第7章 网络防御

7.1概述 7.2防火墙7.3入侵检测系统 7.4网络防御的新技术 第7章网络防御7.1概述 防御需要解决多层面的问题，除了安全技术之外，安全管理也十分重要，实际上提高用户群的安全防范意识、加强安全管理所能起到效果远远高于应用几个网络安全产品。网络安全防御体系第一道防线，部署在网络出入口处或者不同安全等级区域的连接路径上，依据安全规则检查每一个通过的数据包。将局域网中的节点从逻辑上划分成多个网段，每个网段都包含一组有相同需求的工作站。（控制流量、简化网络管理、提高安全性）IPS：部署像防火墙，工作机制接近入侵检测系统，将检测方法细分到攻击检测防御的每个阶段中。7.2防火墙防火墙指的是一个由软件和硬件设备组合而成、在内部网络和外部网络之间构造的安全保护屏障，从而保护内部网络免受外部非法用户的侵入。目标：有效地控制内外网之间的网络数据流量。满足条件：内网和外网之间的所有网络数据流必须经过防火墙；只有符合安全政策的数据流才能通过防火墙。防火墙自身具有高可靠性，应对渗透具有免疫力。防火墙不只用于INTERNET，也可用于内部网各部门网络之间（内部防火墙）

分类从应用对象上划分企业防火墙：使企业内部局域网与internet之间互相隔离、限制网络互访，保护企业网络内网。个人防火墙：一种软件服务，为个人计算机提供简单的防火墙功能，可以随操作系统附带，价格较低。从存在形式上划分硬件防火墙：采用特殊的硬件设备，有较高性能，可做为独立的设备部署，企业防火墙多数是硬件防火墙；软件防火墙：是一套安装在某台计算机系统上来执行防护任务的安全软件，个人防火墙都是软件防火墙。防火墙主要作用网络流量过滤：通过在防火墙上进行安全规则配置，可以对流经防火墙的网络流量进行过滤。网络监控审计：防火墙记录访问并生成网络访问日志，提供网络使用情况的统计数据。支持NAT部署：NAT（网络地址翻译）是用来缓解地址空间短缺的主要技术之一。支持DMZ：DMZ是英文“DemilitarizedZone”的缩写,它是设立在非安全系统与安全系统之间的缓冲区。支持VPN：通过VPN，企业可以将分布在各地的局域网有机地连成一个整体。典型企业防火墙应用局限性防火墙无法检测不经过防火墙的流量，如通过内部提供拨号服务接入公网的流量；防火墙不能防范来自内部人员恶意的攻击；防火墙不能阻止被病毒感染的和有害的程序或文件的传递，如木马；防火墙不能防止数据驱动式攻击，如一些缓冲区溢出攻击。7.2.2防火墙的主要技术包过滤防火墙面向网络底层数据流进行审计和控管其安全策略主要根据数据包头的源地址、目的地址、端口号和协议类型等标志来制定，可见其主要工作在网络层和传输层。代理防火墙基于代理（Proxy）技术，使防火墙参与到每一个内外网络之间的连接过程防火墙需要理解用户使用的协议，对内部节点向外部节点的请求进行还原审查后，转发给外部服务器；外部节点发送来的数据也需要进行还原审查，然后封装转发给内部节点。个人防火墙目前普通用户最常使用的一种，常见如天网个人防火墙。个人防火墙是一种能够保护个人计算机系统安全的软件直接在用户的计算机上运行，帮助普通用户对系统进行监控及管理，使个人计算机免受各种攻击包过滤防火墙工作原理访问控制列表ACLAccessControlList是允许和拒绝匹配规则的集合。规则告诉防火墙哪些数据包允许通过、哪些被拒绝。顺序方向源地址目的地址协议源端口目的端口是否通过Rule1out1*.*.*.*TCPany80denyRule2out*.*.*.*6TCPany80accept访问控制列表静态包过滤静态包过滤是指防火墙根据定义好的包过滤规则审查每个数据包，确定其是否与某一条包过滤规则匹配。此类防火墙遵循“最小特权”原则，即明确允许那些管理员希望通过的数据包，禁止其它的数据包。静态包过滤原理图动态包过滤是指防火墙采用动态配置包过滤规则的方法采用了一个在网关上执行安全策略的软件引擎，即检测模块检测模块抽取相关数据对通信的各层实施监测分析，提取相关的通信状态信息，并对动态连接表进行信息存储和更新，为下一个通信检查提供积累数据。这些监测分析数据可以作为制定安全策略的参考。一旦某个访问违反安全规定，安全报警器会拒绝该访问并记录报告。状态监测原理图动态包过滤包过滤防火墙的分析优点逻辑简单，价格便宜，对网络性能影响较小，透明性强与应用层无关，无需改动客户机和主机上的应用程序缺点配置包过滤防火墙，需要对IP、TCP等协议深入了解，否则容易出现因配置不当带来的问题由于过滤判断的只有网络层和传输层的有限信息，各种安全要求难以充分满足由于数据包地址和端口号都在包头部，因此不能彻底防止地址欺骗代理服务器型防火墙通过在主机上运行代理的服务程序(核心)，直接对特定的应用层进行服务，也称应用型防火墙。针对不同的应用程序，需要不同的代理模块。代理服务可以实现用户认证、详细日志、数据加密、应用过滤等功能。应用代理防火墙彻底隔断内网与外网的直接通信，所有通信必须经过代理软件转发。