windows系統(tǒng)安全14防火墻與入侵檢測系統(tǒng)課件2

1、防火墻與入侵檢測本章介紹兩部分的內容：防火墻和入侵檢測技術。介紹防火墻的基本概念，常見防火墻類型以及如何使用規(guī)則集實現防火墻。介紹入侵檢測系統(tǒng)的基本概念以及入侵檢測的常用方法1防火墻技術 1. 防火墻基本概念2. 防火墻的分類3 .防火墻的體系結構 4. 防火墻的實施2防火墻防火墻是位于可信網絡與不可信網絡之間，并對二者之間流動的數據包進行檢查的一臺、多臺計算機或路由器。3防火墻是在兩個網絡之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，目的是保護網絡不被他人侵擾。4防火墻實現的層次5防火墻的安全規(guī)則由匹配條件和處理方式兩部分組成。匹配條件是指用于對通信流量是否合法作出判斷的一些邏輯表達

2、式。若信息是匹配條件值為真，那么就進行處理。處理方式有以下幾種。 接受：允許信息通過 拒絕：拒絕信息通過，通知發(fā)送信息的信息源 丟棄：直接丟棄信息，不通知信息源。6防火墻的基本功能（1）網絡監(jiān)控（包過濾功能，狀態(tài)檢查，網關級代理）（2）用戶身份驗證：可以限制未授權的用戶進入內部網 絡，過濾掉不安全的服務和非法用戶（3）限制內部用戶訪問特殊站點防火墻的不足之處（1）不能防范惡意的知情者（2）防火墻不能防范不通過它的連接（3）防火墻不能防范病毒7防火墻技術 1. 防火墻基本概念 2 防火墻分類（按實現技術）3 .防火墻的體系結構 4. 防火墻的實施8防火墻分類（按實現技術）數據包過濾 防火墻（20

3、世紀80年代）應用級網關防火墻狀態(tài)檢測防火墻（20世紀90年代）9包過濾（分組過濾）：作用在協議組的網絡層和傳輸層，根據分組包頭源地址、目的地址和端口號、協議類型等標志確定是否允許數據包通過，只有滿足過濾邏輯的數據包才被轉發(fā)到相應的目的地的出口端，其余的數據包則從數據流中丟棄。應用代理（Application Proxy）：也叫應用網關（Application Gateway），它作用在應用層，其特點是完全“阻隔”網絡通信流，通過對每種應用服務編制專門的代理程序，實現監(jiān)視和控制應用層通信流的作用。實際中的應用網關通常由專用工作站實現。狀態(tài)檢測（Status Detection）：直接對分組里的

4、數據進行處理，并且結合前后分組的數據進行綜合判斷，然后決定是否允許該數據包通過。10包過濾防火墻數據包過濾可以在網絡層截獲數據。使用一些規(guī)則來確定是否轉發(fā)或丟棄所各個數據包。通常情況下，如果規(guī)則中沒有明確允許指定數據包的出入，那么缺省參數將決定此包是前行還是被舍棄。 11包過濾技術 每個包有兩個部分：數據部分和包頭。包頭中含有源地址和目標地址等信息。 包過濾一直是一種簡單而有效的方法。通過攔截數據包，讀出并拒絕那些不符合標準的包頭，過濾掉不應入站的信息。12包過濾要檢查的內容數據包過濾一般要檢查網絡層的IP頭和傳輸層的頭IP源地址IP目標地址協議類型（TCP包，UDP包和ICMP包）TCP或U

5、DP包的目的端口TCP或UDP包的原端口ICMP消息類型TCP包頭的ACK位TCP包的序列號，IP校驗和等13過濾的依據主要是TCP/IP包頭里面的信息，不能對應用層數據進行處理14一個可靠的分組過濾防火墻依賴于規(guī)則集，表列出了幾條典型的規(guī)則集。第一條規(guī)則：主機任何端口訪問任何主機的任何端口，基于TCP協議的數據包都允許通過。第二條規(guī)則：任何主機的20端口訪問主機的任何端口，基于TCP協議的數據包允許通過。第三條規(guī)則：任何主機的20端口訪問主機小于1024的端口，如果基于TCP協議的數據包都禁止通過。組序號動作源IP目的IP源端口目的端口協議類型1允許*TCP2允許*20*TCP3禁止*20S

