防火墙及入侵检测课程设计报告书.docx
《防火墙及入侵检测课程设计报告书.docx》由会员分享,可在线阅读,更多相关《防火墙及入侵检测课程设计报告书.docx(17页珍藏版)》请在冰点文库上搜索。
防火墙及入侵检测课程设计报告书
现代信息工程职业学院
防火墙及入侵检测课程设计
电子信息系信息安全技术
设计人:
2011-5-15
防火墙及入侵检测课程设计
设计人:
田兴杰
指导老师:
徐军
摘要
Internet
的发展给政府结构、企事业单位带来了革命性的改革和开放。
他们正努力通过Internet来提高办事效率和市场反应速度,以便得到更高的办事效率和市场竞争力。
通过Internet,企业可以从异地取回重要数据,同时又要面对Internet开放带来的数据安全的新挑战和新危险:
即客户、销售商、移动用户、异地员工和部员工的安全访问;以及保护企业的信息不受黑客和工业间谍的入侵。
因此企业必须加筑安全的"战壕",那么如果把这个”战壕”的第一道防线比作为防火墙的话,第二道防线当之无愧的属于入侵检测系统。
本文将从不同的角度对防火墙和入侵检测系统在计算机网络安全中所起的地位和作用;以及在不同的时期防火墙和入侵检测系统的发展状况进行浅析。
关键字:
防火墙、入侵检测、Internet、网络安全。
第一部分
信息安全的历史发展及现状
1.1信息安全的历史发展
第一段:
通讯
上世纪40年代-70年代,重点是通过密码技术解决通信问题,保证数据的性与完整性;主要安全威胁是搭线窃听、密码学分析;主要保护措施是加密;
重点标志:
1949年Shannon发表的《系统的通信理论》
1977年美国国家标准局公布的数据加密标准(DES,这种加密方法在我国目
还应用于很多的领域);
1976年由Diffie于Hellman在“NewDirectioninCryptography”一文中提出了公钥密码体制;
第二阶段:
计算机安全
上世纪70-80年代:
重点是确保计算机系统硬件、软件及正在处理、存储、传输信息的性、完整新和可控性;主要的安全威胁扩展到非法访问、恶意代码、脆弱口令……
主要保护措施是安全操作系统设计技术(TCB);
主要标志是1985年美国国防部公布的可信计算机操作系统评估准则(TCSEC)将操作系统的安全级别分为四类七个级别(D、C1、C2、B1、B2、B3、A1),后补充红皮书TNI(1987)和TDI(1991),构成彩虹(rainbow系列。
第三阶段:
信息技术安全
上世纪90年代以来,重点需要保护信息,确保信息在存储、处理、传输过程中及通信系统不被破坏,保证合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施,强调信息的性、完整性、可控性、可用性;
主要的安全威胁发展到:
网络入侵、病毒破坏、信息对抗的攻击……
主要的保护措施包括:
防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN、安全管理等;
主要标志是:
提出了新的安全评估准则ISO15408、GB/T18336。
1.2目前信息安全的现状
当前网络与信息安全的现状却不容乐观。
以网络攻击为例:
据调查2004年专门针对美国政府的非法入侵事件发生了5.4万件,2005年升至7.9万件。
被入侵的政府包括国防部、国务院、能源部、国土安全部等重要政府职能部门。
中国公安部进行的一项调查显示,在被调查的7072家单位网络中,有58%曾在2004年遭到过攻击。
这些单位包括金融机构和国防、商贸、能源和电信等政府部门。
此外,我国每年都会出现包括网络瘫痪、网络突发事件在的多种网络安全事件。
因此,网络与信息安全方面的研究是当前信息行业的研究重点。
在国际上信息安全研究已成体系,20世纪70年代就已经开始标准化。
当前有多个国际组织致力于网络与信息安全方面的研究。
随着信息社会对网络依赖性的不断增加以及911等突发事件的出现,以美国为首的各个国家在网络与信息安全方面都在加速研究。
我国自2003年以来也在网络与信息安全方面有了较大的进展,但是总体相对落后。
由此可见目前网络上迫切需要一定的安全防线,也就是在这种形式下防火墙、入侵检测系统、VPN等安全防线产生了,为我们提供了相对安全的网络环境。
第二部分
防火墙与入侵检测系统
2.1防火墙及入侵检测基本概述
2.1.1防火墙定义
防火墙的本义原是指古代人们在建造木制结构的房屋时,为防止火灾时不会蔓延到别的房屋而在房屋周围堆砌的石块,而计算机网络中所说的防火墙,是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防措施的总称。
所谓防火墙指的是一个由软件和硬件设备组合而成、在部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
该计算机流入流出的所有网络通信均要经过此防火墙。
其工作原理如图1-1所示
图1-1
其中DMZ(demilitarizedzone)的缩写中文名称为“隔离区”,也称“非军事化区”。
它是为了解决安装防火墙后外部网络不能访问部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业部网络和外部网络之间的小网络区域,在这个小网络区域可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
另一方面,通过这样一个DMZ区域,更加有效地保护了部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
