防火墻與入侵檢測課件-002

第十章防火墻與入侵檢測011內(nèi)容提要本章介紹兩部分的內(nèi)容：防火墻和入侵檢測技術(shù)。介紹防火墻的基本概念，常見防火墻類型以及如何使用規(guī)則集實現(xiàn)防火墻。介紹入侵檢測系統(tǒng)的基本概念以及入侵檢測的常用方法如何使用工具實現(xiàn)入侵檢測。2防火墻的定義防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。3防火墻的定義這里所說的防火墻不是指為了防火而造的墻，而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。在互聯(lián)網(wǎng)上，防火墻是一種非常有效的網(wǎng)絡(luò)安全系統(tǒng)，通過它可以隔離風(fēng)險區(qū)域（Internet或有一定風(fēng)險的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時不會妨礙安全區(qū)域?qū)︼L(fēng)險區(qū)域的訪問，網(wǎng)絡(luò)防火墻結(jié)構(gòu)如圖所示。4防火墻的功能根據(jù)不同的需要，防火墻的功能有比較大差異，但是一般都包含以下三種基本功能?？梢韵拗莆词跈?quán)的用戶進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶防止入侵者接近網(wǎng)絡(luò)防御設(shè)施限制內(nèi)部用戶訪問特殊站點由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此適合于相對獨立的網(wǎng)絡(luò)，例如Intranet等種類相對集中的網(wǎng)絡(luò)。Internet上的Web網(wǎng)站中，超過三分之一的站點都是有某種防火墻保護的，任何關(guān)鍵性的服務(wù)器，都應(yīng)該放在防火墻之后。5防火墻的必要性隨著世界各國信息基礎(chǔ)設(shè)施的逐漸形成，國與國之間變得“近在咫尺”。Internet已經(jīng)成為信息化社會發(fā)展的重要保證。已深入到國家的政治、軍事、經(jīng)濟、文教等諸多領(lǐng)域。許多重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)帳、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息都通過網(wǎng)絡(luò)存貯、傳輸和處理。因此，難免會遭遇各種主動或被動的攻擊。例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪除和計算機病毒等。因此，網(wǎng)絡(luò)安全已經(jīng)成為迫在眉睫的重要問題，沒有網(wǎng)絡(luò)安全就沒有社會信息化6防火墻的局限性沒有萬能的網(wǎng)絡(luò)安全技術(shù)，防火墻也不例外。防火墻有以下三方面的局限：防火墻不能防范網(wǎng)絡(luò)內(nèi)部的攻擊。比如：防火墻無法禁止變節(jié)者或內(nèi)部間諜將敏感數(shù)據(jù)拷貝到軟盤上。防火墻也不能防范那些偽裝成超級用戶或詐稱新雇員的黑客們勸說沒有防范心理的用戶公開其口令，并授予其臨時的網(wǎng)絡(luò)訪問權(quán)限。防火墻不能防止傳送己感染病毒的軟件或文件，不能期望防火墻去對每一個文件進行掃描，查出潛在的病毒。7防火墻的分類常見的放火墻有三種類型：1、分組過濾防火墻；2、應(yīng)用代理防火墻；3、狀態(tài)檢測防火墻。分組過濾（PacketFiltering）：作用在協(xié)議組的網(wǎng)絡(luò)層和傳輸層，根據(jù)分組包頭源地址、目的地址和端口號、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過，只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地的出口端，其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。應(yīng)用代理（ApplicationProxy）：也叫應(yīng)用網(wǎng)關(guān)（ApplicationGateway），它作用在應(yīng)用層，其特點是完全“阻隔”網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。狀態(tài)檢測（StatusDetection）：直接對分組里的數(shù)據(jù)進行處理，并且結(jié)合前后分組的數(shù)據(jù)進行綜合判斷，然后決定是否允許該數(shù)據(jù)包通過。8分組過濾防火墻數(shù)據(jù)包過濾可以在網(wǎng)絡(luò)層截獲數(shù)據(jù)。使用一些規(guī)則來確定是否轉(zhuǎn)發(fā)或丟棄所各個數(shù)據(jù)包。通常情況下，如果規(guī)則中沒有明確允許指定數(shù)據(jù)包的出入，那么數(shù)據(jù)包將被丟棄9一個可靠的分組過濾防火墻依賴于規(guī)則集，下表列出了幾條典型的規(guī)則集：第一條規(guī)則：主機任何端口訪問任何主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過。