清华大学信息与网络安全概论(第三版)课件 (9).ppt

网 络 安 全(Network Security)信息与网络安全概论(第三版)本章內容12.1 网络的安全威胁12.2 防 火 墙12.3 入侵检测系统2信息与网络安全概论(第三版)常见的网络系统安全威胁来自以下3个方面：(1)来自外部的黑客(Hackers)：黑客可能通过网络登录到未经授权的主机去窃取机密或进行破坏。(2)恶意的信息：恶意的信息可以是病毒或垃圾信息，通过其使系统瘫痪。(3)内部恶意的用户：所谓家贼难防，安全威胁可能是经由授权的合法用户所引起。12.1 网络的安全威胁3信息与网络安全概论(第三版)计算机网络攻击的流程4信息与网络安全概论(第三版)攻击者(Attackers)：依攻击者的身份、所代表的团体或攻击的动机，可将攻击者分为黑客、间谍、恐怖分子、合作入侵、职业犯罪及恶意破坏等类型。工具(Tools)：包含用户指令、宏、JavaScripts、程序或套装软件等。访问(Access)：攻击者会利用主机在操作、设计或管理上的疏忽来非法取得使用权或访问权。结果(Results)：攻击者获得系统的使用权或访问权的结果，其攻击结果可能是系统内的数据被窃取、篡改或破坏，也可能因占有系统资源而造成系统瘫痪。目的(Objectives)：攻击者的目的不外乎是报复、窃取情报、获得报酬或满足其成就感等。计算机网络攻击的完整流程5信息与网络安全概论(第三版)通常网络安全威胁分为截断(Interruption)、窃取(Interception)、篡改(Modification)和伪造(Fabrication)4种。通常网络的攻击6信息与网络安全概论(第三版)12.2 防火墙Internal NetScreenRouter 接收或发送的封包是否阻挡或发送由网站的安全策略決定Internet7信息与网络安全概论(第三版)12.2.1 防火墙安全策略 任何进出的数据封包都要经过防火墙过滤，控制封包进入的方式可分为：(1)服务控制服务控制（Service Control)(1)决定网络上的哪些服务可以被访问。(2)流向控制流向控制（Direction Control)决定哪些特定方面的服务可以被允许通过防火墙。(3)用户控制用户控制(User Control)根据用户的访问权限来控制用户所能取得的网络服务，但在执行这项服务前先对用户的身份进行认证。(4)行为控制行为控制(Behavior Control)针对某些特定的事件来进行控制。8信息与网络安全概论(第三版)12.2.2 防火墙的种类 E 防火墙的种类：包过滤防火墙(Packet Filtering)状态检测防火墙(Stateful Inspection Firewalls)应用层网关(Application Level Gateways)网络地址转换(Network Address Translation,NAT)9信息与网络安全概论(第三版)包过滤利用过滤封包的方式来判定封包是否能进入内部网络。检查的项目包含：-来源端IP地址与目的IP地址-所使用的传输协议-来源/目的端的端口(Port Number)，如TCP/UDP10信息与网络安全概论(第三版)封包过滤防火墙11信息与网络安全概论(第三版)状态检测防火墙又称为动态封包检测防火墙(Dynamic Packet Filter)不仅检查封包的报头内容，而且会去检查封包传送的前后关联性。这种类型的防火墙会建立一个连接状态表(Connection State Table)，用于记录每一个数据流中封包的前后关联，每一笔记录代表一个已建立的连接，之后根据前后关联来检查每一个新收到的封包，并判断此封包是新连接还是现有连接的延续。12信息与网络安全概论(第三版)状态检测防火墙(续)13信息与网络安全概论(第三版)应用层网关封包过滤无法防止伪造IP地址。应用层网关防火墙的主要目的在于防止这类的攻击发生，它针对每一种不同的网络协议均利用代理程序(Proxy)来模拟网络连接的来源和目的端。当内部用户与外部网络间要进行通信连线时，双方不直接进行封包交换，而是将之连接到一个代理者或中继站来完成封包交换，以此避免直接收到封包。14信息与网络安全概论(第三版)应用层网关(续)15信息与网络安全概论(第三版)网络地址转换网络地址转换防火墙的主要功能是将内部网络服务器的主要位置隐藏起来，以避免成为黑客下手攻击的目标。两个优点：1.可以解决合法IP地址不足的缺点。2.将内部的IP地址隐藏起来，以避免遭到攻击。16信息与网络安全概论(第三版)网络地址转换(续)17信息与网络安全概论(第三版)3种基本的防火墙架构：(1)单接口防御主机架构 (Screened Host Firewall,Single-Homed Bastion Host)(2)双接口防御主机架构 (Screened Host Firewall,Dual-Homed Bastion Host)(3)屏蔽式子网络架构(Screened Subnet Firewall)12.2.3 防火墙的架构18信息与网络安全概论(第三版)此架构的防火墙包含包过滤防火墙(Packet Filtering Firewalls)和防御主机(Bastion Host)两种系统，因此可以把它视为包过滤与代理服务器的一个结合。