网络安全工程师考试.ppt

入侵检测 防火墙 是位于两个或多个网络之间 ， 执行访问控制策略的一个或一组系统 ， 是一类防范措施的总称 。 它可以有效地 保护本地系统或网络 ， 抵制外部网络安 全威胁 ， 同时支持受限的通过 WAN或 Internet对外界进行访问 。 防火墙 防火墙嵌入在局域网和 Internet连接的网关上 所有从内到外和从外到内的数据都必须通过防火墙 （ 物 理上阻塞其它所有访问 ） 只有符合安全政策的数据流才能通过防火墙 防火墙系统自身应对渗透 (peneration)免疫，（如一般 必须是一个安装了安全操作系统的可信任系统） 防火墙特征 防火墙对企业内部网实现了集中的安全管理 ， 可以强化网络安全策略 ， 比分散的主机管理更经济易行 防火墙能防止非授权用户进入内部网络 ， 有效地对抗外部网络入侵 由于所有的访问都经过防火墙 ， 防火墙成为审计和记录网络的访问和 使用的最佳地点 ， 可以方便地监视网络的安全性并报警 。 可以作为部署网络地址转换 （ Network Address Translation） 的地 点 ， 利用 NAT技术 ， 可以缓解地址空间的短缺 ， 隐藏内部网的结构 。 利用防火墙对内部网络的划分 ， 可以实现重点网段的分离 ， 从而限制 安全问题的扩散 。 防火墙可以作为 IPSec的平台 ， 可以基于隧道模式实现 VPN 。 防火墙的优点 为了提高安全性 ， 限制或关闭了一些有用但存在安全缺陷的网络服 务 ， 给用户带来使用的不便 。 防火墙不能对绕过防火墙的攻击提供保护 ， 如拨号上网等 。 不能对内部威胁提供防护支持 。 受性能限制 ， 防火墙对病毒传输保护能力弱 。 防火墙对用户不完全透明 ， 可能带来传输延迟 、 性能瓶颈及单点失 效 。 防火墙不能有效地防范数据内容驱动式攻击 。 作为一种被动的防护手段 ， 防火墙不能自动防范因特网上不断出现 的新的威胁和攻击 。 防火墙的局限性 为什么需要 IDS 不安全的防火墙设计 Internet Router Firewall Internet Modem 防火墙 路由器 内部网络 ISP Modem Computer Computer Computer Minicomputer 入侵检测系统（ IDS） 入侵（ Intrusion） : 企图进入或滥用计算机系统的行为。 入侵检测 （ Intrusion Detection）： 对系统的运行状态进行监视，发现各种攻击企图、 攻击行为或者攻击结果，以保证系统资源的机密 性、完整性和可用性 。 入侵检测系统（ Intrusion Detection System ） 进行入侵检测的软件与硬件的组合便是入侵检测 系统 入侵检测的分类（ 1） 按照分析方法（检测方法） 异常检测 （ Anomaly Detection ):首先总结正 常操作应该具有的特征（用户轮廓）， 当用户活 动与正常行为有重大偏离时即被认为是入侵 误用检测 （ Misuse Detection)：收集非正常操 作的行为特征，建立相关的特征库， 当监测的用 户或系统行为与库中的记录相匹配时，系统就认 为这种行为是入侵 入侵检测的分类 （ 2） 按照数据来源： 基于主机：系统获取数据的依据是系统运行所在 的主机，保护的目标也是系统运行所在的主机 基于网络：系统获取的数据是网络传输的数据包， 保护的是网络的运行 混合型 IDS 分类 网络入侵检测系统 (NIDS) -在网络中的某个节点上装有探测器来监测整个网络 (工作对 象基于网络 ) 特点： 1.拥有较低的成本 -在几个很少的监测点上进行配置就可以监控一 个网络中所发生的入侵行为 2.能监测主机 IDS所不能监测到的某些攻击 (如 DOS、 Teardrop) 通 过分析 IP包的头可以捕捉这些须通过分析包头才能发现的攻击 3.