6、ecurity Logs”，察看日志紀錄如圖所示。28防火墻分類（按實現技術）數據包過濾 防火墻（20世紀80年代）應用級網關防火墻狀態(tài)檢測防火墻（20世紀90年代）29應用級網關（代理）工作模型 作為一個信息交流的中轉站，對客戶來說，他是一個服務器，對服務器來說，他是一個客戶，它的安全性較包過濾防火墻有了很大的提高30代理服務器數據包的重構過程 31服務端客戶端telnetInternet應用級網關發(fā)送數據包到Internet必須先經過網關復制數據向目標服務器發(fā)送telnetd應用級網關防火墻32在Windows系統(tǒng)下的IE瀏覽器的配置 客戶端的設置33應用級網關優(yōu)缺點 優(yōu)點：為內部網絡提供

7、了更高的安全性應用代理防火墻工作于工作于應用層，適用于特定的網絡服務，如HTTP，FTP等；并且應用代理防火墻適于做日志記錄。缺點：處理速度較慢，因為它不允許直接訪問外部網絡網關的代理服務軟件總要隨著應用服務軟件的更新而更新34Windows的防火墻：ISAISA具有防火墻和緩存代理的功能。35Windows的防火墻：ISA36網絡地址轉換防火墻的網絡地址轉換功能是指將內部主機的IP地址轉換為某一固定或者某范圍內的某個IP地址，而使從網絡外部無法探測到它們。網絡地址轉換（NAT，Network Address Translation），有時也稱為IP偽裝。3738NAT類型靜態(tài)NAT（Stat

8、ic NAT）動態(tài)地址NAT（Dynamic NAT）端口轉換NAPT（Network Address Port Translation） 39靜態(tài)NAT把內部網絡中的每個主機都永久映射成外部網絡中的某個合法的地址40動態(tài)NAT在外部網絡中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內部網絡 41端口轉換 NAT把內部地址映射到外部網絡的一個IP地址的不同端口上 42防火墻分類（按實現技術）數據包過濾 防火墻（20世紀80年代）應用級網關防火墻狀態(tài)檢測防火墻（20世紀90年代）43狀態(tài)監(jiān)測防火墻（20世紀90年代）狀態(tài)監(jiān)測防火墻具有非常好的安全特性，它使用一個在網關上執(zhí)行網絡安全策略的軟件

9、模塊，稱為“監(jiān)測引擎”。監(jiān)測引擎在不影響網絡正常運行的前提下，監(jiān)測網絡通信的各層并在通信各層抽取有關數所生成狀態(tài)信息，并動態(tài)地保存以供后續(xù)執(zhí)行安全策略的參考。使用狀態(tài)監(jiān)測的一個優(yōu)點是，雖然在網絡層接收數據包以提高效率，但防火墻依舊檢查通信各層的數據，并根據生成的通信狀態(tài)，應用狀態(tài)和上下文信息等結合網絡安全策略對數據包作出接收，拒絕，身份認證，報警或通信加密等動作。它的另一個優(yōu)點是它可以監(jiān)測無連接協議（如RPC，某些基于UDP的應用），而包過濾防火墻和應用代理防火墻都不具備這種功能。它的缺點是降低網絡速度，且配置比較復雜。4445防火墻技術 1. 防火墻基本概念 2 防火墻分類（按實現技術）3

10、.防火墻的體系結構 4. 防火墻的實施46防火墻體系結構防火墻的體系結構一般有雙宿主主機體系結構；屏蔽主機體系結構；屏蔽子網體系結構。47雙重宿主主機體系結構雙重宿主主機的防火墻體系結構是相當簡單的，雙重宿主主機位于兩者之間，并且被連接到因特網和內部的網絡。右圖顯示這種體系結構。 48雙重宿主主機體系結構雙宿主機是連接內外網絡的通道，因此它本應具有路由功能。而在實際應用中，雙宿主機路由功能是被禁止的。49屏蔽主機體系結構在此結構中提供安全保護的主機僅僅與內部網相連。另外，結構中還有一臺單獨的路由器（過濾路由器）。在這種體系結構中，堡壘主機即可提供包過濾功能，也可提供代理功能，其結構如左圖所示。

