基于主机的个人防火墙技术

1防火墙、入侵检测苏京霞信息与电子学院信息安全与反抗技术试验室1/932主要内容防火墙入侵检测2/93防火墙33/93一、防火墙概述1.防火墙定义

防火墙是一个特殊网络控制设施，它处于被保护网络和其它网络边界，接收进出被保护网络数据流，并依据防火墙所配置访问策略进行过滤或做出其它操作。4/93Internet基本防火墙示意图正当数据包正当数据包防火墙非正当数据包外部网络内部网络5/932.防火墙功效(1)防火墙是网络安全屏障一个防火墙(作为阻塞点、控制点)能极大地提升一个内部网络安全性，并经过过滤不安全服务而降低风险。因为只有经过精心选择应用协议才能经过防火墙，所以网络环境变得更安全。防火墙能够保护网络免受基于路由攻击，如IP选项中源路由攻击和ICMP重定向中重定向路径。防火墙应该能够拒绝全部以上类型攻击报文并通知防火墙管理员。

6/93(2)防火墙能够强化网络安全策略经过以防火墙为中心安全方案配置，能将全部安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙集中安全管理更经济。比如在网络访问时，一次一密口令系统和其它身份认证系统完全能够无须分散在各个主机上，而集中在防火墙一身上。77/93(3)对网络存取和访问进行监控审计防火墙能统计下全部经过防火墙访问，并对这些访问作出日志统计，同时也能提供网络使用情况统计数据。

当发生可疑动作时，防火墙能进行适当报警，并提供网络是否受到监测和攻击详细信息。另外，搜集一个网络使用和误用情况也是非常主要。理由是能够清楚防火墙是否能够抵挡攻击者探测和攻击，而且清楚防火墙控制是否充分。88/93(4)预防内部信息外泄经过利用防火墙对内部网络划分，可实现内部网重点网段隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成影响99/933.特征（1）内部网络和外部网络之间全部网络数据流都必须经过防火墙

这是防火墙所处网络位置特征，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信唯一通道时，才能够全方面、有效地保护内部网络不受侵害1010/93（2）只有符合安全策略数据流才能经过防火墙

防火墙最基本功效是确保网络流量正当性，并在以前提下将网络流量快速地从更主要链路转发到另外链路上去。（3）防火墙本身应含有非常强抗攻击免疫力

防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻要面对黑客入侵，这就要求防火墙本身要含有非常强抗攻击能力。1111/9312二、防火墙关键技术1.包过滤技术

包过滤技术就是经过对各种网络应用、通信类型和端口使用来要求安全过滤规则。符合安全过滤规则数据包允许经过，不符合安全规则数据包拒绝经过。依据预先定义执行统计该信息、发送报警信息给管理人员。

12/93包过滤技术主要是对数据包包头各个字段进行操作源IP地址目标IP地址协议类型（TCP、UDP、ICMP）IP选项源、目标端口数据包传递方向13/93静态包过滤

静态包过滤防火墙是依据流经该设备数据包地址信息，来决定是否允许该数据包经过。这种类型防火墙依据定义好过滤规则审查每个数据包，方便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包报头信息进行制订。14简单包过滤防火墙14/93包过滤技术优点：（1）包过滤技术实现简单、快速。经典处理方案只需要在内部网络与外部网络之间路由器上安装过滤模块即可。（2）包过滤技术实现对用户是透明。用户不需要改变自己网络访问行为模式，也不需要在主机上安装任何客户端软件，更不用进行任何培训。（3）包过滤技术检验规则相对简单，所以检验操作耗时极短，执行效率非常高，不会给用户网络性能带来不利影响。1515/93包过滤技术存在问题：（1）包过滤技术过滤思想简单，对信息处理能力有限。只能访问包头中部分信息，不能了解通信上下文，所以不能提供更安全网络防护能力。（2）当过滤规则增多时，对于过滤规则维护是一个非常困难问题。（3）包过滤技术控制层次较低，不能实现用户级控制。尤其是不能实现对用户正当身份认证及对冒用IP地址确实定1616/93动态包过滤

能够动态依据实际应用请求，自动生成或删除对应包过滤规则，而无需管理人员干预。这种类型防火墙采取动态设置包过滤规则方法，防止了静态包过滤所含有问题。这种技术以后发展成为所谓包状态监测（StatefulInspection）技术。采取这种技术防火墙对经过其建立每一个连接都进行跟踪，而且依据需要可动态地在过滤规则中改进和扩展1717/932.代理技术

