防火墙与入侵检测研究论文

防火墙与入侵检测研究论文论文关键字：网络安全防火墙入侵检测VPN

论文摘要:随着计算机的飞速发展以及网络技术的普遍应用，随着信息时代的来临，信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域，可能会受到黑客的非法攻击，所以在任何情况下，对于各种事故，无意或有意的破坏，保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时，首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及VPN等相关问题。

Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,alltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....

第一章绪论

§概述

随着以Internet为代表的全球信息化浪潮的来临，信息网络技术的应用正日益广泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。伴随网络的普及，公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面，网络化的信息系统提供了资源的共享性、用户使用的方便性，通过分布式处理提高了系统效率和可靠性，并且还具备可扩充性。另一方面，也正是由于具有这些特点增加了网络信息系统的不安全性。

开放性的网络，导致网络所面临的破坏和攻击可能是多方面的，例如:可能来自物理传输线路的攻击，也可以对网络通信协议和实现实施攻击，可以是对软件实施攻击，也可以对硬件实施攻击。国际性的网络，意味着网络的攻击不仅仅来自本地网络的用户，也可以来自linternet上的任何一台机器，也就是说，网络安全所面临的是一个国际化的挑战。开放的、国际化的Internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放，使得他们能够利用Internet提高办事效率、市场反应能力和竞争力。通过Internet，他们可以从异地取回重要数据，同时也面临Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵，己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来，这种互联方式面临多种安全威胁，极易受到外界的攻击，导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。

虽然国内己有许多成熟的防火墙及其他相关安全产品，并且这些产品早已打入市场，但是对于安全产品来说，要想进入我军部队。我们必须自己掌握安全测试技术，使进入部队的安全产品不出现问题，所以对网络安全测试的研究非常重要，具有深远的意义。

§本文主要工作

了解防火墙的原理、架构、技术实现

了解防火墙的部署和使用配置

熟悉防火墙测试的相关标准

掌握防火墙产品的功能、性能、安全性和可用性的测试方法

掌握入侵检测与VPN的概念及相关测试方法

第二章防火墙的原理、架构、技术实现

§什么是防火墙？

防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

§防火墙的原理

随着网络规模的扩大和开放性的增强，网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测)，但这几乎是一种不切合实际的方法，因为对具有几百个甚至上千个节点的网络，它们可能运行着不同的操作系统，当发现了安全缺陷时，每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(Firewall)，防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备，作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障，它可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在的入侵破坏.DMZ外网和内部局域网的防火墙系统。

§防火墙的架构

防火墙产品的三代体系架构主要为：

第一代架构：主要是以单一cpu作为整个系统业务和管理的核心，cpu有x86、powerpc、mips等多类型，产品主要表现形式是pc机、工控机、pc-box或risc-box等；

第二代架构：以np或asic作为业务处理的主要核心，对一般安全业务进行加速，嵌入式cpu为管理核心，产品主要表现形式为box等；

第三代架构：iss集成安全体系架构，以高速安全处理芯片作为业务处理的主要核心，采用高性能cpu发挥多种安全业务的高层应用，产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备，容量大性能高，各单元及系统更为灵活。

§防火墙的技术实现

从Windows软件防火墙的诞生开始，这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争，不断的进化与升级。从最早期的只能分析来源地址，端口号以及未经处理的报文原文的封包过滤防火墙，后来出现了能对不同的应用程序设置不同的访问网络权限的技术；近年来由ZoneAlarm等国外知名品牌牵头，还开始流行了具有未知攻击拦截能力的智能行为监控防火墙；最后，由于近来垃圾插件和流氓软件的盛行，很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上，Windows软件防火墙从开始的时候单纯的一个截包丢包，堵截IP和端口的工具，发展到了今天功能强大的整体性的安全套件。

第三章防火墙的部署和使用配置

§防火墙的部署

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。

实际上，作为当前防火墙产品的主流趋势，大多数代理服务器也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。例如，它可以过滤掉FTP连接中的PUT命令，而且通过代理应用，应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

----那么我们究竟应该在哪些地方部署防火墙呢？

----首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处，以阻挡来自外部网络的入侵；其次，如果公司内部网络规模较大，并且设置有虚拟局域网(VLAN)，则应该在各个VLAN之间设置防火墙；第三，通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用网(VPN)。

----安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。

§防火墙的使用配置

一、防火墙的配置规则：

没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)

inside可以访问任何outside和dmz区域。

dmz可以访问outside区域。

inside访问dmz需要配合static(静态地址转换)。

outside访问dmz需要配合acl(访问控制列表)。

二、防火墙设备的设置步骤：

1、确定设置防火墙的部署模式；

2、设置防火墙设备的IP地址信息）；

3、设置防火墙设备的路由信息；

4、确定经过防火墙设备的IP地址信息；

5、确定网络应用；

6、配置访问控制策略。

第四章防火墙测试的相关标准

防火墙作为信息安全产品的一种，它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率，更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络代理服务器的安全技术要求》以及多款防火墙随机提供的说明文档，中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准：

规则配置方面

要使防火墙软件更好的服务于用户，除了其默认的安全规则外，还需要用户在使用过程中不断的完善其规则；而规则的设置是否灵活方便、实际效果是否理想等方面，也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力，一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等，这将成为此款软件防火墙规则配置的一个特色。

§防御能力方面

对于防火墙防御能力的表现，由于偶然因素太多，因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入，但大致可以做为一个性能参考。

§主动防御提示方面

对于网络访问、系统进程访问、程序运行等本机状态发生改变时，防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。

