信息安全技术教程-第6章.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第六章,网络安全,本章学习目的,掌握防火墙主要功能、安全策略和部署,掌握入侵检测和入侵防御系统基本知识,了解网络扫描器、网络隔离技术基本知识,了解拒绝服务攻击的检测与防护基本知识,了解,VPN,的基本原理与应用,本章概览,网络安全技术是一类包含内容非常广泛的技术。广义上，任何检测、防御和抵制网络攻击的技术都属于网络安全技术，而且很多网络安全技术都是攻击驱动的。,本章重点阐述了防火墙、入侵检测、漏洞扫描与网络隔离、拒绝服务攻击检测与防御、计算机病毒防治以及,VPN,技术的概念、原理、应用部署等方面。,第

2、一节,防火墙技术,一、防火墙的概念,防火墙是设置在内部网络与外部网络（如互联网）之间，实施访问控制策略的一个或一组系统，是访问控制机制在网络安全环境中的应用。防火墙使得内部网络和外部网络互相隔离，通过限制网络互访来保护内部网络。防火墙在网络中所处的位置如下图所示：,防火墙是设置在内部网络与外部网络（如互联网）之间，实施访问控制策略的一个或一组系统，是访问控制机制在网络安全环境中的应用。防火墙使得内部网络和外部网络互相隔离，通过限制网络互访来保护内部网络。防火墙在网络中所处的位置如下图所示：,防火墙是不同网络或网络安全域之间信息的唯一出入口，能根据制定的安全策略（允许、拒绝及监视等）控制出入网络

3、的数据流，且本身具有较强的抗攻击能力。简单的防火墙功能可以在路由器上实现，复杂的功能可以由主机甚至一个子网来实现。防火墙的目的就是在内部网络和外部网络连接之间建立一个安全控制点，允许、拒绝或重新定向经过防火墙的数据流，实现对进出内部网络的网络通信的审计和控制。,二、防火墙的分类,（一）按防火墙技术划分,防火墙发展至今，按照防火墙对数据包的处理方法，可分为包过滤防火墙、应用代理网关防火墙、状态检测防火墙和自适应代理网关防火墙。,1.,包过滤（,PacketFilter,）防火墙,2.,应用代理网关（,Application-ProxyGateway,）防火墙,3.,状态检测（,StatefulI

4、nspection,）防火墙,4.,自适应代理网关（,AdaptiveProxyGateway,）防火墙,（二）按防火墙应用部署位置划分,如果按防火墙的应用部署位置划分，可以分为边界防火墙、个人防火墙和分布式防火墙三大类。,1.,边界防火墙,2.,个人防火墙,3.,分布式防火墙,（三）按防火墙软、硬件结构划分,1.,软件防火墙,2.,硬件防火墙,3.,芯片级防火墙,（四）按防火墙性能划分,如果按防火墙的性能划分，可以分为十兆级防火墙、百兆级防火墙和千兆级防火墙三类。,三、防火墙的主要功能,（一）主流防火墙功能介绍,目前，防火墙除了提供传统的包过滤、应用代理等访问控制功能外，或多或少地实现了一些

5、增值功能，在防火墙上常见的一些增值功能包括：,网络地址转换（,NAT,）、虚拟专用网（,VPN,）、虚拟局域网（,VLAN,）、动态主机配置协议（,DHCP,）、入侵检测、病毒检测和内容过滤等。而其中有些增值功能也已经成为了防火墙事实上必备的功能，如,NAT,等。,目前，市场上的主流防火墙一般提供以下功能：,1.,数据包状态检测过滤；,2.,应用代理；,3.,数据包内容过滤；,4.,强身份认证；,5.,日志分析和流量统计分析；,6.VPN,；,7.NAT,；,8.VLAN,；,9.,多种接入模式；,10.,双机热备和接口冗余；,11.,支持核心网络中生成树（,STP,）的计算；,12.,广泛的

