资源描述
,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版标题样式,xx,年,xx,月,xx,日,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,xx,年,xx,月,xx,日,*,*,xx,年,xx,月,xx,日,*,*,xx,年,xx,月,xx,日,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,防火墙、,IDSIPS,、漏洞扫描的基础知识,主要内容,防火墙,IDS,IPS,漏洞扫描,防火墙的基本概念(一),防火墙是位于两个,(,或多个,),网络间,实施网络间访问控制的一组组件的集合。防火墙的英文名为,“,FireWall,”,,它是最重要的网络防护设备之一。,通常意义上的防火墙: ,不同安全级别的网络或安全域之间的唯一通道,只有被防火墙策略明确授权的通信才可以通过 ,系统自身具有高安全性和高可靠性,防火墙的基本概念(二),网络边界,即是采用不同安全策略的两个网络连接处,比如用户网络和因特网之间连接、和其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。,(1),不同安全级别的网络或安全域之间的唯一通道,防火墙的目的,就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。,防火墙的基本概念(三),(2),只有被防火墙策略明确授权的通信才可以通过,防火墙的基本概念(四),(3),系统自身具有高安全性和高可靠性,防火墙自身应具有非常强的抗攻击免疫力。,防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其他应用程序在防火墙上运行。,一般采用,Linux,、,UNIX,或,FreeBSD,系统作为支撑其工作的操作系统。,防火墙在网络中的位置,安装防火墙以前的网络,安装防火墙后的网络,防火墙在网络中的位置,DMZ,是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的,一个非安全系统与安全系统之间的缓冲区,,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,,在这个小网络区域内可以放置一些必须公开的服务器设施,,如企业,Web,服务器、,FTP,服务器和论坛等。,通过这样一个,DMZ,区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。这样,不管是外部还是内部与对外服务器交换信息数据也要通过防火墙,实现了真正意义上的保护。,DMZ,区,(,demilitarized zone,,也称非军事区,),防火墙的功能,防火墙并不能为网络防范一切,也不应该把它作为对所有安全问题的一个最终解决方案,所以懂得哪些工作是防火墙能做的非常重要:,(,1,)实现安全策略,(,2,)创建一个阻塞点,(,3,)记录网络活动,(,4,)限制网络暴露,1.,实现安全策略,安全策略对哪些人和哪些行为被允许做出规定。如一个常见的安全策略是允许任何人访问公司服务器上的,Web,站点,但是不允许,telnet,登陆到服务器上。,防火墙可以使用的两种基本的安全策略:,规则规定拒绝哪些访问,允许其余没规定的访问,规则规定允许哪些访问,拒绝其余没规定的访问,为了得到较高的安全性,一般采用第,2,个策略。,2.,创建一个阻塞点,防火墙在一个公司私有网络和分网间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。在该检查点防火墙设备就可以监视,过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。,没有防火墙,分散管理,效率低下 使用防火墙,集中管理,高效率,3.,记录网络活动,例如,通过查看安全日志,管理员可以找到非法入侵的相关纪录,从而可以做出相应的措施。,防火墙还能够监视并记录网络活动,并且提供警报功能。