代理防火墙也叫应用层网关（ApplicationGateway）防火墙。这种防火墙经过一个代理（Proxy）技术参加到一个TCP连接全过程。从内部发出数据包经过这么防火墙处理后，就好像是源于防火墙外部网卡一样，从而能够到达隐藏内部网结构作用。这种类型防火墙被网络安全教授和媒体公认为是最安全防火墙。它关键技术就是代理服务器技术。1818/93代理服务器代理服务器，是指代表客户处理在服务器连接请求程序。当代理服务器得到一个客户连接意图时，它们将核实客户请求，并经过特定安全化Proxy应用程序处理连接请求，将处理后请求传递到真实服务器上，然后接收服务器应答，并做深入处理后，将回复交给发出请求最终客户。1919/93代理服务作用

代理类型防火墙最突出优点就是安全。因为每一个内外网络之间连接都要经过Proxy介入和转换，经过专门为特定服务如Http编写安全化应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络计算机以任何直接会话机会，从而防止了入侵者使用数据驱动类型攻击方式入侵内部网。2020/93传统代理型防火墙21传统代理型防火墙21/931.当外部网用户访问内部网某个应用服务器时，实际上是向运行在防火墙上代理服务软件提出请求，建立连接2.由代理服务器代表其向要访问应用系统提出请求，建立连接。3.应用系统给予外部网用户以响应。4.代理服务器给予外部网用户响应。22代理服务工作过程22/93代理服务器工作过程23Internet内部网路由器1.请求代理服务器2.请求4.回应3.回应23/93代理服务器功效:1.连接Internet与Internet充当防火墙。

因为全部内部网用户经过代理服务器访问外界时，映射为一个IP地址，所以外界不能直接访问到内部，但能够设置IP地址过滤，限制内部网对外部访问权限。另外，两个没有互联内部网，也能够经过第三方代理服务器进行互联来实现信息交换。2424/932.实现本身IP访问限制

因为全部用户对外只占用一个IP，所以无须租用过多IP地址，降低网络维护成本。这么局域网内许多机器，能够经过内网一台代理服务器连接到外网。不利一面，如许多网络黑客经过这种隐藏自己真实IP地址等信息。3.提升访问速度

本身带宽较小，经过带宽较大代理与目标主连接。2525/934.访问一些不能直接访问网站

互联网上有许多开放代理服务器，客户在访问权限受到限制时，刚好客户访问范围之内，而这些代理服务器访问权限是不受限制，则客户经过代理服务器访问目标网站就成为可能。5.安全性得到提升2626/93布署防火墙

1.屏蔽路由器internet策略来决定转发或阻止数据包屏蔽路由器内部网络屏蔽路由器作为内外连接唯一通道，要求全部报文都必须在此经过检验。路由器上安装基于IP层报文过滤软件，实现报文过滤功效。27/93282.双宿主/多宿主堡垒主机多端口主机内部网络internet它是一个非常简单防火墙模式，经过在堡垒主机上安装有配置网络控制软件来实现。堡垒主机同时连接着内、外部网络，担当起全部网络安全维护责任。28/93293.屏蔽主机

在路由器后面增加一个用于安全控制计算机，充当堡垒主机，这就是“屏蔽主机防火墙”。

这种设计采取屏蔽路由器和堡垒主机双重安全设施，全部进出数据都要经过屏蔽路由器帮堡垒主机，确保了网络级和应用级安全。

路由器进行包过滤，堡垒主要进行应用安全控制。内部网Internet包过滤路由器堡垒主机29/93试验一Windows自带防火墙

在WindowsXP系统中，防火墙建立在用户计算机与因特网之间，它能够让用户请求数据经过，而妨碍没有请求数据包，是一个基于包防火墙。

对WindowsXP系统自带防火墙进行设置详细操作步骤以下：3030/93Step1：在“控制面板”窗口中双击“Windows防火墙”图标，即可开启Windows防火墙主程序。3131/93Step2:在“Windows防火墙”对话框中，选择“常规”选项卡，勾选“不允许例外”复选框，Windows系统防火墙将阻止全部连接到当地计算机请求，甚至包含请求来自“例外”选项卡上列出程序或服务。3232/93Step3：在“Windows防火墙”对话框中切换到“例外”选项卡，在这可以添加程序和端口例外，以允许特定传入通信，并可认为每个例外设置范围。如果开放某个端口，则对这个端口访问将被允许。端口或服务可以在例外选项中设置或经过指定指定应用程序方法设置，如果开放端口服务不是一个应用，则可以设置开放协议和端口号。3333/9334“例外设置”选项卡34/93Step4：在“Windows防火墙”对话框中，选择“高级”选项卡，在“安全日志统计选项组”中单击设置按钮，即打开“日志设置”对话框，在其中能够创建用于观察计算机成功数据连接和丢弃数据包，从而分析计算机安全情况，还能够单击“另存为”按钮，浏览选择日志文件保留路径。3535/9336“高级”选项卡“日志设置”对话框36/93Step5：在ICMP选项组中单击“设置”按钮，在打开“ICMP设置”对话框中选择是否勾选各个选项，能够确保计算机一些信息不会对外泄露，若取消勾选“允许传入回显请求”复选框，则需要先在“描述”选项组中能够看到这个选项介绍，此时把445端口关掉之后，即可取消勾选此复选框。3737/9338“ICMP设置”对话框38/93试验二瑞星防火墙

