防火墻與入侵檢測(cè)課程設(shè)計(jì)

1、防火墻與入侵檢測(cè)課程設(shè)計(jì) 設(shè)計(jì)背景： 隨著計(jì)算機(jī)網(wǎng)絡(luò)的餓普及和發(fā)展，以及政府和企業(yè)信息化艱澀步伐的加快，現(xiàn)有企業(yè)的網(wǎng)絡(luò)體系結(jié)構(gòu)越來(lái)越復(fù)雜。復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)暴露了眾多的安全隱患，對(duì)網(wǎng)絡(luò)安全的需求以前所未有的速度迅猛增長(zhǎng)。如何試網(wǎng)絡(luò)安全滿足業(yè)務(wù)的高速推進(jìn)，成為越來(lái)越熱門的話題。 安全的網(wǎng)絡(luò)系統(tǒng)對(duì)于現(xiàn)代企業(yè)來(lái)說是日常辦公和業(yè)務(wù)應(yīng)用的支撐體系。很多企業(yè)曾飽嘗網(wǎng)絡(luò)系統(tǒng)遭受攻擊的痛苦，意識(shí)到網(wǎng)絡(luò)安全的重要性，實(shí)施了簡(jiǎn)單的基于防火墻技術(shù)的安全解決策略，但絕大多數(shù)企業(yè)還處于觀望階段，或者出于一種調(diào)研階段。 盡管企業(yè)網(wǎng)絡(luò)與個(gè)人網(wǎng)絡(luò)所存在的主要安全隱患一樣們都是計(jì)算機(jī)病毒感染

2、、木馬和惡意程序的入侵和黑客攻擊，但企業(yè)網(wǎng)絡(luò)安全與個(gè)人計(jì)算機(jī)的網(wǎng)絡(luò)安全相比，安全防護(hù)的重要性藥高許多。一旦存在這些安全隱患。企業(yè)網(wǎng)絡(luò)的損失可能是無(wú)法估計(jì)的。畢竟個(gè)人用戶最多只是個(gè)人的計(jì)算機(jī)系統(tǒng)損壞，或者數(shù)據(jù)丟失，而對(duì)于企業(yè)網(wǎng)絡(luò)遠(yuǎn)沒有這么簡(jiǎn)單。企業(yè)網(wǎng)絡(luò)一旦受到威脅，就可能使整個(gè)網(wǎng)絡(luò)無(wú)法正常工作，服務(wù)器系統(tǒng)癱瘓，甚至所有網(wǎng)絡(luò)數(shù)據(jù)損壞或丟失，其損失可能是災(zāi)難性的。作為網(wǎng)絡(luò)管理員，應(yīng)當(dāng)根據(jù)當(dāng)前的安全形式認(rèn)清企業(yè)網(wǎng)絡(luò)中主要需要防范的安全隱患。而不要以個(gè)人計(jì)算機(jī)網(wǎng)絡(luò)安全來(lái)概括企業(yè)網(wǎng)絡(luò)安全。 正是基于企業(yè)網(wǎng)絡(luò)安全的重要性，企業(yè)網(wǎng)絡(luò)安全防護(hù)成本要遠(yuǎn)比個(gè)人網(wǎng)絡(luò)高。在個(gè)人計(jì)算機(jī)的網(wǎng)絡(luò)安全防護(hù)中通常只是安

3、全個(gè)人版病毒防護(hù)程序和軟件防火墻，而在企業(yè)網(wǎng)絡(luò)中。僅靠這些事遠(yuǎn)遠(yuǎn)不夠的。企業(yè)網(wǎng)絡(luò)中通常部署的是硬件防火墻、網(wǎng)絡(luò)版病毒防護(hù)程序和其他諸如入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)隔離設(shè)備等。同時(shí)，部署企業(yè)網(wǎng)絡(luò)的容災(zāi)系統(tǒng)也是非常必要要的，因?yàn)樗且磺邪踩雷o(hù)措施的最后的防線。   拓?fù)鋱D 拓?fù)鋱D分析： 企業(yè)按部門劃分vlan 企業(yè)的部門分為經(jīng)理部、銷售部、人力資源部、后勤部、財(cái)政部、行政部、科研部，每個(gè)部門為一個(gè)vlan 相互之間互不影響，經(jīng)理部可以查看其他各部門的計(jì)算機(jī)，其他部門只能查看除了經(jīng)理部和財(cái)政部以外的部門計(jì)算機(jī)。各部門的計(jì)算機(jī)通過接入層交換

