第9章网络安全技术

第9章网络安全技术2023/2/1学习目标本章主要讲解网络环境下安全防范技术：网络安全包括哪些常用技术和手段网络扫描技术作用和实施网络防火墙的作用和工作机理入侵检测系统的作用和工作机理使用蜜罐技术有效发现网络入侵行为3/492023/2/14如何保护网络免遭入侵？42023/2/1本章目录9.1网络安全技术概述9.2网络扫描技术9.3网络防火墙技术9.4入侵检测技术9.5蜜罐技术5/492023/2/19.1网络安全技术概述网络为攻击者提供了更多方便由于网络的存在，攻击者更容易通过网络非法入侵他人网络系统、计算机系统，非法访问网络上的资源，非法窃取终端系统中的数据。内部网络、外部网络与安全边界网络通常分为内部网络和外部网络(也称公共网络，如Internet)，内外网络之间的连接设备(路由器)成为安全边界，对安全边界的监控是网络安全的重要内容。网络安全防御体系主动防御模型6/492023/2/19.1网络安全技术概述网络安全技术构建网络安全防御体系，除了必要的人、制度、机制、管理等方面保障，还要依赖于各种网络安全技术。扫描技术：发现内部网络安全薄弱环节，进行完善保护。防火墙技术：在内部与外部网络衔接处，阻止外部对内部网络的访问，限制内部对外部网络的访问等。入侵检测系统：发现非正常的外部对内部网络的入侵行为，报警并阻止入侵行为和影响的进一步扩大。隔离网闸技术：在物理隔离的两个网络之间进行安全数据交换。7/492023/2/1本章目录9.1网络安全技术概述9.2网络扫描技术9.3网络防火墙技术9.4入侵检测技术9.5蜜罐技术8/492023/2/1如何探测网络拓扑结构及网络中系统存在的安全弱点？992023/2/19.2网络扫描技术目的是发现网络中的设备及系统是否存在安全漏洞。典型的网络扫描包括主机扫描和端口扫描。主机扫描目的是确定在目标网络上的主机是否可达，常用的扫描手段如ICMPEcho扫描、BroadcastICMP扫描等。防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，攻击者通常利用ICMP协议提供的错误消息机制，例如发送异常的IP包头、在IP头中设置无效的字段值、错误的数据分片，以及通过超长包探测内部路由器和反向映射探测等。10/492023/2/19.2网络扫描技术端口扫描目的是发现目标主机的开放端口，包括网络协议和各种应用监听的端口。端口扫描技术包括开放扫描、隐蔽扫描和半开放扫描等。典型的端口扫描方法TCPConnect扫描和TCP反向ident扫描。TCPXmas和TCPNull扫描是FIN扫描的两个变种。TCPFTP代理扫描。分段扫描，将数据包分为两个较小的IP段。TCPSYN扫描和TCP间接扫描，两种半开放扫描。11/492023/2/1本章目录9.1网络安全技术概述9.2网络扫描技术9.3网络防火墙技术9.4入侵检测技术9.5蜜罐技术12/492023/2/1如何隔离内部网络与外部网络？13132023/2/19.3.1防火墙概念、功能网络防火墙是建立在内部网络(Intranet)与外部网络(Extranet)之间的安全网关(Gateway)。网络防火墙的部署示意图14/492023/2/19.3.1防火墙概念、功能1．防火墙的特性内部网络与外部网络之间所有的网络数据流都必须经过防火墙。只有符合安全策略的数据流才能通过防火墙。防火墙自身应具有非常强的抗攻击免疫力。15/492023/2/19.3.1防火墙概念、功能2．防火墙的功能防火墙是网络安全的屏障防火墙可以强化网络安全策略对网络接入和访问进行监控审计防止内部信息的外泄集成其它网络应用功能，如VPN、NAT等16/492023/2/19.3.2防火墙工作原理1．包过滤技术

包过滤防火墙工作在OSI体系结构的网络层。对通过防火墙的每个IP数据包的头部、协议、地址、端口、类型等信息进行检查，与预先设定好的防火墙过滤规则进行匹配，一旦发现某个数据包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个数据包就会被丢弃。从“静态包过滤”到

