防火墙与入侵检测技术.ppt

第八章防火墙与入侵检测技术 第八章防火墙与入侵检测技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 本章学习重点 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 防火墙概述防火墙技术防火墙的体系结构防火墙的硬件实现技术防火墙的性能指标防火墙常见功能指标防火墙的常见产品介绍防火墙的发展趋势入侵检测技术的概念入侵检测常用技术入侵检测的发展 8 1防火墙概述 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 1 1防火墙的概念 8 1防火墙概述 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 1 1防火墙的概念 防火墙可以定义为 位于可信网络与不可信网络之间并对二者之间流动的数据包进行检查的一台 多台计算机或路由器 如图所示 通常内部网络是可信的和安全的 外部网 如Internet 是不可信和不安全的 8 1防火墙概述 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 1 1防火墙的概念 内部网络与外部网络所有通信的数据包都必须经过防火墙 而防火墙只放行合法的数据包 因此它在内部网络和外部网络之间建立了一个屏障 只要安装一个简单的防火墙 就可以屏蔽掉大多数外部的探测与攻击 如果没有防火墙 那么内部网络的安全性是由内部网络中安全性最差的主机决定 如果内部网络很大 那么维护并提高每一台主机的安全性是非常困难的 即使能够成功 代价也是非常大的 但是如果安装了防火墙 防火墙就是内部网络和外部网络通信的唯一通道 管理员不必去担心每一台主机的安全 只要把精力放在防火墙上就可以了 8 1防火墙概述 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 1 2防火墙的发展历史 8 1防火墙概述 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 1 3防火墙的规则 防火墙安全规则由匹配条件和处理方式两部分组成 匹配条件是一些逻辑表达式 用于对通信流量是否合法做出判断 若匹配条件值为真 那么就进行处理 处理方式主要有以下几种 接受 允许通过 拒绝 拒绝信息通过 通知发送信息的信息源 丢弃 直接丢弃信息 不通知信息源 8 1防火墙概述 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 1 4防火墙的特点 防火墙的优点主要包括 可以完成整个网络安全策略的实施 防火墙可以把通信访问限制在可管理范围内 可以限制对某种特殊对象的访问 如限制某些用户对重要服务器的访问 具有出色的审计功能 可以对网络连接的记录和审计 历史记录 故障记录等都具有很好的审计功能 可以对有关的管理人员发出警告 可以将内部网络结构隐藏起来 8 1防火墙概述 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 1 4防火墙的特点 对于个人用户来说 安装一个简单的个人防火墙就可以屏蔽掉绝大数非法的探测和访问 它不仅可以防止入侵者对主机的端口 漏洞进行扫描 还能阻止木马进入主机 总之 防火墙能够减轻内部网络被入侵和破坏的危险 使得内部网络的机密数据得到保护 8 1防火墙概述 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 1 4防火墙的特点 但是防火墙和其它任何技术一样 也有其弱点 不能防止不经过它的攻击和不能防止授权访问的攻击 只能对配置的规则有效 不能防止没有配置的访问 不能防止通过社交工程手段的攻击和一个合法用户的攻击行为不能防止针对一个设计上有问题的系统攻击 8 1防火墙概述 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 1 5防火墙的其它功能 防火墙好像大门上的锁 主要职能是保护内部网络的安全 由于防火墙处于内部网络和外部网络之间这个特殊位置 因此 防火墙上还可以添加一些其它功能 主要包括 网络地址转换 通过防火墙将内部私有地址转换为全球公共地址 用户身份验证 对一个特定用户的身份进行校验 判断是否合法 网络监控 对通过防火墙的信息进行监控 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 1包过滤技术 包过滤 PacketFiltering 技术是防火墙在网络层中根据数据包中包头信息有选择地实施允许通过或阻断 第一代防火墙也是最基本形式的防火墙 包过滤防火墙 按照防火墙内事先设定的过滤规则 对每一个通过的网络包头部进行检查 根据数据包的源地址 目的地址 TCP UDP源端口号 TCP UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过 其核心是安全策略即过滤规则的设计 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 