08-《网络安全基础》(课件)(3)-网络攻击与防御技术3-防火墙与入侵检测

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,*,*,*,1,内容提要, 计算机网络协议,攻击发展趋势,个人安全防范,系统安全防御,防火墙的基本概念，常见防火墙类型及如何使用规则集实现防火墙, 入侵检测系统的基本概念、入侵检测的常用方法,1,、,计算机网络组成,一个计算机网络应该有三个主要的组成部分：,若干个主机，它们向各用户提供服务；,一个通信子网，它由一些专用的结点交换机和连接这些结点的通信链路组成；,一系列协议，为在主机之间或主机与子网之间的通信而用。,城域网（,MAN,，,Metropolitan Area Network,）,城域网是在一个城市范围内所建立的计算机通信网。这是上世纪,80,年代末，在,LAN,的发展基础上提出的，在技术上与,LAN,有许多相似之处。,广域网（,WAN,，,Wide Area Network,）,广域网是在一个广泛地理范围内所建立的计算机通信网，简称,WAN,，其范围可以超越城市和国家以至全球，因而对通信的要求及复杂性都比较高。,互联网（,Internet,internetwork,）,又称因特网，是全球性的网，包括,WAN,、,MAN,、,LAN,等。,6,ISO/OSI,参考模型,TCP/IP,协议体系,计算机网络,体系结构,两种体系结构,计算机网络体系结构：计算机网络及其构件所应完成功能精确定义。体系结构是抽象的，但实现则具体的，是真正运行计算机硬件和软件。,ISO/OSI,参考模型是网络通信准则主要模型。尽管存在其他模型，但大多数网络供应商都将他们的产品和,OSI,参考模型关联起来。,OSI,网络体系结构示意图,1.2 OSI,参考模型及其安全,8,1.2 OSI,七层模型功能,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,1,2,3,4,5,6,7,提供应用程序接口,处理数据格式、数据加密等,建立、维护和管理会话,建立主机端到端连接和数据传输,路由选路和转发,提供介质访问、链路管理等,比特流传输,2024/9/12,OSI,安全体系,ISO/OSI,安全体系由,ISO7498-2,定义，包括：,五类安全服务,:,认证（鉴别）服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。,八大类安全机制,:,加密机制、数据签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制、公正机制。,三类安全管理：系统安全管理、安全管理服务和安全机制管理。,安全层次,9,开放系统互连安全体系结构,ISO 7498-2,10,11,TCP/IP,参考模型,TCP/IP,参考模型在计算机网络发展史上具有里程牌的意义。基于,TCP/IP,的,Internet,已发展成为世界上最大的国际性计算机互连网络。,TCP/IP,共有四层：应用层、传输层、,Internet,层和通信子网层。,TCP/IP,网络体系结构如图所示。,基于,TCP/IP,协议的网络体系结构,虚拟终端,文件传输,电子邮件,WEB,服务,传输控制,协议,TCP,用户数据报,协议,UDP,网络层,IP,，互联网控制协议,ICMP,，,ARP,电话网,卫星网,无线网,X.24,网,通信子网层,应用层,传输层,局域网,12,互联网各层协议之间的关系,发送数据,:,数据封装,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,data,TCP/UDP header,数据段,IP header,数据包,逻辑链路子层,物理链路子层,FCS,LLC,FCS,MAC,数据帧,0 1 1 0 0 0 1 1 0 1 0 1,Bit,在发送数据的时候，就是一个封装数据的过程,.,13,2024/9/12,数据封装,应用,TCP,IP,以太网驱动程序,用户数据,用户数据,App,头,TCP,头,TCP,头,IP,头,TCP,头,IP,头,Eth,头,Eth,尾,应用数据,(,块,),TCP,分节,IP,分组,以太网帧,以太网电缆,发送方,App,头,App,头,App,头,用户数据,用户数据,用户数据,接收数据,:,数据拆封,0 1 1 0 0 0 1 1 0 1 0 1,data,FCS,TCP,IP,LLC,MAC,在接收数据的时候，就是一个解封装数据的过成,.,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,逻辑链路子层,物理链路子层,数据段,数据包,数据帧,Bit,15,2024/9/12,应用数据（块）,数据解封,应用,TCP,IP,以太网驱动程序,用户数据,用户数据,App,头,TCP,头,IP,分组,Eth,头,Eth,尾,以太网帧,以太网电缆,接收方,IP,头,TCP,分节,IP,分组,TCP,分节,应用数据,(,块,),应用层,传输层,网络层,网络接口层,认证服务,访问控制,数据完整性,数据保密性,不可抵赖性,数据加密,数字签名,访问控制,数据完整性,实体认证,流量填充,路由控制,安全机制,TCP/IP,参考模型,安全服务,TCP/IP,安全体系,IEEE 802,标准,公证机制,2,、攻击,发展趋势,3,、个人,信息安全的防范技巧,不轻易运行不明真相的程序,屏蔽小甜饼（,Cookie ）,信息,不同的地方用不同的口令,屏蔽,ActiveX,控件,定期清除缓存、历史记录以及临时文件夹中的内容,不随意透露任何个人信息,突遇莫名其妙的故障时要及时检查系统信息,对机密信息实施加密保护,拒绝某些可能有威胁的站点对自己的访问,加密重要的邮件,在自己的计算机中安装防火墙,为客户/服务器通信双方提供身份认证，建立安全信道,尽量少在聊天室里或使用,OICQ,聊天,3,、个人信息安全的防范技巧,4,、防火墙,防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。,22,这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。,防火墙的定义,在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（,Internet,或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。