11、50內外網絡之間的所有通信都必須通過堡壘主機主要優(yōu)點： 相對于雙宿主機體系結構，堡壘主機不直接與外部網絡連接，減小了被攻擊的可能性。路由器的同時存在，減輕了堡壘主機的負擔缺點： 一旦堡壘主機遭到攻擊，內部網絡助于不安全的狀態(tài)51屏蔽子網模型屏蔽子網模型用了兩個包過濾路由器和一個堡壘主機。它是最安全的防火墻系統(tǒng)之一，它支持網絡層和應用層安全功能。網絡管理員將堡壘主機、信息服務器、Modem組，以及其它公用服務器放在非軍事區(qū)網絡中。如果黑客想突破該防火墻那么必須攻破以上三個單獨的設備。 防火墻52屏蔽子網體系結構內部路由器內部路由器有時被稱為阻塞路由器，它保護內部的網絡使之免受Internet和周

12、邊網的侵犯。內部路由器為用戶的防火墻執(zhí)行大部分的數據包過濾工作。它允許從內部網到Internet的有選擇的出站服務。外部路由器外部路由器能有效地執(zhí)行的安全任務之一是：阻止從Internet上偽造源地址進來的任何數據包。這樣的數據包自稱來自內部的網絡，但實際上是來自Internet。53實施方法1 基于網絡主機的防火墻 一種是作為現有的商業(yè)操作系統(tǒng)上的應用程序另外一種是整合成操作系統(tǒng)的一部分2 基于路由器的防火墻一般他們可以起到阻止和允許特定的IP地址和端口號的基本防火墻功能使用NAT來隱藏內部IP地址在一個全面安全體系結構中，路由器經常作為屏蔽設備使用3 基于單個主機的防火墻常用于規(guī)模很小的辦

13、公室或者家庭比如：瑞星個人防火墻、天網個人防火墻4 硬件防火墻硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行功能通常硬件防火墻的性能要強于軟件防火墻、并且連接、使用比較方便54防火墻環(huán)境下的服務器部署最典型的防火墻環(huán)境就是DMZ(非軍事區(qū))。DMZ是作為內外網都可以訪問的計算機系統(tǒng)和資源的連接點，比如Web服務器、郵件服務器、VPN網關、DNS服務器等，這些系統(tǒng)和資源不能放置在內部保護網絡內。 55防火墻環(huán)境下的服務器部署56防火墻環(huán)境下的服務器部署遵循原則。(1) 通過邊界路由過濾設備保護外部服務器，或將它們放置在外部DMZ中。(2) 絕不可將外部可訪問的服務器放置在內部要保護網絡中。(

14、3) 根據內部服務器的敏感程度和訪問方式，將它們放置在內部防火墻之后。(4) 盡量隔離各種服務器，防止一個服務器被攻破后波及到其他服務器的安全。 571 入侵檢測系統(tǒng)(IDS)的概念入侵檢測系統(tǒng)IDS（Intrusion Detection System）指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對系統(tǒng)資源的非授權使用能夠做出及時的判斷、記錄和報警。58 檢測來自內部的攻擊事件和越權訪問85以上的攻擊事件來自于內部的攻擊防火墻只能防外，難于防內入侵檢測系統(tǒng)作為防火墻系統(tǒng)的一個有效的補充入侵檢測系統(tǒng)可以有效的防范防火墻開放的服務入侵入侵檢測的任務59分類網絡型入侵檢測系統(tǒng)主機型入侵檢測系統(tǒng)混合型入侵檢測

15、系統(tǒng)（Hybrid IDS）60網絡型入侵檢測系統(tǒng)(Network Intrusion Detection System，NIDS)的數據源來自網絡上的數據包。一般地，用戶可將某臺主機網卡設定為混雜模式，以監(jiān)聽本網段內所有數據包，判斷其是否合法。NIDS擔負著監(jiān)視整個網段的任務IDS分類61IDS分類NIDS的優(yōu)點主要是使用簡便，不會給運行關鍵業(yè)務的主機和網絡增加任何負擔。62IDS分類主機型入侵檢測系統(tǒng)(Host Intrusion Detection System，HIDS)：系統(tǒng)安裝在主機上面，對本主機進行安全檢測往往以系統(tǒng)日志、應用程序日志等作為數據源，當然也可以通過通過查詢、監(jiān)聽當前