第二條規(guī)則：任何主機的20端口訪問主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過。第三條規(guī)則：任何主機的20端口訪問主機小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過。組序號動作源IP目的IP源端口目的端口協(xié)議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP10用WinRoute創(chuàng)建包過濾規(guī)則WinRoute目前應(yīng)用比較廣泛，既可以作為一個服務(wù)器的防火墻系統(tǒng)，也可以作為一個代理服務(wù)器軟件，安裝文件如圖所示。11以管理員身份安裝該軟件，安裝完畢后，啟動“WinRouteAdministration”。12默認情況下，該密碼為空。點擊按鈕“OK”，進入系統(tǒng)管理。當(dāng)系統(tǒng)安裝完畢以后，該主機就將不能上網(wǎng)，需要修改默認設(shè)置，點擊工具欄圖標(biāo)，出現(xiàn)本地網(wǎng)絡(luò)設(shè)置對話框，然后查看“Ethernet”的屬性，將兩個復(fù)選框全部選中。13利用WinRoute創(chuàng)建包過濾規(guī)則，創(chuàng)建的規(guī)則內(nèi)容是：防止主機被別的計算機使用“Ping”指令探測。選擇菜單項“PacketFilter”。14在包過濾對話框中可以看出目前主機還沒有任何的包規(guī)則。15選中網(wǎng)卡圖標(biāo)，單擊按鈕“添加”。出現(xiàn)過濾規(guī)則添加對話框，所有的過濾規(guī)則都在此處添加。16因為“Ping”指令用的協(xié)議是ICMP，所以這里要對ICMP協(xié)議設(shè)置過濾規(guī)則。在協(xié)議下拉列表中選擇“ICMP”。17在“ICMPType”欄目中，將復(fù)選框全部選中。在“Action”欄目中，選擇單選框“Drop”。在“LogPacket”欄目中選中“LogintoWindow”，創(chuàng)建完畢后點擊按鈕“OK”，一條規(guī)則就創(chuàng)建完畢。18為了使設(shè)置的規(guī)則生效，點擊按鈕“應(yīng)用”。19設(shè)置完畢，該主機就不再響應(yīng)外界的“Ping”指令了，使用指令“Ping”來探測主機，將收不到回應(yīng)。20雖然主機沒有響應(yīng)，但是已經(jīng)將事件記錄到安全日志了。選擇菜單欄“View”下的菜單項“Logs>SecurityLogs”，查看日志紀錄。21案例用WinRoute禁用FTP訪問FTP服務(wù)用TCP協(xié)議，F(xiàn)TP占用TCP的21端口，主機的IP地址是“09”，首先創(chuàng)建規(guī)則如表所示。組序號動作源IP目的IP源端口目的端口協(xié)議類型1禁止*09*21TCP22利用WinRoute建立訪問規(guī)則。23設(shè)置訪問規(guī)則以后，再訪問主機“09”的FTP服務(wù)，將遭到拒絕。24訪問違反了訪問規(guī)則，會在主機的安全日志中記錄下來。25案例

用WinRoute禁用HTTP訪問HTTP服務(wù)用TCP協(xié)議，占用TCP協(xié)議的80端口，主機的IP地址是“09”，首先創(chuàng)建規(guī)則如表所示。組序號動作源IP目的IP源端口目的端口協(xié)議類型1禁止*09*80TCP26利用WinRoute建立訪問規(guī)則。27打開本地的IE連接遠程主機的HTTP服務(wù)，將遭到拒絕。28訪問違反了訪問規(guī)則，所以在主機的安全日志中記錄下來。29應(yīng)用代理防火墻應(yīng)用代理（ApplicationProxy）是運行在防火墻上的一種服務(wù)器程序，防火墻主機可以是一個具有兩個網(wǎng)絡(luò)接口的雙重宿主主機，也可以是一個堡壘主機。代理服務(wù)器被放置在內(nèi)部服務(wù)器和外部服務(wù)器之間，用于轉(zhuǎn)接內(nèi)外主機之間的通信，它可以根據(jù)安全策略來決定是否為用戶進行代理服務(wù)。代理服務(wù)器運行在應(yīng)用層，因此又被稱為“應(yīng)用網(wǎng)關(guān)”。30常見防火墻系統(tǒng)模型常見防火墻系統(tǒng)一般按照四種模型構(gòu)建：篩選路由器模型單宿主堡壘主機（屏蔽主機防火墻）模型雙宿主堡壘主機模型（屏蔽防火墻系統(tǒng)模型）屏蔽子網(wǎng)模型31篩選路由器模型篩選路由器模型是網(wǎng)絡(luò)的第一道防線，功能是實施包過濾。創(chuàng)建相應(yīng)的過濾策略時對工作人員的TCP/IP的知識有相當(dāng)?shù)囊?，如果篩選路由器被黑客攻破那么內(nèi)部網(wǎng)絡(luò)將變的十分的危險。該防火墻不能夠隱藏你的內(nèi)部網(wǎng)絡(luò)的信息、不具備監(jiān)視和日志記錄功能。