,23,防火墙的功能,根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。,可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户,防止入侵者接近网络防御设施,限制内部用户访问特殊站点,24,防火墙的功能,由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如,Intranet,等种类相对集中的网络。,Internet,上的,Web,网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。,25,防火墙的局限性,防火墙有以下三方面的局限：,防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。,防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。,防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。,26,防火墙的分类,常见的放火墙有三种类型：,1,、分组过滤防火墙；,2,、应用代理防火墙；,3,、状态检测防火墙。,27,防火墙的分类,1,、分组过滤（,Packet Filtering,）：作用在协议组的,网络层和传输层,，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。,28,防火墙的分类,2,、应用代理（,Application Proxy,）：也叫应用网关（,Application Gateway,），它作用在应用层，其特点是完全,“,阻隔,”,网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。,29,防火墙的分类,3,、状态检测（,Status Detection,）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。,30,分组过滤防火墙,数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。,通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃,31,32,一个可靠的分组过滤防火墙依赖于规则集,组序号,动作,源,IP,目的,IP,源端口,目的端口,协议类型,1,允许,10.1.1.1,*,*,*,TCP,2,允许,*,10.1.1.1,20,*,TCP,3,禁止,*,10.1.1.1,20,1024,TCP,第一条规则：主机,10.1.1.1,任何端口访问任何主机的任何端口，基于,TCP,协议的数据包都允许通过。,第二条规则：任何主机的,20,端口访问主机,10.1.1.1,的任何端口，基于,TCP,协议的数据包允许通过。,第三条规则：任何主机的,20,端口访问主机,10.1.1.1,小于,1024,的端口，如果基于,TCP,协议的数据包都禁止通过。,用,WinRoute,创建包过滤规则,WinRoute,目前应用比较广泛，既可以作为一个服务器的防火墙系统，也可以作为一个代理服务器软件。目前比较常用的是,WinRoute4.1,，安装文件如图所示。,33,34,用,WinRoute,禁用,FTP,访问,FTP,服务用,TCP,协议，,FTP,占用,TCP,的,21,端口，主机的,IP,地址是,“,172.18.25.109,”,，首先创建规则如表所示。,组序号,动作,源,IP,目的,IP,源端口,目的端口,协议类型,1,禁止,*,172.18.25.109,*,21,TCP,35,利用,WinRoute,建立访问规则，如图所示。,36,设置访问规则以后，再访问主机,“,172.18.25.109,”,的,FTP,服务，将遭到拒绝，如图所示。,37,访问违反了访问规则，会在主机的安全日志中记录下来，如图所示。,38,用,WinRoute,禁用,HTTP,访问,HTTP,服务用,TCP,协议，占用,TCP,协议的,80,端口，主机的,IP,地址是,“,172.18.25.109,”,，首先创建规则如表所示。,组序号,动作,源,IP,目的,IP,源端口,目的端口,协议类型,1,禁止,*,172.18.25.109,*,80,TCP,39,利用,WinRoute,建立访问规则，如图所示。,40,打开本地的,IE,连接远程主机的,HTTP,服务，将遭到拒绝，如图所示。,41,访问违反了访问规则，所以在主机的安全日志中记录下来，如图所示。,应用代理防火墙,应用代理（,Application Proxy,）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此又被称为,“,应用网关,”,。,42,常见防火墙系统模型,常见防火墙系统一般按照四种模型构建：,筛选路由器模型,单宿主堡垒主机（屏蔽主机防火墙）模型,双宿主堡垒主机模型（屏蔽防火墙系统模型）,屏蔽子网模型。,43,筛选路由器模型,筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的,TCP/IP,的知识有相当的要求，如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。,44,单宿主堡垒主机模型,单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络安全性之前，必须首先渗透两种不同的安全系统。,45,双宿主堡垒主机模型,双宿主机即一台配有多个网络接口的主机，它可以用来在内部网络和外部网络之间进行寻址。双宿主堡垒主机模型可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。,46,屏蔽子网模型,屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了,“,中立区,”,(DMZ,，,Demilitarized Zone),网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、,Modem,组，以及其它公用服务器放在,DMZ,网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。