对于客户来说它像一台服务器，对于外界服务器来说，它又是一台客户机。代理服务器通常有个高速缓存，存放着用户经常访问的站点内容，当下个用户要访问同一站点时，直接发出缓存内容，节约了网络资源。从外网只能看到代理服务器，无法获知内部资源，更可靠代理服务器接收到用户访问某站点的请求后，检查该请求是否符合规定，如果规则允许访问，代理服务器就会像一个客户一样去那个站点取回所需信息转发给客户。应用代理防火墙原理图代理防火墙的分析优点不允许内外网主机的直接连接，隐藏内部用户IP地址记录的日志更详细，包含应用程序文件名、URL等信息可以与认证、授权、加密等安全手段方便的集成缺点代理速度比包过滤慢代理对用户不透明，给用户带来不便代理技术需要针对每种协议设置一个不同的代理服务器电路级网关工作原理与应用代理网关基本相同，代理的协议以传输层为主，在传输层上实施访问控制策略，是在内外网络之间建立一个虚拟电路，进行通信。电路级网关监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，在握手过程中，检查双方的SYN、ACK和序列数据是否为合理逻辑，来判断会话是否合法。一旦网关认为会话合法，就为双方建立连接，进而复制、传递数据，但不进行过滤。网关转发的数据包被提交给用户的应用层处理，通过网关的数据似乎起源于防火墙，隐藏了被保护网络内的信息。网络地址转换NAT是一种用于把内部IP地址转换成临时的、外部的、注册的IP地址的标准。私有地址：内部网络的主机地址，不会在因特网上被分配，各个企业可以根据需要选择，不同内部网的网络地址可以相同。RFC1918为私有地址保留了A、B、C类地址范围各一个。A类：—55B类：—55C类：—55公有地址：局域网的外部地址(在因特网上唯一的IP地址)私有地址与公有地址间的转换使用私有地址的主机不能直接访问InternetInternet也不可能访问到使用私有地址的主机IP地址资源有限，许多局域网内的计算机不得不采用私有地址，访问Internet时就需要NAT目的解决IP地址空间不足问题向外界隐藏内部网结构网络地址转换NATNAT技术的工作原理内部网络访问外部网络时，系统将发出数据包的源地址转换为Internet上的合法地址，以这个合法地址与外网连接NAT应用在防火墙技术中，用伪装的地址对外连接，隐藏了真实的内部地址。反之外网访问内网时，并不清楚内网的连接情况，只是通过一个开放的IP地址来请求访问。防火墙根据预先定义好的映射规则判断访问是否安全内部网络中的每个主机都被永久映射成外部网络中的某个合法地址，进行一对一的转换。内部网络中有E-MAIL服务器、WWW服务器、FTP服务器等，必须采用静态地址转换。特点：为每一个需要地址转换的报文分配一个公有网络IP地址。不能解决IP地址缺乏问题，只能隐藏内部主机的真实身份。从系统IP地址池中动态选择一个未使用的地址对内部地址进行一对一转换，当数据传输完毕，路由器将使用完的IP地址放回到地址池中。适用于：IP地址数量少，同时上网的用户少例如：内部网中有100台主机，分配了30个IP地址，可供任意30台主机同时通信。端口复用：路由器记录地址、应用程序端口等标识进行转换，可以使多个内部地址同时转换为同一个IP地址对外网访问。适用于：申请到少量的IP地址，却经常有很多用户同时上网。VPN：虚拟的企业内部专线，也称虚拟私有网。依靠ISP和其他NSP，在公用网络中建立专用的数据通信网络的技术虚拟：任意两个节点之间没有传统专网所需的点到点的物理链路，是利用Internet公众数据网络线路。专用：用户可以为自己制定一个最符合自己需求的网络VPN产生的背景企业内部和企业之间数据通信的数量不断增加。在企业分支机构和中心网络连接上架设专用线路，经济费用高。随着互联网主干网速越来越快，企业租用广域网数据专线实现连接，租用成本高，且互联网存在不安全因素（泄密、篡改、假冒等）。VPN技术的出现，可以使租用线路成本下降40%-60%。VPN（VirtualPrivateNetwork）VPN的意义VPN是企业网在因特网等公共网络上的延伸。VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户、公司分支机构、业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网。提供高安全性能、低价位的因特网接入解决方案。隧道技术VPN可以理解为一条穿过公用网络的安全、稳定的隧道。隧道技术可以模仿点对点连接技术，依靠ISP和NSP在公用网中建立自己的专用“隧道”传输数据利用公网设施，在一个网络之中的“网络”上传输数据的方法，被传输的数据执行隧道协议。隧道协议利用附加的报头封装数据包，附加报头提供了路由信息，封装后的数据包能通过公用网中的一些路径，这些路径即为隧道。