16、系統(tǒng)的各種資源的使用運行狀態(tài)，發(fā)現系統(tǒng)資源被非法使用和修改的事件，進行上報和處理。632 入侵檢測系統(tǒng)構件64入侵檢測的步驟 由此也劃分了入侵檢測的三個基本步驟：信息收集數據分析響應 數據分析后處理方式AlertLogCall Firewall65數據分析數據分析（Analysis Schemes）是入侵檢測系統(tǒng)的核心，它的效率高低直接決定了整個入侵檢測系統(tǒng)的性能?？焖俚哪Ｊ狡ヅ渌惴ǜ鶕祿治龅牟煌绞娇蓪⑷肭謾z測系統(tǒng)分為三類：異常入侵檢測誤用入侵檢測完整性檢測66 3 入侵檢測的分析方式異常檢測（Anomaly Detection） 統(tǒng)計模型誤報較多誤用檢測（Misuse Detectio

17、n）維護一個入侵特征知識庫（CVE）準確性高完整性分析（靜態(tài)檢測）67 3.1 異常檢測基本原理一般采用統(tǒng)計方法建立正常行為的特征輪廓檢查系統(tǒng)的運行情況是否偏離預設的門限？68 3.1 異常檢測異常檢測的優(yōu)點：可以檢測到未知的入侵 可以檢測冒用他人帳號的行為 具有自適應，自學習功能 不需要系統(tǒng)先驗知識69 3.1 異常檢測異常檢測的缺點：漏報、誤報率高入侵者可以逐漸改變自己的行為模式來逃避檢測合法用戶正常行為的突然改變也會造成誤警 統(tǒng)計算法的計算量龐大，效率很低 統(tǒng)計點的選取和參考庫的建立比較困難70 3.1異常性檢測問題：在許多環(huán)境中，為用戶建立正常行為模式的特征輪廓以及對用戶活動的異常性進

18、行報警的門限值的確定都是比較困難的事。因為并不是所有入侵者的行為都能夠產生明顯的異常性，所以在入侵檢測系統(tǒng)中，僅使用異常性檢測技術不可能檢測出所有的入侵行為。71 3.2 誤用檢測采用模式匹配技術檢測已知攻擊提前建立已出現的入侵行為特征檢測當前用戶行為特征72 3.2 誤用檢測誤用檢測的優(yōu)點算法簡單系統(tǒng)開銷小 準確率高效率高73 3.2 誤用檢測誤用檢測的缺點被動只能檢測出已知攻擊 新類型的攻擊會對系統(tǒng)造成很大的威脅 模式庫的建立和維護難模式庫要不斷更新知識依賴于硬件平臺操作系統(tǒng)系統(tǒng)中運行的應用程序74 3.3 完整性分析通過檢查系統(tǒng)的當前系統(tǒng)配置，諸如系統(tǒng)文件的內容或者系統(tǒng)表，來檢查系統(tǒng)是否

19、已經或者可能會遭到破壞。 其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發(fā)現。 缺點是一般以批處理方式實現，不用于實時響應。 75案例： 檢測與端口關聯的應用程序網絡入侵者都會連接到主機的某個非法端口，通過檢查出與端口關聯應用程序，可以進行入侵檢測，這種方法屬于靜態(tài)配置分析。利用工具軟件fport.exe可以檢查與每一端口關聯的應用程序，執(zhí)行程序如圖所示。76案例： 入侵檢測工具：BlackICEBlackICE是一個小型的入侵檢測工具，在計算機上安全完畢后，會在操作系統(tǒng)的狀態(tài)欄顯示一個圖標，當有異常網絡情況的時候，圖標就會跳動。主界面如圖所示。77可以查看主機入侵的信息，選擇屬性頁“Intruders”，如圖所示。78 3.3 入侵檢測產品 免費的入侵檢測產品Snort SHADOW /ISSEC/CID79 3.3 商業(yè)的入侵檢測產品CyberCop Monitor, NAIDragon Sensor, EnterasyseTrust ID, CANetProwler, SymantecNetRanger, CiscoNID-100/200, NFR SecurityRealSec