,47,创建防火墙的步骤,成功的创建一个防火墙系统一般需要六步：,第一步：制定安全策略，,第二步：搭建安全体系结构，,第三步：制定规则次序，,第四步：落实规则集，,第五步：注意更换控制，,第六步：做好审计工作。,48,5,、入侵,检测,系统,入侵检测系统,IDS,（,Intrusion Detection System,）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。,49,入侵检测系统面临的挑战,一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的,“,正常,”,假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉。,50,误报,没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有四个方面。,1,、缺乏共享数据的机制,2,、缺乏集中协调的机制,3,、缺乏揣摩数据在一段时间内变化的能力,4,、缺乏有效的跟踪分析,51,入侵检测系统的类型和性能比较,根据入侵检测的信息来源不同，可以将入侵检测系统分为两类：,基于主机的入侵检测系统,基于网络的入侵检测系统。,52,入侵检测系统的类型和性能比较,基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。,53,入侵检测系统的类型和性能比较,基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。,54,入侵检测的方法,目前入侵检测方法有三种分类依据：,1,、根据物理位置进行分类。,2,、根据建模方法进行分类。,3,、根据时间分析进行分类。,常用的方法有三种：静态配置分析、异常性检测方法和基于行为的检测方法。,55,静态配置分析,静态配置分析通过检查系统的配置，诸如系统文件的内容，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（比如，系统配置信息）。,采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。,56,异常性检测方法,异常性检测技术分析异常特征，不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法。,建立正常行为模式的特征轮廓比较困难。,有经验的入侵者还可以通过缓慢地改变他的行为，改变用户正常行为模式，使其入侵行为逐步变为合法，避开使用异常性检测技术的的检测。,57,基于行为的检测方法,基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为，来检测系统中的入侵活动。,优点：,如果特征模式库中包含一个已知入侵行为的特征模式，就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。,58,案例,:,检测与端口关联的应用程序,网络入侵者都会连接到主机的某个非法端口，通过检查出与端口关联应用程序，可以进行入侵检测，这种方法属于静态配置分析。,59,利用工具软件,fport.exe,可以检查与每一端口关联的应用程序。,入侵检测的步骤,入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤：,信息收集,数据分析,响应。,60,信息收集,入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。,入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的信息。,61,数据分析,数据分析（,Analysis Schemes,）是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两类。,62,响应,数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。,1,、将分析结果记录在日志文件中，并产生相应的报告。,2,、触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。,3,、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。,63,案例,:,入侵检测工具：,BlackICE,BlackICE,是一个小型的入侵检测工具，在计算机上安全完毕后，会在操作系统的状态栏显示一个图标，当有异常网络情况的时候，图标就会跳动。,64,入侵检测工具：冰之眼,“,冰之眼,”,是,NSFOCUS,系列安全软件中一款专门针对网络遭受黑客攻击行为而研制的网络安全产品，该产品可最大限度地、全天候地监控企业级的安全。由于用户自身网络系统的缺陷、网络软件的漏洞以及网络管理员的疏忽等等，都可能使网络入侵者有机可乘，而系统遭受了攻击，就可能造成重要的数据、资料丢失，关键的服务器丢失控制权等。,65,操作系统指纹,通常,对某个操作系统的漏洞很熟悉，能很轻易地进入此操作系统的机器。一,个常见,的选项是,TCP/IP,上的指纹，带有,-O,选项决定 远程操作系统的类型。这可以和一个端口扫描结合使用，但不能和,ping,扫描结合使用。,Nmap,通过向主机发送不同类型的探测信号，缩小查找的操作系统系统 的范围。指纹验证,TCP,包括使用,FIN,探测技术发现目标机的响应类型。,BOGUS,的标志探测，发现远程主机对发送的带有,SYN,包的不明标志的反应，,TCP,初始,序列号,(ISN),取样发现,ISN,数值的样式，也可以用另外的方式决定远程操作系统,。,命令：,Nmap sS -O Pn 61.147.108.151,可以看到我们探测到了目标的操作系统,是,linux,，并且操作系统核心为,linux_kernel,2.6,，,linux,系统版本。,本章总结,本章介绍防御技术中的防火墙技术与入侵检测技术。重点理解防火墙的概念、分类、常见防火墙的系统模型及创建防火墙的基本步骤。,掌握使用,Winroute,创建简单的防火墙规则。,重点理解入侵检测系统的基本概念、检测的方法及入侵检测的步骤。,68,