信息安全导论(5-2-网络安全-防火墙、入侵检测、反病毒)

1、1网络安全技术防火墙、入侵检测、反病毒信息安全导论（模块5网络安全）2网络安全技术防火墙技术入侵检测技术反病毒技术3第一部分 防火墙技术1 防火墙的作用2 防火墙技术原理3 防火墙的体系结构4 基于防火墙的VPN技术41 防火墙的作用防火墙是一种由软件或硬件设备组合而成的装置，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限51 防火墙的作用防火墙能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问，并过滤不良信息的目的。61 防火墙的作用一个好的防火墙系统应具备以下三方面的

2、条件：内部和外部之间的所有网络数据流必须经过防火墙。否则就失去了防火墙的主要意义了。只有符合安全策略的数据流才能通过防火墙。这也是防火墙的主要功能审计和过滤数据。防火墙自身应对渗透(penetration)免疫。如果防火墙自身都不安全，就更不可能保护内部网络的安全了。71 防火墙的作用防火墙由四大要素组成：安全策略是一个防火墙能否充分发挥其作用的关键。哪些数据可以（或不可以）通过防火墙；防火墙应该如何部署；应该采取哪些方式来处理紧急的安全事件；以及如何进行审计和取证的工作，等等，这些都属于安全策略内部网：需要受保护的网。外部网：需要防范的外部网络。技术手段：具体的实施技术。8防火墙的优点1集中

3、的安全管理，强化网络安全策略，经济易行。2防止非授权用户进入内部网络。3可以方便地监视网络的安全性并报警。4利用NAT技术，可以缓解地址空间的短缺，隐藏内部网的结构。5实现重点网段的分离，限制安全问题的扩散。6审计和记录网络的访问和使用的最佳地方。9防火墙存在的缺陷和不足为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，但这些服务也许正是用户所需要的服务，给用户带来使用的不便。防火墙只对内外网之间的通信进行审计和“过滤”，但对于内部人员的恶意攻击，防火墙无能为力。防火墙不能防范绕过防火墙的攻击，如内部网用户通过拨号上网直接进入Internet。防火墙对用户不完全透明，可能带来传输延

4、迟、瓶颈及单点失效。防火墙也不能完全防止受病毒感染的文件或软件的传输，由于病毒的种类繁多，如果要在防火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。防火墙不能有效地防范数据驱动式攻击。防火墙不可能对所有主机上运行的文件进行监控，无法预计文件执行后所带来的结果作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。102 防火墙技术原理防火墙的技术主要有包过滤技术代理技术状态检测技术地址翻译技术内容检查技术其他技术112.1 包过滤技术包过滤型防火墙在网络中适当的位置对数据包实施有选择的通过选择依据：系统内设置过滤规则（通常称为访问控制列表），只有满足过滤规则的

5、数据包才被转发到相应的网络接口，其余数据包则被丢弃。12包过滤的概念包过滤一般要检查下面几项：IP源地址IP目的地址协议类型（TCP包、UDP包和ICMP包）TCP或UDP的源端口TCP或UDP的目的端口ICMP消息类型TCP报头的ACK位13包过滤的设置设置步骤必须知道什么是应该和不应该被允许的，必须制订一个安全策略必须正式规定允许的包类型、包字段的逻辑表达必须用防火墙支持的语法重写表达式按地址过滤包过滤路由器检查包头的信息，与过滤规则进行匹配，决定是否转发该数据包按服务过滤根据安全策略决定是允许或者拒绝某一种服务，比如：禁止外部主机访问内部的Email服务器14包过滤的优点处理包的速度比代

6、理服务器快只需要很小的开销，因此屏蔽设备的性能不会受很多影响几乎不需要额外费用一般的路由器都有配套的包过滤功能，不需要额外购买相应的包过滤软件，因而包过滤技术相当便宜甚至是免费的对用户是透明的用户基本上觉察不出包过滤的存在，它是在路由器上对进出数据包进行过滤。对于用户端来说是透明的15包过滤的缺点防火墙维护比较困难，需要管理员具备一定的专业知识只能阻止一种IP欺骗即外部主机伪装成内部主机的IP，对于外部主机伪装成其他可信任主机的IP不可能阻止。无法抵抗数据驱动式攻击部分包过滤防火墙不支持有效的用户认证不可能提供有用的日志影响路由器的吞吐量无法对网络上的信息提供全面的控制162.2 代理技术代理