6、协议支持,（二）防火墙的局限性,1.,防火墙不能防御绕过了它的攻击,2.,防火墙不能消除来自内部的威胁,3.,防火墙不能阻止病毒感染过的程序和文件进出网络,4.,防火墙的管理及配置相当复杂,5.,防火墙只是整体安全防范策略的一部分,（三）防火墙的发展趋势,总的来说，传统的防火墙已经无法满足人们日益增长的安全需求，其功能不足以应付众多不断出现的新的安全威胁。防火墙的发展趋势体现在以下几个方面：,第一，在功能方面，防火墙的发展趋势是融合越来越多的安全技术。,第二，防火墙的另一个发展趋势是与多个安全产品实现集成化管理和联动。,第三，在防火墙体系结构方面，对分布式防火墙将会有一定的需求。,第四，在防火

7、墙的硬件化方面，防火墙逐步由通用,x86,平台防火墙向基于网络处理器的防火墙和,ASIC,芯片防火墙方向发展。,第五，在其他功能方面，防火墙在模块化、智能化、高性能、多端口等方面的趋势也十分明显。,四、防火墙安全策略,（一）防火墙策略,防火墙策略不但指出防火墙处理诸如,Web,、,Email,或,Telnet,等应用程序通讯的方式，还描述了防火墙的管理和更新方式。,在创建防火墙策略以前，必须对那些必不可少的应用软件执行风险分析。风险分析的结果包含一个应用程序列表和这些应用程序的安全保护方式。,企业的信息技术基础设施的风险分析应该建立在对下面元素的估价之上：即威胁、脆弱性、减轻脆弱性的对策和敏感

8、数据被泄漏所产生的影响。风险分析的目标是：在建立防火墙安全策略之前理解和评估这些元素。,风险分析的结果将决定防火墙系统处理网络应用程序通信的方式。,创建一个防火墙策略的步骤如下：,第一步：识别确实必要的网络应用程序；,第二步：识别与应用程序相关的脆弱性；,第三步：对应用程序的保护方式进行成本,效益分析；,第四步：创建表示保护方式的应用程序通信矩阵，并在应用程序通信矩阵的基础上建立防火墙规则集。,（二）执行防火墙规则集,大多数防火墙平台都使用规则集作为它们执行安全控制的机制。规则集的内容决定了防火墙的真正功能。防火墙规则集根据防火墙平台体系结构的不同，包含不同的信息。然而几乎所有的规则集至少包含

9、下面的域：数据包的源地址和目的地址、协议类型、数据包的源端口和目的端口、数据包通过的网络接口和对数据包的处理动作（拒绝、允许或者丢弃等，丢弃与拒绝的不同是前者不给数据包的发送者发送响应）。,一般而言，防火墙应该阻止下面所列的网络数据包：,（,1,）来自未授权的源地址且目的地址为防火墙地址的所有入站数据包。,（,2,）源地址是内部网络地址的所有入站数据包，这些数据包很可能是某种类型的欺骗尝试。,（,3,）源地址不在本地局部网络地址范围内的所有出站数据包。,（,4,）包含,ICMP,（,ICMP,是（,Internet Control Message Protocol,）,Internet,控制报

10、文协议）请求的所有入站数据包。,（,5,）源地址在私有地址或不合法地址范围内的所有入站数据包。,（,6,）来自未授权的源地址，包含,SNMP,的所有入站数据包。,（,7,）包含源路由的所有入站和出站数据包。,I,（,8,）包含直接广播地址的所有入站和出站数据包。,（,9,）所有入站和出站数据包片段。,（三）,iptables,中规则设置举例,iptables,是,Linux,下的防火墙配置工具，目前市场上很多国产防火墙也都是基于这个工具开发而来的。有兴趣的同学下去自行了解具体命令的使用。,（四）测试防火墙策略,防火墙策略时刻都被执行，但这些策略通常很少被检查和验证。对几乎所有的企业和机构来说，

