08-《网络安全基础》(课件)(3)-网络攻击与防御技术3-防火墙与入侵检测

1、1 内容提要 计算机网络协议攻击发展趋势个人安全防范系统安全防御防火墙的基本概念，常见防火墙类型及如何使用规则集实现防火墙 入侵检测系统的基本概念、入侵检测的常用方法1、计算机网络组成一个计算机网络应该有三个主要的组成部分：若干个主机，它们向各用户提供服务；一个通信子网，它由一些专用的结点交换机和连接这些结点的通信链路组成；一系列协议，为在主机之间或主机与子网之间的通信而用。城域网（MAN， Metropolitan Area Network ）城域网是在一个城市范围内所建立的计算机通信网。这是上世纪80年代末，在LAN的发展基础上提出的，在技术上与LAN有许多相似之处。广域网（WAN， Wi

2、de Area Network ）广域网是在一个广泛地理范围内所建立的计算机通信网，简称WAN，其范围可以超越城市和国家以至全球，因而对通信的要求及复杂性都比较高。互联网（Internet,internetwork ）又称因特网，是全球性的网，包括WAN、MAN、LAN等。6ISO/OSI参考模型TCP/IP协议体系计算机网络体系结构两种体系结构计算机网络体系结构：计算机网络及其构件所应完成功能精确定义。体系结构是抽象的，但实现则具体的，是真正运行计算机硬件和软件。ISO/OSI参考模型是网络通信准则主要模型。尽管存在其他模型，但大多数网络供应商都将他们的产品和OSI参考模型关联起来。OSI网

3、络体系结构示意图1.2 OSI参考模型及其安全81.2 OSI七层模型功能应用层表示层会话层传输层网络层数据链路层物理层1234567提供应用程序接口处理数据格式、数据加密等建立、维护和管理会话建立主机端到端连接和数据传输路由选路和转发提供介质访问、链路管理等比特流传输2022/7/20OSI安全体系ISO/OSI安全体系由ISO7498-2定义，包括：五类安全服务:认证（鉴别）服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。 八大类安全机制:加密机制、数据签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制、公正机制。三类安全管理：系统安全管理、安

4、全管理服务和安全机制管理。安全层次9开放系统互连安全体系结构ISO 7498-2 1011TCP/IP参考模型TCP/IP参考模型在计算机网络发展史上具有里程牌的意义。基于TCP/IP的Internet已发展成为世界上最大的国际性计算机互连网络。TCP/IP共有四层：应用层、传输层、Internet层和通信子网层。TCP/IP网络体系结构如图所示。基于TCP/IP协议的网络体系结构虚拟终端文件传输电子邮件WEB服务传输控制协议TCP用户数据报协议UDP网络层IP，互联网控制协议ICMP，ARP电话网卫星网无线网X.24网通信子网层应用层传输层局域网12 互联网各层协议之间的关系发送数据:数据封

5、装应用层表示层会话层传输层网络层 数据链路层 物理层dataTCP/UDP header 数据段IP header 数据包逻辑链路子层物理链路子层FCSLLCFCSMAC数据帧0 1 1 0 0 0 1 1 0 1 0 1Bit在发送数据的时候，就是一个封装数据的过程.132022/7/20数据封装应用TCPIP以太网驱动程序用户数据用户数据App头TCP头TCP头IP头TCP头IP头Eth头Eth尾应用数据(块)TCP分节IP分组以太网帧以太网电缆发送方App头App头App头用户数据用户数据用户数据接收数据:数据拆封0 1 1 0 0 0 1 1 0 1 0 1dataFCSTCPIPLL

6、CMAC在接收数据的时候，就是一个解封装数据的过成.应用层表示层会话层传输层网络层 数据链路层 物理层逻辑链路子层物理链路子层数据段数据包数据帧Bit152022/7/20应用数据（块）数据解封应用TCPIP以太网驱动程序用户数据用户数据App头TCP头IP分组 Eth头Eth尾以太网帧以太网电缆接收方IP头TCP 分节IP分组TCP分节应用数据(块)应用层传输层网络层网络接口层认证服务访问控制数据完整性数据保密性不可抵赖性数据加密数字签名访问控制数据完整性实体认证流量填充路由控制安全机制TCP/IP参考模型安全服务TCP/IP安全体系IEEE 802标准公证机制2、攻击发展趋势3、个人信息安

7、全的防范技巧不轻易运行不明真相的程序屏蔽小甜饼（Cookie ）信息不同的地方用不同的口令屏蔽ActiveX控件定期清除缓存、历史记录以及临时文件夹中的内容不随意透露任何个人信息突遇莫名其妙的故障时要及时检查系统信息对机密信息实施加密保护拒绝某些可能有威胁的站点对自己的访问加密重要的邮件在自己的计算机中安装防火墙为客户/服务器通信双方提供身份认证，建立安全信道尽量少在聊天室里或使用OICQ聊天3、个人信息安全的防范技巧4、防火墙 防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。22 这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之

8、间的一道防御系统。防火墙的定义在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。23 防火墙的功能 根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点24 防火墙的功能 由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保