7、技术（应用层网关技术）代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有一个程序代理是企图在应用层实现防火墙的功能。代理能提供部分与传输有关的状态，能完全提供与应用相关的状态和部分传输方面的信息，代理也能处理和管理信息。 17代理防火墙的优点易于配置，界面友好；不允许内外网主机的直接连接；可以提供比包过滤更详细的日志记录；可以隐藏内部IP地址；可以给单个用户授权；可以为用户提供透明的加密机制；可以与认证、授权等安全手段方便的集成18代理防火墙的缺点代理速度比包过滤慢；因为代理防火墙工作在应用层，需要对数据包进行解包、装配，还原出原始数据，因此需

8、要增加额外的开销。代理对用户不透明代理技术需要针对每种协议设置一个不同的代理服务器。并且代理服务程序开发起来比较困难。192.3 状态检测技术状态检测技术是防火墙近几年应用的新技术传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝基于状态检测技术的防火墙不仅仅对数据包进行检测，还对控制通信的基本因素状态信息（包括通信信息、通信状态、应用状态和信息操作性）进行检测。通过状态检测虚拟机维护一个动态的状态表，记录所有的连接通信信息、通信状态，以完成对数据包的检测和过滤。20状态检测防火墙的优点高安全性防火墙截取到数据包，首先根据安全策略从数据包提取有用信息，然后将相关信息进行

9、组合，进行一些逻辑或数学运算，获得相应的结论，进行相应的操作，如允许数据包通过、拒绝数据包、认证连接和加密数据等。高效性状态检测防火墙工作在协议栈的较低层，通过防火墙的所有数据包都在低层处理，而不需要上层处理任何数据。可伸缩性和易扩展性状态检测防火墙不区分每个具体的应用，只是根据从数据包中提取的信息、对应的安全策略及过滤规则处理数据包，当有一个新的应用时，它能动态产生新的应用的新规则，具有很好的可伸缩性和易扩展性。应用范围广不仅支持基于TCP的应用，而且支持UDP等基于无连接的协议应用。21状态检测防火墙的缺点配置比较复杂降低网络速度222.4 网络地址翻译技术网络地址翻译（NATNetwor

10、k Address Translation）的最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到互联网上的IP地址编号问题。NAT技术并非为防火墙而设计，它在解决IP地址短缺的同时提供了如下功能：内部主机地址隐藏；网络负载均衡；网络地址交迭。23网络地址翻译技术（NAT）目的 解决IP地址空间不足问题 向外界隐藏内部网结构方式 M-1：多个内部网地址翻译到1个IP地址 1-1：简单的地址翻译 M-N：多个内部网地址翻译到N个IP地址243 防火墙的体系结构在防火墙和网络的配置上，有以下四种典型结构：双宿/多宿主机模式屏蔽主机模式屏蔽子网模式混合结构模式253.

11、1 双宿/多宿主机模式双宿/多宿主机防火墙（又称为双宿/多宿网关防火墙）拥有两个或多个连接到不同网络上的网络接口的防火墙，通常用一台装有两块或多块网卡的堡垒主机做防火墙，两块或多块网卡各自与受保护网和外部网相连。特点：主机的路由功能是被禁止的，两个网络之间的通信通过应用层代理服务来完成的。如果一旦黑客侵入堡垒主机并使其具有路由功能，那么防火墙将变得没用。263.1 双宿/多宿主机模式双宿/多宿主机模型的示意图 双宿/多宿主机Internet内部网络1内部网络2273.2 屏蔽主机模式强迫所有的外部主机与堡垒主机相连接，而不让他们与内部主机直接连接。通过一个过滤路由器，把所有外部到内部的连接都路

