信息网络安全知识普及教育培训教程防火墙和入侵技术.docx
《信息网络安全知识普及教育培训教程防火墙和入侵技术.docx》由会员分享,可在线阅读,更多相关《信息网络安全知识普及教育培训教程防火墙和入侵技术.docx(38页珍藏版)》请在冰点文库上搜索。
信息网络安全知识普及教育培训教程防火墙和入侵技术
1.防火墙技术
2.防火墙的体系结构
3.防火墙应用中的几个问题
4.入侵检测技术
5.入侵检测系统
6.入侵防护系统
5.1概要
1防火墙技术
1.1防火墙的定义与基本功能
1.2防火墙的分类和工作原理
5.1.1防火墙的定义与基本功能
1.防火墙的定义
防火墙名称的由来
当房屋还处于木制结构的时侯,人们将石块堆砌在房屋周围
用来防止火灾的发生。
这种墙被称之为防火墙。
在今日的电子世
界中,人们仍然依靠防火墙来保护敏感的数据,不过这些防火墙
是由采用先进技术的计算机产品砌成的。
防火墙是位于两个信任程度不同的网络之间(如企业内部网
络和Internet之间)的软件或硬件设备的组合,它对两个网络之
间的通信进行控制,通过强制实施统一的安全策略,防止对重要
信息资源的非法存取和访问以保护系统安全。
5.1.1防火墙的定义与基本功能
在逻辑上,防火墙是分离器,限制器,也是一个分析器,有
效地监控了内部网和外部网之间的任何活动,保证了内部网络的
安全。
所有进出网络的通讯流都应该通过防火墙;
所有穿过防火墙的通讯流都必须有安全策略和计划的确认和
授权;
理论上说,防火墙是穿不透的。
在物理上,防火墙既可以是单纯的硬件设备——路由器、主
计算机,也可以是纯软件产品,还可以是路由器、计算机和配有
软件的网络的组合。
5.1.1防火墙的定义与基本功能
防火墙的实质是一对矛盾(或称机制)
限制数据流通;
允许数据流通。
防火墙的安全策略:
两种极端的表现形式:
除非允许的,其余均被禁止,安全但不好用。
(限制政策)
除非禁止的,其余均被允许,好用但不安全。
(宽松政策)
通常防火墙采取第一种安全策略!
5.1.1防火墙的定义与基本功能
2、防火墙的基本功能
1.过滤进出网络的数据:
防火墙是阻塞点,可强迫所有进出信息都通过这个唯一狭窄
的检查点,便于集中实施安全策略(加密认证软件等)。
2.管理进出网络的访问行为:
限制网络访问服务,实行强制的网络安全策略。
3.封堵某些禁止的业务:
例如禁止不安全的协议NFS,禁止finger。
4.记录通过防火墙的信息内容和活动;
5.对网络攻击检测和告警。
5.1.1防火墙的定义与基本功能
防火墙的作用示意图
5.1.2防火墙的分类和工作原理
1、根据防火墙适用范围来分:
个人防火墙和企业防火墙
1.个人防火墙软件采用的技术与传统的企业级防火墙技术基
本相同;
2.在规则的设置、防火墙的管理等方面进行了简化,主要是
为了使非专业的个人用户能够轻松地安装和使用它们而企业级防
火墙具有更高的稳定性、更快的处理速度;
3.在规则的配置及管理方面相应地就更加复杂。
5.1.2防火墙的分类和工作原理
2、根据防火墙的存在形式
1.硬件防火墙
2.软件防火墙
3.软硬件结合防火墙
5.1.2防火墙的分类和工作原理
(1)硬件防火墙
1.采用专用芯片处理数据包,CPU只作管理之用;
2.它使用专用的操作系统平台,避免了通用性操作系统的安
全性漏洞;
3.具有高带宽、高吞吐量,是真正的线速防火墙(即实际带
宽与理论值可以达到一致),安全与速度同时兼顾;
4.管理简单,价格昂贵;此类产品的外观为硬件机箱形,一
般不会对外公布其CPU或RAM等硬件水平,其核心为硬件芯片。
5.1.2防火墙的分类和工作原理
(2)软件防火墙
l.运行在通用操作系统上的能控制存取访问的软件;