11、防火墙策略应该至少每季度被审计和验证一次。,很多情况下，可以使用下面两种方法对防火墙策略进行验证：,第一种方法也是最简单的方法，获得防火墙配置的拷贝，然后把这些拷贝和根据已定义的策略产生的期望配置进行比较。企业应该至少使用这种方法对防火墙策略进行审查。,第二种方法是对防火墙配置进行实际测试。通过使用测试工具去尝试执行那些应该被禁止的操作来对防火墙设备进行评估。测试既可以使用公域软件完成，也可以使用商业软件完成。,测试防火墙策略的目的是确保防火墙（和其他安全设施）完全根据已制定的策略进行配置。对防火墙系统本身使用安全评估工具进行测试也是同样重要的。这些安全评估工具被用来检查防火墙底层操作系统以及

12、防火墙软件。和前述一样，这些安全评估工具可以是公域软件或商业软件。,。,（五）防火墙维护和管理,商业防火墙通常采用下面两种方式进行配置和日常维护：,第一种方式是通过命令行界面配置。,第二种方式是通过图形界面配置，这种方式也是最常见的。,任何一种配置方式都必须保证所有对防火墙进行管理的网络通信是安全的。,（六）周期性审查安全策略信息,同任何形式的策略一样，信息安全策略必须定期审查，以确保准确性和及时性。,防火墙系统以及其他资源必须定期地被规范审计。,除了传统的审计外，由企业雇用另外的措施确保防火墙整体环境的安全同样重要。,种子渗透是由组织或团队进行评估，并在实施评估之前拥有详细的网络和系统信息的

13、一种渗透分析方式。,盲目渗透是在开始评估之前拥有很少网络和系统信息的一种渗透分析方式。,五、防火墙环境的部署,防火墙环境，是指在网络中支持防火墙功能的系统和组件的集合。简单的防火墙环境可能只包含一个包过滤路由器，复杂和安全的防火墙环境可能包含几个防火墙、代理和专门的拓扑结构。,（一）防火墙环境构建准则：,1.,保持简单；,2.,设备专用；,3.,深度防御；,4.,注意内部威胁,（二）防火墙选购要点,防火墙作为网络安全体系的基础设施，其作用是通过从逻辑上切断受控网络的通信主干线，对通过受控干线的网络通信进行安全处理。目前，市场上防火墙种类繁多，用户在选购防火墙时应注意考虑以下因素：,1.,安全性

14、2.,高效性,防火墙的性能可以从以下几个方面进行评价：（,1,）并发会话连接数。（,2,）吞吐量。（,3,）延迟。（,4,）平均无故障时间。,3.,功能灵活性,4.,配置方便性,5.,管理方便性,6.,抗,DoS,和,DDoS,攻击,7.,可靠性,8.,可扩展和可升级性,（三）防火墙环境下的服务器部署,DMZ,是英文,DemilitarizedZone,的缩写，中文名称为停火区，也称非军事化区。,DMZ,是一个位于可信的内部网络和不可信的外部网络（如互联网）之间的计算机或者小的子网。,DMZ,作为需要被内部网络和外部网络访问，但又不能放置在内部受保护网络的计算机系统或资源的附属点。在一个有多

15、个防火墙存在的环境中，每个连接两个防火墙的计算机或网络都是,DMZ,。,内部网络、外部网络和,DMZ,的关系如下：,（,1,）内部网络可以无限制地访问外部网络以及,DMZ,；,（,2,）外部网络可以访问,DMZ,的服务器的公开端口，如,Web,服务器的,80,端口；,（,3,）外部网络不能访问内部网络以及防火墙；,（,4,）,DMZ,不可以访问内部网络，因为如果违背此策略，那么当入侵者攻陷,DMZ,时，就可以进一步攻陷内部网络的重要设备,对防火墙环境下各种应用服务器的放置必须要遵守以下原则：,（,1,）通过边界路由过滤设备保护外部网络可访问的服务器，或者将它们放置在外部,DMZ,中；,（,2,