3939/9340瑞星防火墙----工作状态40/9341瑞星防火墙----系统信息—进程信息41/9342瑞星防火墙----系统信息—网络连接42/9343瑞星防火墙--访问控制—程序规则43/9344瑞星防火墙--访问控制—模块规则44/9345瑞星防火墙--访问控制—选项45/9346瑞星防火墙—查看日志46/9347试验三代理服务器Windows代理服务器设置“代理猎手”使用实践47/93481.代理服务器设置Step1：在IE浏览器中选择“工具”→“Internet选项”命令，打开“Internet选项”对话框。48/93Step2：在“连接”选项卡中，单击“局域网设置”按钮，打开“局域网设置”对话框。49/93

Step3:勾选“为LAN使用代理服务器”复选框，并填入代理服务器地址和端口。5050/932.

“代理猎手”使用实践

无偿代理服务器地址普通不公开，需要用户在网络上进行搜索得到，现在也有不少搜索无偿代理服务器软件，其中以国产无偿代理服务器搜索软件—代理猎手最为优异。

它将代理搜索和验证功效集合于一体，并提供有如管理、调度代理等新功效。最大特点是搜索速度快，最快能够在十几分钟内搜索完整个B类地址65536个地址。

5151/93Step1：设置参数

选择“系统”→“参数设置”命令，即可打开“运行参数设置”对话框。5252/93Step2：搜索验证设置在“搜索验证设置”选项卡中，勾选“启用先ping后连机制”复选框，其它选取默认值。假如网络带宽无法承受那么多数量并发连接，请对应把并发参数设置小一点比如能够设置到50之类。5353/9354设置搜索参数54/93Step3：设置“验证数据设置”选项卡，能够添加、修改和删除“验证资源地址”及其参数。55添加验证参数55/93添加验证参数我们普通选取谷歌，sina等作为验证数据这里我们使用新浪。（1）选“添加”按钮，在对话框中填入对应信息后，选“获取”，进入“获取网络资源”对话框验证名：新浪验证类型：特征字符验证地址：

（2）在“获取网络资源”对话框，选“获取”，结果就是正在接收新浪数据了5656/935757/93（3）选特征码

在上下两个框中下面那框找到字符“新浪首页”,这里我们把新浪首页四个字复制，然后按下确定581.选特征码2.确定58/93添加上验证参数5959/93Step4：“代理高度设置”选项卡，或以设置代理高度参数，以及代理高度范围等选项。Step5：“其它设置”选项卡，能够设置拨号、搜索验证历史、运行参数等选项。6060/93Step6：添加搜索任务。在“搜索任务”选项卡中按“添加任务”按钮。61搜索任务选项添加任务61/93Step7：选服务类型：搜索网络范围Step8：设置地址范围：选“添加”按钮，打开“添加搜索IP范围”对话框，填入要搜索起始地址6262/93Step9：添加端口和协议6363/93Step10：设置完成后，按“开始”按键，开始进行代理服务器地址。64形如搜索64/93搜索结果：56565/93入侵检测6666/9367一.入侵检测概述1.入侵检测概念

入侵检测是对计算机和网络资源上恶意使用行为进行识别和响应。它经过从计算机网络或计算机系统中若干关键点搜集信息，并对其进行分析，从中发觉网络或系统中是否有违反安全策略行为和被攻击迹象。

进行入侵检测软件与硬件组合称为入侵检测系统（IntrusionDetectionSystem，IDS）。入侵检测系统需要更多智能，它必须能将得到数据进行分析，并得出有用结果。67/93682.入侵检测系统作用（1）经过检测和统计网络中安全违规行为，处罚网络犯罪，预防网络入侵事件发生。（2）检测其它安全办法未能阻止攻击或安全违规行为。（3）检测黑客在攻击前探测行为，预先给管理员发出警报。（4）汇报计算机系统或网络中存在安全威胁。（5）提供相关攻击信息，帮助管理员诊疗网络中存在安全弱点，利于其进行修补。（6）在大型、复杂计算机网络中布置入侵检测系统，能够显著提升网络安全管理质量。68/93693.入侵检测系统