12、由到了堡垒主机。屏蔽路由器介于Internet和内部网之间，是防火墙的第一道防线。安全等级比包过滤防火墙系统高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。28屏蔽主机体系结构示意图29屏蔽主机型的典型构成包过滤路由器堡垒主机。包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。30屏蔽主机型的配置屏蔽路由器可按如下方式进行配置：允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务）不允许所有来自外部主机的直接连接对于内部主机到外部的连接，可以采用不同的策略决定是否要经过堡垒主机31屏蔽主机型的优缺点优点：安全性更高，

13、双重保护与双宿/多宿主机模式相比，安全性更高，双重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）。缺点：过滤路由器成了“单一失效点”。如果路由器被损害，堡垒主机将被穿过，整个网络对攻击者是开放的。323.3 屏蔽子网模式屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。增加一个周边网络的原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少堡垒主机被侵入的影响。万一堡垒主机被入侵者控制，入侵者仍不能直接侵袭内部网络，内部网络仍受到屏蔽路由器的保护。33屏蔽子网型结

14、构周边网络内部网络外部路由器堡垒主机内部路由器InternetDMZ34主要构成周边网络：位于内部网络与外部网络之间的子网，部署有堡垒主机和应用层网关。堡垒主机：放置在周边网络上是整个防御体系的核心。在堡垒主机上可以允许各种各样的代理服务器。内部路由器：保护内部网络。执行大部分的过滤工作。外部路由器：保护内部网络的第一道防线。35周边网络周边网络的概念是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。周边网络的作用即使堡垒主机被入侵者控制，它仍可消除对内部网的攻击。36堡垒主机堡垒主机位于周边网络，是整个防御体系的核心。堡垒主机应该尽可能

15、地简单。并做好随时做好堡垒主机受损、修复堡垒主机准备堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。37内部路由器（阻塞路由器）作用：位于内部网与周边网络之间，保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。即使堡垒主机被攻占，也可以保护内部网络。实际应用中，应按“最小特权原则”设计堡垒主机与内部网的通信策略。38外部路由器（访问路由器）作用：保护周边网络和内部网络不受外部网络的侵犯。它把入站的数据包路由到堡垒主机。防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部

16、路由器不可。393.4 混合模式主要是以上一些模式结构的混合使用：将屏蔽子网结构中的内部路由器和外部路由器合并合并屏蔽子网结构中堡垒主机与外部路由器使用多台堡垒主机使用多台外部路由器使用多个周边网络40混合型防火墙一个堡垒主机和一个非军事区示意图DMZ堡垒主机内部网外部路由器Internet41混合型防火墙(续)两个堡垒主机和两个非军事区外部DMZ外部堡垒主机内部网外部路由器Internet内部堡垒主机内部DMZ424 基于防火墙的VPN技术虚拟专用网(VPNVirtual Private Network)虚拟专用网指的是依靠ISP（因特网服务提供商）和其他NSP（网络服务提供商），在公用网络

17、中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。43VPN工作原理IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用因特网公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。4445隧道技术采用了隧道技术：数据包不是公开在网上传输，而是首先进行加密以确保安全，然后由VPN封装成IP包的形式，通过隧道在网上传输。46基于防火墙

18、的VPN基于防火墙的VPN是最常见的一种实现方式，许多厂商都提供这种配置类型。47基于防火墙的VPN48小结防火墙的作用位置基本技术49第二部分 入侵检测技术入侵检测系统（Intrusion Detection System，IDS）50入侵检测技术（IDS）1 入侵检测概述2 入侵检测类型3 入侵检测基本技术511 入侵检测概述入侵检测系统是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统入侵检测系统通过对网络中的数据包或主机的日志等信息进行提取、分析，发现入侵和攻击行为，并对入侵或攻击作出响应是一种主动防御技术52为什么需要IDS？入侵很容易入侵教程随处可见各

19、种工具唾手可得防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁，入侵检测系统是监视器53入侵检测的任务检测来自内部的攻击事件和越权访问85以上的攻击事件来自于内部的攻击防火墙只能防外，难于防内入侵检测系统作为防火墙系统的一个有效的补充入侵检测系统可以有效的防范防火墙开放的服务入侵通过事先发现风险来阻止入侵事件的发生，提前发现试图攻击或滥用网络系统的人员。检测其它安全工具没有发现的网络攻击事件。提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性。54安装入侵检测的必要性网络中可被入侵者利用的资源在一些大型的网络中