1包过滤技术 包过滤原理 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 1包过滤技术 因为包过滤技术是在TCP IP层实现的 所以包过滤的一个很大弱点是不能在应用层级别上进行过滤 所以防护方式比较单一 但是现在已经有一些在IP层重组应用层数据的技术 从而可以对应用层数据进行检查 可以辨认一些入侵活动 达到很好的防护效果 目前 包过滤技术作为防火墙的应用有两类 一是路由设备在完成路由选择和数据转发之外 同时进行包过滤 这是目前较常用的方式 二是在一种称为屏蔽路由器的路由设备上启动包过滤功能 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 2应用网关技术 应用网关 ApplicationGateway 接受内 外部网络的通信数据包 并根据自己的安全策略进行过滤 不符合安全协议的信息被拒绝或丢弃 与包过滤防火墙不同的是 它不使用通用目标机制来允许各种不同种类的通信 而是针对每个应用使用专用目的的处理方法 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 2应用网关技术 应用层网关在较高层次上实现了内外网络通信的监控与管理 它的安全性较包过滤防火墙有了很大提高 但这是以牺牲应用层的透明性为代价的 对于客户来说 它是一个服务器 对服务器来说 它是一个客户 应用网关在客户和服务器之间建立了一个虚拟连接 其工作原理如图所示 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 2应用网关技术 该技术的优点是 它易于记录并控制所有的进出通信 并对Internet的访问做到内容级的过滤 控制灵活而全面 安全性高 应用级网关具有登记 日志 统计和报告功能 又很好的审计功能 还可以具有严格的用户认证功能 缺点是 需要为每种应用写不同的代码 维护比较困难 另外就是速度较慢 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 3电路级网关技术 电路级网关也被称为线路级网关 它工作在会话层 它在两个主机首次建立TCP连接时创立一个电子屏障 它作为服务器接收外来请求 转发请求 与被保护主机连接时 则担当客户机的角色 起代理服务的作用 它监视两主机建立连接时的握手信息 如SYN ACK等标志和序列号等是否合乎逻辑 判定该会话请求是否合法 一旦会话连接有效后 网关仅复制 传递数据 而不进行过滤 电路网关中特殊的客户程序只在初次连接时进行安全协商控制 其后就透明了 只有懂得如何与该电路网关通信的客户机才能到达防火墙另一边的服务器 这种技术的防火墙的安全性比较高 但它仍不能检查应用层的数据包以消除应用层攻击的威胁 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 4状态检测技术 状态检测防火墙是近年来一种新的防火墙技术 它既具备包过滤防火墙的速度和灵活 也有应用网关防火墙的安全优点 这种防火墙技术是对包过滤和应用网关功能的一种平衡 状态检测防火墙的工作流程如下图所示 当数据包到达防火墙的接口时 防火墙判断数据是不是已经存在的连接 如果是就对数据包进行特征检测 并判断策略是否允许其通过 如果允许就转发到目的端口并记录日志 否则就丢掉数据包 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 4状态检测技术 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 4状态检测技术 比起数据包过滤技术来说 状态包检测技术牺牲了包检查的速度 但这种牺牲带来了更高的安全性 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 5代理服务器技术 代理服务器 ProxyServer 防火墙作用在应用层 它用来提供应用层服务的控制 在内部网络向外部网络申请服务时起到中间转接作用 内部网络只接受代理提出的服务请求 拒绝外部网络其它节点的直接请求 代理防火墙代替受保护网的主机向外部网发送服务请求 并将外部服务请求响应的结果返回给受保护网的主机 受保护网内部用户对外部网访问时 也需要通过代理防火墙 才能向外提出请求 这样外网只能看到防火墙 从而隐藏了受保护网内部地址 提高了安全性 代理服务器工作原理如图所示 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 5代理服务器技术 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 5代理服务器技术 应用服务代理技术的优点是 不允许外部主机直接访问内部主机 提供多种用户认证方案 可以分析数据包内部的应用命令 可以提供详细的审计记录 其缺点是 对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制 而每一种网络应用服务的安全问题各不相同 分析困难 因此实现也困难 在实际应用中 