与操作系统无关性 -基于网络的 IDS与所监测的主机所运行的操 作系统无关，而主机 IDS则必须在特定的操作系统下才能运 行 4.检测未成功能攻击和不良意图 -与之相比，主机 IDS只能检测到成 功的攻击，而很多未成功的攻击对系统的风险评估成到关键的作用 5.实时检测和响应 -网络 IDS可以在攻击发生的同时将其检测出来， 并进行实时的报警和响应，而主机 IDS只能在可疑信息被记录下来后 才能做出响应，而这时，可以系统已被摧毁或主机 IDS已被摧毁 IDS 分类 主机入侵检测系统 (HIDS) -在网络中所监测的每台主机上都装有探测器 (工作对象基 于主 机 ) 特点： 1.确定攻击是否成功 -使用已发生的事件信息做为检测条件，比网 络 IDS更准确的判定攻击是否成功 2.系统行动监视的更好 -对于每一个用户 (尤其是系统管理员 )上 网 下网的信息、连入网络后的行为和所受到的入侵行为监测的 更为 详细，记录的更准确，相比之下，网络 IDS要想做到这一点存在 很大的难度 3.能够检测到网络 IDS检测不到的特殊攻击 -如某服务器上有人直 接对该机进行非法操作，网络 IDS不能检测出该攻击，而主 机 IDS则可以做到 4.适用于加密的环境 -在某些特殊的加密网络环境中，由于网络 IDS所需要的网络环境不能满足，所以在这种地方应用主机 IDS 就可以完成这一地方的监测任务 5.不需要额外的硬件设备 -与网络 IDS相比，不需要专用的硬件检 测系统，降低的硬件成本 IDS 分类 大规模分布式入侵检测系统 (DIDS) -系统中既包括网络探测器也包括主机探测器 (工作对象同时基 于网络和主机 ) 特点： 1.适用于大规模复杂的网络环境 -分层次、多级的分布的系统结 构适用于大规模的网络环境中 2.全面的检测方式更好的保护网络 -包含网络 IDS和主机 IDS两 种入侵检测系统的检测部分，更全面、更详细的监测网络及系 统动态。 入侵检测的分类（ 3） 按系统各模块的运行方式 集中式：系统的各个模块包括数据的 收集分析集中在一台主机上运行 分布式：系统的各个模块分布在不同 的计算机和设备上 入侵检测的分类（ 4） 根据时效性 脱机分析：行为发生后，对产生的数 据进行分析 联机分析：在数据产生的同时或者发 生改变时进行分析 IDS能做什么？ 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应（非常有限） 入侵响应系统（ IRS） 入侵响应（ Intrusion Response） ： 当检测到入侵或攻击时，采取适当的措 施阻止入侵和攻击的进行。 入侵响应系统（ Intrusion Response System） 实施入侵响应的系统 入侵响应系统分类（ 1） 按响应类型 报警型响应系统 人工响应系统 自动响应系统 入侵响应系统分类（ 2） 按响应方式： 基于主机的响应 基于网络的响应 入侵响应系统分类（ 3） 按响应范围 本地响应系统 协同入侵响应系统 响应方式（ 1） 记录安全事件 产生报警信息 记录附加日志 激活附加入侵检测工具 隔离入侵者 IP 禁止被攻击对象的特定端口 和服务 隔离被攻击对象 较温和 被动响应 介于温和 和严厉之间 主动响应 响应方式（ 2） 警告攻击者 跟踪攻击者 断开危险连接 攻击攻击者 较严厉 主动响应 自动响应系统的结构 响 应 决 策 响 应 执 行 响应决策 知识库 响应 工具库 安全事件 响应策略 响应命令 自动入侵响应总体结构 IDS部署方式 IDS 部署方式 NIDS的位置必须要看到所有数据包 共享媒介 HUB 交换环境 隐蔽模式 千兆网 分布式结构 探测器 控制中心 IDS 部署方式 共享式部署 HUB Monitored Servers Console IDS 部署方式 交换环境部署方式 Switch IDS Sensor Monitored Servers Console 通过端口镜像实现 （ SPAN / Port Monitor） IDS 部署方式 安全隐蔽模式 Switch Monitored Servers Console 不设 IP IDS 应用 与其它网络安全设备联动工作 全方位发挥 IDS的功能 -与其它安全设备的联动工作 1.