4、機(jī)連接到匯聚層交換機(jī)，然后介入核心交換機(jī)。web 服務(wù)器、dns服務(wù)器、dhcp服務(wù)器、email服務(wù)器等構(gòu)成一個(gè)dmz 然后與核心交換機(jī)相連，核心交換機(jī)通過防火墻與路由器相連，路由器介入internet。其中在匯聚層交換機(jī)的節(jié)點(diǎn)核心層交換機(jī)的節(jié)點(diǎn)和dmz的節(jié)點(diǎn)處設(shè)置入侵檢測(cè)系統(tǒng)。 防火墻部署方案 設(shè)計(jì)中采用包過濾防火墻，在內(nèi)部網(wǎng)絡(luò)與internet的接點(diǎn)處設(shè)置了包過濾防火墻，起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。 包過濾防火墻也稱為訪問控制表或屏蔽路由器，它通過查看所流經(jīng)的數(shù)據(jù)包，根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，并根據(jù)是否與規(guī)則匹配來(lái)決定是否讓該數(shù)據(jù)包

5、通過。包過濾防火墻的優(yōu)點(diǎn)是處理速度快（因?yàn)榘^濾防火墻工作在ip層和tcp層）、費(fèi)用低（許多路由軟件已包含）、對(duì)用戶透明（不需要用戶在客戶端做任何程序改動(dòng)）、價(jià)格便宜。 包過濾防火墻將對(duì)每一個(gè)接收到的包做出允許或拒絕的決定。具體地講，它針對(duì)每一個(gè)數(shù)據(jù)報(bào)的報(bào)頭，按照包過濾規(guī)則進(jìn)行判定，與規(guī)則相匹配的包依據(jù)路由信息繼續(xù)轉(zhuǎn)發(fā)，否則就丟棄。包過濾是在ip層實(shí)現(xiàn)的，包過濾根據(jù)數(shù)據(jù)包的源ip地址、目的ip地址、協(xié)議類型（tcp包、udp包、icmp 包）、源端口、目的端口等報(bào)頭信息及數(shù)據(jù)包傳輸方向等信息來(lái)判斷是否允許數(shù)據(jù)包通過。 包過濾也包括與服務(wù)相關(guān)的過濾，這是指基于特定的服務(wù)進(jìn)行包

6、過濾，由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定tcp/udp端口，因此，為阻斷所有進(jìn)入特定服務(wù)的鏈接，防火墻只需將所有包含特定tcp/udp目的端口的包丟棄即可。 之所以采用包過濾防火墻主要出于以下幾點(diǎn)的考慮：1.對(duì)于一個(gè)小型的、不太復(fù)雜的站點(diǎn)，包過濾比較容易實(shí)現(xiàn)。    2.過濾路由器工作在ip層和tcp層，所以處理包的速度比代理服務(wù)器快。    3.路由器為用戶提供了一種透明的服務(wù)，用戶不需要改變客戶端的任何應(yīng)用程序，也不需要用戶學(xué)習(xí)任何新的東西。因?yàn)檫^濾路由器工作在ip層和tcp層，而ip層和tcp層與應(yīng)

7、用層的問題毫不相關(guān)。所以，過濾路由器有時(shí)也被稱為“包過濾網(wǎng)關(guān)”或“透明網(wǎng)關(guān)”，之所被稱為網(wǎng)關(guān)，是因?yàn)榘^濾路由器和傳統(tǒng)路由器不同，它涉及到了傳輸層。  4濾路由器在價(jià)格上一般比代理服務(wù)器便宜。 包過濾的原則： （1）包過濾規(guī)則必須被包過濾設(shè)備端口存儲(chǔ)起來(lái)。  （2）當(dāng)包到達(dá)端口時(shí)，對(duì)包報(bào)頭進(jìn)行語(yǔ)法分析。大多數(shù)包過濾設(shè)備只檢查ip、tcp、或udp報(bào)頭中的字段。  （3）包過濾規(guī)則以特殊的方式存儲(chǔ)。應(yīng)用于包的規(guī)則的順序與包過濾器規(guī)則存儲(chǔ)順序必須相同。  （4）若一條規(guī)則阻止包傳輸或接收，則此包便不