隧道示意图源局域网与公网的接口处封装数据包目的局域网与公网的接口处解封数据包VPN典型应用帮助远程用户同公司内网之间，通过公网远程拨号的方式建立安全连接。为公司总部和分支机构提供一个整个企业网络的访问权限将客户、供应商、合作伙伴等连接到企业内网，支持外部用户执行相应访问权限7.3入侵检测系统入侵检测：对入侵行为的发觉，通过对计算机系统、计算机网络中的若干关键部位收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为。IDS（IntrusionDetectionSystem）进行入侵检测的软件和硬件的组合，一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全系统。一般认为防火墙属于静态防范措施，而入侵检测系统为动态防范措施，是对防火墙的有效补充。假如防火墙是一幢大楼的门禁，那么IDS就是这幢大楼里的监视系统。入侵检测专家系统IDES模型的组成主体（Subjects）：启动在目标系统上活动的实体，如用户对象（Objects）：系统资源，如文件、设备、命令等。审计记录（Auditrecords）：由构成的六元组。活动：是主体对目标的操作，对操作系统而言，这些操作包括读、写、登录、退出等；异常条件：是指系统对主体的该活动的异常报告；资源使用状况：是系统的资源消耗情况，如CPU、内存使用率等；时间戳：是活动发生时间。活动轮廓：用以保存主体正常活动的有关特征信息；异常记录：由事件、时戳、轮廓组成，用以表示异常事件的发生情况。活动规则：组成策略规则集的具体数据项。1984-1986年，研究出一个实时入侵检测系统模型，入侵检测专家系统IDES(IntrusionDetectionExpertSystem)。定义好活动规则，形成策略规则集，统计分析主体的活动记录，形成活动轮廓；将需要检测的数据传送给模式匹配器和轮廓特征引擎；模式匹配器依据策略规则集的内容检测数据源，如发现违反规则的活动则报警；轮廓特征引擎分析抽取数据源中主体活动轮廓，并与异常检测器一起判断是否发生了异常现象，如发生则报警。CIDF通用模型IDWG(入侵检测工作组)和CIDF(通用入侵检测框架)负责开展对IDS进行标准化和研究工作。入侵检测系统的通用模型E盒通过传感器收集事件数据，将信息传送给A盒和D盒；A盒检测误用模式；D盒存储来自A、E盒的数据，并为额外的分析提供信息；R盒从A、E盒中提取数据R盒启动适当的响应。入侵检测几个重要概念事件：当网络或主机遭到入侵或出现较重大变化时，称为发生安全事件，简称事件。报警：当发生事件时，IDS通过某种方式及时通知管理员事件情况称为报警。响应：当IDS报警后，网络管理员对事件及时作出处理称为响应。误用：误用是指不正当使用计算机或网络，并构成对计算机安全或网络安全威胁的一类行为。异常：对网络或主机的正常行为进行采样、分析，描述出正常的行为轮廓，建立行为模型，当网络或主机上出现偏离行为模型的事件时，称为异常。入侵特征：也称为攻击签名（AttackSignature）或攻击模式（AttackPatterns），一般指对网络或主机的某种入侵攻击行为（误用行为）的事件过程进行分析提炼，形成可以分辨出该入侵攻击事件的特征关键字，这些特征关键字被称为入侵特征。感应器：置在网络或主机中用于收集网络信息或用户行为信息的软硬件，称为感应器。感应器应该布置在可以及时取得全面数据的关键点上，其性能直接决定IDS检测的准确率（如企业的摄像头监控设备）。入侵检测几个重要概念入侵检测系统工作过程信息收集：入侵检测的第一步是信息收集，收集内容包括系统和网络的数据及用户活动的状态和行为。信息收集工作一般由由放置在不同网段的感应器来收集网络中的数据信息和主机内感应器来收集该主机的信息(尽可能扩大检测范围；从一个源来的信息有可能看不出疑点)入侵检测很大程度上依赖于收集信息的可靠性和正确性入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。信息收集的来源系统或网络的日志文件、网络流量、系统目录和文件的异常变化、程序执行中的异常行为日志文件中记录了各种行为类型，每种类型包含不同信息（用户活动）。攻击者常在系统日志文件中留下踪迹。网络中包含重要信息的文件经常是黑客修改和破坏的目标，目录和文件中不期望的改变是入侵产生的指示。信息分析将收集到的有关系统和网络的数据及用户活动的状态和行为等信息送到检测引擎，检测引擎一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。结果处理当控制台接到发生安全事件的通知，将产生报警，也可依据预先定义的相应措施进行联动响应。如可以重新配置路由器或防火墙、终止进程、切断连接、改变文件属性等。入侵检测性能关键参数IDS主要功能7.3.2入侵检测系统分类主机型入侵检测系统工作原理基于主机的检测威胁主机的数据源主机型入侵检测系统HIDS优点：