通过防火墙记录的数据,管理员可以发现网络中的各种问题。,4.,限制网络暴露,防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。,例如,防火墙的,NAT,功能可以隐藏内部的,IP,地址;,代理服务器防火墙可以隐藏内部主机信息。,防火墙不能保护什么,除了懂得防火墙能保护什么非常重要外,懂得防火墙不能保护什么也是同等重要:,1.,病毒与特洛伊木马,2.,社会工程,3.,物理故障,4.,不当配置和内部攻击,防火墙不能保护什么,总体来说,除了不能防止物理故障等错误外,防火墙本身并不能防范经过授权的东西,如内部员工的破坏等。,例如,员工接收了一封包含木马的邮件,木马是以普通程序的形式放在了附件里,防火墙不能避免该情况的发生。,防火墙的分类,按工作方式分类:,防火墙的工作方式主要分,包过滤型,和,应用代理型,两种。,1.,包过滤防火墙,简述:包过滤防火墙检查每一个通过的网络包,决定或者丢弃,或者放行,取决于所建立的一套规则。,地位:是第一代防火墙和最基本形式防火墙,是目前建立防火墙系统首先要使用的部件,和其他技术配合使用能得到较好的效果。,产品:通常使用路由器或双网卡的主机来完成包过滤防火墙功能,当然,许多防火墙硬件产品也都提供了包过滤功能。,router dualhomed-host firewall,1.,包过滤防火墙,1.,包过滤防火墙,简单规则例子,只允许访问外网,WEB,站点,目前,路由器都有建立访问列表(,ACL,)的功能,使用相关的命令就可以建立如上表所示的规则。,1.,包过滤防火墙,简单规则例子,只允许访问外网,WEB,站点,前面的规则只允许内网主机访问外网的,Web,网站,此外不允许任何其他的数据交换。,请求浏览,满足规则,1,允许通过,WWW.NCIAE.EDU.CN,回应的网页,满足规则,2,允许通过,Telnet,登录外网主机,根据规则,3,拒绝通过,1.,包过滤防火墙,包过滤防火墙优缺点,包过滤防火墙优点:,包过滤是“免费的”,大多数路由器具有该功能;,无需修改客户端和服务器端程序;,非常容易创建阻塞点;,包过滤防火墙缺点:,配置困难,特别是需要设置复杂规则时;,只能检测有限的信息,不能检测应用层的内容;,安全性较低,发生故障或配置错误时容易让数 据直接通过;,2.,应用代理防火墙,简述:应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。,应用代理型防火墙,(Application Proxy),是工作在,OSI,的最高层,即应用层。其特点是完全,“,阻隔,”,了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。,如果不为特定的应用程序安装代理程序代码,这种服务是不会被支持的,不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接,从而提供了额外的安全性和控制性。,代理服务器工作原理,应用代理型防火墙,(Application Proxy),是工作在,OSI,的最高层,即应用层。,应用代理防火墙优缺点,应用代理防火墙的优点:,理解应用的具体内容,;,防止对外网暴露内网,;,安全性比包过滤防火墙高,;,应用代理防火墙的缺点:,相对而言,速度较低,;,每一种应用都需要特定的代理,;,主要内容,防火墙,IDS,IPS,漏洞扫描,IDS,定义,美国国际计算机安全协会,ICSA,对入侵检测的定义是:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。功能,:,1.,监测并分析用户和系统的活动;,2.,核查系统配置和漏洞,3.,评估系统关键资源和数据文件的完整性,4.,识别已知的攻击行为,5.,统计分析异常行为,6.,对操作系统进行日志管理,并识别违反安全策略的用户活动,IDS,工作过程,(,1,)信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。,(,2,)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。