8、被允許。  （5）若一條規(guī)則允許包傳輸或接收，則此包便可以被繼續(xù)處理。  （6）若包不滿足任何一條規(guī)則，則此包便被阻塞。 入侵檢測(cè)系統(tǒng)的部署： 入侵檢測(cè)系統(tǒng)有不同的部署方式和特點(diǎn)。根據(jù)所掌握的網(wǎng)絡(luò)檢測(cè)和安全需求，選取各種類型的入侵檢測(cè)系統(tǒng)。將多種入侵檢測(cè)系統(tǒng)按照預(yù)定的計(jì)劃進(jìn)行部署，確保每個(gè)入侵檢測(cè)系統(tǒng)都能夠在相應(yīng)部署點(diǎn)上發(fā)揮作用，共同防護(hù)，保障網(wǎng)絡(luò)的安全運(yùn)行。 部署工作包括對(duì)網(wǎng)絡(luò)入侵檢測(cè)和主機(jī)入侵檢測(cè)等不同類型入侵檢測(cè)系統(tǒng)的部署規(guī)劃。同時(shí)，根據(jù)主動(dòng)防御網(wǎng)絡(luò)的需求，還需要對(duì)入侵檢測(cè)系統(tǒng)的報(bào)警方式進(jìn)行部署和規(guī)劃。 基于

9、網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以在網(wǎng)絡(luò)的多個(gè)位置進(jìn)行部署。 根據(jù)檢測(cè)器部署位置的不同，入侵檢測(cè)系統(tǒng)具有不同的工作特點(diǎn)。 在基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)部署并配置完成后，基于主機(jī)的入侵檢測(cè)系統(tǒng)的部署可  以給系統(tǒng)提供高級(jí)別的保護(hù)。但是，將基于主機(jī)的入侵檢測(cè)系統(tǒng)安裝在企業(yè)中的每一個(gè)主機(jī)上是一種相當(dāng)大的時(shí)間和資金的浪費(fèi)，同時(shí)每一臺(tái)主機(jī)都需要根據(jù)自身的情況進(jìn)行特別的安裝和設(shè)置，相關(guān)的日志和升級(jí)維護(hù)是巨大的。 入侵檢測(cè)系統(tǒng)在檢測(cè)到入侵行為的時(shí)候，需要報(bào)警并進(jìn)行相應(yīng)的反應(yīng)。如何報(bào)警和選取什么樣的報(bào)警，需要根據(jù)整個(gè)網(wǎng)絡(luò)的環(huán)境和安全的需求進(jìn)行確定。 入侵檢測(cè)系統(tǒng)的種

10、類  據(jù)入侵檢測(cè)系統(tǒng)的檢測(cè)對(duì)象和工作方式的不同，入侵檢測(cè)系統(tǒng)主要分為兩大類：基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。 基于主機(jī)的入侵檢測(cè)系統(tǒng)用于保護(hù)單臺(tái)主機(jī)不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在被保護(hù)的主機(jī)上。這一類入侵檢測(cè)系統(tǒng)直接與操作系統(tǒng)相關(guān)，它控制文件系統(tǒng)以及重要的系統(tǒng)文件，確保操作系統(tǒng)不會(huì)被隨意地刪改。該類入侵檢測(cè)系統(tǒng)能夠及時(shí)發(fā)現(xiàn)操作系統(tǒng)所受到的侵害，并且由于它保存一定的校驗(yàn)信息和所有系統(tǒng)文件的變更記錄，所以在一定程度上還可以實(shí)現(xiàn)安全恢復(fù)機(jī)制。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通常是作為一個(gè)獨(dú)立的個(gè)體放置于被保護(hù)的網(wǎng)絡(luò)上，它使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分

11、析的數(shù)據(jù)源，一般利用一個(gè)網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視和分析所有通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ拧Ｒ坏z測(cè)到攻擊，入侵檢測(cè)系統(tǒng)應(yīng)答模塊通過通知、報(bào)播以及中斷連接等方式來(lái)對(duì)攻擊做出反應(yīng)。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)都有各自的優(yōu)勢(shì)和不足，這兩種方式各自都能發(fā)現(xiàn)對(duì)方無(wú)法檢測(cè)到的一些網(wǎng)絡(luò)入侵行為，如果同時(shí)使用互相彌補(bǔ)不足會(huì)起到良好的檢測(cè)效果。因此它們?cè)诖_定攻擊是否已經(jīng)取得成功時(shí)，與基于網(wǎng)絡(luò)的檢測(cè)系統(tǒng)相比具有更大的準(zhǔn)確性。在這方面，基于主機(jī)的入侵檢測(cè)系統(tǒng)對(duì)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)是一個(gè)很好的補(bǔ)充，可以使用基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)提供早期報(bào)警，使用基于主機(jī)的入侵檢測(cè)系統(tǒng)來(lái)驗(yàn)證攻擊是否取得成功。