性价比较高，不需要增加专门的硬件平台；

对系统实时的状态进行监测，准确率高；

不受网络流量的影响。缺点：

与操作系统平台相关，可移植性差；

需要在每个被检测主机上安装，维护较复杂；

难以检测针对网络的攻击。网络型入侵检测系统NIDSNIDS的作用网络型入侵检测系统工作原理网络型入侵检测系统NIDS以检测技术为分类标准基于误用检测(MisuseDetection)的IDS优点：依据具体特征库进行判断，检测准确度高，误报率低缺点：检测范围受局限，无法检测未知攻击，漏报率高；

入侵特征库需要不断更新维护。如果入侵特征与正常用户行为能匹配，会发生误报如果没有特征能与某种新的攻击行为匹配，会发生漏报前提：所有的入侵行为都有可被检测到的特征基于异常检测（AnomalyDetection）的IDS前提：入侵是异常活动的子集用户轮廓：定义为各种行为参数的集合，用于描述正常行为范围正常状态下，使用者的行为特征或资源使用状况的标准特征实际使用者的行为特征与标准特征之间偏差的极限值优点：拿用户轮廓与标准轮廓相比，漏报率低。缺点：由于用户行为和资源使用情况会因特殊原因发生较大变化，得到标准轮廓及确定阈值难度较大，误报率高。IDS部署方式7.3.3入侵检测技术入侵检测技术研究具有综合性、多领域性的特点，技术种类繁多，涉及到许多相关学科。从误用检测、异常检测、诱骗和响应等四个方面分析一下入侵检测的主要技术方法。误用检测技术专家系统特征分析模型推理状态转换分析完整性校验等总结安全专家关于入侵检测方面的知识，并以规则结构的形式表示出来，通过规则条件判断来确定入侵后采取的措施。存在的问题：全面性、效率问题将收集到的信息与已知的误用模式数据库进行比较，从而发现违背安全策略的行为。优点：检测准确率较高缺点：需要不断升级，不能检测未知类型的攻击将入侵过程看做一个行为序列，针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的条件，用状态转换图表示每一个状态和特征事件。利用加密机制(消息摘要函数)，能识别特定对象极其微小的变化。异常检测技术构建用户正常行为的统计模型，然后将当前行为与正常行为特征相比较来检测。即通过监视系统审计记录上系统使用的异常情况，可以检测出违反安全政策的事件。通常异常检测都与一些数学分析方法相结合，但存在着误报率较高的问题。异常检测主要针对用户行为数据、系统资源使用情况进行分析判断。常见的异常检测方法主要包括统计分析、预测模型、系统调用监测以及基于人工智能的异常检测技术等。入侵诱骗技术入侵诱骗是指用通过伪装成具有吸引力的网络