防火墙与入侵检测课程设计.doc

防火墙与入侵检测课程设计.doc

《防火墙与入侵检测课程设计.doc》由会员分享，可在线阅读，更多相关《防火墙与入侵检测课程设计.doc（9页珍藏版）》请在冰点文库上搜索。

防火墙与入侵检测课程设计 

设计背景：

随着计算机网络的饿普及和发展，以及政府和企业信息化艰涩步伐的加快，现有企业的网络体系结构越来越复杂。

复杂的网络结构暴露了众多的安全隐患，对网络安全的需求以前所未有的速度迅猛增长。

如何试网络安全满足业务的高速推进，成为越来越热门的话题。

安全的网络系统对于现代企业来说是日常办公和业务应用的支撑体系。

很多企业曾饱尝网络系统遭受攻击的痛苦，意识到网络安全的重要性，实施了简单的基于防火墙技术的安全解决策略，但绝大多数企业还处于观望阶段，或者出于一种调研阶段。

尽管企业网络与个人网络所存在的主要安全隐患一样们都是计算机病毒

感染、木马和恶意程序的入侵和黑客攻击，但企业网络安全与个人计算机的网络安全相比，安全防护的重要性药高许多。

一旦存在这些安全隐患。

企业网络的损失可能是无法估计的。

毕竟个人用户最多只是个人的计算机系统损坏，或者数据丢失，而对于企业网络远没有这么简单。

企业网络一旦受到威胁，就可能使整个网络无法正常工作，服务器系统瘫痪，甚至所有网络数据损坏或丢失，其损失可能是灾难性的。

作为网络管理员，应当根据当前的安全形式认清企业网络中主要需要防范的安全隐患。

而不要以个人计算机网络安全来概括企业网络安全。

 正是基于企业网络安全的重要性，企业网络安全防护成本要远比个人网络高。

在个人计算机的网络安全防护中通常只是安全个人版病毒防护程序和软件防火墙，而在企业网络中。

仅靠这些事远远不够的。

企业网络中通常部署的是硬件防火墙、网络版病毒防护程序和其他诸如入侵检测系统、网络隔离设备等。

同时，部署企业网络的容灾系统也是非常必要要的，因为它是一切安全防护措施的最后的防线。

拓扑图 

拓扑图分析：

企业按部门划分vlan 企业的部门分为经理部、销售部、人力资源部、后勤部、财政部、行政部、科研部，每个部门为一个vlan 相互之间互不影响，经理部可以查看其他各部门的计算机，其他部门只能查看除了经理部和财政部以外的部门计算机。

各部门的计算机通过接入层交换机连接到汇聚层交换机，然后介入核心交换机。

Web 服务器、dns服务器、dhcp服务器、email服务器等构成一个dmz 然后与核心交换机相连，核心交换机通过防火墙与路由器相连，路由器介入Internet。

其中在汇聚层交换机的节点核心层交换机的节点和dmz的节点处设置入侵检测系统。

 防火墙部署方案 

设计中采用包过滤防火墙，在内部网络与Internet的接点处设置了包过滤防火墙，起到保护内部网络的作用。

包过滤防火墙也称为访问控制表或屏蔽路由器，它通过查看所流经的数据包，根据定义好的过滤规则审查每个数据包，并根据是否与规则匹配来决定是否让该数据包通过。

包过滤防火墙的优点是处理速度快（因为包过滤防火墙工作在IP层和TCP层）、费用低（许多路由软件已包含）、对用户透明（不需要用户在客户端做任何程序改动）、价格便宜。

包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。

具体地讲，它针对每一个数据报的报头，按照包过滤规则进行判定，与规则相匹配的包依据路由信息继续转发，否则就丢弃。

包过滤是在IP层实现的，包过滤根据数据包的源IP地址、目的IP地址、协议类型（TCP包、UDP包、ICMP

包）、源端口、目的端口等报头信息及数据包传输方向等信息来判断是否允许数据包通过。

 包过滤也包括与服务相关的过滤，这是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP/UDP端口，因此，为阻断所有进入特定服务的链接，防火墙只需将所有包含特定TCP/UDP目的端口的包丢弃即可。

之所以采用包过滤防火墙主要出于以下几点的考虑：

1.对于一个小型的、不太复杂的站点，包过滤比较容易实现。

  2.过滤路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快。

  3.路由器为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。

因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。

所以，过滤路由器有时也被称为“包过滤网关”或“透明网关”，之所被称为网关，是因为包过滤路由器和传统路由器不同，它涉及到了传输层。

4滤路由器在价格上一般比代理服务器便宜。

 包过滤的原则：

（1）包过滤规则必须被包过滤设备端口存储起来。

（2）当包到达端口时，对包报头进行语法分析。

大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。

（3）包过滤规则以特殊的方式存储。

应用于包的规则的顺序与包过滤器规则存储顺序必须相同。

（4）若一条规则阻止包传输或接收，则此包便不被允许。

  （5）若一条规则允许包传输或接收，则此包便可以被继续处理。

  （6）若包不满足任何一条规则，则此包便被阻塞。

 入侵检测系统的部署：

入侵检测系统有不同的部署方式和特点。

根据所掌握的网络检测和安全需求，选取各种类型的入侵检测系统。

将多种入侵检测系统按照预定的计划进行部署，确保每个入侵检测系统都能够在相应部署点上发挥作用，共同防护，保障网络的安全运行。

部署工作包括对网络入侵检测和主机入侵检测等不同类型入侵检测系统的部署规划。

同时，根据主动防御网络的需求，还需要对入侵检测系统的报警方式进行部署和规划。

基于网络的入侵检测系统可以在网络的多个位置进行部署。

根据检测器部署位置的不同，入侵检测系统具有不同的工作特点。

在基于网络的入侵检测系统部署并配置完成后，基于主机的入侵检测系统的部署可  以给系统提供高级别的保护。

但是，将基于主机的入侵检测系统安装在企业中的每一个主机上是一种相当大的时间和资金的浪费，同时每一台主机都需要根据自身的情况进行特别的安装和设置，相关的日志和升级维护是巨大的。

