計算機安全與保密技術(shù)第五章網(wǎng)絡(luò)安全

網(wǎng)箱及金

第五講積極防御

本講內(nèi)容

5.1訪問控制

5.2審計

5.3防火墻

5.4入侵檢測

5.5安全系統(tǒng)設(shè)計

5.1訪問控制_______

5.1.1安全服務(wù)的各個層面

?安全服務(wù)(SecurityServices):

開放某一層所提供的服務(wù)，用以保證系統(tǒng)

或數(shù)據(jù)傳輸足夠的安全性

根據(jù)ISO7498-2,安全服務(wù)包括：

1.實體認證(EntityAuthentication)

2.數(shù)據(jù)機密性(DataConfidentiality)

3.數(shù)據(jù)完整性(DataIntegrity)

4.防抵賴(Non-repudiation)

5.訪問控制(AccessControl)

5.L2訪問控制的概念及分類

原始概念----

是對進入系統(tǒng)的控制（用戶標識+口令/生物特性/

訪問卡）

一般概念----

是針對越權(quán)使用資源的防御措施。

一般分為：

?自主訪問控制

?強制訪問控制

?基于角色的訪問控制

5.1.3訪問控制的目的和作用

?目的：

是為了限制訪問主體（用戶、進程、服務(wù)

等）對訪問客體（文件、系統(tǒng)等）的訪問權(quán)限，

從而使計算機系統(tǒng)在合法范圍內(nèi)使用；決定用戶

能做什么，也決定代表一定用戶利益的程序能做

什么

?作用.

是對需要訪問系統(tǒng)及其數(shù)據(jù)的人進行鑒別,并

驗證其合法身份；也是進行記賬、審計等的前提

5.1.5訪問控制的一般實現(xiàn)機制和方法

一般實現(xiàn)機制——

?基于訪問控制屬性

——〉訪問控制表/矩陣

?基于用戶和資源分級（“安全標簽”）

——〉多級訪問控制

常見實現(xiàn)方法——

?訪問控制表（ACL）

?訪問能力表（Capabilities）

?授權(quán)關(guān)系表

3.訪問控制實現(xiàn)方法

——訪問控制矩陣

?按列看是訪問控制表內(nèi)容

?按行看是訪問能力表內(nèi)容

Objects

SubjectsOi02O3

SiRead/write

S2Write

S3ExecuteRead

4.訪問控制實現(xiàn)方法

——授權(quán)關(guān)系表

UserAOwnObjl

UserARObjl

UserAWObjl

UserAWObj2

UserARObj2

5.1.7常見相關(guān)工介紹一訪問控制（1）

>>Kerberos

開發(fā)者：BarrayJaspan

一個用于不安全物理網(wǎng)絡(luò)上的驗證原則有效性系統(tǒng)