入侵检测系统（IDS）主工分为4个阶段：（1）数据搜集：数据搜集是入侵检测基础，经过不一样路径搜集数据，需要采取不一样方法进行分析。当前数据主要有主机日志、网络数据包、应用程序数据、防火墙日志等。（2）数据处理：数据搜集过程中得到原始数据量普通非常大，而且还存在噪声。为了进行全方面、深入分析，需要从去除冗余、噪声，而且进行格式化及标准化处理。69/93（3）数据分析：

采取统计、智能算法等方法分析以过初步处理数据，检验数据是否正常，或显示存在入侵。（4）响应处理：

当发觉入侵时，采取办法进行防护、保留入侵证据并通知管理员。惯用办法包含切断网络连接、统计日志、经过电子邮件或电话通知管理员等。7070/93714.入侵检测系统基本工作模式（1）从系统不一样步骤搜集信息。（2）分析该信息，试图寻找入侵活动特征（3）自动对检测到行为做出响应（4）统计并汇报检测过程结果。包系统日志系顶替异常入侵检测误用入侵检测原始数据检测原理报警报警并采取对应办法实时检测周期性检测入侵检测系统基本工作模式71/93725.入侵检测系统分类

入侵检测系统能够按不一样方法进行分类，它们包含体系结构、同时性、数据起源、检测技术、响应方式、时效性等分类方法其中，按检测技术、数据起源、体系结构及时效性进行分类是应用最多分类方法

72/9373入侵检测系统分类集中式IDS等级式IDS分布式IDS实时连续式IDS间隔批处理IDS基于主机IDS基于网络IDS混合式IDS文件完整性检验式IDS异常检测式IDS协议分析式IDS联机分析式IDS脱机分析式IDS误用检测式IDS体系结构同时性数据起源检测技术时效性入侵检测系统（IDS）73/93二、Snort入侵检测系统Snort是一个轻量级网络入侵检测系统。它含有实时数据流量分析和统计IP网络数据包能力，能够进行协议分析，对内容进行搜索/匹配。7474/931.Snort入侵检测特点（1）Snort代码简练，功效强大，可移植性好，跨平台性能极佳。（2）Snort含有实时流量分析和统计IP网络数据包能力。能够快速地检测网络攻击，及时地发出警报。（3）Snort能够进行协议分析、内容搜索与匹配。能够分析协议有TCP、UDP和ICMP，能够检测各种方式攻击和探测。（4）Snort日志格式既能够是二进制，也能够ASCII码形式，更便于用户查看。7575/93762.Snor工作模式

Snort有3种工作模式：嗅探器、包统计器和网络入侵检测系统。嗅探器模式：Snort仅能从网络上读取包，作为连续不停流显示在终端上。包统计器模式：Snort把包统计到硬盘上。网络入侵检测系统模式：是可配置；能够让Snort分析网络数据流以匹配用户定义一些规则，并依据检测结果采取一定动作。76/933.系统组成（1）数据包捕捉和解析子系统数据包捕捉和解析子系统功效是：捕捉网络传输数据，并按照TCP/IP协议不一样层次将数据包进行解析。网络数据采集与解析关键问题是要确保较高速度和较低丢包率。

当前，Snort能够处理以太网、令牌环等各种链路类型包。7777/93（2）检测引擎

检测引擎是入侵检测实现关键，基本要求是准确和快速。

准确：主要取决于对入侵行为特征码提炼是否准确以及规则撰写是否简练实用。

快速：主要取决于引擎组织结构，如是否能够快速地进行规则匹配。7878/93（3）日志及报警子系统

日志及报警子系统能够在检测到入侵行为同时及时统计和报警。Snort有一个数据包统计器，它提供了将数据包信息进行压缩从而实现快速报警功效。它报警信息发往系统日志，也能够用两种格式统计到报警文件中去。7979/93（4）规则

Snort入侵检测规则是完全开放，能够经过研究Snort规则，针对自己网络系统，设计更适合自己入侵检测规则。 Snort把规则分为两个逻辑部分规则头：包含规则操作、协议、源和目标IP地址与网络掩码，以及源和目标端口信息。规则选项：包含报警消息内容和检验包详细部分。8080/93规则头

包含规则操作、协议、源和目标IP地址与网络掩码，以及源和目标端口信息规则操作：（五种）alert：使用选择报警方法生成一个警报，然后统计（log）这个包。log：统计这个包pass：丢弃（忽略）这个包activate:报警而且激活另一条dynamic规则dynamic：保持空闲直到被一条Activatef规则规则协议：TCP、UDP、IP、ICMP

8181/93规则选项：

规则选项组成了Snort入侵检测引擎关键，特点是易用、强大、灵活。Snort规则选项