构筑防火墙的真正解决方案很少采用单一的技术 通常是多种解决不同问题的技术的有机组合 一些协议 如Telnet SMTP 能更有效地处理数据包过滤 而另一些协议 如FTP WWW Gopher 能有效地处理代理 因此 大多数防火墙将数据包过滤和代理服务器结合起来使用 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 6个人防火墙 个人防火墙是一种能够保护个人计算机系统安全的软件 它可以直接在用户的计算机上运行 使用与状态 动态检测防火墙相同的方式 保护一台计算机免受攻击 通常 这些防火墙是安装在计算机网络接口的较低级别上 使得它们可以监视传入传出网卡的所有网络通信 现在网络上流传着很多个人防火墙软件都是应用程序级的 8 2防火墙技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 2 6个人防火墙 基本上 可以将个人防火墙想象成在用户计算机上建立了一个虚拟网络接口 不再是计算机的操作系统直接通过网卡进行通信 而是通过操作系统和个人防火墙对话 仔细检查网络通信 然后再通过网卡通信 8 3防火墙的体系结构 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 防火墙在网络中的放置方式也被称为防火墙的体系结构 一般来说可分为三种体系结构 即双重宿主主机体系结构 被屏蔽主机体系结构 被屏蔽子网体系结构 8 3防火墙的体系结构 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 1 非军事区 8 3 1相关术语 通常将内部网中需要向外部提供服务的服务器设置在单独的网段 这个网段被称为非军事区 DeMilitarizedZone DMZ DMZ是防火墙的重要概念 在实际应用中经常用到 DMZ是周边网络 位于内部网之外 使用与内部网不同的网络号连接到防火墙 并对外提供公共服务 DMZ隔离内外网络 并为内外网之间的通信起缓冲作用 8 3防火墙的体系结构 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 2 堡垒主机 8 3 1相关术语 在防火墙体系结构中 经常提到堡垒主机 堡垒主机得名于古代战争中用于防守的坚固堡垒 它位于内部网络的最外层 像堡垒一样对内部网络进行保护 在防火墙体系结构中 堡垒主机要高度暴露 是在Internet上公开的 是网络上最容易遭受非法入侵的设备 所以防火墙设计者和管理人员需要致力于堡垒主机的安全 而且在运行期间对堡垒主机的安全要给予特别的注意 8 3防火墙的体系结构 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 2 堡垒主机 8 3 1相关术语 构建堡垒主机应注意以下几点 1 选择合适的操作系统 它需要可靠性好 支持性好 可配置性好 2 堡垒主机的安装位置 堡垒主机应该安装在不传输保密信息的网络上 最好它处于一个独立网络中 如DMZ 非军事区 3 堡垒主机提供的服务 堡垒主机需要提供内部网络访问Internet的服务 内部主机可以通过堡垒主机访问Internet 同时内部网络也需要向Internet提供服务 4 保护系统日志 作为一个安全性举足轻重的诸暨 堡垒主机必须有完善的日志系统 而且必须对系统日志进行保护 5 进行监测和备份 8 3防火墙的体系结构 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 3 2双重宿主主机体系结构 双重宿主主机体系结构围绕双重宿主主机构筑 双重宿主主机至少有两个网络接口 这样的主机可以充当外部网络和内部网络之间的路由器 所以它能够使内部网络和外部网络的数据包直接路由通过 然而双重宿主主机的防火墙体系结构不允许这样直接地通过 因此IP数据包并不是从一个网络 如外部网络 直接发送到另一个网络 如内部网络 外部网络能与双重宿主主机通信 内部网络也能与双重宿主主机通信 但是外部网络与内部网络不能直接通信 他们之间的通信必须经过双重宿主主机的过滤和控制 它安装了防火墙的软件 一般在双重宿主主机上安装代理服务器软件 可以为不同的服务提供转发 并同时根据策略进行过滤和控制 8 3防火墙的体系结构 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 3 2双重宿主主机体系结构 双重宿主主机体系结构是比较简单的 他连接内部网络和外部网络 他相当于内部网络和外部网络的跳板 能够提供级别比较高的控制 可以完全禁止外部网络对内部网络的访问 这种结构可以允许用户登陆到双重宿主主机 进而访问外部网络 但是这种控制方式是不安全的 因为外部网络用户也有可能登陆并访问内部网络 而且这种访问外部网络的方式对内部网络用户来讲也是挺麻烦的 这种情况下 双重宿主主机直接暴露在外部网络中 充当了堡垒主机的角色 这种体系的弱点是 一旦堡垒主机被攻破 使其成为一个路由器 那么外部网络就可以直接访问内部网络 具体结构如图所示 8 3防火墙的体系结构 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 