原則=vPrimaryName,Instance,Realm>

主名事例領(lǐng)域

1.用戶：注冊標識符空或與用戶相區(qū)分不同的

_________________________關(guān)的特殊信息身份蛤訐域

2.服務(wù)：服務(wù)的名字機器名（所以可同時擁有

不同的K服務(wù)器）

常見相關(guān)工介紹一訪問控制（2）

>?其它常見工具軟件

□Deslogin-----開發(fā)者DaveBarrett

提供比Telnet,rlogin更強的安全認證功能，而且所有的數(shù)據(jù)都可

通過DES加密方式從遠程主機傳入或傳出，因此可允許用戶通

過不可靠的網(wǎng)絡(luò)訪問遠程主機，而不必擔(dān)心被竊聽

□DIAL-----開發(fā)者RogerTolkvEmulex

通過利用電話業(yè)務(wù)控制訪問者身份的回撥工具。即只有已經(jīng)授

權(quán)的用戶通過自己特定的電話號碼，才能夠通過駒證；一旦用

戶通過了身份認證，他這次的連接就會被掛斷，然后系統(tǒng)會按

照他撥入時所使用的電話號碼進行回撥用（C語言編寫的）

□CALLBACK.EXE

功能/原理和DIAL幾乎一致（用Fortran編寫）

5.1.8常見相關(guān)工具介紹單機訪問控制

訪問控制主要內(nèi)容典型工具軟件

Windows平臺桌面保護WindowsEnforcer

+CetusStormWindows

系統(tǒng)保護

UNIX平臺多層次權(quán)限管理GUARDIAN

（一般通過特權(quán)值）suGUARD

注：1.桌面保護包括隱藏桌面圖標/網(wǎng)上鄰居/所有的驅(qū)動程序等

2.系統(tǒng)保護包括屏蔽熱啟動/添刪打印機/進入DOS環(huán)境等

5.2審計

5.2.1問題的提出

/70%的安全問題起源于管理

,幾乎所有的安全事件的查處和追蹤依賴

系統(tǒng)事件記錄

/系統(tǒng)資源的改善需要歷史經(jīng)驗

5.2.2審計

口概念：

根據(jù)一定的策略，通過記錄、分析歷史操作事件發(fā)

現(xiàn)和改進系統(tǒng)性能和安全

□作用：

,對潛在的攻擊者起到震攝或警告

,對于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追糾證據(jù)

,為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志，從而幫助

系統(tǒng)管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞

5.2.3NT的安全審計

?在NT中可以對如下事件進行安全審計:

■登錄及注銷

■文件及對象訪問

■用戶權(quán)力的使用，用戶及組管理

■安全性規(guī)則更改

■重新啟動、關(guān)機系統(tǒng)

■進程追蹤等

NT安全審計方法_____________

□利用NT的用戶管理器，可以設(shè)置安全審計規(guī)則

要啟用安全審計功能，只需在規(guī)則菜單下選擇審

計，然后通過查看NT記錄的安全性事件類型的

事件，可以跟蹤所選用戶的操作。

□NT的審計規(guī)則如下（既可以審計成功的操作，

又可以審計失敗的操作）：

/登錄及注銷：登錄及注銷或連接到網(wǎng)絡(luò)

/文件及對象訪問

/用戶及組管理：創(chuàng)建、申改或刪除用戶帳號或組：改

命名、禁止或啟用用戶號；或設(shè)置和更改密碼

,安全性規(guī)則更改：對用戶權(quán)利、審計或委托關(guān)系規(guī)則

的改動

/重新啟動、關(guān)機：用戶重新啟動或關(guān)閉計算機；或者

發(fā)生了一個影響系統(tǒng)安全性或安全日志的事件

/進程追蹤：這些事件提供了關(guān)于事件的詳細跟蹤信息,

如程序活動、某些形式句柄的復(fù)制，間接對象的訪問

和退出進程

對于文件及對象訪問中的文件和目錄的審計還需要在

資源管理器中對要審計的目錄或文件進行具體的設(shè)置

，文件和目錄審計允許您跟蹤目錄和文件的用法。

對于一個具體的文件或目錄，可以指定要審計

的組、用戶或操作。既可以審計成功的操作，

又可以審計失敗的操作

，審計目錄可以選擇下列事件：讀、寫、執(zhí)行、

刪除、更改權(quán)限、獲得所有權(quán)

5.2.4NT日志文件—

□名稱：

/WINNT/SYSTEM32/CONFIG/

/SysEvent.evt

/SecEvent.evt

/AppEvent.evt

口打開工具：

□程序/管理工具/事件查看器

5.2.5UNTX的安全審計

Unix的日志文件

主要目錄：

/etc

/etc/security

/usr/adm早期版本

/var/adm近期版本

/var/log

主要文件：---------------

acctpacct記錄所有用戶使用過的文件

lastlog記錄最新登錄時間（成/敗）

message記錄syslog產(chǎn)生的輸出到控制臺的信息I

sulog使用su命令的記錄

utmp記錄當前登錄進系統(tǒng)的用戶信息

wtmp提供一份詳細每次用戶登錄和退出的歷

史信息文件

HOME/.shhistory用戶登錄進系統(tǒng)后執(zhí)行的所有命令

主要工具：_

Authd

Dump_lastlog

logdaemom

loginlog.c.Z

netlog

NOCOL/NetConsole

Spar

sunrogate-syslog

主要工具:

chklastlog

chkwtmp

trimlog

L5

tracerout

startUplog

supersave

bootlogger

inftp.pl

5.3防火墻

ATCP/IP基礎(chǔ)知識

＞防火墻

＞防火墻簡介

?幾種防火墻的類型

?防火墻的配置

?防火墻技術(shù)的發(fā)展

5.3.1TCP/IP協(xié)議棧

網(wǎng)絡(luò)展

r

協(xié)議棧各層數(shù)據(jù)包的結(jié)構(gòu)

