網(wǎng)絡(luò)攻防原理與技術(shù) 第4版 課件 第13章 網(wǎng)絡(luò)防火墻；第14章 入侵檢測與網(wǎng)絡(luò)欺騙

本PPT是機(jī)械工業(yè)出版社出版的教材《網(wǎng)絡(luò)攻防原理與技術(shù)（第3版）》配套教學(xué)PPT（部分內(nèi)容的深度和廣度比教材有所擴(kuò)展），作者：吳禮發(fā)，洪征，李華波本PPT可能會直接或間接采用了網(wǎng)上資源或公開學(xué)術(shù)報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標(biāo)題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第十三章網(wǎng)絡(luò)防火墻防火墻體系結(jié)構(gòu)及部署31防火墻概述防火墻的工作原理內(nèi)容提綱防火墻的評價標(biāo)準(zhǔn)245防火墻的不足與發(fā)展趨勢一、基本概念2020年4月發(fā)布的國家標(biāo)準(zhǔn)《GB/T20281-2020信息安全技術(shù)防火墻安全技術(shù)要求和測試評價方法》將防火墻定義為：對經(jīng)過的數(shù)據(jù)流進(jìn)行解析，并實現(xiàn)訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。防火墻根據(jù)安全目的、實現(xiàn)原理的不同，又將防火墻分為網(wǎng)絡(luò)型防火墻、Web應(yīng)用防火墻、數(shù)據(jù)庫防火墻和主機(jī)型防火墻等防火墻網(wǎng)絡(luò)型防火墻（network-basedfirewall），簡稱網(wǎng)絡(luò)防火墻，部署于不同安全域之間（通常是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的邊界位置），對經(jīng)過的數(shù)據(jù)流進(jìn)行解析，具備網(wǎng)絡(luò)層、應(yīng)用層訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。單一主機(jī)防火墻（硬件防火墻）、路由器集成防火墻網(wǎng)絡(luò)型防火墻網(wǎng)絡(luò)型防火墻Web應(yīng)用防火墻（WebApplicationFirewall），簡稱WAF，部署于Web服務(wù)器前端，對流經(jīng)的HTTP/HTTPS訪問和響應(yīng)數(shù)據(jù)進(jìn)行解析，具備Web應(yīng)用的訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。Web應(yīng)用防火墻數(shù)據(jù)庫防火墻（databasefirewall）部署于數(shù)據(jù)庫服務(wù)器前端，對流經(jīng)的數(shù)據(jù)庫訪問和響應(yīng)數(shù)據(jù)進(jìn)行解析，具備數(shù)據(jù)庫的訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。數(shù)據(jù)庫防火墻主機(jī)防火墻（host-basedfirewall）部署于計算機(jī)（包括個人計算機(jī)和服務(wù)器）上，也稱為個人防火墻，提供網(wǎng)絡(luò)層訪問控制，應(yīng)用程序訪問限制和攻擊防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。主機(jī)防火墻邊界防護(hù)網(wǎng)絡(luò)防火墻主要保護(hù)整個內(nèi)部網(wǎng)絡(luò)，Web應(yīng)用防火墻保護(hù)的是Web應(yīng)用服務(wù)器，數(shù)據(jù)庫防火墻保護(hù)的是數(shù)據(jù)庫管理系統(tǒng)，而主機(jī)防火墻則要保護(hù)的對象是個人主機(jī)或服務(wù)器很多情況下，防火墻指的是網(wǎng)絡(luò)防火墻，這也是本章的介紹對象防火墻防火墻很多教材中給出的防火墻的定義：

防火墻（firewall）是在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組安全系統(tǒng)。它是一種計算機(jī)硬件和軟件系統(tǒng)集合，是實現(xiàn)網(wǎng)絡(luò)安全策略的有效工具之一，被廣泛應(yīng)用到Internet與Intranet之間。所有的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信都必須經(jīng)過防火墻進(jìn)行檢查與連接，只有授權(quán)允許的通信才能獲準(zhǔn)通過防火墻。防火墻可以阻止外界對內(nèi)部網(wǎng)資源的非法訪問，也可以防止內(nèi)部對外部的不安全訪問。相關(guān)概念：病毒防火墻病毒防火墻：病毒實時檢測和清除系統(tǒng)不是對進(jìn)出網(wǎng)絡(luò)的病毒進(jìn)行監(jiān)控，而是對所有的系統(tǒng)應(yīng)用程序進(jìn)行監(jiān)控，由此來保障用戶系統(tǒng)的“無毒”環(huán)境。而網(wǎng)絡(luò)防火墻并不監(jiān)控全部的系統(tǒng)應(yīng)用程序，它只是對存在網(wǎng)絡(luò)訪問的那部分應(yīng)用程序進(jìn)行監(jiān)控。利用網(wǎng)絡(luò)防火墻，可以預(yù)防黑客入侵，防止木馬盜取機(jī)密信息等。現(xiàn)在有不少網(wǎng)絡(luò)防火墻也可以查殺部分病毒有關(guān)防火墻功能的描述很多，且不盡相同（核心思想是一致的，只是從不同角度來介紹的），本處基于國家標(biāo)準(zhǔn)《GB/T20281-2020信息安全技術(shù)防火墻安全技術(shù)要求和測試評價方法》中的表述防火墻功能總體功能：防火墻對內(nèi)外網(wǎng)之間的通信進(jìn)行監(jiān)控、審計，在網(wǎng)絡(luò)周界（networkperimeter）處阻止網(wǎng)絡(luò)攻擊行為，保護(hù)內(nèi)網(wǎng)中脆弱以及存在安全漏洞的網(wǎng)絡(luò)服務(wù)，防止內(nèi)網(wǎng)信息暴露防火墻功能1、網(wǎng)絡(luò)層控制：在網(wǎng)絡(luò)層對網(wǎng)絡(luò)流量進(jìn)行控制，包括：訪問控制和流量管理訪問控制：包過濾（雙向控制），網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），狀態(tài)檢測流量管理：帶寬管理（速率控制、速率保證），連接數(shù)控制，會話管理防火墻功能2、應(yīng)用層控制：在應(yīng)用層對網(wǎng)絡(luò)流量進(jìn)行控制，包括：用戶管控，基于用戶認(rèn)證的網(wǎng)絡(luò)訪問控制功能；應(yīng)用類型控制，根據(jù)應(yīng)用特征識別并控制各種應(yīng)用流量；應(yīng)用內(nèi)容控制，基于應(yīng)用的內(nèi)容對應(yīng)用流量進(jìn)行控制防火墻功能3、攻擊防護(hù)：識別并阻止特定網(wǎng)絡(luò)攻擊的流量，例如基于特征庫識別并阻止網(wǎng)絡(luò)掃描、典型拒絕服務(wù)攻擊流量，攔截典型木馬攻擊、釣魚郵件等；與其它安全系統(tǒng)聯(lián)動防火墻功能4、安全審計、告警與統(tǒng)計：記錄下所有網(wǎng)絡(luò)訪問并進(jìn)行審計記錄，并對事件日志進(jìn)行管理；對網(wǎng)絡(luò)使用情況進(jìn)行統(tǒng)計分析；當(dāng)檢測到網(wǎng)絡(luò)攻擊或不安全事件時，產(chǎn)生告警防火墻功能1防火墻概述防火墻的工作原理內(nèi)容提綱2防火墻體系結(jié)構(gòu)及部署3防火墻的評價標(biāo)準(zhǔn)45防火墻的不足與發(fā)展趨勢技術(shù)的發(fā)展過程第一代防火墻：1983年第一代防火墻技術(shù)出現(xiàn)，它幾乎是與路由器同時問世的。它采用了包過濾（Packetfilter）技術(shù)，可稱為簡單包過濾（靜態(tài)包過濾）防火墻。第二代防火墻：1991年，貝爾實驗室提出了第二代防火墻——應(yīng)用型防火墻（代理防火墻）的初步結(jié)構(gòu)。技術(shù)發(fā)展過程第三代防火墻：1992年，USC信息科學(xué)院開發(fā)出了基于動態(tài)包過濾（Dynamicpacketfilter）技術(shù)的第三代防火墻，后演變?yōu)闋顟B(tài)檢測（Statefulinspection）防火墻。1994年，以色列CheckPoint開發(fā)出了第一個采用狀態(tài)檢測技術(shù)的商業(yè)化產(chǎn)品。技術(shù)發(fā)展過程第四代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理（Adaptiveproxy）防火墻技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實現(xiàn)，給代理服務(wù)器防火墻賦予了全新的意義。具有應(yīng)用代理的安全性，但不采用應(yīng)用代理的數(shù)據(jù)傳送方式，而采用包過濾的傳送方式下一代防火墻：2009年，Gartner提出一、包過濾技術(shù)防火墻的包過濾技術(shù)包過濾（PacketFiltering）作用在網(wǎng)絡(luò)層和傳輸層，根據(jù)數(shù)據(jù)包的包頭信息（源和目的IP地址、端口號、標(biāo)志位等），依據(jù)事先設(shè)定的過濾規(guī)則，決定是否允許數(shù)據(jù)包通過。包過濾防火墻相當(dāng)于一個具有包過濾功能的路由器UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource數(shù)據(jù)包數(shù)據(jù)包根據(jù)策略決定如何處理數(shù)據(jù)包控制策略數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息包過濾技術(shù)包頭中的主要信息包過濾防火墻利用的包頭信息IP協(xié)議類型(TCP、UDP，ICMP等)；IP源地址和目標(biāo)地址；IP選擇域的內(nèi)容；TCP或UDP源端口號和目標(biāo)端口號；ICMP消息類型。包過濾操作的六項要求六項要求：包過濾設(shè)備必須存儲包過濾規(guī)則；當(dāng)包到達(dá)端口時，分析IP、TCP或UDP報文頭中的字段。包過濾規(guī)則的存儲順序與應(yīng)用順序相同；如果一條規(guī)則阻止包傳輸，此包便被丟棄；如果一條規(guī)則允許包傳輸，此包可正常通過；如果一個包不滿足任何一條規(guī)則，則丟棄。規(guī)則4、5說明規(guī)則以正確順序放置很重要規(guī)則6依據(jù)的原理是：未明確表示允許的便被禁止。包過濾操作的要求包過濾規(guī)則實例（1/3）HTTP包過濾規(guī)則包過濾規(guī)則實例（2/3）Telnet包過濾規(guī)則包過濾規(guī)則實例（3/3）假設(shè)內(nèi)部網(wǎng)絡(luò)服務(wù)器的IP地址是，服務(wù)器提供電子郵件功能，SMTP使用的端口為25。Internet上有一個hacker主機(jī)可能對內(nèi)部網(wǎng)構(gòu)成威脅，可以為這個網(wǎng)絡(luò)設(shè)計以下過濾規(guī)則：規(guī)則1：我們不相信從hacker來的連接；規(guī)則2：允許其他站點和電子郵件服務(wù)器的連接；規(guī)則包的方向源地址目的地址協(xié)議源端口目的端口是否通過A入hacker內(nèi)部任意任意任意拒絕B入任意TCP任意25允許C出任意TCP25任意允許Cisco路由器包過濾規(guī)則Cisco路由器是使用較廣泛的網(wǎng)絡(luò)設(shè)備，以之為例說明包過濾規(guī)則在網(wǎng)絡(luò)中的實際使用。Cisco路由器的訪問列表被定義為應(yīng)用于Internet地址的一系列允許和拒絕條件的集合，這些條件用來完成包過濾規(guī)則。路由器逐個測試包與訪問列表中的條件，第一個匹配便可以決定路由器接受或拒絕該包，路由器也就同時停止比較剩余訪問列表。Cisco路由器包過濾規(guī)則Cisco路由器有兩類訪問列表：標(biāo)準(zhǔn)訪問列表（StandardAccessControlList）：只通過單一的IP地址用于匹配；擴(kuò)展訪問列表（ExtendedAccessControlList）：使用協(xié)議類型等選項信息用于匹配操作。

