防火墙与入侵检测技术优秀PPT.ppt

第九章 防火墙与入侵检测 内容提要n本章介绍两部分的内容：n防火墙和入侵检测技术。n介绍防火墙的基本概念，常见防火墙类型以及如何运用规则集实现防火墙。n介绍入侵检测系统的基本概念以及入侵检测的常用方法n如何编写入侵检测工具以及如何运用工具实现入侵检测。防火墙的定义 n防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候扩散到别的房屋，如图9-1所示。防火墙的定义n这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防卫系统。n在互联网上，防火墙是一种特别有效的网络平安系统，通过它可以隔离风险区域（Internet或有确定风险的网络）与平安区域（局域网）的连接，同时不会阻碍平安区域对风险区域的访问，网络防火墙结构如图9-2所示。防火墙的功能 n依据不同的须要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。n可以限制未授权的用户进入内部网络，过滤掉担忧全的服务和非法用户n防止入侵者接近网络防卫设施n限制内部用户访问特殊站点n由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙爱护的，任何关键性的服务器，都应当放在防火墙之后。防火墙的必要性n随着世界各国信息基础设施的渐渐形成，国与国之间变得“近在咫尺”。Internet已经成为信息化社会发展的重要保证。已深化到国家的政治、军事、经济、文教等诸多领域。很多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此，难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。因此，网络平安已经成为燃眉之急的重要问题，没有网络平安就没有社会信息化 防火墙的局限性 n没有万能的网络平安技术，防火墙也不例外。防火墙有以下三方面的局限：n防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。n防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝告没有防范心理的用户公开其口令，并授予其临时的网络访问权限。n防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。防火墙的分类 n常见的放火墙有三种类型：1、分组过滤防火墙；2、应用代理防火墙；3、状态检测防火墙。n分组过滤（Packet Filtering）：作用在协议组的网络层和传输层，依据分组包头源地址、目的地址和端口号、协议类型等标记确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。n应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制特地的代理程序，实现监视和限制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。n状态检测（Status Detection）：干脆对分组里的数据进行处理，并且结合前后分组的数据进行综合推断，然后确定是否允许该数据包通过。分组过滤防火墙n数据包过滤可以在网络层截获数据。运用一些规则来确定是否转发或丢弃所各个数据包。n通常状况下，假如规则中没有明确允许指定数据包的出入，那么数据包将被丢弃 n一个牢靠的分组过滤防火墙依靠于规则集，表9-1列出了几条典型的规则集。n第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。其次条规则：任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机10.1.1.1小于1024的端口，假如基于TCP协议的数据包都禁止通过。组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1*TCP2允许*10.1.1.120*TCP3禁止*10.1.1.120Security Logs”，察看日志纪录如图9-14所示。案例9-2 用WinRoute禁用FTP访问 nFTP服务用TCP协议，FTP占用TCP的21端口，主机的IP地址是“172.18.25.109”，首先创建规则如表9-2所示。组序号动作源IP目的IP源端口目的端口协议类型1禁止*172.18.25.109*21TCPn利用WinRoute建立访问规则，如图9-15所示。n设置访问规则以后，再访问主机“172.18.25.109”的FTP服务，将遭到拒绝，如图9-16所示。n访问违反了访问规则，会在主机的平安日志中记录下来，如图9-17所示。案例9-3 用WinRoute禁用HTTP访问nHTTP服务用TCP协议，占用TCP协议的80端口，主机的IP地址是“172.18.25.109”，首先创建规则如表9-3所示。组序号动作源IP目的IP源端口目的端口协议类型1禁止*172.18.25.109*80TCPn利用WinRoute建立访问规则，如图9-18所示。n打开本地的IE连接远程主机的HTTP服务，将遭到拒绝，如图9-19所示。n访问违反了访问规则，所以在主机的平安日志中记录下来，如图9-20所示。