ItI'應(yīng)用皎何

TCP凌

IP百部TCT年部應(yīng)用牧摳

IP收據(jù)出

【喑部「CP酋秘應(yīng)用數(shù)據(jù)以太網(wǎng)

1翻；以女網(wǎng)

20

以大M幀

46~”()0字節(jié)"

IP網(wǎng)絡(luò)互連的原理

?廣播子網(wǎng)內(nèi)部

AARP地址解析

□從MAC地址到IP地址之間的解析

A以太網(wǎng)絡(luò)間路由Elba

TCP也公

悔由塞

以天卿口太網(wǎng)I1U網(wǎng)加以好視

動程序劫程用

以太網(wǎng)以女網(wǎng)

IP數(shù)據(jù)包格式

0151631

4位4位首身?便服務(wù)類型

16位忐■長典字節(jié)數(shù))

版本長度(TOS)

3便

16位標識位片偏移

標志13

8位生存時間

16位首部檢驗和

(TFL)8位協(xié)議

32位源IP地址

32位目的IP地計

?.,'：■I

數(shù)據(jù)

濟

喘

@

府

城

d

e

m

TCP數(shù)據(jù)包格式

常用的上層協(xié)議

DNS:53/tcp,udp

FTP:20,21/tcp.udp

telnet:23/tcp,udp

HTTP:80/tcp,udp

NNTP:119/tcp?udp

SMTP:25/tcp,udp

POP3:110/tcp9udp

參考：lANA提供的port-numbers.txt

常用的網(wǎng)絡(luò)工

Netstat

Ipconfig/ifconfig

Ping

Tracert

5.3.2防火墻（Firewall）

A防火墻的基本設(shè)計目標

A對于一個網(wǎng)絡(luò)來說，所有通過“內(nèi)部”和“外部”

的網(wǎng)絡(luò)流量都要經(jīng)過防火墻

A通過一些安全策略，試圖確保只有經(jīng)過授權(quán)的流

量才可以通過防火墻

A防火墻本身必須建立在安全操作系統(tǒng)的基礎(chǔ)上

＞防火墻的控制能力

?服務(wù)控制，確定哪些服務(wù)可以被訪問

A方向控制，對于特定的服務(wù)，可以確定允許進/出

某個方向能夠通過防火墻

?用戶控制，根據(jù)用戶來控制對服務(wù)的訪問

A行為控制，控制一個特定的服務(wù)行為

1.防火墻能解決什幺

?定義一個必經(jīng)之節(jié)點

A擋住未經(jīng)授權(quán)的訪問流量

?禁止具有脆弱性的服務(wù)帶來的危害

?實施保護，以避免各種IP欺騙和路由攻擊

＞防火墻提供了一個監(jiān)視各種安全事件的位置,

可以在防火墻上實現(xiàn)審計和報警

?對于某些Interne助能來說，防火墻也可以是

一個理想的平臺，如地址轉(zhuǎn)換、Internet日志、

審計、計費等功能

2.防火墻自身的一些局限性

□對于繞過防火墻的攻擊，它無能為力，例如,

在防火墻內(nèi)部通過撥號出去

口防火墻不能防止內(nèi)部的攻擊，以及內(nèi)部人員

與外部人員的聯(lián)合攻擊（比如，通過tunnel進

入）

口防火墻不能防止被病毒感染的程序或者文件、

郵件等

□防火墻的性能要求

5.3.3包過濾路由器

＞基本思想

A對于每個進來的包，適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)

或者丟棄該包

?往往配置成雙向轉(zhuǎn)發(fā)