“动态包过滤”17/492023/2/19.3.2防火墙工作原理1．包过滤技术

包过滤规则举例18/492023/2/19.3.2防火墙工作原理包过滤防火墙通常要对经过的数据包检查下列字段：源IP地址和目的IP地址；TCP、UDP和ICMP等协议类型；源TCP端口和目的TCP端口；源UDP端口和目的UDP端口；ICMP消息类型；输出分组的网络接口。19/492023/2/19.3.2防火墙工作原理包过滤规则的匹配结果分为三种情况：如果一个分组与一个拒绝转发的规则相匹配，则该分组将被禁止通过；如果一个分组与一个允许转发的规则相匹配，则该分组将被允许通过；如果一个分组没有与任何的规则相匹配，则该分组将被禁止通过。这里遵循了“一切未被允许的皆禁止”的原则。20/492023/2/19.3.2防火墙工作原理2．应用代理技术具有应用协议分析(ApplicationProtocolAnalysis)能力的防火墙。“应用协议分析”技术工作在OSI模型的最高层——应用层上，在这一层防火墙能“看到”应用数据最终形式，因而可以实现更高级、更全面的数据检测。采取代理机制进行工作，即内外部网络之间的通信都需要先经过代理服务器审核，内外部网络的计算机不能直接连接会话，这样就可以避免攻击者使用“数据驱动”网络攻击。代理机制使防火墙的性能受到一定的限制。21/492023/2/19.3.2防火墙工作原理3、状态监视(StatefulInspection)技术

在动态包过滤技术基础上发展而来的防火墙技术，能够对网络通信的各个层次实施监测，并根据各种过滤规则进行决策。状态监视技术在支持对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上，进一步发展了“会话过滤”（SessionFiltering）功能，在每个连接建立时，防火墙会为该连接构造一个会话状态，包含了该连接数据包的所有信息，之后基于连接状态信息对每个数据包的内容进行分析和监视。状态监视技术结合了包过滤技术和应用代理技术，实现上更复杂，也会占用更多的资源。22/499.3.3基于DMZ的防火墙部署基于DMZ的防火墙部署方式9.3.3基于DMZ的防火墙部署关于DMZ(DeMilitarizedZone)DMZ称为“隔离区”，也称“非军事化区”，它是内部网络与外部网络之间的一个屏蔽子网，在安全系统与非安全系统之间建立一个缓冲区，这个缓冲区位于企业内部网络和外部网络之间，放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。支持DMZ部署方式防火墙产品提供至少3个网路接口，一个用于连接外部网络——通常是Internet，一个用于连接内部网络，一个用于连接提供对外服务的屏蔽子网。2023/2/1本章目录9.1网络安全技术概述9.2网络扫描技术9.3网络防火墙技术9.4入侵检测技术9.5蜜罐技术25/492023/2/1如何检测非法入侵网络行为？26262023/2/19.4.1入侵检测系统概述入侵检测：通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。实现这一功能的软件与硬件组合即构成入侵检测系统IDS(IntrusionDetectionSystem)。IDS与IPS(IntrusionPreventionSystem)入侵检测系统分类主机型IDS是安装在服务器或PC机上软件，监测到达主机的网络信息流；网络型IDS一般配置在网络入口处（路由器）、或网络核心交换处（核心交换路由）通过旁路技术监测网络上的信息流。27/492023/2/19.4.1入侵检测系统概述入侵检测系统的主要功能监测、记录并分析用户和系统的活动；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；管理操作系统日志，识别违反安全策略的用户活动。28/492023/2/19.4.1入侵检测系统概述入侵检测系统的组成IDS需要分析的数据称为事件(Event)，它可以是网络中的数据包，也可以是从系统日志等其它途径得到的信息。IDS一般包括以下组件

事件产生器(Eventgenerators)事件分析器(Eventanalyzers)响应单元(Responseunits)事件数据库(Eventdatabases)29/499.4.2IDS类型与部署

1.网络IDS网络IDS是网络上的一个监听设备，通过监听网络上传递的报文，按照协议对报文进行分析，并报告网络中可能存在的入侵或非法使用者信息，还能对入侵行为自动地反击。网络IDS的部署9.4.2IDS类型与部署

1.网络IDS网络IDS通过旁路技术实时采集网络通信流量采用总线式的连接方式交换机的调试端口(SpanPort)连接IDS采用分接器并联IDS网络IDS承担两种职责实时监测安全审计9.4.2IDS类型与部署

1.网络IDS网络IDS的工作原理：按事件分析方法分类基于知识的数据模式判断方法：分析建立网络中非法使用者(入侵者)的工作方法——数据模型，在实时检测网络流量时，将网络中读取的数据与数据模型比对，匹配成功则报告事件。9.4.2IDS类型与部署