防御主机则是具有验证及代理程序的功能，它是外部网络与内部网络通信的媒介，凡是外部网络要跟内部网络通信都要通过防御主机来交涉。单接口防御主机架构 19信息与网络安全概论(第三版)单接口防御主机架构(续)20信息与网络安全概论(第三版)双接口防御主机与单接口防御主机的不同之处在于双接口防御主机安装了两片网卡：一片连接内部网络，另外一片连接至外部网络。安装两块网卡的目的就是隔离外部网络及内部网络，避免直接做封包传递。双接口防御主机架构21信息与网络安全概论(第三版)双接口防御主机架构(续)22信息与网络安全概论(第三版)前面两种架构均是在外部网络及内部网络间的通道上建立一个检查哨来过滤封包，然而一旦这个检查哨遭到破解，那么外部封包便可长驱直入到内部网络。屏蔽式子网络架构便是利用这个思想所设计的，它是由一个外部封包过滤路由器、一个内部封包过滤路由器及一个防御主机所构成。屏蔽式子网络架构23信息与网络安全概论(第三版)屏蔽式子网络架构(续)24信息与网络安全概论(第三版)12.3 入侵检测系统防火墙的功能主要是阻绝不符合规定的封包，以防止恶意软件进入到内部网络中，它可以说是网络系统的第一道防线，但在有些情况下，防火墙也无能为力。入侵检测技术正好弥补防火墙的不足。入侵检测系统可以说是网络系统的第二道防线。25信息与网络安全概论(第三版)12.3.1 入侵检测系统的功能入侵检测系统判定是否为异常行为，有以下4种情况：正确判定正常(True Positives)当一个正常的行为发生，入侵检测系统可以正确地判定其为正常行为。正确判定异常(True Negatives)当一个异常的行为发生，入侵检测系统可以正确地判定其为异常行为。误判正常(False Positives)当一个异常的行为发生，入侵检测系统却将此异常行为误判为正常行为。误判异常(False Negatives)当一个正常的行为发生，入侵检测系统却将此正常行为误判为异常行为。26信息与网络安全概论(第三版)入侵检测系统的功能主要可分为以下3个部分：(1)数据收集 执行入侵检测技术，首先就是要先从系统、网络以及用户的相关使用情况来收集信息。(2)数据分析 将收集到的各项信息，通过模式匹配、统计分析和完整性分析来做攻击模式管理者的分析。其中，模式匹配与统计分析多半使用在即时性的入侵检测上，而完整性分析属于事后分析的入侵检测。(3)回应 当入侵检测系统侦测出可能出现异常行为时，系统会及时做出回应，主要的回应模式有立刻切断连线、通知管理者、记录行为及发出警告声等。12.3.1 入侵检测系统的功能(续)27信息与网络安全概论(第三版)常见的入侵检测技术 -异常行为入侵检测 -错误行为入侵检测 入侵检测系统的架构 -主机端的入侵检测系统 -网络端的入侵检测系统 12.3.1 入侵检测系统的功能(续)28信息与网络安全概论(第三版)12.3.2 异常行为入侵检是一项负面行为模式(Negative Behavior Model)的侦测技术以用户过去行为模式的统计数据为依据，若与正常的行为模式相差过大，则视为异常行为并加以回报。这种统计型的入侵检测系统主要分为：1.门槛侦测：统计在一段时间内某个事件所发生的次数。2.记录文件侦测：针对每个用户过去的行为来建立一个记录文件(Profile)，若该用户的行为与记录文件中过去的行为模式有极大差异，此人便可能是入侵者。29信息与网络安全概论(第三版)12.3.3 错误行为入侵检测是一种正面行为模式将已知的任何一种攻击行为加以记录，系统再以网络上的行为活动与之比较，以判定是否属于类似的攻击行为。这种入侵检测系统需要建立一个知识库(Knowledge Base)来存储这类攻击模式，故这类入侵检测方式又被称为规则分析侦测(Rule-Based Detection)或特征入侵检测(Signature-Based Detection)。这种类型侦测技术的优点是不会将合法的事件误判成非法的事件(False Negative)，但其缺点是未被收录在知识库里的攻击模式将无法被侦测出来。30信息与网络安全概论(第三版)12.3.4 入侵检测系统的架构E入侵检测系统的架构分为：(1)主机端的入侵检测系统 (2)网络端的入侵检测系统 31信息与网络安全概论(第三版)主要用来侦测发生在主机上的异常行为，它以主机为侦测目标，持续地监控在主机上执行的各种行为。主要是靠记录文件或知识库来分析主机上的各种行为，进而判断是否有异常行为发生。这类架构的缺点是每部主机都需安装一套个别的入侵检测系统，而且这些入侵检测系统多半与主机的操作系统相关，因此不同操作系统间入侵检测系统多半不能交互使用。由于入侵检测系统也会占用主机资源，故其系统效率较差。主机端的入侵检测系统32信息与网络安全概论(第三版)主机端的入侵检测系统(续)33信息与网络安全概论(第三版)以网络封包为侦测的目标，它会持续监视通过网络的数据流，并分析网络封包来侦测入侵行为。这种网络端的入侵检测系统是独立的，与其他内部网络的主机无关。由于这种架构是独立的，故其优点是不需架设多个入侵检测系统，也不会显著地占用网络及主机资源。网络端的入侵检测系统34信息与网络安全概论(第三版)网络端的入侵检测系统(续)35