16、绝不可将外部网络可访问的服务器放置在内部保护网络中；,（,3,）根据内部服务器的敏感程度和访问方式，将它们放置在内部防火墙之后；,（,4,）尽量隔离各种服务器，防止一个服务器被攻破后危及到其他服务器的安全。,第二节,入侵检测与入侵防御技术,一、入侵检测与入侵防御概述,（一）入侵检测技术与入侵检测系统,1.,入侵检测技术的定义,入侵检测（,Intrusion Detection,）技术是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术。入侵检测技术通过监视受保护系统的状态和活动，采用异常检测或误用检测的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有

17、效的手段。,2.,入侵检测系统的定义,入侵检测系统（,Intrusion Detection System,，简称,IDS,）是由硬件和软件组成，用来检测系统或网络以发现可能的入侵或攻击的系统。入侵检测系统通过实时的检测，检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式，监视与安全有关的活动。,3.,入侵检测系统的发展历程,从实验室原型研究到推出商业化产品走向市场并获得广泛认同，入侵检测系统已经经历了二十多年的风雨历程。,4.,入侵检测系统的主要作用,（,1,）入侵检测系统能使系统对入侵事件和过程做出实时响应。,（,2,）入侵检测系统是防火墙的合理补充。,（,

18、3,）入侵检测是系统动态安全的核心技术之一。,（二）入侵防御系统,1.,入侵防御系统的产生,入侵防御系统是一种智能化的网络安全产品，它不但能检测入侵行为的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。入侵防御系统使得入侵检测系统和防火墙走向了统一。,2.,入侵防御系统的作用,入侵防御系统提供一种主动的、实时的防护，其设计旨在对常规网络通信中的恶意数据包进行检测，阻止入侵活动，预先对攻击性的数据包进行自动拦截，使它们无法造成损失，而不是简单地在检测到网络入侵的同时或之后进行报警。入侵防御系统是通过直接串联到网络链路中而实现这一功能的，即入侵防

19、御系统接收到数据流量时，如果检测到攻击企图，就会自动地将攻击包丢弃或采取措施将攻击源阻断。,入侵防御系统的设计侧重于网络访问控制，注重主动防御，而不仅仅是检测和日志记录，解决了入侵检测系统的不足，为企业提供了一个全新的入侵防御解决方案。,二、入侵检测系统介绍,（一）入侵检测系统模型,1.Denning,入侵检测系统模型,DorothyDenning,于,1986,年提出了一个通用的入侵检测系统模型，该模型由以下六个部分组成,：,（,1,）主体（,Subjects,）,（,2,）客体（,Objects,）,（,3,）审计记录（,Auditrecords,）,（,4,）活动概要（,Activity

20、profile,）：,（,5,）异常记录（,Anomalyrecord,）,（,6,）规则集（,Activityrules,）处理引擎,Denning,入侵检测系统模型侧重于分析检测特定主机上的活动，后来开发的许多入侵检测系统都基于或参考这个模型。,Denning,入侵检测系统模型的最大缺点是它没有包含系统漏洞或攻击方法的知识，而这些知识在许多情况下是非常有用的信息。,2.CIDF,入侵检测系统模型,CIDF,的目的是使各个入侵检测研究项目可以共享信息和资源，使得各组件可以共享使用，并定义一系列协议和应用程序接口。,CIDF,将入侵检测系统分为四个组件：事件产生器（,Event Generat

21、or,）、事件分析器（,Event Analyzer,）、响应单元（,Response Unit,）和事件数据库（,Event Database,）。,（二）入侵检测系统的分类,1.,按信息源分类,根据收集的待分析信息的来源，入侵检测系统可以分成以下三类：,（,1,）基于主机的入侵检测系统。,（,2,）基于网络的入侵检测系统。,（,3,）基于应用的入侵检测系统。,2.,按分析技术分类,（,1,）异常入侵检测技术。,（,2,）误用入侵检测技术。,（三）入侵检测系统的响应,入侵检测系统的响应可以分为主动响应（,ActiveResponse,）和被动响应（,PassiveResponse,）。在主动

