防火墙与入侵检测专业课程设计.doc

1、防火墙与入侵检测课程设计  设计背景：  随着计算机网络饿普及和发展，以及政府和公司信息化艰涩步伐加快，既有公司网络体系构造越来越复杂。复杂网络构造暴露了众多安全隐患，对网络安全需求此前所未有速度迅猛增长。如何试网络安全满足业务高速推动，成为越来越热门话题。  安全网络系统对于当代公司来说是寻常办公和业务应用支撑体系。诸多公司曾饱尝网络系统遭受袭击痛苦，意识到网络安全重要性，实行了简朴基于防火墙技术安全解决方略，但绝大多数公司还处在观望阶段，或者出于一种调研阶段。  尽管公司网络与个人网络所存在重要安全隐患同样们都是计算机病毒 感染、木马和恶意程序入侵和黑客袭击，但公司网络安全与个人

2、计算机网络安全相比，安全防护重要性药高许多。一旦存在这些安全隐患。公司网络损失也许是无法预计。毕竟个人顾客最多只是个人计算机系统损坏，或者数据丢失，而对于公司网络远没有这样简朴。公司网络一旦受到威胁，就也许使整个网络无法正常工作，服务器系统瘫痪，甚至所有网络数据损坏或丢失，其损失也许是劫难性。作为网络管理员，应当依照当前安全形式认清公司网络中重要需要防范安全隐患。而不要以个人计算机网络安全来概括公司网络安全。 正是基于公司网络安全重要性，公司网络安全防护成本要远比个人网络高。在个人计算机网络安全防护中普通只是安全个人版病毒防护程序和软件防火墙，而在公司网络中。仅靠这些事远远不够。公司网络中普通

3、布置是硬件防火墙、网络版病毒防护程序和其她诸如入侵检测系统、网络隔离设备等。同步，布置公司网络容灾系统也是非常必要要，由于它是一切安全防护办法最后防线。    拓扑图  拓扑图分析：  公司按部门划分vlan 公司部门分为经理部、销售部、人力资源部、后勤部、财政部、行政部、科研部，每个部门为一种vlan 互相之间互不影响，经理部可以查看其她各部门计算机，其她部门只能查看除了经理部和财政部以外部门计算机。各部门计算机通过接入层互换机连接到汇聚层互换机，然后介入核心互换机。Web 服务器、dns服务器、dhcp服务器、email服务器等构成一种dmz 然后与核心互换机相连，核心互

4、换机通过防火墙与路由器相连，路由器介入Internet。其中在汇聚层互换机节点核心层互换机节点和dmz节点处设立入侵检测系统。 防火墙布置方案  设计中采用包过滤防火墙，在内部网络与Internet接点处设立了包过滤防火墙，起到保护内部网络作用。  包过滤防火墙也称为访问控制表或屏蔽路由器，它通过查看所流经数据包，依照定义好过滤规则审查每个数据包，并依照与否与规则匹配来决定与否让该数据包通过。包过滤防火墙长处是解决速度快（由于包过滤防火墙工作在IP层和TCP层）、费用低（许多路由软件已包括）、对顾客透明（不需要顾客在客户端做任何程序改动）、价格便宜。  包过滤防火墙将对每一种接受到包做出

5、容许或回绝决定。详细地讲，它针对每一种数据报报头，按照包过滤规则进行鉴定，与规则相匹配包根据路由信息继续转发，否则就丢弃。包过滤是在IP层实现，包过滤依照数据包源IP地址、目IP地址、合同类型（TCP包、UDP包、ICMP 包）、源端口、目端口等报头信息及数据包传播方向等信息来判断与否容许数据包通过。 包过滤也涉及与服务有关过滤，这是指基于特定服务进行包过滤，由于绝大多数服务监听都驻留在特定TCP/UDP端口，因而，为阻断所有进入特定服务链接，防火墙只需将所有包括特定TCP/UDP目端口包丢弃即可。  之因此采用包过滤防火墙重要出于如下几点考虑：1.对于一种小型、

6、不太复杂站点，包过滤比较容易实现。     2.过滤路由器工作在IP层和TCP层，因此解决包速度比代理服务器快。     3.路由器为顾客提供了一种透明服务，顾客不需要变化客户端任何应用程序，也不需要顾客学习任何新东西。由于过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层问题毫不有关。因此，过滤路由器有时也被称为“包过滤网关”或“透明网关”，之所被称为网关，是由于包过滤路由器和老式路由器不同，它涉及到了传播层。   4滤路由器在价格上普通比代理服务器便宜。 包过滤原则： （1）包过滤规则必要被包过滤设备端口存储起来。   （2）当包到达端口时，对包报头进行语法分析。大多数包

7、过滤设备只检查IP、TCP、或UDP报头中字段。   （3）包过滤规则以特殊方式存储。应用于包规则顺序与包过滤器规则存储顺序必要相似。   （4）若一条规则制止包传播或接受，则此包便不被容许。  （5）若一条规则容许包传播或接受，则此包便可以被继续解决。  （6）若包不满足任何一条规则，则此包便被阻塞。 入侵检测系统布置：  入侵检测系统有不同布置方式和特点。依照所掌握网络检测和安全需求，选用各种类型入侵检测系统。将各种入侵检测系统按照预定筹划进行布置，保证每个入侵检测系统都可以在相应布置点上发挥作用，共同防护，保障网络安全运营。  布置工作涉及对网络入侵检测和主机入侵检测等不同类型入