典型的篩選路由器模型如圖所示。32單宿主堡壘主機模型單宿主堡壘主機（屏蔽主機防火墻）模型由包過濾路由器和堡壘主機組成。該防火墻系統(tǒng)提供的安全等級比包過濾防火墻系統(tǒng)要高，因為它實現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。所以入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。單宿主堡壘主機的模型如圖所示。33雙宿主堡壘主機模型雙宿主堡壘主機模型（屏蔽防火墻系統(tǒng)）可以構(gòu)造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機有兩種網(wǎng)絡(luò)接口但是主機在兩個端口之間直接轉(zhuǎn)發(fā)信息的功能被關(guān)掉了。在物理結(jié)構(gòu)上強行將所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過堡壘主機。雙宿主堡壘主機模型如圖所示。34屏蔽子網(wǎng)模型屏蔽子網(wǎng)模型用了兩個包過濾路由器和一個堡壘主機。它是最安全的防火墻系統(tǒng)之一，因為在定義了“中立區(qū)”(DMZ，DemilitarizedZone)網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機、信息服務(wù)器、Modem組，以及其它公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。如果黑客想突破該防火墻那么必須攻破以上三個單獨的設(shè)備，模型如圖所示。35創(chuàng)建防火墻的步驟成功的創(chuàng)建一個防火墻系統(tǒng)一般需要六步：第一步：制定安全策略第二步：搭建安全體系結(jié)構(gòu)第三步：制定規(guī)則次序第四步：落實規(guī)則集第五步：注意更換控制第六步：做好審計工作36入侵檢測系統(tǒng)的概念入侵檢測系統(tǒng)IDS（IntrusionDetectionSystem）指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對系統(tǒng)資源的非授權(quán)使用能夠做出及時的判斷、記錄和報警。37入侵檢測系統(tǒng)面臨的挑戰(zhàn)一個有效的入侵檢測系統(tǒng)應(yīng)限制誤報出現(xiàn)的次數(shù)，但同時又能有效截擊。誤報是指被入侵檢測系統(tǒng)測報警的是正常及合法使用受保護網(wǎng)絡(luò)和計算機的訪問。誤報是入侵檢測系統(tǒng)最頭疼的問題，攻擊者可以而且往往是利用包的結(jié)構(gòu)偽造無威脅的“正?！奔倬瘓螅T導(dǎo)沒有警覺性的管理員人把入侵檢測系統(tǒng)關(guān)掉。38誤報沒有一個入侵檢測能無敵于誤報，因為沒有一個應(yīng)用系統(tǒng)不會發(fā)生錯誤，原因主要有四個方面。1、缺乏共享數(shù)據(jù)的機制2、缺乏集中協(xié)調(diào)的機制3、缺乏揣摩數(shù)據(jù)在一段時間內(nèi)變化的能力4、缺乏有效的跟蹤分析39入侵檢測系統(tǒng)的類型和性能比較根據(jù)入侵檢測的信息來源不同，可以將入侵檢測系統(tǒng)分為兩類：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。1、基于主機的入侵檢測系統(tǒng)：主要用于保護運行關(guān)鍵應(yīng)用的服務(wù)器。它通過監(jiān)視與分析主機的審計記錄和日志文件：來檢測入侵。日志中包含發(fā)生在系統(tǒng)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序。2、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)：主要用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它監(jiān)聽網(wǎng)絡(luò)上的所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。40入侵檢測的方法目前入侵檢測方法有三種分類依據(jù)：根據(jù)物理位置進行分類根據(jù)建模方法進行分類根據(jù)時間分析進行分類常用的方法有三種：靜態(tài)配置分析異常性檢測方法基于行為的檢測方法41靜態(tài)配置分析靜態(tài)配置分析通過檢查系統(tǒng)的配置，諸如系統(tǒng)文件的內(nèi)容，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征（比如，系統(tǒng)配置信息）。采用靜態(tài)分析方法主要有以下幾方面的原因：入侵者對系統(tǒng)攻擊時可能會留下痕跡，可通過檢查系統(tǒng)的狀態(tài)檢測出來。42異常性檢測方法異常性檢測技術(shù)是一種在不需要操作系統(tǒng)及其安全性缺陷的專門知識的情況下，就可以檢測入侵者的方法，同時它也是檢測冒充合法用戶的入侵者的有效方法。