Cisco的標(biāo)準(zhǔn)訪問列表（1/3）標(biāo)準(zhǔn)訪問列表的語法規(guī)則如下：

access-listlist-number(permit|deny)source-ip-addresswildcard-masklist-number是從1~99的整數(shù)，用于標(biāo)識序號；address與wildcard-mask都是32bit的值。在wildcard-mask中與“1”相關(guān)的地址位在比較中忽略，全零部分是必須要配的部分。如果wildcard-mask的值沒有規(guī)定，默認(rèn)為。標(biāo)準(zhǔn)訪問列表只考慮數(shù)據(jù)包的源IP地址，不考慮目標(biāo)地址。將ACL進(jìn)行網(wǎng)絡(luò)接口配置時，可以通過in和out參數(shù)控制數(shù)據(jù)包的方向，是流入還是流出。noaccess-listlist-number/*用于刪除指定編號的訪問列表*/Cisco的標(biāo)準(zhǔn)訪問列表（2/3）access-list1permit55access-list1permit55若兩條規(guī)則為對流入數(shù)據(jù)的控制，則允許來自C類網(wǎng)的

和B類網(wǎng)的

主機(jī)通過Cisco路由器的包過濾，進(jìn)行網(wǎng)絡(luò)訪問Cisco的標(biāo)準(zhǔn)訪問列表（3/3）假設(shè)一A類網(wǎng)絡(luò)連接到過濾路由器上，使用下面的ACL進(jìn)行流出控制:access-list3permitaccess-list3deny55access-list3permit55規(guī)則1允許來自子網(wǎng)23的IP地址為的主機(jī)的流量。規(guī)則2阻塞所有來自子網(wǎng)23的流量，且不影響規(guī)則1。規(guī)則3允許來自整個A類網(wǎng)絡(luò)的通信流量該列表實現(xiàn)以下安全策略：允許來自主機(jī)的流量，阻止所有其它來自網(wǎng)絡(luò)的流量，允許來自的所有其他子網(wǎng)的流量。Cisco的擴(kuò)展訪問列表(1/3)擴(kuò)展訪問表：該類表可以基于源和目的IP地址及協(xié)議信息進(jìn)行過濾接口流量。其語法規(guī)則如下：access-listlist-number(permit|deny)protocolsourcesource-maskdestinationdestination-mask[operatoroperand]list-number=100~199，序號用于表示一個或多個permit/deny條件protocol={ip,tcp,udp,icmp}源匹配時，與source-mask中的1對應(yīng)的地址位被忽略，與0對應(yīng)的位參與匹配目的匹配方法與源相同[operatoroperand]用于比較端口號等信息operator={lt,eq,gt,neq}，operand是端口號Cisco的擴(kuò)展訪問列表(2/3)假設(shè)網(wǎng)絡(luò)策略拒絕從5到你的網(wǎng)絡(luò)的SMTP連接，擴(kuò)展訪問表設(shè)置如下：noaccess-list101/*刪除以前的擴(kuò)展訪問列表101*/access-list101denytcp555eq25/*拒絕從主機(jī)5到網(wǎng)絡(luò)的目的端口為25的SMTP包

*/access-list101permitanyany/*允許從任意主機(jī)來的任意包通過，無本規(guī)則將拒絕任何包*/Cisco的擴(kuò)展訪問列表(3/3)設(shè)內(nèi)部網(wǎng)絡(luò)為，一個擴(kuò)展訪問表的例子：Noaccess-list101/*刪除已有的訪問表101

*/access-list101permittcp5555gt1023/*允許任何發(fā)往內(nèi)網(wǎng)中端口大于1023號的TCP連接*/access-list101permittcp55eq25/*允許任何到主機(jī)的SMTP端口的連接*/access-list101permiticmp5555/*允許發(fā)來的差錯反饋信息的icmp消息*/包過濾技術(shù)的特點（1/2）包過濾技術(shù)的優(yōu)點：用一個放置在重要位置上的包過濾路由器即可保護(hù)整個網(wǎng)絡(luò)，這樣，不管內(nèi)部網(wǎng)的站點規(guī)模多大，只要在路由器上設(shè)置合適的包過濾，各站點均可獲得良好的安全保護(hù)；包過濾工作對用戶來說是透明的。包過濾不需用戶軟件支持，也不要對客戶機(jī)做特殊設(shè)置；包過濾技術(shù)是一種有效而通用的控制網(wǎng)絡(luò)流量的方法，經(jīng)常作為不可信網(wǎng)絡(luò)的第一層防衛(wèi)；可以有效阻塞公開的惡意站點的信息流。包過濾技術(shù)的特點（2/2）包過濾技術(shù)的缺點：僅依賴網(wǎng)絡(luò)層和傳輸層信息，如IP地址、端口號、TCP標(biāo)志等，只能“就事論事”地進(jìn)行安全判決。由于缺少信息，一些協(xié)議如RPC、UDP難以有效過濾；支持規(guī)則的數(shù)量有限，規(guī)則過多會降低效率。正確制定規(guī)則并不容易包過濾路由器與普通路由器(1/2)普通路由器只簡單地查看每一數(shù)據(jù)包的目的地址，并選擇數(shù)據(jù)包發(fā)往目標(biāo)地址的最佳路徑。當(dāng)路由器知道如何發(fā)送數(shù)據(jù)包到目標(biāo)地址，則發(fā)送該包；如果不知道如何發(fā)送數(shù)據(jù)包到目標(biāo)地址，則用ICMP通知源“數(shù)據(jù)包不能到達(dá)目標(biāo)地址”。過濾路由器將更嚴(yán)格地檢查數(shù)據(jù)包，除了決定是否發(fā)送數(shù)據(jù)包到其目標(biāo)外，還決定它是否應(yīng)該發(fā)送?！皯?yīng)該”或“不應(yīng)該”由站點的安全策略決定，并由過濾路由器強(qiáng)制執(zhí)行。包過濾路由器與普通路由器(2/2)在對包作出路由決定時，普通路由器只依據(jù)包的目的地址引導(dǎo)包，而包過濾路由器要依據(jù)路由器中的包過濾規(guī)則作出是否引導(dǎo)該包的決定包過濾路由器以包的目標(biāo)地址、包的源地址和包的傳輸協(xié)議為依據(jù)，確定允許或不允許某些包在網(wǎng)上傳輸。二、狀態(tài)檢測技術(shù)安全網(wǎng)域HostCHostDWeb服務(wù)器：TCP2:80內(nèi)部網(wǎng)絡(luò)允許用戶訪問Web站點，如果是簡單包過濾對于進(jìn)入的包必須開放以下規(guī)則：所有源

