《计算机网络安全教程09chapter09new》由会员分享,可在线阅读,更多相关《计算机网络安全教程09chapter09new(57页珍藏版)》请在金锄头文库上搜索。
1、第九章 防火墙与入侵检测,2,内容提要,本章介绍两部分的内容: 防火墙和入侵检测技术。 介绍防火墙的基本概念,常见防火墙类型以及如何使用规则集实现防火墙。 介绍入侵检测系统的基本概念以及入侵检测的常用方法 如何编写入侵检测工具以及如何使用工具实现入侵检测。,防火墙的定义,防火墙的本义原是指古代人们房屋之间修建的墙,这道墙可以防止火灾发生的时候蔓延到别的房屋,如图9-1所示。,防火墙的定义,这里所说的防火墙不是指为了防火而造的墙,而是指隔离在本地网络与外界网络之间的一道防御系统。 在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络)与安全区
2、域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问,网络防火墙结构如图9-2所示。,防火墙的功能,根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下三种基本功能。 可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet等种类相对集中的网络。Internet上的Web网站中,超过三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都应该放在防火墙之后。,防火墙的必要性,随着世界各国信息基础设施的逐渐形成,国与国之间变得“近在咫尺”。I
3、nternet已经成为信息化社会发展的重要保证。已深入到国家的政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此,难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。因此,网络安全已经成为迫在眉睫的重要问题,没有网络安全就没有社会信息化,防火墙的局限性,没有万能的网络安全技术,防火墙也不例外。防火墙有以下三方面的局限: 防火墙不能防范网络内部的攻击。比如:防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户
4、或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令,并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件,不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒。,防火墙的分类,常见的放火墙有三种类型:1、分组过滤防火墙;2、应用代理防火墙;3、状态检测防火墙。 分组过滤(Packet Filtering):作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。 应用代理(Application Proxy):也叫应用网关(Applicat
5、ion Gateway),它作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 状态检测(Status Detection):直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。,分组过滤防火墙,数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。 通常情况下,如果规则中没有明确允许指定数据包的出入,那么数据包将被丢弃,一个可靠的分组过滤防火墙依赖于规则集,表9-1列出了几条典型的规则集。 第一条规则:主机10.1.1.1
6、任何端口访问任何主机的任何端口,基于TCP协议的数据包都允许通过。第二条规则:任何主机的20端口访问主机10.1.1.1的任何端口,基于TCP协议的数据包允许通过。第三条规则:任何主机的20端口访问主机10.1.1.1小于1024的端口,如果基于TCP协议的数据包都禁止通过。,用WinRoute创建包过滤规则,WinRoute目前应用比较广泛,既可以作为一个服务器的防火墙系统,也可以作为一个代理服务器软件。目前比较常用的是WinRoute4.1,安装文件如图9-4所示。,以管理员身份安装该软件,安装完毕后,启动“WinRoute Administration”,WinRoute的管理界面如图9
7、-5所示。,默认情况下,该密码为空。点击按钮“OK”,进入系统管理。当系统安装完毕以后,该主机就将不能上网,需要修改默认设置,点击工具栏图标,出现本地网络设置对话框,然后查看“Ethernet”的属性,将两个复选框全部选中,如图9-6所示。,利用WinRoute创建包过滤规则,创建的规则内容是:防止主机被别的计算机使用“Ping”指令探测。选择菜单项“Packet Filter”,如图9-7所示。,在包过滤对话框中可以看出目前主机还没有任何的包规则,如图9-8所示。,选中图9-8中网卡图标,单击按钮“添加”。出现过滤规则添加对话框,所有的过滤规则都在此处添加,如图9-9所示。,因为“Ping”
8、指令用的协议是ICMP,所以这里要对ICMP协议设置过滤规则。在协议下拉列表中选择“ICMP”,如图9-10所示。,在“ICMP Type”栏目中,将复选框全部选中。在“Action”栏目中,选择单选框“Drop”。在“Log Packet”栏目中选中“Log into Window”,创建完毕后点击按钮“OK”,一条规则就创建完毕,如图9-11所示。,为了使设置的规则生效,点击按钮“应用”,如图9-12所示。,设置完毕,该主机就不再响应外界的“Ping”指令了,使用指令“Ping”来探测主机,将收不到回应,如图9-13所示。,虽然主机没有响应,但是已经将事件记录到安全日志了。选择菜单栏“Vi
9、ew”下的菜单项“LogsSecurity Logs”,察看日志纪录如图9-14所示。,案例9-2 用WinRoute禁用FTP访问,FTP服务用TCP协议, FTP占用TCP的21端口,主机的IP地址是“172.18.25.109”,首先创建规则如表9-2所示。,利用WinRoute建立访问规则,如图9-15所示。,设置访问规则以后,再访问主机“172.18.25.109”的FTP服务,将遭到拒绝,如图9-16所示。,访问违反了访问规则,会在主机的安全日志中记录下来,如图9-17所示。,案例9-3 用WinRoute禁用HTTP访问,HTTP服务用TCP协议,占用TCP协议的80端口,主机的