,续,3,)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。其绝大多数响应机制分为,:, TCP,拦截,-,通过发带,RST,置位的,TCP,数据包给源目,IP,,马上终止连接;, IP,拦阻,-,在特定时间内,通过和其它设备的联动,产生,ACL,阻止来自攻击主机的数据包,产生的,ACL,会应用到联动设备上,;,如防火墙、路由器、交换机等;,记录,-,捕获与攻击相关的数据包;,访问限制,-,对访问的内容进行限制;,IDS,分类,根据系统所监测的对象分类,基于主机的,IDS,(,HIDS,):主要用于保护运行关键应用的服务器。一般通过监视与分析系统的事件、安全日志以及,syslog,文件。一旦发现这些文件发生任何变化,,IDS,将比较新的日志记录与攻击特征以发现它们是否匹配。如果匹配的话,检测系统就向管理员发出入侵报警并且发出采取相应的行动。基于主机的,IDS,的主要优势有: 非常适用于加密和交换环境。实时的检测和应答,不需要额外的硬件。,缺点:它可针对不同系统的特点判断应用层的入侵事件,但占用主机资源,给服务器产生额外的负载,而且缺乏跨平台支持,可移值性差,因而应用范围受到限制。,续,基于网络的,IDS,(,NIDS,):基于网络的,IDS,使用原始的网络分组数据包,】,(,IP,包、,TCP,段)作为进行攻击分析的数据源,一般利用一个网络适配器来,实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,,IDS,应答,模块通过通知、报警以及中断连接等方式来对攻击作出反应。基于网络的入,侵检测系统的主要优点有:,成本低。攻击者转移证据很困难。实时检测和应答。一旦发生恶意访问或攻,击,基于网络的,IDS,检测可以随时发现它们,因此能够更快地作出反应。从,而将入侵活动对系统的破坏减到最低。能够检测未成功的攻击企图。操作系,统独立。基于网络的,IDS,并不依赖主机的操作系统作为检测资源。而基于主,机的系统需要特定的操作系统才能发挥作用。,缺点:只能监控经过本网段的活动,精确度不高,在交换环境下难以配置。,IDS,模型,主要内容,防火墙,IDS,IPS,漏洞扫描,IPS,定义,侵入保护(阻止)系统(,IPS,)是新一代的侵入检测系统(,IDS,),可弥补,IDS,存在于前摄及假阳性,/,阴性等性质方面的弱点。,IPS,能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。,IPS,工作原理,IPS,与,IDS,在检测方面的原理相同,它首先由信息采集模块从入侵源实施信息收集,内容包括系统、网络、数据以及用户活动的状态和行为。入侵检测利用的信息一般来自系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息等,4,个方面;然后入侵防护系统利用模式匹配、协议分析、统计分析和完整性分析等技术手段,由信号分析模块对收集到的有关系统、网络、数据以及用户活动的状态和行为等信息进行分析;最后由反应模块对采集、分析后的结果作为相应的反应。,真正的,IPS,与传统的,IDS,有两点关键区别:自动阻挡拦截和在线运行,两者缺一不可,IPS,分类,网络型入侵防护系统(,NIPS,),采用在线方式模式,在网络中起到一道关卡作用,实现实时防御,但,是它仍然无法检测出具有特定类型的攻击,误报率较高。,主机型入侵防护系统(,HIPS,),预防黑客对关键资源的入侵,通常由代理和数据管理器组成,采用类,似,IDS,异常检测的方法。这种基于主机环境的防御有效,容易发现新,的攻击方式,但配置非常困难。,应用型入侵防护系统(,AIPS,),它是基于主机的入侵防护系统扩展成为位于应用服务器之前的网络设,备,用来保护特定应用服务的网络设备。防止基于应用协议漏洞和设,计缺陷的恶意攻击。,项目,IDS,IPS,部署方式,旁路部署,在线部署,对网络设备要求,依赖于网络设备的流量镜像,不依赖网络设备,响应方式,主要是告警,主要是阻断加告警,也可设置为仅告警,实现思路,粗放检测、粗放告警,精确检测、实时阻断,硬件架构,X86,架构,多核架构,配合专有,ASIC,芯片,检测引擎,单一检测机制,多重检测机制,可靠性机制,低,旁路部署,可靠性要求低,很高,由于,IDS,与生俱来的缺陷,,IPS,必将全面取代,IDS,。