相 应的目的地的出口端，其余的数据包则从数据流中丢弃。 应用代理（Application Proxy）：也叫应用网关（Application Gateway） ，它作用在应用层，其特点是完全“阻隔”网络通信 流，通过对每种应用服务编制专门的代理程序，实现监视和控制 应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 状态检测（Status Detection）：直接对分组里的

6、数据进行处理， 并且结合前后分组的数据进行综合判断，然后决定是否允许该数 据包通过。分组过滤防火墙数据包过滤可以在网络层截获数据。使用一些规则来确定是否 转发或丢弃所各个数据包。 通常情况下，如果规则中没有明确允许指定数据包的出入，那 么数据包将被丢弃控制策略安全区域 工作站服务器台式 PC打印机查找对应的策略数据包 服务器 防火墙 IP 报头 TCP 报头 数据 数据包 服务器分组过滤判断一个可靠的分组过滤防火墙依赖于规则集，表 9-1 列出了 几条典型的规则集。第一条规则：主机 10.1.1.1 任何端口访问任何主机的任何端口，基于 TCP 协议的数据包都允许通过。第二条规则：任何主机的

7、20 端口访问主机 10.1.1.1 的任何端口，基于 TCP 协议的数据包允许 通过。第三条规则：任何主机的 20 端口访问主机 10.1.1.1 小于 1024 的端口，如果基于 TCP 协议的数据包都禁止通过。组序号 1 2 3 动作 允许 允许 禁止 源 IP 10.1.1.1 * * 目的 IP * 10.1.1.1 10.1.1.1 源端口 * 20 20 目的端口 * * Security Logs” ，察看日志纪录如图 9-14 所示。案例 9-2 用 WinRoute 禁用 FTP 访问FTP 服务用 TCP 协议， FTP 占用 TCP 的 21 端口，主机的 IP 地 址

8、是“172.18.25.109” ，首先创建规则如表 9-2 所示。组序号 1动作 禁止源 IP *目的 IP 172.18.25.109源端口 *目的端口 21协议类型 TCP利用 WinRoute 建立访问规则，如图 9-15 所示。设置访问规则以后，再访问主机“172.18.25.109”的 FTP 服务，将遭到拒绝，如图 9-16 所示。访问违反了访问规则，会在主机的安全 日志中记录下来，如图9-17 所示。案例 9-3 用 WinRoute 禁用 HTTP 访问HTTP 服务用 TCP 协议，占用 TCP 协议的 80 端口，主机的 IP 地址是 “172.18.25.109” ，首

9、先创建规则如表 9-3 所示。组序号动作源 IP目的 IP源端口目的端口协议类型1禁止*172.18.25.109*80TCP利用 WinRoute 建立访问规则，如图 9-18 所示。打开本地的 IE 连接远程主机的 HTTP 服务， 将遭到拒绝，如图9-19 所示。访问违反了访问规则，所以在主机的安 全日志中记录下来，如图 9-20 所示。应用代理防火墙应用代理（Application Proxy）是运行在防火墙上的一种服务器 程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部 服务器之间，用于转接内外主机之间的通信，它可以根

10、据安全策 略来决定是否为用户进行代理服务。代理服务器运行在应用层， 因此又被称为“应用网关” 。安全区域 工作站 控制策略服务器台式 PC打印机查找对应的策略数据包 服务器 拆开数据包 防火墙 IP 报头 TCP 报头 数据 数据包 服务器分组过滤判断 应用代理分析数据常见防火墙系统模型常见防火墙系统一般按照四种模型构建：筛选路由器模型、单宿主堡垒主机（屏蔽主 机防火墙）模型、双宿主堡垒主机模型（屏 蔽防火墙系统模型）和屏蔽子网模型。筛选路由器模型筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建 相应的过滤策略时对工作人员的 TCP/IP 的知识有相当的要求，如 果筛选路由器被黑客攻破

11、那么内部网络将变的十分的危险。该防 火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功 能。典型的筛选路由器模型如图 9-23 所示。进行包过滤路由器内部网络外部网络单宿主堡垒主机模型单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒 主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要 高，因为它实现了网络层安全（包过滤）和应用层安全（代理服 务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透 两种不同的安全系统。单宿主堡垒主机的模型如图 9-24 所示。 9-24安全区域 工作站 不准访问除堡垒主机以外的主机 只允许外部与堡垒主机通信服务器台式 PC打印机查找对应的策

