防火墙与入侵检测(一)防火墙基础知识课件

课程简介授课形式课程讲授+上机实习成绩给定办法期末考试成绩 70%到课、课堂作业、上机实习 30%上课时间2-16周 周三5-6节实验 第十二、十三、十四、十五周地点授课 10J317上机 12J214授课班级网络0901、0902、0903、09Q1课程简介授课形式1网络安全网络安全是指网络系统的软件、硬件及其存储的数据处于保护状态，网络系统不会由于偶然的或者恶意的冲击而受到破坏，网络系统能够连续可靠地运行。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论等多研究领域的综合性学科。凡是涉及网络系统的保密性、完整性、可用性和可控性的相关技术和理论都是网络安全的研究内容。网络安全网络安全是指网络系统的软件、硬件及其存储的数据处于保2防火墙建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中。特征：网络位置特性内部网络和外部网络之间的所有网络数据都必须经过防火墙工作原理特性只有符合安全策略的数据才能通过防火墙先决条件防火墙自身应具有非常强的扛攻击能力防火墙建立在现代通信网络技术和信息安全技术基础上的应用性安全3入侵检测80%以上的入侵来自于网络内部由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于来自内部网络的攻击，防火墙形同虚设入侵检测是对防火墙及其有益的补充在入侵攻击对系统发生危害前检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击在入侵攻击过程中，能减少入侵攻击所造成的损失在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加到知识库中，增强防范能力，避免系统再次受到入侵。入侵检测80%以上的入侵来自于网络内部4防火墙基础知识防火墙的定义 什么是防火墙防火墙的位置所处的逻辑位置和物理位置防火墙的理论特性和实际功能防火墙的规则防火墙的灵魂“过滤规则”防火墙的分类多种分类方法防火墙基础知识防火墙的定义 什么是防火墙5防火墙的定义 从广泛、宏观的意义上说，防火墙是隔离在内部网络与外部网络之间的一个防御系统。AT&T的工程师William Cheswick 和Steven Bellovin给出了防火墙的明确定义，他们认为防火墙是位于两个网络之间的一组构件或一个系统，具有以下属性：防火墙是不同网络或者安全域之间信息流的唯一通道，所有双向数据流必须经过防火墙。只有经过授权的合法数据，即防火墙安全策略允许的数据才可以通过防火墙。防火墙系统应该具有很高的抗攻击能力，其自身可以不受各种攻击的影响。简而言之，防火墙是位于两个(或多个)网络间，实施访问控制策略的一个或一组组件集合。防火墙的定义 从广泛、宏观的意义上说，防火墙是隔离在内部网络6防火墙的物理位置l 从设备部署位置上看，防火墙要部署在本地受保护区域与外部网络的交界点上。l 从具体的实现上看，防火墙运行在任何要实现访问控制功能的设备上。下图为防火墙在网络中的常见位置：防火墙的物理位置 从设备部署位置上看，防火墙要部署在本地受7防火墙的逻辑位置l 防火墙的逻辑位置指的是防火墙与网络协议相对应的逻辑层次关系。处于不同网络层次的防火墙实现不同级别的网络过滤功能，表现出来的特性也不同。l 所有防火墙均依赖于对ISO OSI/RM网络七层模型中各层协议所产生的信息流进行检查。一般说来，防火墙越是工作在ISO OSI/RM模型的上层，能检查的信息就越多，其提供的安全保护等级就越高。防火墙与网络层次关系如下表所示：防火墙的逻辑位置 防火墙的逻辑位置指的是防火墙与网络协议8防火墙的理论特性1 创建阻塞点创建阻塞点 根据美国国家安全局制定的信息保障技术框架，防火墙适用于网络系统的边界（network boundary），属于用户内部网络边界安全保护设备。所谓网络边界就是采用不同安全策略的两个网络连接位置。防火墙就是在网络的外边界或周边，在内部网络和外部网络之间建立的唯一一个安全控制检查点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。从而实现防止非法用户进入内部网络，禁止存在安全脆弱性的服务进出网络，并抵抗来自各种路线的攻击，进而提高被保护网络的安全性，降低风险。这样一个检查点被称为阻塞点。这是防火墙所处网络位置特性，同时也是一个前提。如果没有这样一个供监视和控制信息的点，系统管理员要在大量的地方来进行监测。在某些文献里，防火墙又被称为内部网络与外部网络之间的单联系点。需要注意的是，虽然存在着许多的多接入点网络，但是每个出口也都要有防火墙设备，因此从逻辑上看，防火墙还是内部网络与外部网络之间的唯一联系点。防火墙的理论特性1 创建阻塞点9防火墙的理论特性2 强化网络安全策略，提供集成功能强化网络安全策略，提供集成功能 防火墙设备所处的位置，正好为系统提供了一个多种安全技术的集成支撑平台。通过相应的配置，可以将多种安全软件，譬如口令检查、加密、身份认证、审计等，集中部署在防火墙上。与分散部署方案相比，防火墙的集中安全管理更经济、更加有效，简化了系统管理人员的操作，从而强化了网络安全策略的实行。防火墙的理论特性2 强化网络安全策略，提供集成功能10防火墙的实际功能1 包过滤 网络通信通过计算机之间的连接实现，而连接则是由两台主机之间相互传送的若干数据包组成。防火墙的基本功能之一就是对由数据包组成的逻辑连接进行过滤，即包过滤。