,DPtech IPS2000,可以同时支持,IPS/IDS,。,IPS,与,IDS,的比较,Cisco,的,IDS/IPS,产品,Cisco IDS 4200,系列网络,sensors,Cisco IDSM-2 module for catalyst6500,Cisco IDS Network Moudule for access router,Router,集成,sensor,Firewall,集成,sensor,Cisco IDS 4200,系列网络,sensors,IDS 4215,IDS 4235,IDS 4240,IDS 4250,IDS 4250XL,IDS 4255,IDS 4215,蓝狐网络技术培训学校,IDS 4235,IDS 4240,Cisco sensor,通信协议,主要内容,防火墙,IDS,IPS,漏洞扫描,漏洞(,Vulnerability,),漏洞,任何可能会给系统和网络安全带来隐患的因素,任何系统和网络都有漏洞,漏洞分类,系统或应用本身存在的漏洞,配置不当所造成的漏洞,漏洞扫描,漏洞扫描是一种基于网络远程检测目标网络或本地主机安全性脆弱点的技术,可以被用来进行模拟攻击实验和安全审计,漏洞扫描就是一种主动的防范措,施,可以有效避免黑客攻击行为,漏洞扫描,漏洞扫描的步骤,发现目标主机或网络,PING,扫射,进一步搜集目标信息,操作系统探测和端口扫描,测试系统是否,存在安全漏洞,漏洞扫描,漏洞扫描,漏洞扫描的基本技术,端口扫描,全连接扫描,SYN,(半连接)扫描,间接扫描,秘密扫描,系统漏洞扫描,漏洞库匹配方法,模拟黑客攻击手法,漏洞扫描软件,漏洞扫描软件的选择,底层技术,漏洞库,扫描报告,分析和建议,易用性,安全性,性能,Nmap,简介,Nmap,是一个网络探测和漏洞扫描程序,安全管理人员可以使用,Nmap,软件对系统和网络进行扫描,获取网络中正在运行的主机以及主机提供的服务等信息,X-Scan,简介,X-Scan,是由安全焦点开发的完全免费的漏洞扫描软件,采用多线程方式对指定,IP,地址或,IP,地址范围进行漏洞扫描,扫描内容包括:,远程服务类型,操作系统类型及版本,各种弱口令漏洞,后门,应用服务漏洞,网络设备漏洞,拒绝服务漏洞等二十几个大类,流光简介,流光(,Fluxay,)提供了全面的扫描功能,流光同时也是一个功能强大的渗透测试工具,可以模拟攻击者对目标网络和系统进行攻击测试,以评估目标网络和主机的抗攻击能力,流光的主要功能,漏洞扫描,暴力破解,网络嗅探,渗透工具,字典工具,漏洞修复的必要性,攻击者在实施攻击时,首先会利用漏洞扫描软件对要攻击的目标网络和主机进行扫描,然后根据发现的漏洞选择合适的方法进行攻击,为了尽量减少因漏洞而带来的不安全因素,必须要及时进行漏洞修复,漏洞修复的方法,及时升级操作系统,关闭不需要的端口和服务,加强用户账户和口令的安全管理,清除所有不必要的用户账户,使用安全的口令,将系统管理员或超级用户账户改名,漏洞扫描实例,漏洞扫描工作模式,漏洞扫描工作模式有两种:一种是把漏洞扫描器安装在被扫描的系统中,这种情形适合于单机漏洞扫描;另一种则是把漏洞扫描器安装在一台专用的计算机中,然后通过该计算机来扫描其他系统的漏洞,这种模式适合于扫描网络系统。,Windows,系统漏洞扫描实例,假设管理员想远程检查某台,Windows,服务器是否存在,RPC,漏洞,以防止蠕虫攻击。该服务器的,IP,地址是,192.168.0.100,,则漏洞扫描解决方案如下:,第一步,网络管理员从网络下载具有,RPC,漏洞扫描功能的软件,retinarpcdcom.exe,;,第二步,网络管理员把,retinarpcdcom.exe,安装到管理机上;,第三步,网络管理员运行,retinarpcdcom.exe,;,第四步,网络管理员输入,Windows,服务器的,IP,地址;,第五步,网络管理员查看扫描结果,如图,7,所示。,RPC,漏洞扫描信息,Windows,系统漏洞扫描实例,
展开阅读全文