2.1.2防火墙拓扑图及分析
假如某企事业单位要接入互联网为了提供安全的网络服务首先要在网于外网之间建搭建一个防火墙,然后通过路由器把网络接入到部网络,部网络根据不同的部门利用二层交换机来划分不的VLAN(VirtualLocalAreaNetwork)"虚拟局域网",分别为VLAN10VLAN20VLAN30,假如VLAN10对应的网段为:
192.168.1.0/24;VLAN20对应的网段为:
192.168.2.0/24;VLAN30对应的网段为:
192.168.3.0/24;不同的网段应用于不同的部门,之间互不影响。
由于防火墙自身的缺点,不能防止来自部的攻击以及不经过他的攻击,因此在安装了防火墙的基础上也要安装入侵检测系统,这样就能更好的保证部网络的安全。
2.1.3防火墙的优缺点
一个防火墙(作为阻塞点、控制点)能极提高一个部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击部网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
存在着一些防火墙不能防的安全威胁,如防火墙不能防不经过防火墙的攻击。
例如,如果允许从受保护的网络部向外拨号,一些用户就可能形成与Internet的直接连接。
另外,防火墙很难防来自于网络部的攻击以及病毒的威胁;另外防火墙也不具有杀毒的功能。
2.1.4入侵检测定义
在上面笔者浅析了关于防火墙的相关知识,了解了什么叫防火墙以及防火墙的优缺点,下面笔者就来简单的介绍一下关于入侵检测的相关概念和作用。
入侵检测(IntrusionDetection)是对入侵行为的检测。
它通过收集和分析网络行为、安全日志、审计、数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
入侵检测作为一种积极主动地安全防护技术,提供了对部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。
入侵检测通过执行以下任务来实现:
监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对部攻击、外部攻击和误操作的实时保护。
这些都通过它执行以下任务来实现:
·监视、分析用户及系统活动;
·系统构造和弱点的审计;
·识别反映已知进攻的活动模式并向相关人士报警;
·异常行为模式的统计分析;
·评估重要系统和数据文件的完整性;
·操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。
更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。
而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。
入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。
编辑本段分类情况
入侵检测系统所采用的技术可分为特征检测与异常检测两种。
特征检测
特征检测(Signature-baseddetection)又称Misusedetection,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。
其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
异常检测
异常检测(Anomalydetection)的假设是入侵者活动异常于正常主体的活动。
根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
编辑本段工作步骤
对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。
更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。
而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。
入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。
2.2防火墙及入侵检测系统的的部署
2.2.1防火墙部署方案
设计中采用包过滤防火墙,在部网络与Internet的接点处设置了包过滤防火墙,起到保护部网络的作用。
包过滤防火墙也称为访问控制表或屏蔽路由器,它通过查看所流经的数据包,根据定义好的过滤规则审查每个数据包,并根据是否与规则匹配来决定是否让该数据包通过。
包过滤防火墙的优点是处理速度快(因为包过滤防火墙工作在IP层和TCP层)、费用低(许多路由软件已包含)、对用户透明(不需要用户在客户端做任何程序改动)、价格便宜。
包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。
具体地讲,它针对每一个数据报的报头,按照包过滤规则进行判定,与规则相匹配的包依据路由信息继续转发,否则就丢弃。
包过滤是在IP层实现的,包过滤根据数据包的源IP地址、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源端口、目的端口等报头信息及数据包传输方向等信息来判断是否允许数据包通过。
包过滤也包括与服务相关的过滤,这是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,为阻断所有进入特定服务的,防火墙只需将所有包含特定TCP/UDP目的端口的包丢弃即可。