在許多環(huán)境中，為用戶建立正常行為模式的特征輪廓以及對用戶活動的異常性進行報警的門限值的確定都是比較困難的事。因為并不是所有入侵者的行為都能夠產(chǎn)生明顯的異常性，所以在入侵檢測系統(tǒng)中，僅使用異常性檢測技術(shù)不可能檢測出所有的入侵行為。而且，有經(jīng)驗的入侵者還可以通過緩慢地改變他的行為，來改變?nèi)肭謾z測系統(tǒng)中的用戶正常行為模式，使其入侵行為逐步變?yōu)楹戏?，這樣就可以避開使用異常性檢測技術(shù)的入侵檢測系統(tǒng)的檢測。43基于行為的檢測方法基于行為的檢測方法通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或者是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的入侵活動。基于入侵行為的入侵檢測技術(shù)的優(yōu)勢：如果檢測器的入侵特征模式庫中包含一個已知入侵行為的特征模式，就可以保證系統(tǒng)在受到這種入侵行為攻擊時能夠把它檢測出來。但是，目前主要是從已知的入侵行為以及已知的系統(tǒng)缺陷來提取入侵行為的特征模式，加入到檢測器入侵行為特征模式庫中，來避免系統(tǒng)以后再遭受同樣的入侵攻擊。44入侵檢測的步驟入侵檢測系統(tǒng)的作用是實時地監(jiān)控計算機系統(tǒng)的活動，發(fā)現(xiàn)可疑的攻擊行為，以避免攻擊的發(fā)生，或減少攻擊造成的危害。由此也劃分了入侵檢測的三個基本步驟：信息收集數(shù)據(jù)分析響應(yīng)45信息收集入侵檢測的第一步就是信息收集，收集的內(nèi)容包括整個計算機網(wǎng)絡(luò)中系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。入侵檢測在很大程度上依賴于收集信息的可靠性、正確性和完備性。因此，要確保采集、報告這些信息的軟件工具的可靠性，這些軟件本身應(yīng)具有相當(dāng)強的堅固性，能夠防止被篡改而收集到錯誤的信息。否則，黑客對系統(tǒng)的修改可能使入侵檢測系統(tǒng)功能失常但看起來卻跟正常的系統(tǒng)一樣。46數(shù)據(jù)分析數(shù)據(jù)分析（AnalysisSchemes）是入侵檢測系統(tǒng)的核心，它的效率高低直接決定了整個入侵檢測系統(tǒng)的性能。根據(jù)數(shù)據(jù)分析的不同方式可將入侵檢測系統(tǒng)分為異常入侵檢測與誤用入侵檢測兩類。47響應(yīng)數(shù)據(jù)分析發(fā)現(xiàn)入侵跡象后，入侵檢測系統(tǒng)的下一步工作就是響應(yīng)。而響應(yīng)并不局限于對可疑的攻擊者。目前的入侵檢測系統(tǒng)一般采取下列響應(yīng)。1、將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應(yīng)的報告。2、觸發(fā)警報：如在系統(tǒng)管理員的桌面上產(chǎn)生一個告警標(biāo)志位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件等等。3、修改入侵檢測系統(tǒng)或目標(biāo)系統(tǒng)，如終止進程、切斷攻擊者的網(wǎng)絡(luò)連接，或更改防火墻配置等。48案例

入侵檢測工具：BlackICEBlackICE是一個小型的入侵檢測工具，在計算機上安全完畢后，會在操作系統(tǒng)的狀態(tài)欄顯示一個圖標(biāo)，當(dāng)有異常網(wǎng)絡(luò)情況的時候，圖標(biāo)就會跳動。49可以查看主機入侵的信息，選擇屬性頁“Intruders”。50入侵檢測工具：冰之眼“冰之眼”網(wǎng)絡(luò)入侵檢測系統(tǒng)是NSFOCUS系列安全軟件中一款專門針對網(wǎng)絡(luò)遭受黑客攻擊行為而研制的網(wǎng)絡(luò)安全產(chǎn)品，該產(chǎn)品可最大限度地、全天候地監(jiān)控企業(yè)級的安全。由于用戶自身網(wǎng)絡(luò)系統(tǒng)的缺陷、網(wǎng)絡(luò)軟件的漏洞以及網(wǎng)絡(luò)管理員的疏忽等等，都可能使網(wǎng)絡(luò)入侵者有機可乘，而系統(tǒng)遭受了攻擊，就可能造成重要的數(shù)據(jù)、資料丟失，關(guān)鍵的服務(wù)器丟失控制權(quán)等。51使用“冰之眼”，系統(tǒng)管理人員可以自動地監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)流、主機的日志等，對可疑的事件給予檢測和響應(yīng),在內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的主機和網(wǎng)絡(luò)遭受破壞之前阻止非法的入侵行為。52管理員可以添加主機探測器來檢測系統(tǒng)是否被入侵，選擇菜單欄“網(wǎng)絡(luò)”下的菜單項“添加探測器”，可以添加相關(guān)的探測器。53

APPDRR模型

APPDRR模型

網(wǎng)絡(luò)安全的動態(tài)防護可以依賴于APPDRR模型。APPDRR模型認為