(34)--7.6防火墙与入侵检测.ppt

7.6 防火墙与入侵检测防火墙的定义n防火墙(firewall)是把一个组织的内部网络与其他网络（通常就是因特网）隔离开的软件和硬件的组合。根据访问控制策略，它允许一些分组通过，而禁止另一些分组通过。访问控制策略由使用防火墙的组织根据自己的安全需要自行制订。n防火墙内的网络称为“可信网络”(trusted network)，而将外部的因特网称为“不可信网络”(untrusted network)。防火墙在互连网络中的位置 G内部网络可信网络不可信网络分组过滤路由器 R分组过滤路由器 R应用网关外局域网内局域网防火墙因特网防火墙技术的分类(1)分组过滤路由器：一种具有分组过滤功能的路由器，它根据过滤规则对进出内部网络的分组执行转发或者丢弃（即过滤）。过滤规则基于分组的网络层或运输层首部的信息，例如：源/目的IP地址、源/目的端口、协议类型、标志位等等。防火墙技术的分类n(2)应用网关：在应用层通信中扮演报文中继的角色。一种网络应用需要一个应用网关。在应用网关中可以实现基于应用层数据的过滤和高层用户鉴别。个人防火墙n个人防火墙指的是一种安装在计算机上的应用程序，其作用类似于分组过滤器，能够对用户计算机的网络通信行为进行监控。n个人防火墙相对于网络防火墙来说，结构和实现都比较简单。在配置完善的情况下，个人防火墙可以较好地阻止网络中的黑客或恶意代码攻击用户的计算机，也有助于用户发现主机感染的木马程序。防火墙的局限性n首先，防火墙所发挥的安全防护作用在很大程度上取决于防火墙的配置是否正确和完备。用户要根据自己的情况制定严格的访问控制规则，阻止内网和外网间的一切可疑的、未授权的或者不必要的通信，才能将安全风险降到最低。n第二，一些利用系统漏洞或网络协议漏洞进行的攻击，防火墙难以防范。攻击者通过防火墙允许的端口对服务器的漏洞进行攻击，一般的分组过滤防火墙基本上难以防护，应用级网关也必须具有识别该特定漏洞的条件下才可能阻断攻击。防火墙的局限性n第三，防火墙不能有效的防止病毒、木马等恶意软件通过网络的传播。由于查杀恶意代码的计算量非常大，而目前网络的发展要求防火墙的处理速度越快越好，因此防火墙对恶意代码的查杀能力非常有限。n第四，不同的防火墙技术自身也存在着一些不足，比如，分组过滤器不能够防止IP地址和端口号欺骗，而应用级网关自身也可能有软件漏洞，存在被渗透攻击的风险。入侵检测系统n防火墙试图在入侵行为发生之前阻止所有可疑的通信。但事实是不可能阻止所有的入侵行为，有必要采取措施在入侵已经开始，但还没有造成危害或在造成更大危害前，及时检测到入侵，以便尽快阻止入侵，把危害降低到最小。这就需要入侵检测系统。入侵检测系统的定义n入侵检测系统(Intrusion Detection System,IDS)对进入网络的分组执行深度分组检查，当观察到可疑分组时，向网络管理员发出告警或执行阻断操作（由于IDS的“误报”率通常较高，多数情况不执行自动阻断）。nIDS能用于检测多种网络攻击，包括网络映射、端口扫描、DoS攻击、蠕虫和病毒、系统漏洞攻击等。两种入侵检测方法n入侵检测方法一般可以分为基于特征的入侵检测和基于异常的入侵检测两种。基于特征的入侵检测n基于特征的IDS维护一个所有已知攻击标志性特征的数据库。n每个特征是一个与某种入侵活动相关联的规则集，这些规则可能基于单个分组的首部字段值或数据中特定比特串，或者与一系列分组有关。n当发现有与某种攻击特征匹配的分组或分组序列时，则认为可能检测到某种入侵行为。n这些特征和规则通常由网络安全专家生成，机构的网络管理员定制并将其加入到数据库中。基于异常的入侵检测n基于特征的IDS只能检测已知攻击。基于异常的IDS可检测未知攻击。n基于异常的IDS通过观察正常运行的网络流量，学习正常流量的统计特性和规律，当检测到网络中流量某种统计规律不符合正常情况时，则认为可能发生了入侵行为。n但区分正常流和统计异常流是一个非常困难的事情。至今为止，大多数部署的IDS主要是基于特征的，尽管某些IDS包括了某些基于异常的特性。小结n防火墙n分组过滤路由器n应用级网关n个人防火墙n入侵检测系统n基于特征的入侵检测n基于异常的入侵检测