之所以采用包过滤防火墙主要出于以下几点的考虑:
(1).对于一个小型的、不太复杂的站点,包过滤比较容易实现。
(2).过滤路由器工作在IP层和TCP层,所以处理包的速度比代理服务器快。
(3).路由器为用户提供了一种透明的服务,用户不需要改变客户端的任何应用程序,也不需要用户学习任何新的东西。
因为过滤路由器工作在IP层和TCP层,而IP层和TCP层与应用层的问题毫不相关。
所以,过滤路由器有时也被称为“包过滤网关”或“透明网关”,之所被称为网关,是因为包过滤路由器和传统路由器不同,它涉及到了传输层。
4滤路由器在价格上一般比代理服务器便宜。
包过滤的原则:
(1)包过滤规则必须被包过滤设备端口存储起来。
(2)当包到达端口时,对包报头进行语法分析。
大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。
(3)包过滤规则以特殊的方式存储。
应用于包的规则的顺序与包过滤器规则存储顺序必须相同。
(4)若一条规则阻止包传输或接收,则此包便不被允许。
(5)若一条规则允许包传输或接收,则此包便可以被继续处理。
(6)若包不满足任何一条规则,则此包便被阻塞。
2.2.2入侵检测系统的部署:
入侵检测系统有不同的部署方式和特点:
根据所掌握的网络检测和安全需求,选取各种类型的入侵检测系统。
将多种入侵检测系统按照预定的计划进行部署,确保每个入侵检测系统都能够在相应部署点上发挥作用,共同防护,保障网络的安全运行。
部署工作包括对网络入侵检测和主机入侵检测等不同类型入侵检测系统的部署规划。
同时,根据主动防御网络的需求,还需要对入侵检测系统的报警方式进行部署和规划。
基于网络的入侵检测系统可以在网络的多个位置进行部署。
根据检测器部署位置的不同,入侵检测系统具有不同的工作特点。
在基于网络的入侵检测系统部署并配置完成后,基于主机的入侵检测系统的部署可 以给系统提供高级别的保护。
但是,将基于主机的入侵检测系统安装在企业中的每一个主机上是一种相当大的时间和资金的浪费,同时每一台主机都需要根据自身的情况进行特别的安装和设置,相关的日志和升级维护是巨大的。
入侵检测系统在检测到入侵行为的时候,需要报警并进行相应的反应。
如何报警和选取什么样的报警,需要根据整个网络的环境和安全的需求进行确定。
入侵检测系统的种类
据入侵检测系统的检测对象和工作方式的不同,入侵检测系统主要分为两大类:
基于主机的入侵检测系统和基于网络的入侵检测系统。
基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上。
这一类入侵检测系统直接与操作系统相关,它控制文件系统以及重要的系统文件,确保操作系统不会被随意地删改。
该类入侵检测系统能够及时发现操作系统所受到的侵害,并且由于它保存一定的校验信息和所有系统文件的变更记录,所以在一定程度上还可以实现安全恢复机制。
基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,它使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。
一旦检测到攻击,入侵检测系统应答模块通过通知、报播以及中断连接等方式来对攻击做出反应。
基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势和不足,这两种方式各自都能发现对方无法检测到的一些网络入侵行为,如果同时使用互相弥补不足会起到良好的检测效果。
因此它们在确定攻击是否已经取得成功时,与基于网络的检测系统相比具有更大的准确性。
在这方面,基于主机的入侵检测系统对基于网络的入侵检测系统是一个很好的补充,可以使用基于网络的入侵检测系统提供早期报警,使用基于主机的入侵检测系统来验证攻击是否取得成功。
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。
该过程可以很简单,也可以很复杂。
一种进攻模式可以利用一个过程或一个输出来表示。
这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率和效率也相当高。
但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。
异常检测
异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。
测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值围之外时,IDS就会判断有入侵发生。
异常检测的优点是可以检测到未知入侵和复杂的入侵,缺点是误报、漏报率高。
协议分析
协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。
它充分利用了网络协议的高度有序性,并结合了高速数据包捕捉、协议分析和命令解析,来快速检测某个攻击特征是否存在,这种技术正逐渐进入成熟应用阶段。
协议分析大大减少了计算量,即使在高负载的高速网络上,也能逐个分析所有的数据包。
第三部分
典型网络入侵方法及解决方法浅析
3.1典型网络入侵的方法
ARP欺骗、网页挂马、口令破解、漏洞攻击、木马、拒绝服务攻击、ip地址欺骗等,是目前网络上比较常用的攻击方法,下面就对这些攻击方法进行简单的说明:
(1).ARP欺骗