2.对底层操作系统的安全依赖性很高,易造成网络带宽瓶颈
(通常带宽只有理论值的20%~70%);
3.它的管理比较复杂,与系统有关,要求维护人员必须熟悉
各种工作站及操作系统的安装及维护;
4.价格便宜,但性价比较低。
5.1.2防火墙的分类和工作原理
(3)软硬件结合防火墙
l.机箱+CPU+防火墙软件集成于一体(PCBOX结构),现在
市面上有些自称“硬件”防火墙的产品实际采用的就是这种结构;
2.它采用专用或通用操作系统,核心技术为软件,容易形成
网络带宽瓶颈(通常带宽只能达到理论值的20%~70%),只能满
足中低带宽要求,吞吐量不高;
3.管理较方便,性价比较高;
4.产品外观为硬件机箱形,此类防火墙一般会对外强调其CPU与RAM等硬件水平。
5.1.2防火墙的分类和工作原理
3、根据防火墙的设计原理
1.包过滤防火墙
2.代理服务器
3.状态检测防火墙
5.1.2防火墙的分类和工作原理
(1)包过滤防火墙(packetfiltering)
监视与过滤网络上流入流出的IP包,并拒绝发送或接收可疑
的包。
包过滤式的防火墙会检查所有通过信息包里的IP地址、端口
号及其它包头信息,并按照系统管理员所给定的过滤规则过滤信
息包。
(不做基于内容的决定,只检查包头的内容,不理会包内的正
文信息内容)
5.1.2防火墙的分类和工作原理
包过滤工作原理
5.1.2防火墙的分类和工作原理
包过滤防火墙的优缺点
优点:
1.速度快,性能高;
2.对应用程序透明(无帐号口令等)。
缺点:
1.安全性低(IP欺骗等);
2.不能根据状态信息进行控制;
3.不能处理网络层以上的信息;
4.伸缩性差;
5.维护不直观。
5.1.2防火墙的分类和工作原理
(2)代理防火墙
代理防火墙也叫应用层网关(ApplicationGateway)防火
墙。
从内部发出的数据包经过防火墙处理后,就好像是源于防火
墙外部网卡一样,从而可以达到隐藏内部网结构的作用。
它的核
心技术就是代理服务器技术;
防火墙内外计算机系统间应用层的“链接”,由两个终止代
理服务器上的“链接”来实现;
外部计算机的网络链路只能到达代理服务器,从而起到了隔
离防火墙内外计算机系统的作用。
5.1.2防火墙的分类和工作原理
代理防火墙工作原理
5.1.2防火墙的分类和工作原理
代理防火墙的优缺点
代理类型防火墙的最突出的优点就是安全。
由于每一个内外
网络之间的连接都要通过Proxy的介入和转换,通过专门为特定的
服务(如http)编写的安全化的应用程序进行处理,然后由防火墙
本身提交请求和应答,没有给内外网络的计算机以任何直接会话
的机会;
代理防火墙的最大缺点就是速度相对比较慢,当用户对内外
网络网关的吞吐量要求比较高时,代理防火墙就会成为内外网络
之间的瓶颈;
另外代理防火墙具有性能差、伸缩性差、只支持有限的应用、不透明等缺点。
5.1.2防火墙的分类和工作原理
(3)状态检测防火墙(Stateful-inspection)
状态检测防火墙检测每一个有效连接的状态,并根据这些信
息决定网络数据包是否能够通过防火墙:
1.它在协议栈低层截取数据包,然后分析这些数据包,并且
将当前数据包和状态信息与前一时刻的数据包和状态信息进行比
较,从而得到该数据包的控制信息,来达到保护网络安全的目的。
2.和代理防火墙相比较而言,状态检测防火墙使用用户定义
的过滤规则,不依赖预先定义的应用信息,执行效率比应用网关
防火墙高;而且它不识别特定的应用信息,所以不用对不同的应
用信息制定不同的应用规则,从而具有伸缩性好的优点。
5.1.2防火墙的分类和工作原理
状态检测工作原理
状态检测可以结合前后数据包里的数据信息进行综合分析决
定是否允许该包通过.