§自定义安全级别方面

用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则，以防止电脑被外界入侵。一般的防火墙共有四个级别：

高级：预设的防火墙安全等级，用户可以上网，收发邮件；l

中级：预设的防火墙安全等级，用户可以上网，收发邮件，网络聊天，FTP、Telnet等；l

低级：预设的防火墙安全等级，只对已知的木马进行拦截，对于其它的访问，只是给于提示用户及记录；l

自定义：用户可自定义防火墙的安全规则，可以根据需要自行进行配置。l

§其他功能方面

这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项，是否可以满足用户各方面的需要。

§资源占用方面

这方面的测试包括空闲时和浏览网页时的CPU占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好，启动的速度越快越好。

§软件安装方面

这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。

§软件界面方面

软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善，相反地，简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项，这方便用户根据不同的安全级别启动相应的防护

第五章防火墙的入侵检测

§什么是入侵检测系统？

入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程，它不仅检测来自外部的入侵行为，同时也检测内部用户的未授权活动。

入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS被公认为是防火墙之后的第二道安全闸门，它作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防御的角度出发，对防范网络恶意攻击及误操作提供了主动的实时保护，从而能够在网络系统受到危害之前拦截和响应入侵

§入侵检测技术及发展

自1980年产生IDS概念以来，已经出现了基于主机和基于网络的入侵检测系统，出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术，并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。

入侵检测技术的发展已经历了四个主要阶段：

第一阶段是以基于协议解码和模式匹配为主的技术，其优点是对于已知的攻击行为非常有效，各种已知的攻击行为可以对号入座，误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测，漏报率高。

第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术，其优点是能够分析处理一部分协议，可以进行重组;缺点是匹配效率较低，管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。

第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术，其优点是误报率、漏报率和滥报率较低，效率高，可管理性强，并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够，防范及管理功能较弱。

第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术，其优点是入侵管理和多项技术协同工作，建立全局的主动保障体系，具有良好的可视化、可控性和可管理性。以该技术为核心，可构造一个积极的动态防御体系，即IMS——入侵管理系统。

新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统§入侵检测技术分类

从技术上讲，入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。

(1)基于知识的模式识别

这种技术是通过事先定义好的模式数据库实现的，其基本思想是：首先把各种可能的入侵活动均用某种模式表示出来，并建立模式数据库，然后监视主体的一举一动，当检测到主体活动违反了事先定义的模式规则时，根据模式匹配原则判别是否发生了攻击行为。

模式识别的关键是建立入侵模式的表示形式，同时，要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为，属已知类型，对新类型的入侵是无能为力的，仍需改进。

(2)基于知识的异常识别

这种技术是通过事先建立正常行为档案库实现的，其基本思想是：首先把主体的各种正常活动用某种形式描述出来，并建立“正常活动档案”，当某种活动与所描述的正常活动存在差异时，就认为是“入侵”行为，进而被检测识别。

异常识别的关键是描述正常活动和构建正常活动档案库。

利用行为进行识别时，存在四种可能：一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想，把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为，并具有简单的学习功能。

以下是几种基于知识的异常识别的检测方法：

1)基于审计的攻击检测技术

这种检测方法是通过对审计信息的综合分析实现的，其基本思想是：根据用户的历史行为、先前的证据或模型，使用统计分析方法对用户当前的行为进行检测和判别，当发现可疑行为时，保持跟踪并监视其行为，同时向系统安全员提交安全审计报告。

2)基于神经网络的攻击检测技术

由于用户的行为十分复杂，要准确匹配一个用户的历史行为和当前的行为是相当困难的，这也是基于审计攻击检测的主要弱点。

而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向，它能够解决传统的统计分析技术所面临的若干问题，例如，建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。

3)基于专家系统的攻击检测技术

所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的，它根据专家经验进行推理判断得出结论。例如，当用户连续三次登录失败时，可以把该用户的第四次登录视为攻击行为。

4)基于模型推理的攻击检测技术

攻击者在入侵一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图，尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。一般为了准确判断，要为不同的入侵者和不同的系统建立特定的攻击脚本。

使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大，甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库，它对已知攻击可以详细、准确地报告出攻击类型，但对未知攻击却无能为力，而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的，它虽无法准确判断出攻击的手段，但可以发现更广泛的、甚至未知的攻击行为。

§入侵检测技术剖析

1）信号分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

2）模式匹配

模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单，也可以很复杂。一般来讲，一种进攻模式可以用一个过程或一个输出来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

3）统计分析

统计分析方法首先给系统对象创建一个统计描述，统计正常使用时的一些测量属性。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，本来都默认用GUEST帐号登录的，突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

4）完整性分析

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数，它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，用于事后分析而不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。

§防火墙与入侵检测的联动

网络安全是一个整体的动态的系统工程，不能靠几个产品单独工作来进行安全防范。理想情况下，整个系统的安全产品应该有一个响应协同，相互通信，协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动，当入侵检测系统检测到入侵后，通过和防火墙通信，让防火墙自动增加规则，以拦截相关的入侵行为，实现联动联防。

§什么是VPN?

VPN的英文全称是“VirtualPrivateNetwork”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或Windows2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网被定义为通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

§的特点

1.安全保障虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。

2.服务质量保证

VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

3.可扩充性和灵活性

VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.可管理性

从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

§防火墙

VPN防火墙就是一种过滤塞，你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由VPN防火墙过滤的就是承载通信数据的通信包。

最简单的VPN防火墙是以太网桥。但几乎没有人会认为这种原始VPN防火墙能管多大用。大多数VPN防火墙采用的技术和标准可谓五花八门。这些VPN防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的VPN防火墙只对特定类型的网络连接提供保护。还有一些基于硬件的VPN防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做VPN防火墙，因为他们的工作方式都是一样的：分析出入VPN防火墙的数据包，决定放行还是把他们扔到一边。

所有的VPN防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个VPN防火墙，