A如何過濾

?過濾的規(guī)則以IP和傳輸層的頭中的域（字段）為基礎(chǔ),

包括源和目標IP地址、IP協(xié)議域、源和目標端口號

A過濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則

中指定的條件來作出決定。

□如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄

□如果所有規(guī)則都不匹配，則根據(jù)缺省策略

2.包過濾路由器示意圖

5.3.4包過濾防火墻

＞在網(wǎng)絡(luò)層上進行監(jiān)測

＞并沒有考慮連接狀態(tài)信息

＞通常在路由器上實現(xiàn)

＞實際上是一種網(wǎng)絡(luò)的訪問控制機制

?優(yōu)點：

＞實現(xiàn)簡單

＞對用戶透明

＞效率高

＞缺點：

＞正確制定規(guī)則并不容易

＞不可能引入認證機制

?舉例：

＞ipchainsandiptables

1.包過濾防火墻的設(shè)置（1）

口由內(nèi)向外的telnet服務(wù)

clientserver

外部

>往外包的特性（用戶操作信>向內(nèi)包的特性（顯示信息）

息）

■IP源是server

■IP源是內(nèi)部地址■目標地址為內(nèi)部地址

■目標地址為server

■TCP協(xié)議，源端口23

TCP協(xié)議，目標端口23

■■目標端口>1023

■源端口

>1023■所有往內(nèi)的包都是ACK=1

■連接的第一個包ACK=0,

其他包ACK=1

包過濾防火墻的設(shè)置⑵

＞從外向內(nèi)的telnet服務(wù)

clientserver

￥

"

!

?

!

外部一

＞向內(nèi)包的特性（用戶操作信＞往外包的特性（顯示信息）

息）

■IP源是本地server

■IP源是外部地址■目標地址為外部地址

■目標地址為本地server

■TCP協(xié)議，源端口23

TCP協(xié)議，目標端口23

■■目標端口＞1023

■源端口＞

1023■所有往內(nèi)的包都是ACK=1

I連接的第一個包ACK=0,

其他包ACK=1

2.針對telnet服務(wù)的防火墻規(guī)則

服務(wù)方包方向源地址目標地包類型源端口目標端ACK

向址□_____

往外外內(nèi)部外部TCP>102323(*

往外內(nèi)外部內(nèi)部TCP23>10231

往內(nèi)外外部內(nèi)部TCP>102323*

往內(nèi)內(nèi)內(nèi)部外部TCP23>10231

*:第一個ACK=O,其他=1

針對ftp的包過濾規(guī)則

＞建立一組復(fù)雜的規(guī)則集

?是否允許正常模式的ftp數(shù)據(jù)通道？

?動態(tài)監(jiān)視即通道發(fā)出的port命令

?有一些動態(tài)包過濾防火墻可以做到

?啟示

?包過濾防火墻比較適合于單連接的服務(wù)（比如smtp,

pop3）,不適合于多連接的服務(wù)（比如ftp）

4.針對包過濾防火墻的攻擊

AIP地址欺騙，假冒內(nèi)部的IP地址

?對策：在外部接口上禁止內(nèi)部地址

?源路由攻擊，即由源指定路由

?對策：禁止這樣的選項

?小碎片攻擊，利用IP分片功能把TCP頭部切分

到不同的分片中

?對策：丟棄分片太小的分片

?利用復(fù)雜協(xié)議和管理員的配置失誤進入防火墻

?例如，利用即協(xié)議對內(nèi)部進行探查

5.3.5應(yīng)用層網(wǎng)關(guān)

A又稱為代理服務(wù)器

?特點

?所有的連接都通過防火墻，防火墻作為網(wǎng)關(guān)

?在應(yīng)用層上實現(xiàn)

?可以監(jiān)視包的內(nèi)容

?可以實現(xiàn)基于用戶的認證

?所有的應(yīng)用需要單獨實現(xiàn)

?可以提供理想的日志功能

?非常安全，但是開銷比較大

1.應(yīng)用層網(wǎng)關(guān)的結(jié)構(gòu)示意圖

Application-level

<D?atenav?