5.1.2防火墙的分类和工作原理
状态检测防火墙工作示意图
5.1.2防火墙的分类和工作原理
状态检测防火墙的优点
高安全性
1.状态检测防火墙工作在数据链路层和网络层之间,它从中
截取数据包。
由于数据链路层是网卡工作的真正位置,网络层是
协议栈的第一层,所以防火墙确保了对所有通过网络的原始数据
包的截取和检查。
2.状态检测防火墙虽然工作在协议栈较低层,但它监测所有
应用层的数据包,从中提取有用信息,如IP地址、端口号和数据
内容等,安全性从而得到了很大提高。
5.1.2防火墙的分类和工作原理
高效性
1.状态检测防火墙工作在协议栈的较低层,通过防火墙的所
有数据包都在低层处理,而不需要协议栈的上层来处理任何数据
包,因此减少了高层协议头的开销,执行效率也大大提高;
2.一旦一个连接在防火墙中建立起来,就不用再对该连接进
行更多的处理,这样,系统就可以去处理其他连接,执行效率可
以得到进一步的提高。
5.1.2防火墙的分类和工作原理
可伸缩性和可扩展性
1.应用网关防火墙采用一个应用对应一个服务程序的方式。
因为这种方式所能提供的服务是有限的,而且当增加一个新的服
务时,必须为新的服务开发相应的服务程序,因此,系统的可伸
缩性和可扩展性降低。
2.状态检测防火墙不区分每个具体的应用,只是根据从数据
包中提取的信息、对应的安全策略以及过滤规则来处理数据包,
当增加一个新的应用时,状态检测防火墙能动态地产生新应用的
规则,而不需要另外编写代码,所以系统具有很好的可伸缩性和
可扩展性。
5.1.2防火墙的分类和工作原理
应用范围广
1.状态检测防火墙不仅支持基于TCP的应用,而且支持基于
无连接协议的应用,如RPC、基于UDP的应用(如DNS、WAIS、Archie)等。
对于无连接的协议,连接请求和应答没有区别。
2.包过滤防火墙和应用网关防火墙对此类应用或者不支持,
或者开放一个大范围的UDP端口,从而使内部网暴露,降低了网
络安全性。
5.1.2防火墙的分类和工作原理
三种主要防火墙技术的性能比较
5.2防火墙的体系结构
2、防火墙的体系结构
1.屏蔽路由器
2.双重宿主主机体系结构
3.屏蔽主机体系结构
4.屏蔽子网体系结构
5.其它的防火墙结构
5.2.1屏蔽路由器
屏蔽路由器(ScreeningRouter)
这是防火墙最基本的构件。
它可以由厂家专门生产的路由器
实现,也可以用主机来实现。
屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必
须在此通过检查。
路由器上可以装基于IP层的报文过滤软件,实
现报文过滤功能。
许多路由器本身带有报文过滤配置选项,但一
般比较简单。
单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及
路由器允许访问的主机。
它的缺点是一旦被攻陷后很难发现,而
且不能识别不同的用户。
5.2.2双重宿主主机体系结构
双重宿主主机体系结构(DualHomed)
双重宿主主机至少有两个网络接口,它位于内部网络和外部
网络之间,这样的主机可以充当与这些接口相连的网络之间的路
由器,它能从一个网络接收IP数据包并将之发往另一网络。
然而
实现双重宿主主机的防火墙体系结构禁止这种发送功能,完全阻
止了内外网络之间的IP通信。
两个网络之间的通信可通过用户直接登录和应用层代理服务
的方法实现。
用户直接登录需要用户先登入双重宿主主机,在以
此为起点访问外部服务,因用户帐号易被攻破,所以不推荐使用。
一般情况下采用代理服务的方法。
5.2.2双重宿主主机体系结构
双重宿主主机体系结构(DualHomed)
5.2.2双重宿主主机体系结构
双重宿主主机的特性与缺点
用户口令控制安全是关键;
必须支持很多用户的访问(中转站),其性能非常重要。
缺点:
双重宿主主机是隔开内外网络的唯一屏障,一旦它被入侵,内部网络便向入侵者敞开大门。
5.2.3屏蔽主机体系结构
屏蔽主机体系结构(ScreenedHost)
屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全
责任;
典型构成:
包过滤路由器+堡垒主机。