1.网络IDS网络IDS的工作原理：按事件分析方法分类基于知识的数据模式判断方法原理逻辑图2023/2/19.4.2IDS类型与部署1.网络IDS网络IDS的工作原理：按事件分析方法分类基于行为的行为模式判断方法统计行为判断：根据上面模式匹配的事件，在进行事后统计分析时，根据已知非法行为的规则判断出非法行为。异常行为判断：根据平时统计的各种信息，得出正常网络行为准则，当遇到违背这种准则的事件发生时，报告非法行为事件。34/492023/2/19.4.2IDS类型与部署2．主机IDS基本原理以主机系统日志、应用程序日志等作为数据源，也可以包括其他资源（如网络、文件、进程），从所在的主机上收集信息并进行分析，通过查询、监听当前系统的各种资源的使用、运行状态，发现系统资源被非法使用或修改的事件，并进行上报和处理。35/492023/2/19.4.2IDS类型与部署2．主机IDS主机IDS可以完成以下工作截获本地主机系统的网络数据，查找出针对本地系统的非法行为。扫描、监听本地磁盘文件操作，检查文件的操作状态和内容，对文件进行保护、恢复等。通过轮询等方式监听系统的进程及其参数，检查出非法进程。查询系统各种日志文件，报告非法的入侵者。36/499.4.3IDS工作原理

从工作原理上，IDS包含两大部分：引擎：读取原始数据和产生事件控制中心：显示和分析事件以及策略制定9.4.3IDS工作原理

IDS引擎的主要功能和工作流程通过读取和分析原始数据比对事件规则库对异常数据产生事件，根据定义的安全策略规则库匹配响应策略，按照策略处理相应事件，并与控制中心以及联动设备进行通信。9.4.3IDS工作原理

IDS控制中心与引擎通信，读取引擎事件，并存入控制中心事件数据库，也可以把接收到的事件以各种形式实时显示在屏幕上；通过控制中心可以修改事件规则库和响应策略规则库并下发给IDS引擎；控制中心具有日志分析功能，通过读取事件数据库中的事件数据，按照用户要求生成各种图形和表格，便于用户事后对过去一段时间内的工作状态进行分析和浏览。2023/2/19.4.4典型入侵检测系统规划与配置40/492023/2/1本章目录9.1网络安全技术概述9.2网络扫描技术9.3网络防火墙技术9.4入侵检测技术9.5蜜罐技术41/492023/2/1如何更有效地检测非法入侵网络行为？42422023/2/19.5蜜罐技术蜜罐(Honeypot)技术可以看成是一种诱导技术，目的是发现恶意攻击和入侵。通过设置一个“希望被探测、攻击甚至攻陷”系统，模拟正常的计算机系统或网络环境，引诱攻击者入侵蜜罐系统，从而发现甚至定位入侵者，发现攻击模式、手段和方法，进而发现配置系统的缺陷和漏洞，以便完善安全配置管理消除安全隐患。蜜罐可以分为高交互蜜罐（High-interactionhoneypots）低交互蜜罐（Low-interactionhoneypots）43/492023/2/19.5蜜罐技术1.高交互蜜罐一个高交互蜜罐是一个常规的计算机系统，如使用一台标准计算机、路由器等。即高交互蜜罐实际上是一个配置了真实操作系统和服务的系统，为攻击者提供一个可以交互的真实系统。这一系统在网络中没有常规任务，也没有固定的活动用户。系统上只运行正常守护进程或服务，不应该有任何不正常的进程，也不产生任何网络流量。44/492023/2/19.5蜜罐技术1.高交互蜜罐高交互蜜罐可以完全被攻陷，它们运行真实操作系统，可能带有所有已知和未知的安全漏洞，攻击者与真实的系统和真实的服务交互，使得我们能够捕获大量的威胁信息。当攻击者获得对蜜罐非授权访问时，可以捕捉他们对漏洞的利用，监视他们的按键，找到他们的工具，搞清他们的动机。即使攻击者使用了我们尚不知道的未知漏洞，通过分析其入侵过程和行为，可以发现其使用的方法和手段，即所谓发现“零日攻击”。45/492023/2/19.5蜜罐技术2.低交互蜜罐低交互蜜罐则是使用特定软件工具模拟操作系统、网络堆栈或某些特殊应用程序的一部分功能，例如具有网络堆栈、提供TCP连接、提供HTTP模拟服务等。低交互蜜罐允许攻击者与目标系统有限交互，允许管理员了解关于攻击的主要的定量信息。优点是简单、易安装和