OutsideInside

connectionconnection

IELNET

Insidehost

OutsidehostSMTP

HTTP

2.應(yīng)用層網(wǎng)關(guān)的協(xié)議棧結(jié)構(gòu)

3,應(yīng)用層網(wǎng)關(guān)的優(yōu)缺點

?優(yōu)點

?允許用戶“直接”訪問Internet

?易于記錄日志

A缺點

A新的服務(wù)不能及時地被代理

?每個被代理的服務(wù)都要求專門的代理軟件

?客戶軟件需要修改，重新編譯或者配置

?有些服務(wù)要求建立直接連接，無法使用代理

./比如聊天服務(wù)、或者即時消息服務(wù)

A代理服務(wù)不能避免協(xié)議本身的缺陷或者限制

4.應(yīng)用層網(wǎng)關(guān)實現(xiàn)

＞編寫代理軟件

＞代理軟件一方面是服務(wù)器軟件

□但是它所提供的服務(wù)可以是簡單的轉(zhuǎn)發(fā)功能

?另一方面也是客戶軟件

□對于外面真正的服務(wù)器來說，是客戶軟件

＞針對每一個服務(wù)都需要編寫模塊或者單獨的程序

?實現(xiàn)一個標準的框架，以容納各種不同類型的服務(wù)

口軟件實現(xiàn)的可擴展性和可重用性

＞客戶軟件

＞軟件需要定制或者改寫

?對于最終用戶的透明性？

＞協(xié)議對于應(yīng)用層網(wǎng)關(guān)的處理

＞協(xié)議設(shè)計時考慮到中間代理的存在，特別是在考慮安全性,

比如數(shù)據(jù)完整性的時候

應(yīng)用層網(wǎng)關(guān)——代理服務(wù)器

>發(fā)展方向——智能代理

?不僅僅完成基本的代理訪問功能

?還可以實現(xiàn)其他的附加功能，比如

?對于內(nèi)容的自適應(yīng)剪裁

?增加計費功能

?提供數(shù)據(jù)緩沖服務(wù)

?兩個代理服務(wù)器的實現(xiàn)例子

AMSP—MicrosoftProxyServer

>squid

MicrosoftProxyServer2.0

＞一個功能強大的代理服務(wù)器

＞提供常用的Internet服務(wù)

■除了基本的WebProxy,還有SocksProxy和WinsockProxy

＞強大的cache和log功能

?對于軟硬件的要求比較低

＞安裝管理簡單

＞與NT/2000集成的認證機制

?擴展的一些功能

?反向proxy:proxy作為Internet上的一個Webserver

＞反向hosting,以虛擬WebServer的方式為后面的Web

Server獨立地發(fā)布到Internet上

＞安全報警

MicrosoftProxyServerv2管理示意圖

squid_______

>關(guān)于squid

?是一個功能全面的WebProxyCache

>可以運行在各種UNIX版本上

A是一個自由軟件，而且源碼開放

A功能強大，除了http協(xié)議之外，還支持許多其它的

協(xié)議，如加、sskDNS等代理服務(wù)

?管理和配置

>/usr/local/squid/etc/squid.conf

?默認端口3128

>一種使用方案

>Linux+Squid

5.3.6電路層網(wǎng)關(guān)

Circuit-level

gateway

Outside

connection

Outsidehost

Inside

connection.

Insidehost

1.電路層網(wǎng)關(guān)

?本質(zhì)上，也是一種代理服務(wù)器

A有狀態(tài)的包過濾器

?動態(tài)包過濾器

?狀態(tài)

?上下文環(huán)境

?流狀態(tài)

?認證和授權(quán)方案

?例子：socks

socks―

?專門設(shè)計用于防火墻

?在應(yīng)用層和傳輸層之間墊了一層

>Sockslib和socksserver

?不支持ICMP

>Socksv4和socksv5

A基于用戶的認證方案

A對UDP的支持

?正在普及和流行

A可以參考有關(guān)的RFC

socks

server

Socksserver

A

Socksv5_______

>在socksv4的基礎(chǔ)上發(fā)展起來

>Socksv4支持基于TCP的應(yīng)用穿越防火墻

>Socksv5增加了對于UDP協(xié)議的支持

>Socksv5增加了對于認證方案的支持

>Socksv5支持IPv6地址

>Socks要求

>修改客戶程序，鏈接到sockslibrary,以便socksified

>首先連接到socksserver,然后再同目標服務(wù)器連接

A對于UDP協(xié)議，首先同socksserver建立一個TCP連接，然

后再傳送UDP數(shù)據(jù)