10、IP地址是“172.18.25.109”,首先创建规则如表9-3所示。,利用WinRoute建立访问规则,如图9-18所示。,打开本地的IE连接远程主机的HTTP服务,将遭到拒绝,如图9-19所示。,访问违反了访问规则,所以在主机的安全日志中记录下来,如图9-20所示。,应用代理防火墙,应用代理(Application Proxy)是运行在防火墙上的一种服务器程序,防火墙主机可以是一个具有两个网络接口的双重宿主主机,也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间,用于转接内外主机之间的通信,它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层,因此又被称为
11、“应用网关”。,常见防火墙系统模型,常见防火墙系统一般按照四种模型构建: 筛选路由器模型、单宿主堡垒主机(屏蔽主机防火墙)模型、双宿主堡垒主机模型(屏蔽防火墙系统模型)和屏蔽子网模型。,筛选路由器模型,筛选路由器模型是网络的第一道防线,功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求,如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。典型的筛选路由器模型如图9-23所示。,单宿主堡垒主机模型,单宿主堡垒主机(屏蔽主机防火墙)模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火
12、墙系统要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。单宿主堡垒主机的模型如图9-24所示。,双宿主堡垒主机模型,双宿主堡垒主机模型(屏蔽防火墙系统)可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。双宿主堡垒主机模型如图9-25所示。,屏蔽子网模型,屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一,因为在定义了“中立区”(DMZ,Demilitarized Zone)网络
13、后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组,以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备,模型如图9-26所示。,创建防火墙的步骤,成功的创建一个防火墙系统一般需要六步: 第一步:制定安全策略,第二步:搭建安全体系结构,第三步:制定规则次序,第四步:落实规则集,第五步:注意更换控制,第六步:做好审计工作。,入侵检测系统的概念,入侵检测系统1DS(Intrusion Detection System)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。,入侵检测系统面临的挑战,一
14、个有效的入侵检测系统应限制误报出现的次数,但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题,攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报,而诱导没有警觉性的管理员人把入侵检测系统关掉。,误报,没有一个入侵检测能无敌于误报,因为没有一个应用系统不会发生错误,原因主要有四个方面。1、缺乏共享数据的机制 2、缺乏集中协调的机制 3、缺乏揣摩数据在一段时间内变化的能力 4、缺乏有效的跟踪分析,入侵检测系统的类型和性能比较,根据入侵检测的信息来源不同,可以将入侵检测系统分为两类:基于主机的入侵检测系统和基于网络的入侵
15、检测系统。 1、基于主机的入侵检测系统:主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件:来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。 2、基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。,入侵检测的方法,目前入侵检测方法有三种分类依据: 1、根据物理位置进行分类。 2、根据建模方法进行分类。 3、根据时间分析进行分类。 常用的方法有三种:静态配置分析、异常性检测方
16、法和基于行为的检测方法。,静态配置分析,静态配置分析通过检查系统的配置,诸如系统文件的内容,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(比如,系统配置信息)。 采用静态分析方法主要有以下几方面的原因:入侵者对系统攻击时可能会留下痕迹,可通过检查系统的状态检测出来。,异常性检测方法,异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但是。在许多环境中,为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的
17、异常性,所以在入侵检测系统中,仅使用异常性检测技术不可能检测出所有的入侵行为。而且,有经验的入侵者还可以通过缓慢地改变他的行为,来改变入侵检测系统中的用户正常行为模式,使其入侵行为逐步变为合法,这样就可以避开使用异常性检测技术的入侵检测系统的检测。,基于行为的检测方法,基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为,来检测系统中的入侵活动。 基于入侵行为的入侵检测技术的优势:如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式,就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是,目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式,加入到检测器入侵行为特征模式库中,来避免系统以后再遭受同样的入侵攻击。,