TCP端口為80，IP地址任意，目標(biāo)內(nèi)部IP，端口號大于1024。1024以上的臨時端口基于狀態(tài)檢查的包過濾技術(shù)存在什么安全問題？狀態(tài)檢測技術(shù)狀態(tài)檢測又稱動態(tài)包過濾，在網(wǎng)絡(luò)層由一個檢查引擎截獲數(shù)據(jù)包，抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此作為依據(jù)決定對該數(shù)據(jù)包是接受還是拒絕。檢查引擎維護(hù)一個動態(tài)的狀態(tài)信息表并對后續(xù)的數(shù)據(jù)包進(jìn)行檢查。一旦發(fā)現(xiàn)任何連接的參數(shù)有意外變化，該連接就被中止它在協(xié)議底層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當(dāng)前數(shù)據(jù)包和狀態(tài)信息與前一時刻的數(shù)據(jù)包和狀態(tài)信息進(jìn)行比較，從而得到該數(shù)據(jù)包的控制信息，來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的基于狀態(tài)檢查的包過濾技術(shù)網(wǎng)絡(luò)中的連接狀態(tài)表安全網(wǎng)域HostCHostDWeb服務(wù)器：TCP2:80狀態(tài)檢查包過濾進(jìn)入的數(shù)據(jù)包，目標(biāo)為內(nèi)部的1024以上的端口且它的信息與連接狀態(tài)表里某一條記錄匹配，才允許進(jìn)入基于狀態(tài)檢查的包過濾技術(shù)狀態(tài)檢測技術(shù)：優(yōu)點狀態(tài)檢測防火墻克服了包過濾防火墻的局限性，能夠根據(jù)協(xié)議、端口及源地址、目的地址的具體情況決定數(shù)據(jù)包是否可以通過。對于每個安全策略允許的請求，狀態(tài)檢測防火墻啟動相應(yīng)的進(jìn)程，可以快速地確認(rèn)符合授權(quán)標(biāo)準(zhǔn)的數(shù)據(jù)包，這使得本身的運行速度很快。跟蹤通過防火墻的網(wǎng)絡(luò)連接和包，這樣它就可以使用一組附加的標(biāo)準(zhǔn)，以確定是否允許和拒絕通信。狀態(tài)檢測技術(shù)：缺點狀態(tài)檢測防火墻的安全特性是最好的，但其配置非常復(fù)雜，會降低網(wǎng)絡(luò)效率。三、應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用級代理應(yīng)用代理（應(yīng)用網(wǎng)關(guān)）是代理內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)服務(wù)器進(jìn)行信息交換的程序。它將內(nèi)部用戶的請求確認(rèn)后送達(dá)外部服務(wù)器，同時將外部服務(wù)器的響應(yīng)再回送給用戶。用戶主機(jī)代理服務(wù)器感覺的連接實際的連接外部主機(jī)應(yīng)用層代理請求應(yīng)答應(yīng)答應(yīng)答請求請求服務(wù)器代理客戶機(jī)代理服務(wù)器應(yīng)用代理應(yīng)用代理位于防火墻內(nèi)客戶機(jī)代理可以監(jiān)控客戶機(jī)與服務(wù)器之間所有交互審計日志應(yīng)用級代理的優(yōu)點由于代理直接和應(yīng)用程序交互，它可以根據(jù)應(yīng)用上下文進(jìn)行決策和判定，而不僅僅依據(jù)IP地址和端口號?？梢宰龀龈鼮闇?zhǔn)確的判定。應(yīng)用級代理問題：網(wǎng)絡(luò)內(nèi)部如果有一個存在安全漏洞的應(yīng)用，但廠商尚未發(fā)布相應(yīng)的補丁信息來彌補該缺陷，怎么辦？應(yīng)用代理可以有效解決該問題，應(yīng)用代理可以被配置來識別嘗試攻擊應(yīng)用程序安全漏洞的惡意流量，進(jìn)而保護(hù)運行了不安全應(yīng)用的系統(tǒng)。數(shù)據(jù)包數(shù)據(jù)包根據(jù)策略決定如何處理數(shù)據(jù)包應(yīng)用級代理控制策略數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息應(yīng)用代理判斷信息應(yīng)用代理可以對數(shù)據(jù)包的數(shù)據(jù)區(qū)進(jìn)行分析，并以此判斷數(shù)據(jù)是否允許通過。應(yīng)用級代理VS包過濾技術(shù)以HTTP流量為例：包過濾技術(shù)僅僅知道應(yīng)該允許或者拒絕HTTP流量；應(yīng)用級代理可以配置來過濾具體HTTP流量類型的數(shù)據(jù)；防火墻管理員的管理帶來極大的伸縮性，可以嚴(yán)格控制什么流量將會被允許，什么流量將被拒絕。應(yīng)用級代理的缺點(1/2)對每一類應(yīng)用，都需要專門的代理。大多數(shù)代理服務(wù)器只能處理相對較少的應(yīng)用。應(yīng)用代理往往比包過濾防火墻性能要差。應(yīng)用代理在應(yīng)用層處理報文，要求應(yīng)用代理服務(wù)器花費更多的時間來處理報文，造成數(shù)據(jù)傳輸?shù)难舆t。應(yīng)用代理服務(wù)器比相應(yīng)的包過濾防火墻更加昂貴。應(yīng)用代理服務(wù)器對硬件的要求通常較高，升級的成本也較高。不能使用戶免于協(xié)議本身缺點的限制應(yīng)用級代理的缺點(2/2)有些服務(wù)要求建立直接連接，無法使用代理比如聊天服務(wù)、或者即時消息服務(wù)自適應(yīng)代理技術(shù)(1/2)新型的自適應(yīng)代理(Adaptiveproxy)防火墻，本質(zhì)上也屬于代理服務(wù)技術(shù)，但它也結(jié)合了動態(tài)包過濾(狀態(tài)檢測)技術(shù)自適應(yīng)代理技術(shù)是在商業(yè)應(yīng)用防火墻中實現(xiàn)的一種革命性的技術(shù)。組成這類防火墻的基本要素有兩個：自適應(yīng)代理服務(wù)器與動態(tài)包過濾器。它結(jié)合了代理服務(wù)防火墻安全性和包過濾防火墻的高速度等優(yōu)點，在保證安全性的基礎(chǔ)上將代理服務(wù)器防火墻的性能提高10倍以上自適應(yīng)代理技術(shù)(2/2)在自適應(yīng)代理與動態(tài)包過濾器之間存在一個控制通道。在對防火墻進(jìn)行配置時，用戶僅僅將所需要的服務(wù)類型、安全級別等信息通過相應(yīng)代理的管理界面進(jìn)行設(shè)置就可以了。然后，自適應(yīng)代理就可以根據(jù)用戶的配置信息，決定是使用代理服務(wù)器從應(yīng)用層代理請求，還是使用動態(tài)包過濾器從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對速度和安全性的雙重要求四、下一代防火墻Gartner，2009《DefiningtheNext-GenerationFirewall）》，下一代防火墻定義：一種深度包檢測防火墻，超越了基于端口、協(xié)議的檢測和阻斷，增加了應(yīng)用層的檢測和入侵防護(hù)針對應(yīng)用、用戶、終端及內(nèi)容的高精度管控外部安全智能一體化引擎多安全模塊智能數(shù)據(jù)聯(lián)動可視化智能管理高性能處理架構(gòu)本質(zhì)上是前面介紹哪種防火墻？下一代防火墻下一代防火墻下一代防火墻下一代防火墻1防火墻概述防火墻的工作原理內(nèi)容提綱2防火墻體系結(jié)構(gòu)及部署3防火墻的評價標(biāo)準(zhǔn)45防火墻的不足與發(fā)展趨勢一、防火墻體系結(jié)構(gòu)防火墻體系結(jié)構(gòu)防火墻體系結(jié)構(gòu)一般有四種：過濾路由器或屏蔽路由器結(jié)構(gòu)結(jié)構(gòu)（Packet-filteringRouterorScreeningRouter

）雙穴主機(jī)或雙宿主機(jī)結(jié)構(gòu)(DualHomedGateway)屏蔽主機(jī)或主機(jī)過濾結(jié)構(gòu)(ScreenedHostGateway)過濾子網(wǎng)或屏蔽子網(wǎng)結(jié)構(gòu)(ScreenedSubnet)相關(guān)概念：堡壘主機(jī)堡壘主機(jī)（BastionHost）：被網(wǎng)絡(luò)管理員認(rèn)定為網(wǎng)絡(luò)安全核心點的系統(tǒng)，常常充當(dāng)內(nèi)部網(wǎng)絡(luò)或防火墻中應(yīng)用代理的角色，要求安全性強(qiáng)：安全的操作系統(tǒng)；關(guān)閉不必需的服務(wù)；避免安裝不必需的軟件；有限制地訪問磁盤，一般能夠訪問配置文件即可…BastionHostBastionHosthighlysecurehostsystem

Asystemidentifiedbythefirewalladministratorasacriticalstrongpointinthenetwork′ssecurityThebastionhostservesasaplatformforanapplication-levelorcircuit-levelgateway相關(guān)概念：DMZ區(qū)中立區(qū)或非軍事化區(qū)域（DemilitarizedZone,DMZ）存在于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一個小型網(wǎng)絡(luò)，作為外網(wǎng)和內(nèi)網(wǎng)的緩沖區(qū)以進(jìn)一步隔離公網(wǎng)和內(nèi)部私有網(wǎng)絡(luò)。DMZ內(nèi)放置一些必須公開的服務(wù)器相關(guān)概念：DMZ區(qū)客戶機(jī)客戶機(jī)服務(wù)器內(nèi)部網(wǎng)絡(luò)過濾路由器結(jié)構(gòu)防火墻客戶機(jī)Internet路由器防火墻一、過濾路由器結(jié)構(gòu)(1/2)可以由廠家專門生產(chǎn)的過濾路由器來實現(xiàn)，也可以由安裝了具有過濾功能軟件的普通路由器實現(xiàn)。過濾路由器防火墻作為內(nèi)外連接的惟一通道，要求所有的報文都必須在此通過檢查。許多路由器本身帶有報文過濾配置選項，過濾路由器結(jié)構(gòu)的防火墻的過濾軟件與之有什么區(qū)別呢？過濾路由器結(jié)構(gòu)是最簡單的防火墻結(jié)構(gòu)沒有或有很簡單的日志記錄功能，網(wǎng)絡(luò)管理員很難確定網(wǎng)絡(luò)系統(tǒng)是否正在被攻擊或已經(jīng)被入侵。規(guī)則表隨著應(yīng)用的擴(kuò)展會變得很大、復(fù)雜。依靠一個單一的部件來保護(hù)網(wǎng)絡(luò)系統(tǒng)，一旦部件出現(xiàn)問題，會失去保護(hù)作用，而用戶可能還不知道。一、過濾路由器結(jié)構(gòu)(2/2)二、雙穴主機(jī)體系結(jié)構(gòu)(1/3)定義：用一臺裝有兩塊網(wǎng)卡的堡壘主機(jī)（稱為雙穴主機(jī)或雙宿主主機(jī)）做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連，每塊網(wǎng)卡都有獨立的IP地址。堡壘主機(jī)上運行著防火墻軟件(應(yīng)用層網(wǎng)關(guān))，可以轉(zhuǎn)發(fā)應(yīng)用程序，也可提供服務(wù)等功能。有文獻(xiàn)稱為：雙穴主機(jī)網(wǎng)關(guān)結(jié)構(gòu)(DualHomedGateway)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)