3 2双重宿主主机体系结构 8 3防火墙的体系结构 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 3 3被屏蔽主机体系结构 双重宿主主机体系结构防火墙没有使用路由器 而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开 如图所示 在这种体系结构中 主要的安全由数据包过滤提供 例如 数据包过滤用于防止人们绕过代理服务器直接相连 8 3防火墙的体系结构 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 3 3被屏蔽主机体系结构 8 3防火墙的体系结构 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 3 4被屏蔽子网体系结构 被屏蔽子网体系结构将额外的安全层添加到被屏蔽主机体系结构 即通过添加周边网络更进一步把内部网络和外部网络 通常是Internet 隔离开 周边网络是一个被隔离的独立子网 充当了内部网络和外部网络的缓冲区 在内部网络与外部网络之间形成了一个 隔离带 这就构成一个所谓的DMZ 8 3防火墙的体系结构 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 3 4被屏蔽子网体系结构 8 3防火墙的体系结构 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 3 4被屏蔽子网体系结构 被屏蔽子网体系结构具有以下优点 1 入侵者必须突破3个不同的设备 而且外部网络无法探测到 才能非法入侵内部网络 外部路由器 堡垒主机 还有内部路由器 2 由于外部路由器只能向Internet通告DNZ网络的存在 Internet上的系统没有路由器与内部网络相通 这样网络管理员就可以保证内部网络是 不可见 的 并且只有在DMZ网络上选定的服务才对Internet开放 3 由于内部路由器只向内部网络通告DMZ网络的存在 内部网络上的系统不能直接通往Internet 这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet 8 3防火墙的体系结构 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 3 4被屏蔽子网体系结构 4 包过滤路由器直接将数据引向DMZ网络上所指定的系统 消除了堡垒主机双重宿主的必要 5 内部路由器在作为内部网络和Internet之间最后的防火墙系统时 能够支持比双重宿主堡垒主机更大的数据包吞吐量 6 由于DMZ网络是一个与内部网络不同的网络 NAT 网络地址交换 可以安装在堡垒主机上 从而避免在内部网络上重新编址或重新划分子网 这个结构的缺点是实施和管理比较复杂 8 4防火墙的硬件实现技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 作为一种网络应用产品 防火墙的发展似乎总是以软件为先导 这也和很多其它网络应用有些相似 但随着芯片技术的发展 芯片集成度和处理速度的提高 利用硬件设计实现绝大部分的软件功能已经成为可能 目前 国内很多厂家声称的硬件防火墙 其实是基于多网卡的计算机 运行在经过裁减的操作系统上 国内绝大部分防火墙使用的操作系统都是Linux 操作系统有的装在硬盘上 有的装在可擦写磁盘上 传送的报文从一个网卡进入后 会排队等待操作系统中软件的检查 以决定报文的去处 尽管是硬件防火墙 但审查报文的工作是由其中的管理软件来完成的 8 4防火墙的硬件实现技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 如果把审查报文这部分用硬件来完成 会提高防火墙的处理效率 避免网络数据流通阻塞的发生 其性能比普通基于PC机架构的防火墙性能要好很多 这就是业界提及的芯片防火墙 硬处理方法都是通过微处理器来实现的 有些防火墙厂商从提高防火墙效率入手 专注于网络芯片的使用 如网屏公司的NetScreen Cisco公司的Pix 美国ServerGate公司的防火墙 NetScreen和Pix都没有使用Intel的IXP1200网络芯片 而是在微处理器的基础上自己做了技术整合 硬件防火墙开发模式就国内来说主要存在三类 一类是通过网络处理器 网络芯片 一类是通过专用的FPGA编程 还有一类是设计专用的ASIC芯片 由于对成本和开发周期的考虑 国内企业一般选择前者 8 5防火墙的性能指标 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 衡量防火墙的性能指标主要有 吞吐量 报文转发率 最大并发连接数 每秒新建连接数等 吞吐量和报文转发率是关系防火墙应用的主要指标 一般采用FDT FullDuplexThroughput 来衡量 FDT指64字节数据包的全双工吞吐量 该指标既包括吞吐量指标也涵盖了报文转发率指标 FDT与端口容量的区别 端口容量指物理端口的容量总和 如果防火墙接了2个千兆端口 端口容量为2GB 但FDT可能只是200MB