应用代理防火墙 n应用代理（Application Proxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以依据平安策略来确定是否为用户进行代理服务。代理服务器运行在应用层，因此又被称为“应用网关”。常见防火墙系统模型 n常见防火墙系统一般依据四种模型构建：n筛选路由器模型、单宿主堡垒主机（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。筛选路由器模型 n筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的学问有相当的要求，假如筛选路由器被黑客攻破那么内部网络将变的特别的危急。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。典型的筛选路由器模型如图9-23所示。单宿主堡垒主机模型 n单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统供应的平安等级比包过滤防火墙系统要高，因为它实现了网络层平安（包过滤）和应用层平安（代理服务）。所以入侵者在破坏内部网络的平安性之前，必需首先渗透两种不同的平安系统。单宿主堡垒主机的模型如图9-24所示。双宿主堡垒主机模型 n双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加平安的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间干脆转发信息的功能被关掉了。在物理结构上强行将全部去往内部网络的信息经过堡垒主机。双宿主堡垒主机模型如图9-25所示。屏蔽子网模型n屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最平安的防火墙系统之一，因为在定义了“中立区”(DMZ，Demilitarized Zone)网络后，它支持网络层和应用层平安功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在DMZ网络中。假如黑客想突破该防火墙那么必需攻破以上三个单独的设备，模型如图9-26所示。创建防火墙的步骤 n成功的创建一个防火墙系统一般须要六步：n第一步：制定平安策略，其次步：搭建平安体系结构，第三步：制定规则次序，第四步：落实规则集，第五步：留意更换限制，第六步：做好审计工作。入侵检测系统的概念 n入侵检测系统1DS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权运用能够做出刚好的推断、记录和报警。入侵检测系统面临的挑战n一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法运用受爱护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威逼的“正常”假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉。误报n没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，缘由主要有四个方面。n1、缺乏共享数据的机制 n2、缺乏集中协调的机制n3、缺乏揣摩数据在一段时间内变更的实力n4、缺乏有效的跟踪分析入侵检测系统的类型和性能比较 n依据入侵检测的信息来源不同，可以将入侵检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。n1、基于主机的入侵检测系统：主要用于爱护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发觉成功的入侵或入侵企图，并很快地启动相应的应急响应程序。n2、基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的全部分组来采集数据，分析可疑现象。入侵检测的方法 n目前入侵检测方法有三种分类依据：n1、依据物理位置进行分类。n2、依据建模方法进行分类。n3、依据时间分析进行分类。n常用的方法有三种：静态配置分析、异样性检测方法和基于行为的检测方法。静态配置分析 n静态配置分析通过检查系统的配置，诸如系统文件的内容，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（比如，系统配置信息）。n接受静态分析方法主要有以下几方面的缘由：入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。异样性检测方法 n异样性检测技术是一种在不须要操作系统及其平安性缺陷的特地学问的状况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。但是。在很多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异样性进行报警的门限值的确定都是比较困难的事。因为并不是全部入侵者的行为都能够产生明显的异样性，所以在入侵检测系统中，仅运用异样性检测技术不行能检测出全部的入侵行为。