12、60;模式匹配      模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，來(lái)發(fā)現(xiàn)違背安全策略的入侵行為。該過程可以很簡(jiǎn)單，也可以很復(fù)雜。一種進(jìn)攻模式可以利用一個(gè)過程或一個(gè)輸出來(lái)表示。這種檢測(cè)方法只需收集相關(guān)的數(shù)據(jù)集合就能進(jìn)行判斷，能減少系統(tǒng)占用，并且技術(shù)已相當(dāng)成熟，檢測(cè)準(zhǔn)確率和效率也相當(dāng)高。但是，該技術(shù)需要不斷進(jìn)行升級(jí)以對(duì)付不斷出現(xiàn)的攻擊手法，并且不能檢測(cè)未知攻擊手段。 ·異常檢測(cè)      異常檢測(cè)首先給系統(tǒng)對(duì)象(用戶、文件、目錄

13、和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述，包括統(tǒng)計(jì)正常使用時(shí)的測(cè)量屬性，如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等。測(cè)量屬性的平均值被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，當(dāng)觀察值在正常值范圍之外時(shí)，ids就會(huì)判斷有入侵發(fā)生。異常檢測(cè)的優(yōu)點(diǎn)是可以檢測(cè)到未知入侵和復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高。 ·協(xié)議分析      協(xié)議分析是在傳統(tǒng)模式匹配技術(shù)基礎(chǔ)之上發(fā)展起來(lái)的一種新的入侵檢測(cè)技術(shù)。它充分利用了網(wǎng)絡(luò)協(xié)議的高度有序性，并結(jié)合了高速數(shù)據(jù)包捕捉、協(xié)議分析和命令解析，來(lái)快速檢測(cè)某個(gè)攻擊特征是否存在，這種技術(shù)正逐漸進(jìn)入成熟應(yīng)用階段。協(xié)議分析大大減少了計(jì)

14、算量，即使在高負(fù)載的高速網(wǎng)絡(luò)上，也能逐個(gè)分析所有的數(shù)據(jù)包。 典型的網(wǎng)絡(luò)入侵方法： 口令破解、漏洞攻擊、木馬、拒絕服務(wù)攻擊、ip地址欺騙、網(wǎng)絡(luò)監(jiān)聽等。 口令破解通常是因?yàn)橛脩糇约旱目诹钤O(shè)計(jì)過于簡(jiǎn)單比如用自己的身日，愛人的生日等作為口令可以使黑客輕易的破解用戶的口令。 漏洞攻擊是根據(jù)用戶的機(jī)器上的操作系統(tǒng)的漏洞或者是用戶機(jī)器上軟件的漏洞進(jìn)行攻擊從而控制用戶機(jī)器的攻擊模式。 木馬比較典型的是特洛伊木馬，用戶通過收發(fā)郵件或者是使用已經(jīng)感染的u 盤等都很容易是自己的機(jī)器感染木馬，木馬通常會(huì)在用戶的機(jī)器上開一個(gè)后門從而方便黑客控制用戶的機(jī)器。 拒

15、絕服務(wù)攻擊通常是黑客控制大量的傀儡機(jī)進(jìn)行集中的大規(guī)模的攻擊，攻擊手段可能很簡(jiǎn)單比如簡(jiǎn)單的ping某個(gè)服務(wù)器，但是因?yàn)榭軝C(jī)數(shù)目太多，大量的長(zhǎng)度超過普通ping命令規(guī)格的ping命令攻擊同一個(gè)服務(wù)器會(huì)使服務(wù)器的資源耗盡而出現(xiàn)重啟的現(xiàn)象，從而不能為合法用戶提供服務(wù)。 ip地址欺騙是黑客通過攔截用戶的ip報(bào)文然后再偽造報(bào)文與目標(biāo)服務(wù)器進(jìn)行通訊的攻擊模式。 網(wǎng)絡(luò)監(jiān)聽則是用抓包工具對(duì)某一網(wǎng)段的計(jì)算機(jī)的所有通訊的數(shù)據(jù)包進(jìn)行分析從而獲取敏感信息的攻擊方式。 解決方法： 對(duì)于口令破解可以建議用戶在設(shè)置口令的時(shí)候不要將自己的生日、身份證號(hào)碼、電話號(hào)碼等容易被人獲得信息作為自己的口令，選取一些沒有規(guī)律的字母數(shù)字和符號(hào)組合的字符作為自己的口令。此外還可以對(duì)口令的傳輸過程進(jìn)行加密也可以防止口令被破解。 漏洞攻擊可以通過實(shí)時(shí)的更新