FDT与HDT的区别 HDT指半双工吞吐量 HalfDuplexThroughput 一个千兆口可以同时以1GB的速度收和发 按FDT来说 就是1GB 按HDT来说 就是2GB 有些防火墙的厂商所说的吞吐量 往往是HDT 8 6防火墙常见功能指标 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 防火墙的常见功能指标介绍如下 1 LAN接口列出支持的LAN接口类型 防火墙所能保护的网络类型 如以太网 快速以太网 千兆以太网 ATM 令牌环及FDDI等 支持的最大LAN接口数 指防火墙所支持的局域网络接口数目 也是其能够保护的不同内网数目 服务器平台 防火墙所运行的操作系统平台 如Linux UNIX WinNT 专用安全操作系统等 8 6防火墙常见功能指标 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 2 协议支持支持的非IP协议 除支持IP协议之外 又支持AppleTalk DECnet IPX及NETBEUI等协议 建立VPN通道的协议 构建VPN通道所使用的协议 如密钥分配等 主要分为IPSec PPTP 专用协议等 可以在VPN中使用的协议 在VPN中使用的协议 一般是指TCP IP协议 8 6防火墙常见功能指标 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 3 加密支持支持的VPN加密标准 VPN中支持的加密算法 例如数据加密标准DES 3DES RC4以及国内专用的加密算法 除了VPN之外 加密的其他用途 加密除用于保护传输数据以外 还应用于其他领域 如身份认证 报文完整性认证 密钥分配等 提供基于硬件的加密 是否提供硬件加密方法 硬件加密可以提供更快的加密速度和更高的加密强度 8 6防火墙常见功能指标 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 4 认证支持支持的认证类型 是指防火墙支持的身份认证协议 一般情况下具有一个或多个认证方案 如RADIUS Kerberos TACACS TACACS 口令方式 数字证书等 防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问 防火墙管理员必须决定客户以何种方式通过认证 列出支持的认证标准和CA互操作性 厂商可以选择自己的认证方案 但应符合相应的国际标准 该项指所支持的标准认证协议 以及实现的认证协议是否与其他CA产品兼容互通 支持数字证书 是否支持数字证书 8 6防火墙常见功能指标 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 5 访问控制通过防火墙的包内容设置在应用层提供代理支持 指防火墙是否支持应用层代理 如HTTP FTP TELNET SNMP等 在传输层提供代理支持 指防火墙是否支持传输层代理服务 允许FTP命令防止某些类型文件通过防火墙 指是否支持FTP文件类型过滤 用户操作的代理类型 应用层高级代理功能 如HTTP POP3 支持网络地址转换 NAT 8 6防火墙常见功能指标 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 6 防御功能支持病毒扫描 是否支持防病毒功能提供内容过滤 是否支持内容过滤 信息内容过滤指防火墙在HTTP FTP SMTP等协议层 根据过滤条件 对信息流进行控制能防御的DoS攻击类型 拒绝服务攻击 DoS 就是攻击者过多地占用共享资源 导致服务器超载或系统资源耗尽 而使其他用户无法享有服务或没有资源可用 阻止ActiveX Java Cookies Javascript侵入 8 6防火墙常见功能指标 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 安全特性支持转发和跟踪ICMP协议 ICMP代理 是否支持ICMP代理 ICMP为网间控制报文协议 提供入侵实时警告 提供实时入侵告警功能 当发生危险事件时 是否能够及时报警 报警的方式可能通过邮件 呼机 手机等 提供实时入侵防范 提供实时入侵响应功能 当发生入侵事件时 防火墙能够动态响应 调整安全策略 阻挡恶意报文 识别 记录 防止企图进行IP地址欺骗 IP地址欺骗指使用伪装的IP地址作为IP包的源地址对受保护网络进行攻击 防火墙应该能够禁止来自外部网络而源地址是内部IP地址的数据包通过 8 6防火墙常见功能指标 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 管理功能通过集成策略集中管理多个防火墙提供基于时间的访问控制 是否提供基于时间的访问控制 支持SNMP监视和配置 SNMP是简单网络管理协议的缩写 本地管理远程管理支持带宽管理负载均衡特性失败恢复特性 failover 8 6防火墙常见功能指标 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 9 记录和报表功能防火墙处理完整日志的方法提供自动日志扫描提供自动报表 