禁止內(nèi)外網(wǎng)絡(luò)之間直接通信雙穴主機(jī)

所有的通信必須經(jīng)過雙穴主機(jī)二、雙穴主機(jī)體系結(jié)構(gòu)(2/3)防火墻二、雙穴主機(jī)體系結(jié)構(gòu)(3/3)優(yōu)點：雙穴主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。這對于日后的檢查非常有用，但這不能幫助網(wǎng)絡(luò)管理者確認(rèn)內(nèi)網(wǎng)中哪些主機(jī)可能已被黑客入侵。缺點：如何保護(hù)堡壘主機(jī)？一旦入侵者侵入堡壘主機(jī)并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)絡(luò)。三、屏蔽主機(jī)體系結(jié)構(gòu)(1/3)定義：屏蔽主機(jī)體系結(jié)構(gòu)包括：一個分組（包）過濾路由器(或稱為屏蔽路由器)連接外部網(wǎng)絡(luò)，再通過一個堡壘主機(jī)與內(nèi)部網(wǎng)絡(luò)相連，通常在路由器上設(shè)立過濾規(guī)則，并使這個堡壘主機(jī)成為從外部網(wǎng)絡(luò)惟一可直接到達(dá)的主機(jī)，確保內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。來自外部網(wǎng)絡(luò)的數(shù)據(jù)包先經(jīng)過屏蔽路由器過濾，不符合過濾規(guī)則的數(shù)據(jù)包被過濾掉；符合規(guī)則的包則被傳送到堡壘主機(jī)上。其代理服務(wù)軟件將允許通過的信息傳輸?shù)绞鼙Ｗo(hù)的內(nèi)部網(wǎng)上。進(jìn)行規(guī)則配置，只允許外部主機(jī)與堡壘主機(jī)通訊互聯(lián)網(wǎng)對內(nèi)部其他主機(jī)的訪問必須經(jīng)過堡壘主機(jī)不允許外部主機(jī)直接訪問除堡壘主機(jī)之外的其他主機(jī)包過濾路由器三、屏蔽主機(jī)體系結(jié)構(gòu)(2/3)堡壘主機(jī)防火墻優(yōu)點：如果受保護(hù)網(wǎng)絡(luò)是一個虛擬擴(kuò)展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。危險區(qū)域只限制在堡壘主機(jī)和屏蔽路由器。缺點：堡壘主機(jī)與其他主機(jī)在同一個子網(wǎng)，一旦包過濾路由器被攻破，整個內(nèi)網(wǎng)和堡壘主機(jī)之間就再也沒有任何阻擋。一旦入侵者侵入堡壘主機(jī)并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)絡(luò)（與雙穴主機(jī)結(jié)構(gòu)弱點一樣）。三、屏蔽主機(jī)體系結(jié)構(gòu)(3/3)四、過濾子網(wǎng)體系結(jié)構(gòu)(1/7)在外界網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間建立一個雙方都可以訪問的獨立網(wǎng)絡(luò)（過濾子網(wǎng)），用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開：四、過濾子網(wǎng)體系結(jié)構(gòu)(2/7)過濾子網(wǎng)結(jié)構(gòu)防火墻內(nèi)部屏蔽路由器

對外服務(wù)器堡壘主機(jī)內(nèi)部網(wǎng)絡(luò)Internet防火墻外部屏蔽路由器客戶機(jī)客戶機(jī)服務(wù)器客戶機(jī)客戶機(jī)DMZ內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)堡壘主機(jī)內(nèi)部屏蔽路由器外部屏蔽路由器禁止內(nèi)外網(wǎng)絡(luò)直接進(jìn)行通訊內(nèi)外部網(wǎng)絡(luò)之間的通信都經(jīng)過堡壘主機(jī)四、過濾子網(wǎng)體系結(jié)構(gòu)(3/7)過濾子網(wǎng)也常常被稱為DMZ（DemilitarizedZone）區(qū)或參數(shù)網(wǎng)絡(luò)或周邊網(wǎng)絡(luò)或屏蔽網(wǎng)絡(luò)，它可以只包含堡壘主機(jī)，也可以增加需要對外提供服務(wù)的Web服務(wù)器。過濾子網(wǎng)不提供外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的通路。它是在內(nèi)/外部網(wǎng)之間另加的一個安全保護(hù)層，相當(dāng)于一個應(yīng)用網(wǎng)關(guān)。如果入侵者成功地闖過外層保護(hù)網(wǎng)到達(dá)防火墻，參數(shù)網(wǎng)絡(luò)就能在入侵者與內(nèi)部網(wǎng)之間再提供一層保護(hù)。如果過濾子網(wǎng)中的堡壘主機(jī)被攻破會有什么后果？四、過濾子網(wǎng)體系結(jié)構(gòu)(4/7)如果入侵者僅僅侵入到過濾子網(wǎng)中的的堡壘主機(jī)，他只能偷看到過濾子網(wǎng)的信息流而看不到內(nèi)部網(wǎng)的信息，過濾子網(wǎng)的信息流僅往來于外部網(wǎng)到堡壘主機(jī)。沒有內(nèi)部網(wǎng)主機(jī)間的信息流(重要和敏感的信息)在過濾子網(wǎng)中流動，所以堡壘主機(jī)受到損害也不會破壞內(nèi)部網(wǎng)的信息流四、過濾子網(wǎng)體系結(jié)構(gòu)(5/7)堡壘主機(jī)在過濾子網(wǎng)結(jié)構(gòu)中，堡壘主機(jī)與過濾子網(wǎng)相連，而該主機(jī)是外部網(wǎng)服務(wù)于內(nèi)部網(wǎng)的主節(jié)點。在內(nèi)、外部路由器上建立包過濾，以便內(nèi)部網(wǎng)的用戶可直接操作外部服務(wù)器；在主機(jī)上建立代理服務(wù)，在內(nèi)部網(wǎng)用戶與外部服務(wù)器之間建立間接的連接，例如：接收外來電子郵件并分發(fā)給相應(yīng)站點；接收外來FTP并連到內(nèi)部網(wǎng)的匿名FTP服務(wù)器；接收外來的有關(guān)內(nèi)部網(wǎng)站點的域名服務(wù)。 四、過濾子網(wǎng)體系結(jié)構(gòu)(6/7)內(nèi)部屏蔽路由器主要功能是保護(hù)內(nèi)部網(wǎng)免受來自外部網(wǎng)與過濾子網(wǎng)的攻擊。可以使過濾子網(wǎng)上的堡壘主機(jī)與內(nèi)部網(wǎng)之間傳遞的各種服務(wù)和內(nèi)部網(wǎng)與外部網(wǎng)之間傳遞的各種服務(wù)不完全相同。完成防火墻的大部分包過濾工作，它允許某些站點的包過濾系統(tǒng)認(rèn)為符合安全規(guī)則的服務(wù)在內(nèi)/外部網(wǎng)之間互傳。四、過濾子網(wǎng)體系結(jié)構(gòu)(7/7)外部屏蔽路由器既可保護(hù)過濾子網(wǎng)又保護(hù)內(nèi)部網(wǎng)。實際上，在外部屏蔽路由器上僅做一小部分包過濾，它幾乎讓所有過濾子網(wǎng)的外向請求通過。與內(nèi)部路由器的包過濾規(guī)則基本相同。 主要任務(wù)是阻隔來自外部網(wǎng)上偽造源地址進(jìn)來的任何數(shù)據(jù)包。這些數(shù)據(jù)包自稱來自內(nèi)部網(wǎng)，其實它是來自外部網(wǎng)混合結(jié)構(gòu)的防火墻不同結(jié)構(gòu)防火墻的組合使用多堡壘主機(jī)；合并內(nèi)部路由器與外部路由器；合并堡壘主機(jī)與外部路由器；合并堡壘主機(jī)與內(nèi)部路由器；使用多臺內(nèi)部路由器；使用多臺外部路由器；使用多個過濾子網(wǎng)；使用雙穴主機(jī)與過濾子網(wǎng)。安全性最高的是過濾子網(wǎng)體系結(jié)構(gòu)，最低是屏蔽路由器體系結(jié)構(gòu)防火墻體系結(jié)構(gòu)二、防火墻部署方式三種部署方式：透明模式網(wǎng)關(guān)模式NAT模式防火墻部署方式透明模式也稱為“橋接模式”或“透明橋接模式”。當(dāng)防火墻處于“透明”模式時，防火墻只過濾通過的數(shù)據(jù)包，但不會修改數(shù)據(jù)包包頭中的任何信息，其作用更像是處于同一VLAN的二層交換機(jī)或者橋接器，防火墻對于用戶來說是透明的防火墻部署方式透明模式透明模式適用于原網(wǎng)絡(luò)中已部署好路由器和交換機(jī)，用戶不希望更改原有的網(wǎng)絡(luò)配置，只需要一個防火墻進(jìn)行安全防護(hù)的場景。一般情況下，透明模式的防火墻部署在原有網(wǎng)絡(luò)的路由器和交換機(jī)之間，或者部署在互聯(lián)網(wǎng)和路由器之間，內(nèi)網(wǎng)通過原有的路由器上網(wǎng)，防火墻只做安全控制用。防火墻部署方式網(wǎng)關(guān)模式也稱為“路由模式”。防火墻所有網(wǎng)絡(luò)接口都處于不同的子網(wǎng)中，不僅要過濾通過的數(shù)據(jù)包，還需根據(jù)數(shù)據(jù)包中的IP地址執(zhí)行路由功能。防火墻在不同安全區(qū)（可信區(qū)/不可信區(qū)/DMZ區(qū)）間轉(zhuǎn)發(fā)數(shù)據(jù)包時，一般不會改變IP包頭中的源地址和端口號（除非明確采用了NAT）防火墻部署方式網(wǎng)關(guān)模式網(wǎng)關(guān)模式適用于內(nèi)外網(wǎng)不在同一網(wǎng)段的情況，防火墻一般部署在內(nèi)網(wǎng)，設(shè)置網(wǎng)關(guān)地址實現(xiàn)路由器的功能，為不同網(wǎng)段進(jìn)行路由轉(zhuǎn)發(fā)。網(wǎng)關(guān)模式相比透明模式具備更高的安全性，在進(jìn)行訪問控制的同時實現(xiàn)了安全隔離，具備了一定的機(jī)密性。防火墻部署方式NAT模式不僅對通過的數(shù)據(jù)包進(jìn)行安全檢查，還需執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）功能：使用防火墻的IP地址替換內(nèi)部網(wǎng)絡(luò)的源地址向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)；當(dāng)外部網(wǎng)絡(luò)的響應(yīng)數(shù)據(jù)流量返回到防火墻后，防火墻再將目的地址替換為內(nèi)部網(wǎng)絡(luò)的源地址。防火墻部署方式NAT模式NAT模式使用地址轉(zhuǎn)換功能可確保外部網(wǎng)絡(luò)不能直接看到內(nèi)部網(wǎng)絡(luò)的IP地址，進(jìn)一步增強(qiáng)了對內(nèi)部網(wǎng)絡(luò)的安全防護(hù)。同時，也解決了IP地址數(shù)量不足的問題。與透明模式和網(wǎng)關(guān)模式相比，NAT模式可以適用于所有網(wǎng)絡(luò)環(huán)境，為被保護(hù)網(wǎng)絡(luò)提供的安全保障能力也最強(qiáng)。防火墻部署方式1防火墻概述防火墻的工作原理內(nèi)容提綱2防火墻體系結(jié)構(gòu)及部署3防火墻的評價標(biāo)準(zhǔn)45防火墻的不足與發(fā)展趨勢國標(biāo)防火墻標(biāo)準(zhǔn)防火墻的評價標(biāo)準(zhǔn)防火墻的評價標(biāo)準(zhǔn)用于評價一個防火墻的綜合性能，主要的評價指標(biāo)包括：連接速率并發(fā)連接數(shù)吞吐量延遲安全性、穩(wěn)定性…建立連接的速率，國標(biāo)要求：TCP新建連接速率：百兆、千兆、萬兆產(chǎn)品分別是不小于1500條/s，5000條/s，50000條/sHTTP請求速率：百兆、千兆、萬兆產(chǎn)品分別是不小于800條/s，3000條/s，5000條/sSQL請求速率：百兆、千兆、萬兆產(chǎn)品分別是不小于2000條/s,10000條/s，50000條/s連接速率并發(fā)連接數(shù)（1/3）并發(fā)連接數(shù)是防火墻所能處理的最大會話數(shù)量，反映防火墻對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力