数据包的过滤参数有很多，最基本的是通信双方的IP地址和端口号。随着过滤技术的不断发展，各层网络协议的头部字段以及通过对字段分析得到的连接状态等等内容都可以作为过滤技术考察的参数。包过滤技术也从早期的静态包过滤机制发展到动态包过滤、状态检测等机制。总的说来，现在的包过滤技术主要包括针对网络服务的过滤以及针对数据包本身的过滤。防火墙的实际功能1 包过滤11防火墙的实际功能2 代理 代理技术是与包过滤技术截然不同的另外一种防火墙技术。这种技术在防火墙处将用户的访问请求变成由防火墙代为转发，外部网络看不见内部网络的结构，也无法直接访问内部网络的主机。在防火墙代理服务中，主要有两种实现方式：一是透明代理（Transparent proxy），指内部网络用户在访问外部网络的时候，本机配置无需任何改变，防火墙就像透明的一样；二是传统代理，其工作原理与透明代理相似，所不同的是它需要在客户端设置代理服务器。相对于包过滤技术，代理技术可以提供更加深入细致的过滤，甚至可以理解应用层的内容，但是实现复杂且速度较慢。防火墙的实际功能2 代理12防火墙的实际功能3 网络地址转换 网络地址转换功能现在已经成为防火墙的标准功能之一。通过这项功能可以很好地屏蔽内部网络的IP地址，对内部网络用户起到保护作用；同时可以用来缓解由于网络规模需速增长而带来的地址空间短缺问题；此外还可以消除组织或机构在变换ISP时带来的重新编址的麻烦。下面描述一下从内部网络向外部网络建立连接时NAT工作的过程：1）防火墙对收到的内部访问请求进行过滤，决定允许该访问请求通过还是拒绝。2）NAT机制将请求中的源IP地址转换为防火墙处可以利用的一个公共IP地址。3）将变动后的请求信息转发往目的地。当从目的地返回的响应信息到达防火墙的接口时，防火墙执行如下步骤：1）NAT将响应数据包中的目的地址转换为发出请求的内部网络主机的IP地址。2）将该响应数据包发往发出请求的内部网络主机。防火墙的实际功能3 网络地址转换13防火墙的实际功能6 记录、报警、分析与审计 防火墙对于所有通过它的通信量以及由此产生的其它信息要进行记录，并提供日志管理和存储方法。具体内容如下：自动报表、日志报告书写器：防火墙实现报表自动化输出和日志报告功能。简要列表：防火墙按要求进行报表分类打印的功能。自动日志扫描：防火墙的日志自动分析和扫描功能。图表统计：防火墙进行日志分析后以图形方式输出统计结果。报警机制是在发生违反安全策略的事件后，防火墙向管理员发出提示通知的机制，各种现代通信手段都可以使用，包括E-mail、呼机、手机等。分析与审计机制用于监控通信行为，分析日志情况，进而查出安全漏洞和错误配置，完善安全策略。防火墙的日志记录量往往比较大，通常将日志存储在一台专门的日志服务器上。防火墙的实际功能6 记录、报警、分析与审计14防火墙的实际功能7 管理功能 防火墙的管理功能是将防火墙设备与系统整体安全策略下的其它安全设备联系到一起并相互配合、协调工作的功能，是实现一体化安全必不可少的要素。一般说来，防火墙的管理包括下列方面：根据网络安全策略编制防火墙过滤规则。配置防火墙运行参数。可以通过本地Console口配置、基于不同协议的远程网络化配置等方式进行。实现防火墙日志的自动化管理。就是实现日志文件的记录、转存、分析、再配置等过程的自动化和智能化。防火墙的性能管理。包括动态带宽管理、负载均衡、失败恢复等技术。也可以通过本地或者远程多种方式实现。防火墙的实际功能7 管理功能15防火墙的规则规则的作用：系统的网络访问政策。规则内容的分类：高级政策；低级政策。规则的特点：规则是系统安保策略的实现和延伸；与网络访问行为紧密相关；在严格安全管理和充分利用网络之间取得较好的平衡；防火墙可以实施各种不同的服务访问政策。规则的设计原则：拒绝访问一切未予特许的服务；允许访问一切未被特别拒绝的服务。解释规则的顺序问题：必须仔细考虑规则的顺序，防止出现系统漏洞。防火墙的规则规则的作用：系统的网络访问政策。16按防火墙采用的主要技术划分包过滤型代理型按防火墙采用的主要技术划分包过滤型17包过滤型包过滤型防火墙工作在ISO 7层模型的传输层以下，根据数据包头部各个字段进行过滤，包括源地址、端口号以及协议类型等。包过滤方式不针对具体的网络服务而是针对数据包本身进行过滤，适用于所有网络服务。目前大多数的路由器设备都集成了数据包过滤的功能，具有很高的性价比。包过滤方式也有明显的缺点：过滤判别条件有限，安全性不高；过滤规则数目的增加会极大地影响防火墙的性能；很难进行对用户身份进行验证；对安全管理人员素质要求高。包过滤型防火墙包括以下几种类型：静态包过滤防火墙 动态包过滤防火墙 状态检测（Stateful Inspection）防火墙 包过滤型包过滤型防火墙工作在ISO 7层模型的传输层以下，根18代理型代理型防火墙工作在ISO 7层模型的最高层应用层。它完全阻断了网络访问的数据流：它为每一种服务都建立了一个代理，内部网络与外部网络之间没有直接的服务连接，都必须通过相应的代理审核后再转发。代理型防火墙的优点是：工作在应用层上，可以对网络连接的深层的内容进行监控；它事实上阻断了内部网络和外部网络的连接，实现了内外网络的相互屏蔽，避免了数据驱动类型的攻击。代理型防火墙的缺点是：速度相对较慢，当网关处数据吞吐量较高时，防火墙就会成为瓶颈。代理型防火墙有如下几种类型：应用网关（Application Gateway）电路级网关（Circuit Proxy）自适应代理（Adaptive proxy）代理型代理型防火墙工作在ISO 7层模型的最高层应用层。19