20、，管理员没有时间跟踪系统漏洞并且安装相应的系统补丁程序用户和管理员在配置和使用系统中的失误对于一些存在安全漏洞的服务、协议和软件，用户有时候不得不使用55IDS功能与模型IDS能够完成下列活动：监控、分析用户和系统的活动发现入侵企图或异常现象审计系统的配置和弱点评估关键系统和数据文件的完整性对异常活动的统计分析识别攻击的活动模式实时报警和主动响应56IDS功能与模型入侵检测系统分为四个基本组件：事件产生器（Event generators）事件分析器（Event analyzers）响应单元（Response units）事件数据库（Event databases）这种划分体现了入侵检测系统所

21、必须具有的体系结构：数据获取、数据分析、行为响应和数据管理。57通用入侵检测模型 58事件产生器：从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器：分析得到的数据，并产生分析结果。响应单元：对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，甚至发动对攻击者的反击，也可以只是简单的报警。事件数据库：存放各种中间和最终数据的地方，它可以是复杂的数据库，也可以是简单的文本文件。592 IDS类型按照信息源划分，入侵检测系统主要分为两类基于网络的IDS（NIDS）基于主机的IDS（HIDS）60防火墙和IDS典型部署图612.1 基于网络的IDS使用原始的

22、网络数据包作为数据源，主要用于实时监控网络关键路径的信息，它侦听网络上的所有分组来采集数据，分析可疑现象。622.1 基于网络的IDS使用四种常用技术来识别攻击标志：模式、表达式或字节匹配频率或穿越阈值次要事件的相关性统计学意义上的非常规现象检测63基于网络检测的优点实施成本低 隐蔽性好监测速度快视野更宽操作系统无关性 攻击者不易转移证据64基于网络检测的缺点只能监视本网段的活动，精确度不高；在交换网络环境下无能为力；对加密数据无能为力；防入侵欺骗的能力也比较差；难以定位入侵者。652.2 基于主机的IDS通过监视与分析主机的审计记录和日志文件来检测入侵。通过查看日志文件，能够发现成功的入侵或

23、入侵企图，并很快地启动相应的应急响应程序。主要用于保护运行关键应用的服务器。66基于主机IDS的优点能够检测到基于网络的系统检测不到的攻击 安装、配置灵活监控粒度更细监视特定的系统活动适用于交换及加密环境不要求额外的硬件67基于主机入侵检测的缺点占用主机的资源，在服务器上产生额外的负载缺乏平台支持，可移植性差，应用范围受到严重限制；例如，在网络环境中，某些活动对于单个主机来说可能构不成入侵，但是对于整个网络是入侵活动. 例如“旋转门柄”攻击，入侵者企图登录到网络主机，他对每台主机只试用一次用户ID和口令，并不进行暴力口令猜测，如果不成功，便转向其它主机. 对于这种攻击方式，各主机上的入侵检测系

24、统显然无法检测到。这就需要建立面向网络的入侵检测系统.683 IDS基本技术3.1 误用检测3.2 异常检测693.1 误用检测适用于已知使用模式的可靠检测，这种方法的前提是入侵行为能按照某种方式进行特征编码。如果入侵者攻击方式恰好匹配上检测系统中的模式库，则入侵者即被检测到。70误用入侵检测模型 模式库模式匹配攻击者警报712. 异常检测异常检测的前提是异常行为包括入侵行为。最理想情况下，异常行为集合等同于入侵行为集合。行为是入侵行为，但不表现异常；行为是入侵行为，且表现异常；行为不是入侵行为，却表现异常；行为既不是入侵行为，也不表现异常。722. 异常检测 异常活动集与入侵活动集之间的关系

25、如下图所示： 73小结：入侵检测技术是一种主动防御技术是传统计算机安全机制的补充74第三部分 反病毒技术1 病毒概论2 病毒的特点3 病毒的分类4 反病毒技术751 病毒概论病毒计算机病毒(computer virus)：指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。（中华人民共和国计算机信息系统安全保护条例中明确定义，1994年2月18日）病毒一般隐藏在其他宿主程序中，具有潜伏能力，自我繁殖能力，被激活产生破坏能力。761 病毒概论自从Fred Cohen博士于1983年11月成功研制了第一种计算机病毒以来，计算机病毒技