TCP并發(fā)連接數(shù)、HTTP并發(fā)連接數(shù)、SQL并發(fā)連接數(shù)等并發(fā)連接數(shù)與連接速率有關(guān)，如國標(biāo)規(guī)定：百兆產(chǎn)品的TCP并發(fā)連接數(shù)就不小于50000條，千兆產(chǎn)品不小于200000條，萬兆產(chǎn)品不小于2000000條。并發(fā)連接數(shù)（2/3）并發(fā)連接數(shù)的增大意味著內(nèi)存資源的消耗增加

以每個并發(fā)連接表項占用300B計算，1000個并發(fā)連接將占用300B×1000×8bit/B≈2.3Mb內(nèi)存空間；10000個并發(fā)連接將占用23Mb內(nèi)存空間100000個并發(fā)連接將占用230Mb內(nèi)存空間，如果試圖實現(xiàn)1000000個并發(fā)連接的產(chǎn)品，產(chǎn)品需要提供2.24Gb內(nèi)存空間。并發(fā)連接數(shù)（3/3）并發(fā)連接數(shù)的增大應(yīng)充分考慮CPU的處理能力。CPU的主要任務(wù)是把網(wǎng)絡(luò)上的流量從一個網(wǎng)段盡可能快速地轉(zhuǎn)發(fā)到另外一個網(wǎng)段上，并且在轉(zhuǎn)發(fā)過程中對此流量按照一定的訪問控制策略進(jìn)行許可檢查、流量統(tǒng)計和訪問審計等操作。如果增大系統(tǒng)的并發(fā)連接表，會影響防火墻對連接請求的處理延遲，造成某些連接超時，致使連接報文重發(fā)，最后形成雪崩效應(yīng)，致使整個防火墻系統(tǒng)崩潰。吞吐量（1/3）吞吐量是指在保證不丟失數(shù)據(jù)幀的情況下，設(shè)備能夠接受的最大速率。國標(biāo)：對64字節(jié)的短包，百兆產(chǎn)品不小于線速的20%，千兆產(chǎn)品不小于線速的35%；對1518字節(jié)的長包，百兆產(chǎn)品不小于線速的90%，千兆產(chǎn)品不小于線速的95%；高性能的萬兆產(chǎn)品，吞吐量至少達(dá)到80Gbit/s吞吐量（2/3）吞吐量是指在保證不丟失數(shù)據(jù)幀的情況下，設(shè)備能夠接受的最大速率。國標(biāo)對“混合應(yīng)用層吞吐量”要求：百兆產(chǎn)品不小于60Mbit/s，千兆產(chǎn)品不小于600Mbit/s，萬兆產(chǎn)品不小于5Gbit/s（整機(jī)至少達(dá)到20Gbit/s）國標(biāo)對“HTTP吞吐量”要求：百兆產(chǎn)品不小于80Mbit/s，千兆產(chǎn)品不小于800Mbit/s，萬兆產(chǎn)品不小于6Gbit/s吞吐量（3/3）吞吐量的測試方法：在測試中以一定速率發(fā)送一定數(shù)量的幀，并計算待測設(shè)備傳輸出去的幀；如果發(fā)送給設(shè)備的幀與設(shè)備發(fā)出的幀數(shù)量相等，那么將發(fā)送速率提高并重新測試；如果發(fā)送給設(shè)備的幀多于設(shè)備發(fā)出的幀，則適當(dāng)降低發(fā)送速率重新測試，直至得出最終結(jié)果國際要求：對于64字節(jié)短包，512字節(jié)中長包，1518字節(jié)長包，百兆產(chǎn)品的平均延遲不應(yīng)超過500us，千兆、萬兆產(chǎn)品不應(yīng)超過90us延遲對應(yīng)用網(wǎng)關(guān)防火墻而言，關(guān)鍵的性能指標(biāo)不再是網(wǎng)絡(luò)層吞吐量，而是應(yīng)用識別及分析。首先要考察防火墻能夠劫持多少種網(wǎng)絡(luò)應(yīng)用，其次是應(yīng)用識別和控制的精細(xì)度，如是否支持對應(yīng)用子功能的識別及控制。另外，應(yīng)用特征庫的更新速度也很重要應(yīng)用識別及分析能力安全性防火墻自身的安全性主要體現(xiàn)在自身設(shè)計和管理兩個方面。設(shè)計的安全性關(guān)鍵在于操作系統(tǒng)，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。防火墻自身的安全實現(xiàn)直接影響整體系統(tǒng)的安全性。防火墻產(chǎn)品參數(shù)示例防火墻產(chǎn)品參數(shù)示例防火墻產(chǎn)品參數(shù)示例1防火墻概述防火墻的工作原理內(nèi)容提綱2防火墻體系結(jié)構(gòu)及部署3防火墻的評價標(biāo)準(zhǔn)45防火墻的不足與發(fā)展趨勢防火墻的不足(1/4)防火墻不能防范不經(jīng)過防火墻的攻擊（云計算時代問題更突出）防火墻不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊（從內(nèi)網(wǎng)攻擊內(nèi)網(wǎng)）和泄密行為。防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防病毒軟件或模塊，殺毒能力也有限。防火墻的不足(2/4)防火墻不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅。防火墻是一個被動的安全策略執(zhí)行設(shè)備，就像門衛(wèi)一樣，要根據(jù)既定的策略或配置來執(zhí)行安全檢查，一般沒有檢查配置是否正確的能力。防火墻的不足(3/4)防火墻不能防止利用服務(wù)器系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞所進(jìn)行的攻擊。防火墻不能防止黑客通過防火墻準(zhǔn)許的訪問端口對該服務(wù)器的漏洞進(jìn)行攻擊。防火墻的不足(4/4)防火墻不能防止本身的安全漏洞的威脅。防火墻保護(hù)別人有時卻無法保護(hù)自己，目前還沒有廠商絕對保證防火墻不會存在安全漏洞。因此對防火墻也必須提供某種安全保護(hù)。由于防火墻的局限性，因此僅在內(nèi)部網(wǎng)絡(luò)入口處設(shè)置防火墻系統(tǒng)不能有效地保護(hù)計算機(jī)網(wǎng)絡(luò)的安全，而入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)可以彌補防火墻的不足方程式組織的針對防火墻的攻擊工具NSA防火墻攻擊工具名稱類型描述BANANAGLEE植入重啟不持續(xù)的防火墻植入程序。在CiscoASA和PIX上運行BARGLEE植入未證實的JuniperNetScreen5.x防火墻植入程序BEECHPONY植入防火墻植入程序(BANANAGLEE前身)BENIGNCERTAIN工具從思科PIX防火強(qiáng)提取VPN密鑰BILLOCEAN工具從飛塔Fortigate防火墻（可能有其它）提取序列號BLATSTING植入部署EGREGIOUSBLUNDER和ELIGIBLEBACHELOR防火墻植入程序BOOKISHMUTE漏洞未知防火墻的漏洞利用EGREGIOUSBLUNDER漏洞飛塔FortiGate防火墻的遠(yuǎn)端控制設(shè)備（RCE）。