8、侵检测系统布置规划。同步，依照积极防御网络需求，还需要对入侵检测系统报警方式进行布置和规划。  基于网络入侵检测系统可以在网络各种位置进行布置。  依照检测器布置位置不同，入侵检测系统具备不同工作特点。  在基于网络入侵检测系统布置并配备完毕后，基于主机入侵检测系统布置可  以给系统提供高档别保护。但是，将基于主机入侵检测系统安装在公司中每一种主机上是一种相称大时间和资金挥霍，同步每一台主机都需要依照自身状况进行特别安装和设立，有关日记和升级维护是巨大。  入侵检测系统在检测到入侵行为时候，需要报警并进行相应反映。如何报警和选用什么样报警，需要依照整个网络环境和安全需求进行拟定。 

9、入侵检测系统种类  据入侵检测系统检测对象和工作方式不同，入侵检测系统重要分为两大类：基于主机入侵检测系统和基于网络入侵检测系统。  基于主机入侵检测系统用于保护单台主机不受网络袭击行为侵害，需要安装在被保护主机上。这一类入侵检测系统直接与操作系统有关，它控制文献系统以及重要系统文献，保证操作系统不会被随意地删改。该类入侵检测系统可以及时发现操作系统所受到侵害，并且由于它保存一定校验信息和所有系统文献变更记录，因此在一定限度上还可以实现安全恢复机制。  基于网络入侵检测系统普通是作为一种独立个体放置于被保护网络上，它使用原始网络分组数据包作为进行袭击分析数据源，

10、普通运用一种网络适配器来实时监视和分析所有通过网络进行传播通信。一旦检测到袭击，入侵检测系统应答模块通过告知、报播以及中断连接等方式来对袭击做出反映。 基于网络入侵检测系统和基于主机入侵检测系统均有各自优势和局限性，这两种方式各自都能发现对方无法检测到某些网络入侵行为，如果同步使用互相弥补局限性会起到良好检测效果。因而它们在拟定袭击与否已经获得成功时，与基于网络检测系统相比具备更大精确性。在这方面，基于主机入侵检测系统对基于网络入侵检测系统是一种较好补充，可以使用基于网络入侵检测系统提供初期报警，使用基于主机入侵检测系统来验证袭击与否获得成功。  模式匹配       模式匹配就是将收集到

11、信息与已知网络入侵和系统误用模式数据库进行比较，来发现违背安全方略入侵行为。该过程可以很简朴，也可以很复杂。一种攻打模式可以运用一种过程或一种输出来表达。这种检测办法只需收集有关数据集合就能进行判断，能减少系统占用，并且技术已相称成熟，检测精确率和效率也相称高。但是，该技术需要不断进行升级以对付不断浮现袭击手法，并且不能检测未知袭击手段。 ·异常检测       异常检测一方面给系统对象(顾客、文献、目录和设备等)创立一种记录描述，涉及记录正常使用时测量属性，如访问次数、操作失败次数和延时等。测量属性平均值被用来与网络、系统行为进行比较，当观测值在正常值范畴之外时，IDS就会判断有入侵发生。

12、异常检测长处是可以检测到未知入侵和复杂入侵，缺陷是误报、漏报率高。 ·合同分析       合同分析是在老式模式匹配技术基本之上发展起来一种新入侵检测技术。它充分运用了网络合同高度有序性，并结合了高速数据包捕获、合同分析和命令解析，来迅速检测某个袭击特性与否存在，这种技术正逐渐进入成熟应用阶段。合同分析大大减少了计算量，虽然在高负载高速网络上，也能逐个分析所有数据包。  典型网络入侵办法：  口令破解、漏洞袭击、木马、回绝服务袭击、ip地址欺骗、网络监听等。 口令破解普通是由于顾客自己口令设计过于简朴例如用自己身日，爱人生日等作为口令可以使黑客容易破解顾客口令。  漏洞袭击是依照顾客机

13、器上操作系统漏洞或者是顾客机器上软件漏洞进行袭击从而控制顾客机器袭击模式。  木马比较典型是特洛伊木马，顾客通过收发邮件或者是使用已经感染U 盘等都很容易是自己机器感染木马，木马普通会在顾客机器上开一种后门从而以便黑客控制顾客机器。  回绝服务袭击普通是黑客控制大量傀儡机进行集中大规模袭击，袭击手段也许很简朴例如简朴ping某个服务器，但是由于傀儡机数目太多，大量长度超过普通ping命令规格ping命令袭击同一种服务器会使服务器资源耗尽而浮现重启现象，从而不能为合法顾客提供服务。  Ip地址欺骗是黑客通过拦截顾客ip报文然后再伪造报文与目的服务器进行通讯袭击模

14、式。  网络监听则是用抓包工具对某一网段计算机所有通讯数据包进行分析从而获取敏感信息袭击方式。  解决办法：  对于口令破解可以建议顾客在设立口令时候不要将自己生日、身份证号码、电话号码等容易被人获得信息作为自己口令，选用某些没有规律字母数字和符号组合字符作为自己口令。此外还可以对口令传播过程进行加密也可以防止口令被破解。  漏洞袭击可以通过实时更新自己系统，尽快给自己系统和软件打好补丁尚有把机器不用端口都关闭来进行避免。  对于木马袭击可以安装最新杀毒软件和防火墙来进行防护，对于来历不明邮件不要打开，来历不明U盘不要和机器进行连接等办法来避免。  回绝服务袭击则可通过防火墙包过滤功能过滤掉ping包和过大数据包而轻松解决。  Ip地址欺骗则可以通过在通信机器间建立通信信道并加盖时间戳来进行防护。  网络监听可以通过实时监测局域网流量状况，安装反抓包工具来进行防护。