2.TCP客戶的處理過程

?客戶首先與socksserver建立一個TCP連接，通

常SOCKS端口為1080

＞然后客戶與服務(wù)器協(xié)商認證方案

A然后進行認證過程

?認證完成之后

?客戶發(fā)出請求

?服務(wù)器送回應(yīng)答

?一旦服務(wù)器應(yīng)答指示成功，客戶就可以傳送

數(shù)據(jù)了

認證方案的協(xié)商

Client->Server：

+------+-------------------+-----------------+

IVER|NMETHODSlMETHODS|

+------+-------------------+-----------------+

|1|1|1to255|

+------+-------------------+-----------------+

：

Server->ClientMethod

+-----+---------------+X'OO：NoAuthenticationrequire

IVER|METHOD|

+-----+---------------+X'01：GSSAPI

H11IX'02:Username/password

+-----+---------------+

XFF：NoAcceptableMethods

客戶發(fā)出的請求

?MM?MMBBiBM?BM1^BMBMBBBMBM?BM?BMBM?BM?

|VER|CMD|RSV|ATYP|DST.ADDR|DST.PORT

?i^MM?IMHB?BM?MM1^?iM?BB?

|1|1|XP(F|1|Variable|2

?1^1^BMtMI?MB?MBBM?BBMB?BMBMHM?HMBM?

CMD：ATYP：

X*01：connectionX'01：IPv4

X'02:bindX'03：Domainname

X'03：UbPassociateX'04：IPv6

服務(wù)器的應(yīng)答

?MMam■■■■■■MmMM|MBHMaaaamMBI^B?aaaam■■■MBMB?MBKBMBBMMMBManas?anaaiMMaaiMOMMWBMBHMMMHM?HMMMaaiaaiMBaaaaaaBMMBI^BMMMM■■>BM?

|VER|REP|RSV|ATYP|BND.ADDR|BND.PORT

?BMMBMBBMBMDM?BM■■■MB■■MM?■■■MBHMMMBMMB1^?I^BBMBMMB?BMBHiMBMMHMBM■■■■■■BMBM■■■■■■■■■?■■■BM■■■■■■■(HM■■■BM■■■BMBM■■BMMBMBi?

|1|1|X，0(T|1|Variable|2|

?BMMBBM■■■?MB■■■MOMBBM1^?HBMBHOMBBMMBIM1^?BMMBIMBMBMBM?MBBMMBMB■■■■■■■■■■*IBMIBM■■MB■■■■■■■■■MB?MBMB■■■BM■■■■■>MHiMBMBKOMMMBMBMM?

REP

BND.ADDR&BND.PORT:

00：succeed

01：generalSOCKSserverfailureSpecifytheaddrandport

02:connectionnotallowedbyrulesetofthesocksserverwhich

03：networkunreachablewillacceptaninbound

04：hostunreachableconnection

05：connectionrefused

06：TTLexpired

07：Commandnotsupported

08：addresstypenotsupported

09-FF：notassigned

UDP客戶的處理過程

口請求命令為“UDPassociate55

口客戶->UDPrelayserver->目標機器

□每一個UDP包包含一個UDP請求頭

UDPpacket

+-------+-------+-------+--------------+-------------+-----------+

IRSV|FRAG|ATYP|DST.ADDR|DST.PORT|DATA|

+-------+-------+-------+--------------+-------------+-----------+

|2|1|1|Variable|2|Variable|

+-------+-------+-------+--------------+-------------+-----------+

FRAG：currentfragmentnumber

3.電路層網(wǎng)關(guān)的優(yōu)缺點

?優(yōu)點

?效率高

A精細控制，可以在應(yīng)用層上授權(quán)

＞為一般的應(yīng)用提供了一個框架

?缺點

?客戶程序需要修改

口動態(tài)鏈接庫？

5.3.7防火墻的酉己置

>幾個概念

A堡壘主機(BastionHost):對外部網(wǎng)絡(luò)暴露，同時

也是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點

A雙宿主主機(dual-homedhost):至少有兩個網(wǎng)絡(luò)接

口的通用計算機系統(tǒng)