12、略堡垒主机数据包 防火墙数据包Internet 网络双宿主堡垒主机模型双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防 火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口 之间直接转发信息的功能被关掉了。在物理结构上强行将所有去 往内部网络的信息经过堡垒主机。双宿主堡垒主机模型如图 9-25 所示。安全区域 工作站 所有通信都必须通过堡垒主机 通过登录到堡垒主机获得服务 服务器 台式 PC 打印机查找对应的策略数据包 堡垒主机 防火墙数据包Internet 网络屏蔽子网模型屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安 全的防火墙系统之一，因为在定义了“中立区”(DMZ

13、， Demilitarized Zone)网络后，它支持网络层和应用层安全功能。 网络管理员将堡垒主机、信息服务器、Modem 组，以及其它公用 服务器放在 DMZ 网络中。如果黑客想突破该防火墙那么必须攻破 DMZ 以上三个单独的设备，模型如图 9-26 所示。 9-26防火墙防火墙防火墙内部网络堡垒主机外部网络创建防火墙的步骤成功的创建一个防火墙系统一般需要六 步： 第一步：制定安全策略，第二步：搭建 安全体系结构，第三步：制定规则次序， 第四步：落实规则集，第五步：注意更 换控制，第六步：做好审计工作。入侵检测系统的概念入侵检测系统 1DS（Intrusion Detection Sys

14、tem）指的是一种硬件或者软件系统， 该系统对系统资源的非授权使用能够做 出及时的判断、记录和报警。入侵检测系统面临的挑战一个有效的入侵检测系统应限制误报出现的次数，但 同时又能有效截击。误报是指被入侵检测系统测报警 的是正常及合法使用受保护网络和计算机的访问。误 报是入侵检测系统最头疼的问题，攻击者可以而且往 往是利用包的结构伪造无威胁的“正常”假警报，而 诱导没有警觉性的管理员人把入侵检测系统关掉。误报没有一个入侵检测能无敌于误报，因为没有一个应用系统不 会发生错误，原因主要有四个方面。1、缺乏共享数据的机制 2、缺乏集中协调的机制 3、缺乏揣摩数据在一段时间内变化的能力 4、缺乏有效的跟

15、踪分析入侵检测系统的类型和性能比较根据入侵检测的信息来源不同，可以将入侵检测系统 分为两类：基于主机的入侵检测系统和基于网络的入 侵检测系统。1、基于主机的入侵检测系统：主要用于保护运行关键应用的 服务器。它通过监视与分析土机的审计记录和日志文件：来 检测入侵。日志中包含发生在系统上的不寻常和不期望活动 的证据，这些证据可以指出有人正在入侵或已成功入侵了系 统。通过查看日志文件，能够发现成功的入侵或入侵企图， 并很快地启动相应的应急响应程序。 2、基于网络的入侵检测系统：主要用于实时监控网络关键路 径的信息，它监听网络上的所有分组来采集数据，分析可疑 现象。入侵检测的方法目前入侵检测方法有三种

16、分类依据：1、根据物理位置进行分类。 2、根据建模方法进行分类。 3、根据时间分析进行分类。常用的方法有三种：静态配置分析、异 常性检测方法和基于行为的检测方法。静态配置分析静态配置分析通过检查系统的配置，诸如系统 文件的内容，来检查系统是否已经或者可能会 遭到破坏。静态是指检查系统的静态特征（比 如，系统配置信息） 。 采用静态分析方法主要有以下几方面的原因： 入侵者对系统攻击时可能会留下痕迹，可通过 检查系统的状态检测出来。异常性检测方法异常性检测技术是一种在不需要操作系统及其安全性 缺陷的专门知识的情况下，就可以检测入侵者的方法， 同时它也是检测冒充合法用户的入侵者的有效方法。 但是。在许多环境中，为用户建立正常行为模式的特 征轮廓以及对用户活动的异常性进行报警的门限值的 确定都是比较困难的事。因为并不是所有入侵者的行 为都能够产生明显的异常性，所以在入侵检测系统中， 仅使用异常性检测技术不可能检测出所有的入侵行为。 而且，有经验的入侵者还可以通过缓慢地改变他的行 为，来改变入侵检测系统中的用户正常行为模式，使 其入侵行为逐步变为合法，这样就可以避开使用异常 性检测技术的入侵检测