9、护的，任何关键性的服务器，都应该放在防火墙之后。25 防火墙的局限性 防火墙有以下三方面的局限：防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。26 防火墙的分类 常见的放火墙有三种类型： 1、分组过滤防火墙； 2、应用代理防火墙； 3、状态检测防火墙。27 防火墙的分类 1、分组过滤（Packet Filtering）：作用在协议组的网络层和

10、传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。28 防火墙的分类 2、应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。29 防火墙的分类 3、状态检测（Status Detection）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是

11、否允许该数据包通过。30 分组过滤防火墙数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃 31 32 一个可靠的分组过滤防火墙依赖于规则集组序号动作源IP目的IP源端口目的端口协议类型1允许*TCP2允许*20*TCP3禁止*201024TCP第一条规则：主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通

12、过。用WinRoute创建包过滤规则 WinRoute目前应用比较广泛，既可以作为一个服务器的防火墙系统，也可以作为一个代理服务器软件。目前比较常用的是WinRoute4.1，安装文件如图所示。33 34 用WinRoute禁用FTP访问 FTP服务用TCP协议， FTP占用TCP的21端口，主机的IP地址是“09”，首先创建规则如表所示。组序号动作源IP目的IP源端口目的端口协议类型1禁止*09*21TCP35 利用WinRoute建立访问规则，如图所示。36 设置访问规则以后，再访问主机“09”的FTP服务，将遭到拒绝，如图所示。37 访问违反了访问规则，会在主机的安全日志中记录下来，如图

13、所示。38 用WinRoute禁用HTTP访问HTTP服务用TCP协议，占用TCP协议的80端口，主机的IP地址是“09”，首先创建规则如表所示。组序号动作源IP目的IP源端口目的端口协议类型1禁止*09*80TCP39 利用WinRoute建立访问规则，如图所示。40 打开本地的IE连接远程主机的HTTP服务，将遭到拒绝，如图所示。41 访问违反了访问规则，所以在主机的安全日志中记录下来，如图所示。应用代理防火墙 应用代理（Application Proxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务

14、器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此又被称为“应用网关”。42 常见防火墙系统模型 常见防火墙系统一般按照四种模型构建：筛选路由器模型单宿主堡垒主机（屏蔽主机防火墙）模型双宿主堡垒主机模型（屏蔽防火墙系统模型）屏蔽子网模型。43 筛选路由器模型 筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求，如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。44 单宿主堡垒主机模型 单宿主

15、堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络安全性之前，必须首先渗透两种不同的安全系统。45 双宿主堡垒主机模型 双宿主机即一台配有多个网络接口的主机，它可以用来在内部网络和外部网络之间进行寻址。双宿主堡垒主机模型可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。46 屏蔽子网模型屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全

16、的防火墙系统之一，因为在定义了“中立区”(DMZ，Demilitarized Zone)网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。47 创建防火墙的步骤 成功的创建一个防火墙系统一般需要六步：第一步：制定安全策略，第二步：搭建安全体系结构，第三步：制定规则次序，第四步：落实规则集，第五步：注意更换控制，第六步：做好审计工作。48 5、入侵检测系统 入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资

17、源的非授权使用能够做出及时的判断、记录和报警。 49 入侵检测系统面临的挑战一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉。50 误报没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有四个方面。1、缺乏共享数据的机制 2、缺乏集中协调的机制3、缺乏揣摩数据在一段时间内变化的能力4、缺乏有效的跟踪分析51 入侵检测系统的类型和性能比较 根据入侵检测的

18、信息来源不同，可以将入侵检测系统分为两类：基于主机的入侵检测系统基于网络的入侵检测系统。52 入侵检测系统的类型和性能比较 基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。53 入侵检测系统的类型和性能比较 基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。54 入侵检测的方法 目前入侵检测方法有三

19、种分类依据：1、根据物理位置进行分类。2、根据建模方法进行分类。3、根据时间分析进行分类。常用的方法有三种：静态配置分析、异常性检测方法和基于行为的检测方法。55 静态配置分析 静态配置分析通过检查系统的配置，诸如系统文件的内容，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（比如，系统配置信息）。 采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。56 异常性检测方法 异常性检测技术分析异常特征，不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法。建立正常行为模式的特征轮廓比较困难。有经验的入侵者还可

20、以通过缓慢地改变他的行为，改变用户正常行为模式，使其入侵行为逐步变为合法，避开使用异常性检测技术的的检测。57 基于行为的检测方法 基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为，来检测系统中的入侵活动。 优点：如果特征模式库中包含一个已知入侵行为的特征模式，就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。58 案例: 检测与端口关联的应用程序网络入侵者都会连接到主机的某个非法端口，通过检查出与端口关联应用程序，可以进行入侵检测，这种方法属于静态配置分析。59 利用工具软件fport.exe可以检查与每

21、一端口关联的应用程序。入侵检测的步骤 入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤：信息收集数据分析响应。60 信息收集 入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。 入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的信息。61 数据分析数据分析（Analysis Schemes）是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两类。 62 响应 数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。1、将分析结果记录在日志文件中，并产生相应的报告。2、触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。3、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接