包过滤路由器配置在内部网和外部网之间,保证外部系统对
内部网络的操作只能经过堡垒主机;
堡垒主机配置在内部网络上,是外部网络主机连接到内部网
络主机的桥梁,它需要拥有高等级的安全。
5.2.3屏蔽主机体系结构
优点:
安全性更高,双重保护:
实现了网络层安全(包过
滤)和应用层安全(代理服务)。
缺点:
过滤路由器能否正确配置是安全与否的关键。
如果路
由器被损害,堡垒主机将被穿过,整个网络对侵袭者是开放的。
5.2.3屏蔽主机体系结构
屏蔽主机体系结构
5.2.4屏蔽子网体系结构
本质上与屏蔽主机体系结构一样,但添加了额外的一层保护
体系——周边网络。
堡垒主机位于周边网络上,周边网络和内部
网络被内部路由器分开。
堡垒主机是用户网络上最容易受侵袭的机器。
通过在周边网
络上隔离堡垒主机,能减少在堡垒主机被侵入的影响。
5.2.4屏蔽子网体系结构
屏蔽子网体系结构
5.2.5其它的防火墙结构
(1)一个堡垒主机和一个非军事区
5.2.5其它的防火墙结构
(2)两个堡垒主机和两个非军事区
5.3.1IP和MAC地址绑定
5.3.2NAT地址转换
隐藏了内部网络的结构
内部网络可以使用私有IP地址
公开地址不足的网络可以使用这种方式提供IP复用功
5.3.3反向地址映射
5.3.4防火墙划分VLAN
5.3.5小结
小结
防火墙是使用最广泛的网络安全工具,是网络安全的第一道
防线,用以防止外部网络的未授权访问;
防火墙具有副作用,使内部网络与外部网络的信息系统交流
受到阻碍,增大了网络管理开销,而且减慢了信息传递速率;
防火墙不是解决网络安全问题的万能药方,它只是网络安全
政策和策略的一个组成部分。
4、入侵检测技术
4.1引言
4.2入侵检测的定义及评测标准
4.3入侵检测防范的典型黑客攻击类型
4.4异常检测技术
4.5滥用检测技术
5.4.1.1网络入侵的特点
网络入侵的特点:
1.没有地域和时间的限制;
2.通过网络的攻击往往混杂在大量正常的网络活动之间,隐蔽
性强;
3.入侵手段更加隐蔽和复杂。
5.4.1.2防火墙的缺点
防火墙的缺点:
l.传统的操作系统加固技术和防火墙隔离技术等都是静态安
全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应;
2.难于防止内部人员的攻击,而网络上来自内部攻击事件占70%左右;
3.难于管理和配置,易造成安全漏洞;
4.因为防火墙要转发报文,往往成为网络性能的瓶颈。
这个
问题随着高带宽网络的流行尤为严重;
5.单层防御体系,一旦被突破则黑客可以为所欲为。
5.4.1.3为什么要采用入侵检测系统
(1)入侵检测技术是动态安全技术(P2DR)的最核心的技术之一
检测是静态防护转化为动态的关键;
检测是动态响应的依据;
检测是落实/强制执行安全策略的有力工具。
5.4.1.3为什么要采用入侵检测系统
(2)入侵检测系统(IDS)是对防火墙的必要补充;
入侵检测是为那些已经采取了结合强防火墙和验证技术措施
的客户准备的,入侵检测在其上又增加了一层安全性。
(3)对系统或网络资源进行实时检测,及时发现闯入系统或网
络的入侵者;
(4)预防合法用户对资源的误操作以及发现内部人员作案;
(5)采用被动式的监听报文的方式捕获入侵,不会成为网络性
能的瓶颈。
5.4.2入侵检测的定义及评测标准
入侵检测的定义
入侵检测:
是指对于面向计算资源和网络资源的恶意行为的
识别和响应。
入侵:
是指任何试图破坏资源完整性、机密性和可用性的行
为。
这里,应该包括用户对于系统资源的误用。
从入侵策略的角度可将入侵检测的内容分为:
试图闯入或成
功闯入、冒充其它用户、违反安全策略、合法用户的泄漏、独占
资源以及恶意使用等6个方面。
5.4.2入侵检测的定义及评测标准
入侵检测的评价标准
准确性:
指IDS对系统环境中的异常行为(或入侵)与合法行为进行区分的能力;
性能:
指IDS处理审计事件的效率;
完整性:
指IDS可以检测到所有的攻击;
容错性:
指IDS本身对于攻击的抵御能力和从系统崩溃中恢复的能力;
时限性(timeliness):
指IDS执行并完成分析,以及进行响应的时间快慢。