日志报告书写器警告通知机制提供简要报表 按照用户ID或IP地址 提供实时统计列出获得的国内有关部门许可证类别及号码 8 7防火墙的常见产品介绍 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 CheckPointFireWall 1NAI公司的Gauntlet防火墙东软的NetEye天网防火墙瑞星防火墙Linux自带防火墙iptables 8 8防火墙的发展趋势 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 优良的性能新一代防火墙系统不仅应该能够较好地保护内部网络的安全 更应该具有优良的整体性能 代理型防火墙虽然可以提供较高级别的安全保护 但同时也成为限制网络带宽的瓶颈 现在大多数的防火墙产品都支持NAT功能 NAT可以让防火墙保护的内部IP地址不至于暴露在外部网络中 但是启用NAT将会影响防火墙系统的性能 总之 未来的防火墙系统将把高速可靠的性能和最大限度的安全性有机结合在一起 有效地消除传统防火墙的性能瓶颈 8 8防火墙的发展趋势 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 可扩展的结构和功能防火墙系统的规模和功能应该能够适应内部网络的规模和安全策略的变化 选择哪种防火墙 除了应考虑其基本性能之外 还应考虑用户的实际需求与未来的网络升级情况 因此 防火墙除了具有保护网络安全的基本功能外 还应该具有可扩展的结构 除了支持常见的网络服务以外 还应该能够按照用户的需求提供相应的代理服务 未来的防火墙系统应是一个可随意伸缩的模块化解决方案 从最基本的包过滤器到具有加密功能的VPN型包过滤器 直至独立的应用网关 使用户能够充分构建自己需要的防火墙体系 8 8防火墙的发展趋势 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 方便正确地配置和管理不具体实施安全策略的防火墙无异于高级的摆设 优秀的防火墙应该便于正确地配置安全规则 同时易于管理 实践证明 许多防火墙产品并未起到预期作用的原因就在于错误的配置和缺乏合理的管理 未来的防火墙将具有非常易于进行配置的图形用户界面 WindowsNT防火墙市场的发展证明了这种趋势 WindowsNT提供了一种易于安装和易于管理的基础 尽管基于NT的防火墙通常落后于基于UNIX的防火墙 但NT平台的简单实用极大地推动了基于WindowsNT的防火墙 8 8防火墙的发展趋势 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 主动过滤许多防火墙具有内置病毒和内容的扫描功能 或者允许集成防病毒功能与内容扫描程序 今天 许多防火墙都支持与第三方过滤服务的连接 这些服务提供了不受欢迎的互联网站点的分类清单 防火墙还在其Web代理中设置时间限制功能 允许非工作时间的上网和登录 并实时监控上网活动 8 8防火墙的发展趋势 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 防病毒和防黑客尽管防火墙在防止黑客进入内部网络方面发挥了积极的作用 但TCP IP协议族脆弱性使拒绝服务 DoS 攻击得以在网络中流行 通过拒绝服务攻击 攻击者试图耗尽企业服务器资源或使其连接的系统崩溃 导致企业无法使用所需要的服务 虽然目前没有完全防止所有拒绝服务攻击的技术 但网络安全界一直在尽可能地组织拒绝服务攻击 诸如序列号预测和IP欺骗等 目前这已经成为防火墙的部分功能 8 8防火墙的发展趋势 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 未来防火墙技术将综合考虑网络安全 操作系统安全 应用程序安全 用户安全 数据安全 此外 防火墙还将结合诸如Web页面超高速缓存 虚拟网络和带宽管理等技术 8 9入侵检测技术的概念 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 随着黑客攻击技术的日渐高明 暴露出来的系统漏洞也越来越多 传统的操作系统加固技术和防火墙隔离技术等都是静态的安全防御技术 对网络环境下日新月异的攻击手段缺乏主动的反应 越来越不能满足现有系统对安全性的要求 网络安全需要纵深的 多层次的安全措施 8 9入侵检测技术的概念 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 现今流行的防火墙技术的局限性主要表现在 第一 入侵者可寻找防火墙背后可能敞开的后门 第二 不能阻止内部攻击 第三 通常不能提供实时的入侵检测能力 第四 不能主动跟踪入侵者 第五 不能对病毒进行有效防护 8 9 1为什么需要入侵检测系统 8 9入侵检测技术的概念 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 与传统的加密和访问控制的常用安全方法相比 入侵检测系统 IDS 是全新的计算机安全措施 它不仅可以检测来自网络外部的入侵行为 同时也可以检测来自网络内部用户的未授权活动和误操作 有效地弥补了防火墙的不足 