>DMZ(DemilitarizedZone,非軍事區(qū)或者?；饏^(qū))：

在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個子網(wǎng)

防火墻幾種典型配置方案

?雙宿主方案

＞屏蔽主機方案

?單宿主堡壘主機

?雙宿主堡壘主機

?屏蔽子網(wǎng)方案

1.配置方案1

router

□雙宿主堡壘主機方案

口所有的流量都通過堡壘主機

□優(yōu)點：簡單

2.配置方案2

□屏蔽主機方案：單宿主堡壘主機

口只允許堡壘主機可以與外界直接通訊

口優(yōu)點：兩層保護：包過濾+應(yīng)用層網(wǎng)關(guān)；靈活配置

口缺點：一旦包過濾路由器被攻破，則內(nèi)部網(wǎng)絡(luò)被暴

(足=1各=1

3.配置方案3

filtering

router

口屏蔽主機方案：雙宿主堡壘主機

口從物理上把內(nèi)部網(wǎng)絡(luò)和Internet隔開，必須通過兩層屏

障

口優(yōu)點：兩層保護：包過濾+應(yīng)用層網(wǎng)關(guān)；配置靈活

4.配置方案4

?屏蔽子網(wǎng)防火墻

?優(yōu)點：

?三層防護，用來阻止入侵者

＞外面的router只向Interne曝露屏蔽子網(wǎng)中的主機

＞內(nèi)部的router只向內(nèi)部私有網(wǎng)暴露屏蔽子網(wǎng)中的主機

5.3.8防火墻的發(fā)展

?分布式防火墻

?應(yīng)用層網(wǎng)關(guān)的進一步發(fā)展

A認證機制

?智能代理

?與其他技術(shù)的集成

?比如NAT、VPN(IPSec).IDS,以及一些認證和訪

問控制技術(shù)

＞防火墻自身的安全性和穩(wěn)定性

5.3.9參考資料_____________

A書

>WilliamStallings,Cryptographyandnetwork

security:principlesandpractice,SecondEdition

>文章

>SOCKSProtocolVersion5,RFC1928

＞其他相關(guān)書籍

5.4入侵檢測(IDS:Intrusion

DetectionSystem)

?入侵檢測系統(tǒng)介紹

?入侵檢測系統(tǒng)分類

?入侵檢測系統(tǒng)常用的一些技術(shù)

＞入侵檢測系統(tǒng)的研究和發(fā)展

5.4.1IDS的用途

攻擊機制

實

時

入

侵'漏洞掃描

檢

測評估

加固

攻擊者

入侵檢測系統(tǒng)的實現(xiàn)過程

?信息收集，來源

?網(wǎng)絡(luò)流量

?系統(tǒng)日志文件

?系統(tǒng)目錄和文件的異常變化

?程序執(zhí)行中的異常行為

?信息分析

?模式匹配

?統(tǒng)計分析

?完整性分析，往往用于事后分析

5.4.2入侵檢測系統(tǒng)的種類

?基于主機

A安全操作系統(tǒng)必須具備一定的審計功能，并記錄

相應(yīng)的安全性日志

?基于網(wǎng)絡(luò)

AIDS可以放在防火墻或者網(wǎng)關(guān)的后面，以網(wǎng)絡(luò)嗅探

器的形式捕獲所有的對內(nèi)對外的數(shù)據(jù)包

?基于內(nèi)核

?從操作系統(tǒng)的內(nèi)核接收數(shù)據(jù)，比如LIDS

?基于應(yīng)用

＞從正在運行的應(yīng)用程序中收集數(shù)據(jù)

5.4.3IDS的技術(shù)____________

A異常檢測(anomalydetection)

?也稱為基于行為的檢測

?首先建立起用戶的正常使用模式，即知識庫

?標識出不符合正常模式的行為活動

?誤用檢測(misusedetection)

?也稱為基于特征的檢測

?建立起已知攻擊的知識庫

?判別當前行為活動是否符合已知的攻擊模式

1.異常檢測

＞比較符合安全的概