而且，有阅历的入侵者还可以通过缓慢地变更他的行为，来变更入侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合法，这样就可以避开运用异样性检测技术的入侵检测系统的检测。基于行为的检测方法 n基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违反系统平安规则的行为，来检测系统中的入侵活动。n基于入侵行为的入侵检测技术的优势：假如检测器的入侵特征模式库中包含一个已知入侵行为的特征模式，就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是，目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式，加入到检测器入侵行为特征模式库中，来避开系统以后再遭遇同样的入侵攻击。案例9-4 检测与端口关联的应用程序n网络入侵者都会连接到主机的某个非法端口，通过检查出与端口关联应用程序，可以进行入侵检测，这种方法属于静态配置分析。n利用工具软件fport.exe可以检查与每一端口关联的应用程序，执行程序如图9-27所示。案例9-5 程序分析：检测与端口关联的应用程序n利用VC+6.0建立基于限制台的Win32应用程序，该程序须要一个外置的DLL文件“DBP2P.dll”，须要将该文件拷贝到工程书目下的Debug书目下。n该案例包含两个程序：proj9_5.cpp和dbp2p.h。其中proj9_5.cpp文件是主程序，dbp2p.h是动态连接库文件“DBP2P.dll”文件的头文件。入侵检测的步骤 n入侵检测系统的作用是实时地监控计算机系统的活动，发觉可疑的攻击行为，以避开攻击的发生，或削减攻击造成的危害。由此也划分了入侵检测的三个基本步骤：n信息收集、数据分析和响应。信息收集 n入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。n入侵检测在很大程度上依靠于收集信息的牢靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的牢靠性，这些软件本身应具有相当强的坚实性，能够防止被篡改而收集到错误的信息。否则，黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。数据分析n数据分析（Analysis Schemes）是入侵检测系统的核心，它的效率凹凸干脆确定了整个入侵检测系统的性能。依据数据分析的不同方式可将入侵检测系统分为异样入侵检测与误用入侵检测两类：响应 n数据分析发觉入侵迹象后，入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般实行下列响应。n1、将分析结果记录在日志文件中，并产生相应的报告。n2、触发警报：如在系统管理员的桌面上产生一个告警标记位，向系统管理员发送传呼或电子邮件等等。n3、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。案例9-6 入侵检测工具：BlackICEnBlackICE是一个小型的入侵检测工具，在计算机上平安完毕后，会在操作系统的状态栏显示一个图标，当有异样网络状况的时候，图标就会跳动。主界面如图9-31所示。n可以查看主机入侵的信息，选择属性页“Intruders”，如图9-32所示。入侵检测工具：冰之眼 n“冰之眼”网络入侵检测系统是NSFOCUS系列平安软件中一款特地针对网络遭遇黑客攻击行为而研制的网络平安产品，该产品可最大限度地、全天候地监控企业级的平安。由于用户自身网络系统的缺陷、网络软件的漏洞以及网络管理员的疏忽等等，都可能使网络入侵者有机可乘，而系统遭遇了攻击，就可能造成重要的数据、资料丢失，关键的服务器丢失限制权等。n运用“冰之眼”，系统管理人员可以自动地监控网络的数据流、主机的日志等，对可疑的事务赐予检测和响应,在内联网和外联网的主机和网络遭遇破坏之前阻挡非法的入侵行为，主界面如图9-33所示。n管理员可以添加主机探测器来检测系统是否被入侵，选择菜单栏“网络”下的菜单项“添加探测器”，可以添加相关的探测器，如图9-34所示。本章总结n本章介绍了防卫技术中的防火墙技术与入侵检测技术。n重点理解防火墙的概念、分类、常见防火墙的系统模型以及创建防火墙的基本步骤。n驾驭运用Winroute创建简洁的防火墙规则。n重点理解入侵检测系统的基本概念、检测的方法以及入侵检测的步骤。n驾驭编写简洁入侵检测的程序，驾驭一种入侵检测工具。本章习题n【1】、什么是防火墙？古时候的防火墙和目前通常说的防火墙有什么联系和区分？n【2】、简述防火墙的分类，并说明分组过滤防火墙的基本原理。n【3】、常见防火墙模型有哪些？比较他们的优缺点。n【4】、编写防火墙规则：禁止除管理员计算机（IP为172.18.25.110）外任何一台电脑访问某主机（IP为172.18.25.109）的终端服务（TCP端口3389）。n【5】、运用Winroute实现第四题的规则。（上机完成）n【6】、简述创建防火墙的基本步骤以及每一步的留意点。n【7】、什么是入侵检测系统？简述入侵检测系统目前面临的挑战。n【8】、简述入侵检测常用的四种方法。n【9】、编写程序实现每十秒检查一次与端口关联的应用程序。（上机完成）n【10】、简述入侵检测的步骤以及每一步的工作要点。n【11】、对某一台装有入侵检测工具的计算机进行扫描、攻击等试验，查看入侵检测系统的反应，并编写试验报告。（上机完成）