被称为防火墙之后的第二道安全闸门 此外 它在必要的时候还可以采取措施阻止入侵行为的进一步发生和破坏 因此 从网络安全立体纵深 多层次防御的角度出发 入侵检测理应受到人们的高度重视 8 9 1为什么需要入侵检测系统 8 9入侵检测技术的概念 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析 从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制 入侵检测系统的英文缩写是IDS IntrusionDetectionSystem 它通过对网络及其上的系统进行监视 可以识别恶意的使用行为 并根据监视结果进行不同的安全动作 最大限度地降低可能的入侵危害 因为入侵行为不仅可以来自外部 同时也可来自内部用户的未授权活动 一个有效的入侵检测系统应当能够检测两种类型的入侵 来自外部世界的闯入和有知识的内部攻击者 8 9 2入侵检测的概念 8 9入侵检测技术的概念 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 对入侵检测的研究最早可以追溯到20世纪80年代1986年 Denning提出了一个经典的入侵检测模型1990年加州大学戴维斯分校的L T Heberlein等人开发出了NSM NetworkSecurityMonitor 1994年 MarkCrosbie和EugeneSpafford首次建议使用自治代理 Autonomousagents 来提高IDS的可伸缩 可维护性 效率和容错性 1996年出现了GRIDS Graph basedIntrusionDetectionSystem 它的设计和实现使得对大规模自动或协同攻击的检测更为便利 8 9 3入侵检测的历史 8 9入侵检测技术的概念 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 1997年 RossAnderson和AbidaKhattak将信息检索技术引进到了入侵检测领域 1998年 W Lee首次提出了运用数据挖掘技术对审计数据进行处理 1999年 StevenCheung等人又提出了入侵容忍 Intrusiontolerance 的概念 在IDS中引入了容错技术 2000年 TimmBass提出了数据融合 DataFusion 的概念 将分布式入侵检测理解为在层次化模型下对多感应器的数据综合问题 8 9 3入侵检测的历史 8 9入侵检测技术的概念 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 入侵检测系统的主要功能是 监视用户和系统的活动 查找非法用户和合法用户的越权操作 审计系统配置的正确性和安全漏洞 并提示管理员修补漏洞 对用户的非正常活动进行统计分析 发现入侵行为的规律 检查系统程序和数据的一致性与正确性 能够实时地对检测到的入侵行为进行反应 操作系统的审计跟踪管理 8 9 4入侵检测系统的作用 8 10入侵检测常用技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 入侵检测方法有多种 按照他们对数据进行分析的角度 可将它们分为两大类 即异常检测技术和误用检测技术 8 10入侵检测常用技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 异常检测 AnomalyDetection 也称基于行为的检测 是指根据使用者的行为或资源使用情况来判断是否发生了入侵 而不依赖于具体行为是否出现来检测 该技术首先假设网络攻击行为是不常见的或是异常的 区别于所有正常行为 如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型 那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比 若入侵行为偏离了正常的行为轨迹 就可以被检测出来 8 10 1异常检测技术 8 10入侵检测常用技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 8 10 1异常检测技术 8 10入侵检测常用技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 该技术主要包括以下几种方法 1 用户行为概率统计模型2 预测模式生成3 神经网络 8 10 1异常检测技术 8 10入侵检测常用技术 计算机网络技术及其应用 ComputerNetworkTechnologyandApplications 课件制作 马强 误用检测 MisuseDetection 也称基于知识的检测 它是指运用已知攻击方法 根据已定义好的入侵模式 通过判断这些入侵模式是否出现来检测 它通过分析入侵过程的特征 条件 排列以及事件间的关系来描述入侵行为的迹象 误用检测技术首先要定义违背安全策略事件的特征 判别所搜集到的数据特征是否在所搜集到的入侵模式库中出现 这种方法与大部分杀毒软件采用的特征码匹配原理类似 其原理如图所示 8 10 2误用检测技术 8 10入侵