与防火墙联动 IDS不能做最好的阻断 -IDS根据实时检测出的结果 调整防火墙来进行相应的阻断 2.与扫描器联动 IDS可以根据扫描器所做的扫描结果，对一点特殊系统做 重点监 测，也可让扫描器根据实时探测的结果做更详细的安全评 估 3.与其它一些安全设备联动工作以保障网络系统安全 IDS 应用 实际网络环境中的应用方式 在外部网络中设置 NIDS(放在防火墙前面 )，可以捕捉外部 攻击机的真实地址来源并调整防火墙进行相应的阻断 在内部网络中设置 NIDS(放在防火墙后面 )，可以捕捉内部 攻击机的真实地址来源 在所保护的主机上安装 HIDS，重点分析系统做接受的操作 及相应用户的系统行为，以弥补 NIDS的遗漏点 同时采用以上三种设置方式相结合能更好的保护网络安全，更全 面的监测所保护的网络系统 IDS 应用 NIDS应用的局限性 网络局限 1.交换机局限 -网络监听需要共享环境 ，主机的网络上多采用交换机，而很多 交换机不能提供镜像口，或所提供的镜像口不能满足需要 2.监听端口流量局限 -交换机的端口是全双工，例如百兆交换机的理论双向流量是 200兆，而监听端口只有 100兆，这样在双向流量大于 100兆的情 况下会造成丢包，同时如果利用一个端口监听其它多个端口时， 在网络流量大的情况下也可能造成丢包 IDS 应用 网络拓扑局限 1.特殊路由局限 -如果 IP源路由选项允许，可以通过精心设计 IP路由绕过 NIDS 2.MTU值的局限 -因为受保护的主机各式各样，其 MTU值设置也不会完全相 同，如果其中一些 MTU值设置的与 NIDS的 MTU值不同的话，可 以设置 MTU值处于两者之间，并且设置此包不会片，这样就使 NIDS收到的包与受保护主机收到的包不同，从而绕过 NIDS的检 测 3.TTL值的局限 -如果数据包到达 NIDS和主机的 HOP数不同，可以通过精心设 置 TTL值使得该包只能被受保护的主机收到而不能被 NIDS收到， 从而绕 过 NIDS的检测 产品是否可扩展 系统支持的传感器数目、最大数据库大小、传感器与 控制台之间通信带宽和对审计日志溢出的处理 该产品是否进行过攻击测 试 了解产品提供商提供的产品是否进行过攻击测试，明 确测试步骤和内容，主要关注本产品抵抗拒绝服务攻 击的能力 产品支持的入侵特征数 不同厂商对检测特征库大小的计算方法都不一样，尽量参考国际标准 特征库升级与维护的周期、 方式、费用 入侵检测的特征库需要不断更新才能检测出新出现的 攻击方法 最大可处理流量 一般有百兆、千兆、万兆之分 是否通过了国家权威机构 的测评 主要的权威测评机构有：国家信息安全测评认证中心、 公安部计算机信息系统安全产品质量监督检验中心 是否有成功案例 需要了解产品的成功应用案例，有必要进行实地考察和测试使用 系统的价格 性能价格比，以要保护系统的价值为主要的因素 入侵检测系统选择标准 IDS 技术的发展方向 1.分布式入侵检测 1)针对分布式攻击的检测方法 2)使用分布式的方法来检测分布式的攻击，关键技术为检 测信息的协同处理与入侵攻击的全局信息提取 2.智能化入侵检测 使用智能化的手法也实现入侵检测，现阶段常用的有神经网络、模糊 算法、遗传算法、免疫原理等技术 3.全面的安全防御方案 采用安全工程风险管理的理论也来处理网络安全问题，将网络安全做为 一个整体工程来处理，从管理、网络结构、防火墙、防病毒、入侵检测、 漏洞扫描等多方面对网结进行安全分析 随着网络技术的发展，还会有更多新技术应用到入侵检测系统中来 !