影響的型號：60、60M、80C、200A、300A、400A、500A、620B、800、5000、1000A、3600和3600A方程式組織的針對防火墻的攻擊工具NSA防火墻攻擊工具名稱類型描述ELIGIBLEBACHELOR漏洞在TOS操作系統(tǒng)版本10、3.3.001.050、3.3.002.021和3.3.002.030上運行的天融信防火墻漏洞利用ELIGIBLEBOMBSHELL漏洞天融信防火墻RCE，影響的版本：從10.1_pbc_17_iv_3到3.3.005.066.1ELIGIBLECANDIDATE漏洞天融信防火墻RCE，影響的版本：從3.3.005.057.1到3.3.010.024.1EPICBANANA漏洞思科ASA特權(quán)升級(版本711、712、721、722、723、724、80432、804、805、822、823、824、825、831,832)和思科PIX(版本711、712、721、722、723、724、804)FEEDTROUGH植入JuniperNetScreen防火墻上的持續(xù)植入程序，部署B(yǎng)ANANAGLEE和ZESTYLEAKFLOCKFORWARD漏洞通過ELIGIBLEBOMBSHELL傳送現(xiàn)成有效荷載。影響在TOS3.3.005.066.1上運行的天融信防火墻POLARPAWS植入未知廠商的防火墻植入程序POLARSNEEZE植入未知廠商的防火墻植入程序NSA防火墻攻擊工具EXBA(extrabacon)工具：基于Cisco防火墻的一個0-day漏洞（CVE-2016-6366）：SNMP服務(wù)模塊的緩沖區(qū)溢出目標(biāo)設(shè)備須配置并啟用SNMP協(xié)議，同時須知道SNMP的通信碼，漏洞執(zhí)行之后可關(guān)閉防火墻對Telnet/SSH的認(rèn)證，從而允許攻擊者進(jìn)行未授權(quán)的操作NSA針對思科PIX系列和ASA防火墻的攻擊工具JETPLOWNSA防火墻攻擊工具NSA防火墻攻擊工具防火墻安全漏洞防火墻安全漏洞防火墻安全漏洞防火墻安全漏洞防火墻安全漏洞防火墻安全漏洞防火墻安全漏洞/share/177防火墻安全漏洞用戶對防火墻的要求越來越高網(wǎng)絡(luò)安全是通過技術(shù)與管理相結(jié)合來實現(xiàn)的，良好的網(wǎng)絡(luò)管理加上優(yōu)秀的防火墻技術(shù)是提高網(wǎng)絡(luò)安全性能的最好選擇。隨著新的攻擊手段的不斷出現(xiàn)，以及防火墻在用戶的核心業(yè)務(wù)系統(tǒng)中占據(jù)的地位越來越重要，用戶對防火墻的要求越來越高發(fā)展趨勢為適應(yīng)Internet的發(fā)展，未來防火墻技術(shù)的發(fā)展趨勢為：智能化：防火墻將從目前的靜態(tài)防御策略向具備人工智能的智能化方向發(fā)展；高速度：防火墻必須在運算速度上做相應(yīng)的升級，才不致于成為網(wǎng)絡(luò)的瓶頸；并行體系結(jié)構(gòu)：分布式并行處理的防火墻是防火墻的另一發(fā)展趨勢；發(fā)展趨勢為適應(yīng)Internet的發(fā)展，未來防火墻技術(shù)的發(fā)展趨勢為：多功能：未來網(wǎng)絡(luò)防火墻將在保密性、包過濾、服務(wù)、管理和安全等方面增加更多更強(qiáng)的功能；（All-In-One技術(shù)）專業(yè)化：電子郵件防火墻、FTP防火墻等針對特定服務(wù)的專業(yè)化防火墻將作為一種產(chǎn)品門類出現(xiàn)；防病毒：現(xiàn)在許多防火墻都內(nèi)置了病毒和內(nèi)容掃描功能。

IPv6網(wǎng)絡(luò)需求：下一代網(wǎng)絡(luò)的新需求發(fā)展趨勢網(wǎng)絡(luò)的防火墻產(chǎn)品還將把網(wǎng)絡(luò)前沿技術(shù)，如Web頁面超高速緩存、虛擬網(wǎng)絡(luò)和帶寬管理等與其自身結(jié)合起來。防火墻即服務(wù)（FWaaS）

發(fā)展趨勢Gartner

本章小結(jié)作業(yè)補充參考一、防火墻產(chǎn)品防火墻產(chǎn)品防火墻產(chǎn)品補充參考二、典型應(yīng)用場景典型應(yīng)用之一Internet與企業(yè)、政府等內(nèi)部網(wǎng)絡(luò)之間的應(yīng)用防火墻連接WAN和內(nèi)網(wǎng)，實現(xiàn)內(nèi)網(wǎng)對Internet的訪問，同時實現(xiàn)DMZ區(qū)管理，允許WAN和內(nèi)網(wǎng)對DMZ區(qū)服務(wù)器的特定的服務(wù)端口的訪問，根據(jù)客戶要求允許或禁止DMZ對內(nèi)網(wǎng)和WAN的訪問。典型應(yīng)用之二企業(yè)、政府等多個內(nèi)部網(wǎng)絡(luò)中的應(yīng)用防火墻連接省內(nèi)各個級別的局域網(wǎng)，根據(jù)需要實現(xiàn)局域網(wǎng)之間的訪問控制，以及各個局域網(wǎng)對公共服務(wù)器、局域網(wǎng)服務(wù)器的訪問典型應(yīng)用之三VPN的應(yīng)用通過防火墻的隧道VPN和撥號VPN的功能，實現(xiàn)公網(wǎng)對防火墻內(nèi)部網(wǎng)絡(luò)的直接訪問以及多個防火墻各自的內(nèi)部網(wǎng)絡(luò)之間的訪問，基于IPsec協(xié)議的VPN保證了數(shù)據(jù)傳輸?shù)陌踩?、完整性和高效性。典型?yīng)用之四雙通道以及多通道的實現(xiàn)通過防火墻的策略路由功能，實現(xiàn)內(nèi)網(wǎng)對多個外網(wǎng)的訪問，同時對訪問的用戶和訪問的服務(wù)進(jìn)行控制補充參考三、部署步驟第一步：制定安全策略內(nèi)部員工訪問互聯(lián)網(wǎng)的限制外網(wǎng)訪問內(nèi)部網(wǎng)的策略進(jìn)入公網(wǎng)的數(shù)據(jù)加密策略部署防火墻的步驟第二步：搭建安全體系結(jié)構(gòu)安全策略轉(zhuǎn)化為安全體系結(jié)構(gòu)對外服務(wù)器的配置DMZ的設(shè)置部署防火墻的步驟第三步：制定規(guī)則次序規(guī)則先后的次序決定防火墻的功能防火墻順序檢查規(guī)則，一旦匹配，則停止檢查并執(zhí)行這條規(guī)則。部署防火墻的步驟第四步：落實規(guī)則集（12方面）切斷默認(rèn)允許內(nèi)部出網(wǎng)添加鎖定丟棄不匹配的信息包丟棄并不記錄允許DNS訪問允許郵件訪問允許WEB訪問阻塞DMZ允許內(nèi)部的POP訪問強(qiáng)化DMZ的規(guī)則允許管理員訪問部署防火墻的步驟第五步：注意更換控制規(guī)則變動是注釋中記錄信息規(guī)則更改者的名字規(guī)則變更的日期和時間規(guī)則變更的原因第六步：審計工作部署防火墻的步驟規(guī)則變動是注釋中記錄信息規(guī)則更改者的名字規(guī)則變更的日期和時間規(guī)則變更的原因部署防火墻的步驟補充參考四、其它參考資料路由器使用ACL處理數(shù)據(jù)包的過程存在進(jìn)站ACL？拒絕或允許？查詢路由表是否有到目標(biāo)網(wǎng)絡(luò)的路由？拒絕或允許？存在出站ACL？NNNY允許拒絕拒絕Y數(shù)據(jù)包進(jìn)入路由器接口的數(shù)據(jù)包丟棄數(shù)據(jù)包出站OUT進(jìn)站IN訪問控制列表（ACL）分類標(biāo)準(zhǔn)IPACL：只對數(shù)據(jù)包的源IP地址進(jìn)行檢查其列表號1-90或1300-1999。擴(kuò)展IPACL：對數(shù)據(jù)包的源和目標(biāo)IP地址進(jìn)行檢查源和目標(biāo)端口號其列表號100-199或2000-2699訪問控制列表命令格式標(biāo)準(zhǔn)IPACLAccess-listAccess-list-number