5.4.2入侵检测的定义及评测标准
此外,还应考虑以下几点:
1.IDS运行时,尽量减少对系统的开销,以便不影响其它正常操作;
2.能够针对系统的安全策略对IDS进行配置;
3.对系统和用户行为随时间的变化具有适应性。
基于网络的IDS还应具有以下性质:
可伸缩性、部件相关性
小、允许动态重构。
5.4.3入侵检测防范的典型黑客攻击类型
1.探测攻击――寻找攻击目标并收集相关信息及漏洞,如PingSweeps,TCP/UDPscan,SATAN,PortScan;
2.拒绝服务攻击――抢占目标系统资源阻止合法用户使用系统或使系统崩溃,如PingofDeath,SYNFlood,TearDrop,UDPBomb,Land/Latierra,WinNuke,Trinoo,TFN2K,Stacheldraht等;
3.缓冲区溢出攻击――利用系统应用程序中存在的错误,执行特定的代码以获取系统的超级权限,如DNSoverflow,Statdoverflow等;
5.4.3入侵检测防范的典型黑客攻击类型
l.WEB攻击:
利用CGI、WEB服务器和浏览器中存在的安全漏
洞,损害系统安全或导致系统崩溃,如URL,HTTP,HTML,JavaScript,Frames,Java,andActiveX等;
2.邮件攻击:
邮件炸弹、邮件滚雪球、邮件欺骗等;
3.非授权访问:
越权访问文件、执行无权操作,如Admind,EvilFTPBackdoor,Finger_perl,FTP_Root,BackOrifice等;
4.网络服务缺陷攻击:
利用NFS,NIS,FTP等服务存在的漏
洞,进行攻击和非法访问,如NfsGuess,NfsMknod等;
5.网络监听:
获取有用信息,夺取网络控制权,如snoop,tcpdump,Netwatch,sniffer等。
5.4.4.1基于统计方法的攻击检测技术
(1)基于统计方法的攻击检测技术
审计系统实时地检测用户对系统的使用情况,根据系统内部保持的用户行为的概率统计模型进行监测,当发现有可疑的用户行为发生时,保持跟踪并监测、记录该用户的行为。
SRI(StanfordResearchInstitute)研制开发的IDES(IntrusionDetectionExpertSystem)是一个典型的实时检测系统。
IDES系统能根据用户以前的历史行为决定用户当前的行为是否合法。
系统根据用户的历史行为,生成每个用户的历史行为记录库。
IDES能够自适应地学习被检测系统中每个用户的行为习惯,当某个用户改变他的行为习惯时,这种异常就会被检测出来。
5.4.4.1基于统计方法的攻击检测技术
目前IDES实现的监测主要基于以下两个方面:
一般项目:
例如CPU的使用时间:
I/O的使用通道和频率,常用目录的建立与删除,文件的读写、修改、删除,以及来自局域网的行为;
特定项目:
包括习惯使用的编辑器和编译器、最常用的系统调用、用户ID的存取、文件和目录的使用。
基于统计的攻击检测系统的缺点
因为用户的行为可以是非常复杂的,所以想要准确匹配一个用户的历史行为和当前的行为相当困难。
错发的警报往往来自对审计数据的统计算法所基于的不准确或不贴切的假设。
5.4.4.2基于神经网络的攻击检测技术
(2)基于神经网络的攻击检测技术
采用神经网络技术,根据实时检测到的信息有效地加以处理作出攻击可能性的判断。
神经网络技术可以用于解决传统的统计分析技术所面临的以下问题:
1.难于建立确切的统计分布:
统计方法基本上是依赖于用户行为的主观假设,如偏差高斯分布;错发警报常由这种假设所导致;
2.难于实现方法的普适性:
适用于某类用户行为的检测措施一般无法适用于另一类用户;
5.4.4.2基于神经网络的攻击检测技术
3.算法实现比较昂贵:
由于基于统计的算法对不同类型的用户
行为不具有自适应性,因此算法比较复杂而且庞大,导致算法实
现上的昂贵;
4.系统臃肿难于剪裁:
由于采用统计方法检测具有大量用户的
计算机系统,将不得不保留大量的用户行为信息,导致系统的臃
肿和难于剪裁。
目前,虽然神经网络技术提出了对基于传统统计技术的攻击
检测方法的改进方向,但尚不十分成熟,所以传统的统计方法仍
升级会员 