我们先来简单描述下什么是ARP,ARP是地址解析协议,ARP协议主要负责将局域网中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1计算机上网卡的MAC地址为00-03-0F-FD-1D-2B。
整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过协商这两个主机就可以实现数据传输了。
将Ip地址转换为MAC地址是ARP的工作,在网络中发送虚假的ARPrespones,就是ARP欺骗。
举个例子,在正常的情况下如果A主机要向B主机发送报文,假如A主机的IP:
192.168.0.4;MAC地址:
C2-44-S4-H5-88-43,B主机的IP:
192.168.4.32;MAC地址:
S2-44-H4-H5-88-D3,有两种可能:
a主机A的MAC地址缓存中有主机B的MAC地址,那么就不用广播了,两台机器可以直接的通信,b主机A中没有主机B的MAC地址,这时主机A要是想和主机B发送报文,主机A就要发送一个ARP请求,就问谁的MAC地址是S2-44-H4-H5-88-D3,这时主机B接到主机A的请求就给个回应说我就是,这样两台主机就建立了连接,这时在正常的情况下那么在不正常的情况下比如当主机A发送ARP请求时这时主机C(攻击者)也接到了请求他就冒充主机B来恢复主机A说我就是主机B,这样造成的后果是主机A和主机B之间发送的报文就被窃听者C主机窃听到了,而主机A和B什么也不知道。
(2).网页挂马
网页木马实际上是指一些特殊的HTML网页,该网页是经过黑客精心制作的,用户一旦浏览了该页面就会运行黑客指定的程序。
实际上,为了安全,IE浏览器是禁止自动下载和运行程序的,但IE浏览器存在着一些已知或者未知的漏洞,网页木马就是利用这些漏洞来获得权限下载和运行程序的。
(3)口令破解
口令破解通常是因为用户自己的口令设计过于简单比如用自己的身日,爱人的生日等作为口令可以使黑客轻易的利用社会工程学破解用户的口令。
(4)漏洞攻击
漏洞攻击是根据用户的机器上的操作系统的漏洞或者是用户机器上软件的漏洞进行攻击从而控制用户机器的攻击模式。
(5)木马
木马比较典型的是特洛伊木马,用户通过收发或者是使用已经感染的U盘等都很容易是自己的机器感染木马,木马通常会在用户的机器上开一个后门从而方便黑客控制用户的机器。
(6)拒绝服务攻击
拒绝服务攻击通常是黑客控制大量的傀儡机进行集中的大规模的攻击,攻击手段可能很简单比如简单的ping某个服务器,但是因为傀儡机数目太多,大量的长度超过普通ping命令规格的ping命令攻击同一个服务器会使服务器的资源耗尽而出现重启的现象,从而不能为合法用户提供服务。
(7)Ip地址欺骗
Ip地址欺骗是黑客通过拦截用户的ip报文然后再伪造报文与目标服务器进行通讯的攻击模式。
3.2典型网络入侵的解决方法浅谈
(1)防止ARP欺骗
a.建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2,把192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。
一定要保持网的机器IP/MAC一一对应的关系。
这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。
b.建立MAC数据库,把网吧所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。
c.网关机器关闭ARP动态刷新的过程,使用静态路邮,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全。
网关建立静态IP/MAC捆绑的方法是:
建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
192.168.2.3208:
00:
4E:
B0:
24:
47
然后再/etc/rc.d/rc.local最后添加:
arp-f生效即可
d.网关监听网络安全。
网关上面使用TCPDUMP程序截取每个ARP程序包,弄一个脚本分析软件分析这些ARP协议。
ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:
第一以太网数据的源地址、目标地址和ARP数据包的协议地址不匹配。
或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库,或者与自己网络MAC数据库MAC/IP不匹配。
这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。
(2)防止网页挂马
a.要养成良好的上网习惯,不浏览不健康的网页。
B要定期对电脑进行杀毒,发现有什么不正常的立即清除掉
C.也可以通过提高浏览器的属性来提高安全性具体的步骤是
【开始】-【控制面板】-【internet选项】进入如下窗体
在【安全】选项卡过设置
的“自定义级别”来提高安全性
也可以在【隐私】选项卡中对弹出的窗户口进行设置来提高安全性。
(3)提高口令的安全性
对于口令破解可以建议用户在设置口令的时候不要将自己的生日、、等容易被人获得信息作为自己的口令,选取一些没有规律的字母数字和符号组合的字符作为自己的口令。
此外还可以对口令的传输过程进行加密也可以防止口令被破解。
(4)漏洞攻击
漏洞攻击可以通过实时的更新自己的系统,尽快的给自己的系统和软件打好补丁还有把机器的不用的端口都关闭来进行避免。
(5)提高抗木马攻击
对于木马攻击可以安装最新的杀毒软件和防火墙来进行防护,对于来历不明的不要打开,来历不明的U盘不要和机
升级会员 