26、术正以惊人速度发展，不断有新的病毒出现。77计算机病毒的危害计算机病毒激发对计算机数据信息的直接破坏作用计算机病毒占用磁盘空间和对信息的破坏计算机病毒抢占系统资源计算机病毒影响计算机运行速度78惨痛事实梅莉莎病毒在1999年造成的损失高达12亿美元。2001年7、8月份在互联网上肆虐的“红色代码”蠕虫病毒给全世界造成了26亿美元的损失；包括清除它所需要的11亿美元和因感染病毒而造成的15亿美元生产方面的损失。79惨痛事实2003年1月25日，互联网上出现一种新型高危蠕虫病毒“2003蠕虫王” 其危害远远超过曾经肆虐一时的“红色代码”病毒。全球25万台计算机遭袭击，全世界范围内损失额最高可达12

27、亿美元。爱虫病毒及其50多种变种感染了全球约4000万台计算机，造成的损失高达87亿美元。美国的公司2001年用于消除病毒造成的损害花费大约123亿美元。80病毒破坏的后果良性病毒是指那些只表现自己而不破坏系统数据的病毒。后果：只显示些画面或音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源恶性病毒的目的在于人为地破坏计算机系统的数据、删除文件或对硬盘进行格式化后果：破坏数据、删除文件、加密磁盘、格式化磁盘，破坏操作系统、破坏硬件、堵塞网络等81蠕虫蠕虫也是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝（复制品）传给其他的计算机。蠕虫具有病毒和入侵者双重特点：像病毒那样，它可

28、以进行自我复制，并可能被当作假指令去执行；像入侵者那样，它以穿透网络系统为目标。蠕虫利用网络系统中的缺陷或系统管理中的不当之处进行复制，将其自身通过网络复制传播到其他计算机上，造成网络的瘫痪。82木马木马（Trojan Horse）又称特洛伊木马一种通过各种方法直接或者间接与远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序通常木马并不被当成病毒，因为它们并不自我复制，只是靠欺骗获得传播。像间谍一样潜入用户的计算机，使远程计算机通过网络控制本地计算机。83病毒产生的原因破坏、报复心理盈利途径特殊目的842 病毒的特点传染性潜伏性触发性针对性衍生性寄生性不可预见性破坏性传染性

29、是计算机病毒最重要的特性，计算机病毒在这点上与生物病毒是一致的。852 病毒的特点传染性潜伏性触发性针对性衍生性寄生性不可预见性破坏性病毒通常附在正常程序中或磁盘较隐蔽的地方，不让用户发现。正是由于这种潜伏性，计算机病毒得以在用户没有察觉的情况下游荡于世界上百万台计算机中。862 病毒的特点传染性潜伏性触发性针对性衍生性寄生性不可预见性破坏性大部分病毒感染系统后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其破坏模块。872 病毒的特点传染性潜伏性触发性针对性衍生性寄生性不可预见性破坏性病毒一般是针对某一种或几种计算机和特定的操作系统进行攻击的。882 病毒的特点传染性潜

30、伏性触发性针对性衍生性寄生性不可预见性破坏性病毒编制者或者其他人将某个计算机病毒进行一定的修改后，使其衍生为一种与原版本不同的计算机病毒，称其为原计算机病毒的一个变种。892 病毒的特点传染性潜伏性触发性针对性衍生性寄生性不可预见性破坏性病毒程序依附在某个宿主程序中，依赖于宿主程序而生存，并且通过宿主程序的执行而传播。902 病毒的特点传染性潜伏性触发性针对性衍生性寄生性不可预见性破坏性病毒的侵入、传播和发作是不可预见的，计算机病毒的发展速度也远远超出了我们的想象。病毒如何出现以及如何防范永远是不可预见的。912 病毒的特点传染性潜伏性触发性针对性衍生性寄生性不可预见性破坏性病毒对计算机产生破坏作用923 病毒的分类按感染对象分为：引导型病毒；文件型病毒；混合型病毒。按感染方式分为：