入侵检测系统在检测到入侵行为的时候，需要报警并进行相应的反应。

如何报警和选取什么样的报警，需要根据整个网络的环境和安全的需求进行确定。

入侵检测系统的种类 

据入侵检测系统的检测对象和工作方式的不同，入侵检测系统主要分为两大类：

基于主机的入侵检测系统和基于网络的入侵检测系统。

基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害，需要安装在被保护的主机上。

这一类入侵检测系统直接与操作系统相关，它控制文件系统以及重要的系统文件，确保操作系统不会被随意地删改。

该类入侵检测系统能够及时发现操作系统所受到的侵害，并且由于它保存一定的校验信息和所有系统文件的变更记录，所以在一定程度上还可以实现安全恢复机制。

基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。

一旦检测到攻击，入侵检测系统应答模块通过通知、报播以及中断连接等方式来对攻击做出反应。

 基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势和不足，这两种方式各自都能发现对方无法检测到的一些网络入侵行为，如果同时使用互相弥补不足会起到良好的检测效果。

因此它们在确定攻击是否已经取得成功时，与基于网络的检测系统相比具有更大的准确性。

在这方面，基于主机的入侵检测系统对基于网络的入侵检测系统是一个很好的补充，可以使用基于网络的入侵检测系统提供早期报警，使用基于主机的入侵检测系统来验证攻击是否取得成功。

模式匹配  

    模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，来发现违背安全策略的入侵行为。

该过程可以很简单，也可以很复杂。

一种进攻模式可以利用一个过程或一个输出来表示。

这种检测方法只需收集相关的数据集合就能进行判断，能减少系统占用，并且技术已相当成熟，检测准确率和效率也相当高。

但是，该技术需要不断进行升级以对付不断出现的攻击手法，并且不能检测未知攻击手段。

 ·异常检测  

    异常检测首先给系统对象（用户、文件、目录和设备等）创建一个统计描述，包括统计正常使用时的测量属性，如访问次数、操作失败次数和延时等。

测量属性的平均值被用来与网络、系统的行为进行比较，当观察值在正常值范围之外时，IDS就会判断有入侵发生。

异常检测的优点是可以检测到未知入侵和复杂的入侵，缺点是误报、漏报率高。

 ·协议分析  

    协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。

它充分利用了网络协议的高度有序性，并结合了高速数据包捕捉、协议分析和命令解析，来快速检测某个攻击特征是否存在，这种技术正逐渐进入成熟应用阶段。

协议分析大大减少了计算量，即使在高负载的高速网络上，也能逐个分析所有的数据包。

典型的网络入侵方法：

口令破解、漏洞攻击、木马、拒绝服务攻击、ip地址欺骗、网络监听等。

 口令破解通常是因为用户自己的口令设计过于简单比如用自己的身日，爱人的生日等作为口令可以使黑客轻易的破解用户的口令。

漏洞攻击是根据用户的机器上的操作系统的漏洞或者是用户机器上软件的漏洞进行攻击从而控制用户机器的攻击模式。

木马比较典型的是特洛伊木马，用户通过收发邮件或者是使用已经感染的U

盘等都很容易是自己的机器感染木马，木马通常会在用户的机器上开一个后门从而方便黑客控制用户的机器。

拒绝服务攻击通常是黑客控制大量的傀儡机进行集中的大规模的攻击，攻击手段可能很简单比如简单的ping某个服务器，但是因为傀儡机数目太多，大量的长度超过普通ping命令规格的ping命令攻击同一个服务器会使服务器的资源耗尽而出现重启的现象，从而不能为合法用户提供服务。

Ip地址欺骗是黑客通过拦截用户的ip报文然后再伪造报文与目标服务器进行通讯的攻击模式。

网络监听则是用抓包工具对某一网段的计算机的所有通讯的数据包进行分析从而获取敏感信息的攻击方式。

解决方法：

对于口令破解可以建议用户在设置口令的时候不要将自己的生日、身份证号码、电话号码等容易被人获得信息作为自己的口令，选取一些没有规律的字母数字和符号组合的字符作为自己的口令。

此外还可以对口令的传输过程进行加密也可以防止口令被破解。

漏洞攻击可以通过实时的更新自己的系统，尽快的给自己的系统和软件打好补丁还有把机器的不用的端口都关闭来进行避免。

对于木马攻击可以安装最新的杀毒软件和防火墙来进行防护，对于来历不明的邮件不要打开，来历不明的U盘不要和机器进行连接等措施来避免。

拒绝服务攻击则可通过防火墙的包过滤功能过滤掉ping包和过大的数据包而轻松的解决。

Ip地址欺骗则可以通过在通信的机器间建立通信信道并加盖时间戳来进行防护。

网络监听可以通过实时监测局域网的流量状况，安装反抓包工具来进行防护。