(deny/permit)source-address[source-wildcard]擴(kuò)展IPACLAccess-listAccess-list-number

(deny/permit)protocolsource-addresssource-wildcard[operatorport]destination-addressdestination-wildcard[operatorport][established][log]命令字訪問控制列表編號對符合匹配的數(shù)據(jù)包所采取的動作數(shù)據(jù)包源地址通配符掩碼數(shù)據(jù)包源地址數(shù)據(jù)包源地址協(xié)議數(shù)據(jù)包源地址通配符掩碼邏輯操作：eq、neq、gt、lt、rage判斷包頭的ACK，若設(shè)置，則匹配ACL配置實例：允許一個源通信量通過PermittingTrafficfromSourceNetworkaccess-list1permit55interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1outFTP服務(wù)器Web服務(wù)器ACL配置：外網(wǎng)只能訪問WEB不能訪問FTPaccess-list110permit55host3eq21access-list110permit55host3eq20access-list110denyanyhost3eq21access-list110denyanyhost3eq20access-list110permitany

host3eq80interfaceethernet1ipaccess-group110outFTP服務(wù)器Web服務(wù)器ScreenedhostfirewallsystemScreenedhostfirewallsystem(single-homedbastionhost)single-homedbastionhostScreenedhostfirewall,single-homedbastionconfigurationFirewallconsistsoftwosystems:Apacket-filteringrouterAbastionhostConfigurationforthepacket-filteringrouter:OnlypacketsfromandtothebastionhostareallowedtopassthroughtherouterThebastionhostperformsauthenticationandproxyfunctionssingle-homedbastionhostGreatersecuritythansingleconfigurationsbecauseoftworeasons:Thisconfigurationimplementsbothpacket-levelandapplication-levelfiltering(allowingforflexibilityindefiningsecuritypolicy)AnintrudermustgenerallypenetratetwoseparatesystemsThisconfigurationalsoaffordsflexibilityinprovidingdirectInternetaccess(publicinformationserver,e.g.Webserver)ScreenedhostfirewallsystemScreenedhostfirewallsystem(dual-homedbastionhost)FirewallConfigurationsScreenedhostfirewall,dual-homedbastionconfigurationThepacket-filteringrouterisnotcompletelycompromisedTrafficbetweentheInternetandotherhostsontheprivatenetworkhastoflowthroughthebastionhostScreened-subnetfirewallsystemScreenedSubnetFirewallArchitectureDemilitarizedZone(DMZ)InternalNetworkEnclaveboundaryExternalNetworkOuterRouter:NoAccesstoInternalNetfirewallIsolatedNetworkScreenedsubnetfirewallconfigurationMostsecureconfigurationofthethreeTwopacket-filteringroutersareusedCreationofanisolatedsub-networkScreenedsubnetfirewallAdvantages:ThreelevelsofdefensetothwartintrudersTheoutsiderouteradvertisesonlytheexistenceofthescreenedsubnettotheInternet(internalnetworkisinvisibletotheInternet)Theinsiderouteradvertisesonlytheexistenceofthescreenedsubnettotheinternalnetwork(thesystemsontheinsidenetworkcannotconstructdirectroutestotheInternet)本PPT是機(jī)械工業(yè)出版社出版的教材《網(wǎng)絡(luò)攻防原理與技術(shù)（第3版）》配套教學(xué)PPT（部分內(nèi)容的深度和廣度比教材有所擴(kuò)展），作者：吳禮發(fā)，洪征，李華波本PPT可能會直接或間接采用了網(wǎng)上資源或公開學(xué)術(shù)報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標(biāo)題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第十四章入侵檢測與網(wǎng)絡(luò)欺騙入侵檢測方法2Snort簡介網(wǎng)絡(luò)欺騙入侵檢測概述1內(nèi)容提綱34

Why?防火墻：根據(jù)規(guī)則對進(jìn)出網(wǎng)絡(luò)的信息進(jìn)行過濾本身問題：可能存在安全漏洞成為被攻擊的對象配置不當(dāng)：起不到作用網(wǎng)絡(luò)邊界：有缺口（如Modem，無線）不是萬能：入侵教程、工具隨處可見，攻擊模式的多樣性，并不能阻止所有攻擊內(nèi)部攻擊(Abuse)：并不是所有攻擊均來自外部誤用(Misuse)突破邊界不可避免，且難以發(fā)現(xiàn)FireEye的M-Trends2020Reports中，發(fā)現(xiàn)攻擊者隱藏或者駐留時間的中位數(shù)為56天。近幾年的威脅檢測時間都在不斷縮短，主要是由于對于內(nèi)部威脅發(fā)現(xiàn)較早，極大減少了中位數(shù)，但外部威脅的駐留時間還有141天，近5個月之久

Why?1980年4月，JamesP.Anderson:《ComputerSecurityThreatMonitoringandSurveillance》:入侵檢測開山之作第一次詳細(xì)闡述了入侵檢測的概念對計算機(jī)系統(tǒng)威脅進(jìn)行分類:外部滲透、內(nèi)部滲透和不法行為提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想從1984年到1986年：喬治敦大學(xué)的DorothyDenning和SRI/CSL的PeterNeumann：研究出了一個實時入侵檢測系統(tǒng)模型—IDES（入侵檢測專家系統(tǒng)）1990，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM（NetworkSecurityMonitor）：第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源：新的一頁(HIDS,NIDS)起源1987,Denning：IntrusionDetection(ID)istodetectawiderangeofsecurityviolationsfromattemptedbreak-insbyoutsiderstosystemspenetrationandabusesbyinsiders

入侵檢測定義2000,AllenIntrusionDetection(ID)istomonitorandcollectsystemandnetworkinformationandanalyzesittodetermineifanattackoranintrusionhasoccurred.入侵檢測：通過從計算機(jī)系統(tǒng)或網(wǎng)絡(luò)的關(guān)鍵點收集信息并進(jìn)行分析，從中發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)中是否有違反安全策略的行為和被攻擊的跡象入侵檢測定義被入侵的對象：網(wǎng)絡(luò)計算機(jī)應(yīng)用（控制了計算機(jī)不一定能控制應(yīng)用）

幾個英文泀匯：Attackvs.IntrusionAttackvs.IntrudeAttackervs.Intruder(successfulattacker)Victim(thetargetofanattack)vs.CompromisedHostVulnerability入侵檢測定義

IDS:IntrusionDetectionSystem

Acombinationofhardwareandsoftwarethatmonitorsandcollectssystemandnetworkinformationandanalyzesittodetermineifanattackoranintrusionhasoccurred.SomeIDsystemscanautomaticallyrespondtoanintrusion.（入侵檢測系統(tǒng)：實施入侵檢測的軟件與硬件組合）入侵檢測定義1987,Denning：Denning入侵檢測模型IDES1998：通用入侵檢測系統(tǒng)模型（CIDF）入侵檢測模型CIDF入侵檢測分類根據(jù)檢測方法來分：基于特征的入侵檢測基于異常的入侵檢測混合的入侵檢測根據(jù)數(shù)據(jù)源來分：基于應(yīng)用的入侵檢測系統(tǒng)(Application-basedIDS,AIDS)基于主機(jī)的入侵檢測系統(tǒng)(Host-basedIDS,HIDS)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(Network-basedIDS,NIDS)混合的入侵檢測系統(tǒng)(HybridIDS)NIDS入侵檢測分類HIDS入侵檢測分類入侵檢測方法2Snort簡介網(wǎng)絡(luò)欺騙入侵檢測概述1內(nèi)容提綱34檢測方法兩種主要的檢測方法：特征檢測（signaturedetectionormisusedetectionorsignature-baseddetectionormisuse-baseddetection）異常檢測（anomalydetectionoranomaly-baseddetection）檢測方法一、特征檢測方法一：特征檢測方法特征檢測定義：收集非正常操作的行為特征（signature），建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。特征：靜態(tài)特征：如