22、响应中，系统自动地或以用户设置的方式阻断攻击过程或以其他方式影响攻击过程；而在被动响应中，系统只报告和记录发生的事件。主动响应和被动响应并不是相互对立的。,1.,主动响应,主动响应，是指基于一个检测到的入侵所采取的措施。对于主动响应来说，可以选择的措施包括针对入侵者采取措施、修正系统和收集更详细的信息。,（,1,）针对入侵者采取措施。针对入侵者采取措施是主动响应的第一种措施。,（,2,）修正系统。修正系统是主动响应的第二种措施。,（,3,）收集更详细的信息。收集更详细的信息是主动响应的第三种措施。,2.,被动响应,被动响应，是指为用户提供信息，由用户决定接下来应该采取什么措施的一类响应方法。,

23、1,）警报和通知。,（,2,）,SNMP,陷阱和插件。,（四）入侵检测系统的选择,在选购入侵检测系统之前，用户首先需要熟悉自己网络的拓扑结构（特别是将要与入侵检测系统交互的部分），然后对各种现有的入侵检测系统进行调查评估，选择一款满足自己需求的入侵检测系统产品。,通常可以从以下几个方面对入侵检测系统进行评估，具体包括：,1.,系统本身的安全性,2.,系统的性能,入侵检测系统的性能可以从以下几个方面进行评价：（,1,）吞吐量。（,2,）平均无故障时间。,3.,系统的可升级性,4.,系统对抗入侵逃避（,Evasion,）的能力,5.,系统的可扩展性,6.,运行与维护系统的开销,7.,系统的准确

24、性,8.,系统的易用性,系统的易用性主要体现在以下五个方面：（,1,）界面的易用性。（,2,）帮助的易用性。（,3,）策略编辑的易用性。（,4,）日志报告的易用性。（,5,）报警事件优化技术。,（五）入侵检测系统的部署,入侵检测系统是对每个大型企业的计算机网络安全基础设施的必要补充。由于企业入侵检测系统产品的相对缺乏和系统管理员安全水平的限制，部署入侵检测系统需要谨慎地规划、准备、设计原型、测试和对管理员进行专门的训练。,1.,入侵检测系统的部署策略,2.,基于网络的入侵检测系统的部署,（,1,）位于外部防火墙后面的,DMZ,区（图,6-9,中位置,1,）。,（,2,）位于外部防火墙的外部（图

25、6-9,中位置,2,）。,（,3,）位于内部网络主干上（图,6-9,中位置,3,）。,（,4,）位于关键子网上（图,6-9,中位置,4,）。,3.,基于主机的入侵检测系统的部署,4.,应用于交换机环境时的问题,（六）入侵检测系统的局限性和发展趋势,由于入侵检测系统的定位是对网络行为进行安全审计，所以，入侵检测系统的缺陷主要表现在以下几个方面：,（,1,）入侵检测系统无法弥补安全防御系统中的安全漏洞和缺陷。,（,2,）对于高负载的网络或主机很难实现对网络行为入侵的实时检测、报警以及迅速地对攻击行为进行响应。,（,3,）使用误用检测技术的入侵检测系统很难检测到新的攻击行为和原有攻击行为的变种，也

26、就是说，检测具有一定的滞后性。,（,4,）入侵检测系统无法单独防止攻击行为的渗透，只能调整相关网络设备的参数或人为地进行处理。,（,5,）各种系统之间缺乏信息共享。,目前，入侵检测系统的发展趋势有以下几个方面：,（,1,）分布式入侵检测。,（,2,）应用层入侵检测。,（,3,）智能入侵检测。,（,4,）与其他网络安全技术相结合。,（,5,）建立入侵检测系统评价体系。,三、入侵防御系统介绍,（一）入侵防御系统的原理,入侵防御系统则倾向于提供主动防御，其设计宗旨是预先对入侵活动和攻击性网络通信进行拦截，避免其造成损失，而不是在检测到网络入侵的同时或之后进行报警。入侵防御系统是通过直接串联到网络链路中而实现这一功能的，即通过一个网络端口接收来自外部网络的网络通信，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个网络端口将它传送到内部网络中。这样一来，有问题的数据包以及所有来自同一数据流的后续数据包都能在入侵防御系统中被清除掉。,