signatureanalysiswhichistheinterpretationofaseriesofpackets(orapieceofdatacontainedinthosepackets)thataredetermined,inadvance,torepresentaknownpatternofattack動態(tài)特征：如網(wǎng)絡(luò)統(tǒng)計數(shù)據(jù)、計算機(jī)或應(yīng)用系統(tǒng)中的審計記錄、日志、文件的異常變化、硬盤、內(nèi)存大小的變化特征描述：描述語言針對的是已知攻擊！檢測率取決于：攻擊特征庫的正確性與完備性1.模式匹配法將收集到的入侵特征轉(zhuǎn)換成模式，存放在模式數(shù)據(jù)庫中。檢測過程中將收集到的數(shù)據(jù)信息與模式數(shù)據(jù)庫進(jìn)行匹配，從而發(fā)現(xiàn)攻擊行為。模式匹配的具體實現(xiàn)手段多種多樣，可以是通過字符串匹配尋找特定的指令數(shù)據(jù)，也可以是采用正規(guī)的數(shù)學(xué)表達(dá)式描述數(shù)據(jù)負(fù)載內(nèi)容。技術(shù)成熟，檢測的準(zhǔn)確率和效率都很高特征檢測法實現(xiàn)方式2.專家系統(tǒng)法入侵活動被編碼成專家系統(tǒng)的規(guī)則：“If條件Then動作”的形式。入侵檢測系統(tǒng)根據(jù)收集到的數(shù)據(jù)，通過條件匹配判斷是否出現(xiàn)了入侵并采取相應(yīng)動作實現(xiàn)上較為簡單，其缺點主要是處理速度比較慢，原因在于專家系統(tǒng)采用的是說明性的表達(dá)方式，要求用解釋系統(tǒng)來實現(xiàn)，而解釋器比編譯器的處理速度慢。另外，維護(hù)規(guī)則庫也需要大量的人力精力，由于規(guī)則之間具有聯(lián)系性，更改任何一個規(guī)則都要考慮對其他規(guī)則的影響。特征檢測法實現(xiàn)方式3.狀態(tài)遷移法利用狀態(tài)轉(zhuǎn)換圖描述并檢測已知的入侵模式。入侵檢測系統(tǒng)保存入侵相關(guān)的狀態(tài)轉(zhuǎn)換圖表，并對系統(tǒng)的狀態(tài)信息進(jìn)行監(jiān)控，當(dāng)用戶動作驅(qū)動系統(tǒng)狀態(tài)向入侵狀態(tài)遷移時觸發(fā)入侵警告。狀態(tài)遷移法能夠檢測出多方協(xié)同的慢速攻擊，但是如果攻擊場景復(fù)雜的話，要精確描述系統(tǒng)狀態(tài)非常困難。因此，狀態(tài)遷移法通常與其他的入侵檢測法結(jié)合使用。特征檢測法實現(xiàn)方式二、異常檢測方法二：異常檢測方法異常檢測（誤用檢測）首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵。行為：需要一組能夠標(biāo)識用戶特征、網(wǎng)絡(luò)特征或者系統(tǒng)特征的測量參數(shù)，如CPU利用率、內(nèi)存利用率、網(wǎng)絡(luò)流量等等。基于這組測量參數(shù)建立被監(jiān)控對象的行為模式并檢測對象的行為變化。兩個關(guān)鍵問題：選擇的測量參數(shù)能否反映被監(jiān)控對象的行為模式如何界定正常和異常如何定義正常行為？正常行為的學(xué)習(xí)依賴于學(xué)習(xí)數(shù)據(jù)的質(zhì)量，但如何評估數(shù)據(jù)的質(zhì)量呢？可以利用信息論的熵、條件熵、相對熵和信息增益等概念來定量地描述一個數(shù)據(jù)集的特征，分析數(shù)據(jù)源的質(zhì)量。數(shù)據(jù)源評價定義14-1.給定數(shù)據(jù)集合X,對任意x

∈Cx,定義熵H(X)為：在數(shù)據(jù)集中，每個唯一的記錄代表一個類，熵越小，數(shù)據(jù)也就越規(guī)則，根據(jù)這樣的數(shù)據(jù)集合建立的模型的準(zhǔn)確性越好。數(shù)據(jù)源評價定義14-2.定義條件熵H(X|Y)為：其中，P(x,y)為x和y的聯(lián)合概率，P(x|y)為給定y時x的條件概率。安全審計數(shù)據(jù)通常都具有時間上的序列特征，條件熵可以用來衡量這種特征，按照上面的定義，令X=(e1,e2,…,en)，令Y=(e1,e2,…,ek)，其中k<n，條件熵H(X|Y)可以衡量在給定Y以后，剩下的X的不確定性還有多少。條件熵越小，表示不確定性越小，從而通過已知預(yù)測未知的可靠性越大。數(shù)據(jù)源評價案例：系統(tǒng)調(diào)用系列與LSM監(jiān)控點系列數(shù)據(jù)源評價案例：系統(tǒng)調(diào)用系列與LSM監(jiān)控點系列數(shù)據(jù)源評價以統(tǒng)計理論為基礎(chǔ)建立用戶或者系統(tǒng)的正常行為模式。主體的行為模式常常由測量參數(shù)的頻度、概率分布、均值、方差等統(tǒng)計量來描述。抽樣周期可以短到幾秒鐘長至幾個月。異常：將用戶的短期特征輪廓與長期特征輪廓進(jìn)行比較，如果偏差超過設(shè)定的閾值，則認(rèn)為用戶的近期活動存在異常。入侵判定思路較為簡單，但是在具體實現(xiàn)時誤報率和漏報率都較高，此外，對于存在時間順序的復(fù)雜攻擊活動，統(tǒng)計分析法難以準(zhǔn)確描述

1、統(tǒng)計分析法常用統(tǒng)計模型操作模型，對某個時間段內(nèi)事件的發(fā)生次數(shù)設(shè)置一個閾值，如果事件變量X出現(xiàn)的次數(shù)超過閾值，就有可能是異常；平均值和標(biāo)準(zhǔn)差模型巴爾科夫過程模型

1、統(tǒng)計分析法統(tǒng)計分析法要解決四個問題選取有效的統(tǒng)計數(shù)據(jù)測量點，生成能夠反映主機(jī)特征的會話向量。根據(jù)主體活動產(chǎn)生的審計記錄，不斷更新當(dāng)前主體活動的會話向量。采用統(tǒng)計方法分析數(shù)據(jù)，判斷當(dāng)前活動是否符合主體的歷史行為特征。隨著時間變化，學(xué)習(xí)主體的行為特征，更新歷史記錄。

1、統(tǒng)計分析法將非法程序及非法應(yīng)用與合法程序、合法數(shù)據(jù)區(qū)分開來，與人工免疫系統(tǒng)對自體和非自體進(jìn)行類別劃分相類似。Forrest采用監(jiān)控系統(tǒng)進(jìn)程的方法實現(xiàn)了Unix平臺的人工免疫入侵檢測系統(tǒng)。2、人工免疫機(jī)器學(xué)習(xí)異常檢測方法通過機(jī)器學(xué)習(xí)模型或算法對離散數(shù)據(jù)序列進(jìn)行學(xué)習(xí)來獲得個體、系統(tǒng)和網(wǎng)絡(luò)的行為特征，從而實現(xiàn)攻擊行為的檢測3、機(jī)器學(xué)習(xí)法3、機(jī)器學(xué)習(xí)法什么是異常?在大多數(shù)異常檢測場景里，異常指與大部分其他對象不同的對象異常（離群點）可以分類三類：全局離群點：指一個數(shù)據(jù)對象顯著偏離數(shù)據(jù)集中的其余對象情境離群點：對于某個特定情境，這個對象顯著偏離其他對象集體離群點：數(shù)據(jù)對象的一個子集作為整體顯著偏離整個數(shù)據(jù)集基于機(jī)器學(xué)習(xí)的異常檢測

基于機(jī)器學(xué)習(xí)的異常檢測有標(biāo)簽數(shù)據(jù)：標(biāo)簽主要是異常和正常，其中正常的數(shù)量遠(yuǎn)大于異常。在使用有監(jiān)督算法做異常檢測的時候，有兩點需要特別注意：選擇合理的分類技術(shù)來處理不平衡數(shù)據(jù)。誤報率和召回率之間做合理權(quán)衡。在入侵檢測的領(lǐng)域，通常相比召回率，更需要降誤報率一些。不然根本處理不完這么多異常。有監(jiān)督異常檢測有監(jiān)督學(xué)習(xí)異常檢測存在的問題：惡意行為如果與以前所見的嚴(yán)重背離，將無法被歸類，因此將無法被檢測到需要大量人工對訓(xùn)練數(shù)據(jù)進(jìn)行標(biāo)注任何錯誤標(biāo)記的數(shù)據(jù)或人為引入的偏見都會嚴(yán)重影響系統(tǒng)對新活動進(jìn)行正確分類的能力有監(jiān)督異常檢測無標(biāo)簽數(shù)據(jù)應(yīng)用這種算法的時候，其實是做了這樣一個假設(shè)：正常對象遵守遠(yuǎn)比離群點頻繁的模式，正常對象不必全部落入一個具有高度相似性的簇，而是可以形成多個簇，每個簇具有不同的特征。然而，離群點必須是遠(yuǎn)離正常對象的簇。這類算法的目標(biāo)是將一個得分打在每個樣本上，反映該樣本異常的程度。無監(jiān)督異常檢測無監(jiān)督異常檢測算法算法很多，如基于密度的異常檢測、基于鄰近度的異常檢測、基于模型的異常檢測、基于概率統(tǒng)計的異常檢測、基于聚類的異常檢測、OneClassSVM的異常檢測、iForest的異常檢測、PCA異常檢測、AutoEncoder異常檢測、序列數(shù)據(jù)的異常檢測等，可分為五大類：統(tǒng)計和概率模型、線性模型、基于相似度衡量的模型、集成異常檢測和模型融合、特定領(lǐng)域的異常檢測無監(jiān)督異常檢測訓(xùn)練集包含少量帶標(biāo)簽的樣本。使用有標(biāo)記的正常對象的信息，對于給定的對象集合，發(fā)現(xiàn)異常樣本或得分帶標(biāo)簽樣本是正常樣本：使用這些正常樣本與鄰近的無標(biāo)簽對象一起訓(xùn)練一個正常對象的模型，然后用這個模型來檢測離群點。（白名單）帶標(biāo)簽樣本是異常樣本：這種情況比較棘手，因為少量離群點不代表所有離群點，因此僅基于少量離群點而構(gòu)建的離群點模型不太有效。弱監(jiān)督異常檢測異常檢測方法基于模型的異常檢測基于距離（鄰近度