第五讲 防火墙与入侵检测

网络信息安全管理员 第四讲防火墙与入侵检测技术 主要内容 防火墙基础防火墙防御体系结构防火墙部署入侵检测技术蜜罐与密网技术常见防火墙产品和入侵检测产品补充1 网络不良信息过滤方法补充2 网络不良信息过滤存在问题及建议 主要内容 防火墙基础防火墙防御体系结构防火墙部署入侵检测技术蜜罐与密网技术常见防火墙产品和入侵检测产品补充1 网络不良信息过滤方法补充2 网络不良信息过滤存在问题及建议 防火墙简介 Internet防火墙的主要目标是控制可信网络 trustednetwork 和Internet之间的连接 防火墙允许访问服务并保护这些服务的用户 防火墙都必须具有以下三种性质 1 进出网络的双向通信信息必须通过防火墙 2 只能允许经过本地安全策略授权的通信信息通过 3 防火墙本身不能影响网络信息的流通 防火墙分类 按防火墙工作在网络中的层次为依据 则防火墙分为两大类 即网络层防火墙和应用层防火墙 网络层防火墙主要类型有 1 过滤路由器 2 屏蔽主机防火墙 3 屏蔽子网防火墙应用层防火墙主要类型有 1 代理服务器主机防火墙 2 双宿网关防火墙 3 电路网关防火墙 使用防火墙所带来的问题 1 使用防火墙为网络带来安全性的代价是削弱了网络的功能 2 使用防火墙可能会成为网络的瓶颈 3 使用应用代理防火墙时必须不断地设法获得新出现服务的应用代理 4 对某些以提供服务为目的的组织 如ISP InternetServiceProvider 如果采用如此严格的防火墙安全策略 就会失去用户 新一代防护墙的主要技术 认证 authentication 技术包过滤技术代理技术状态包过滤技术所有方法的综合 主要内容 防火墙基础防火墙防御体系结构防火墙部署入侵检测技术蜜罐与密网技术常见防火墙产品和入侵检测产品补充1 网络不良信息过滤方法补充2 网络不良信息过滤存在问题及建议 双宿 多宿主机防火墙 1 双宿 多宿主机防火墙 2 使用双宿网关防火墙的注意事项 必须被禁止其主计算机上的网络接口板之间的路由功能有一些因素能够降低双宿网关防火墙的安全性能 1 一是文件许可权限设置不正确 2 二是UNIX的Shell脚本 unixshellscript 能够使得受禁止的IP选路功能重新使能 3 三是一个受到入侵用户的帐户可能被用来从非信任的网络上登录到双宿网关主机 所以决不能允许用户直接登录到网关主机上 4 四是在非信任网络上的用户可以通过对由应用程序所发布的 存放在双宿网关上的信息进行研究 从而可以了解可信系统的情况 屏蔽主机防火墙 屏蔽主机防火墙的问题 1 使用单一的过滤路由器 也许会成为可信网络流量的瓶颈 2 如果过滤路由器崩溃 则整个网关随之而崩溃 3 对过滤路由器的路由表必须加以保护 使其免受入侵者的修改 因为 一个入侵者可以通过修改过滤路由器的路由表 使得网络流量不发往堡垒主机 而是直接发往可信网络 4 要禁止ICMP重新定向 否则 入侵者可以借助路由器对错误的ICMP重新定向消息的回答而攻击网络 屏蔽子网防火墙 屏蔽子网防火墙的不足之处 1 屏蔽子网防火墙屏蔽子网防火墙要比使用单一的堡垒主机防火墙更昂贵 因为 这种防火墙必须为可信网络的每一个子网分配一个路由器端口和堡垒主机 2 屏蔽子网防火墙的堡垒主机的配置更加复杂 当可信网络的子网增加时 这种复杂性以几何级数增长 主要内容 防火墙基础防火墙防御体系结构防火墙部署入侵检测技术蜜罐与密网技术常见防火墙产品和入侵检测产品补充1 网络不良信息过滤方法补充2 网络不良信息过滤存在问题及建议 部署防火墙的基本方法和步骤 1 根据公司的安全性要求 将网络划分为若干安全区域 2 在安全区域之间设置针对网络通信的访问控制点 3 根据控制点制定边界安全策略 采用合适的防火墙技术 4 配置对应的安全策略 5 测试 6 运行和维护 普通企业环境的部署 ADSL接入的部署 网络多出口部署 1 网络多出口部署 2 高可靠性配置的部署 1 高可靠性配置的部署 2 分布式网络环境的部署 主要内容 防火墙基础防火墙防御体系结构防火墙部署入侵检测技术蜜罐与密网技术常见防火墙产品和入侵检测产品补充1 网络不良信息过滤方法补充2 网络不良信息过滤存在问题及建议 入侵检测模型 入侵检测系统分类 主机的入侵检测系统入侵检测专家系统 IDES Multics检测与报警系统 MIDAS 基于局域网的入侵检测系统网络安全监控系统 NSM 分布式的入侵检测系统分布式入侵检测系统 DIDS 协同安全管理系统 CSM 入侵检测依据 基于用户特征基于入侵者特征基于活动 异常入侵检测方法 1 统计异常检测方法 2 基于特征选择异常检测方法 3 基于贝叶斯推理异常检测方法 4 基于贝叶斯网络异常检测方法 5 基于模式预测异常检测方法 6 基于神经网络异常检测方法 7 基于贝叶斯聚类异常检测方法 8 基于机器学习异常检测方法 9 基于数据采掘异常检测方法 误用入侵检测方法 1 基于条件概率误用人侵检测方法 2 基于专家系统误用人侵检测方法 3 基于状态迁移分析误用人侵检测方法 4 基于键盘监控误用人侵检测方法 5 基于模型误用人侵检测方法 主要内容 防火墙基础防火墙防御体系结构防火墙部署入侵检测技术蜜罐与密网技术常见防火墙产品和入侵检测产品补充1 网络不良信息过滤方法补充2 网络不良信息过滤存在问题及建议 蜜罐与密网的概念 蜜罐被定义为一种信息系统伪资源 它的作用是通过吸引攻击者对这些资源访问与使用 达到保护信息系统真资源的目的根据蜜罐同攻击者之间交互的程度 蜜罐可以被分为低交互蜜罐 low interactionhoneypot 和高交互蜜罐 high interactionhoneypot 低交互蜜罐通常又被称为产品型蜜罐 productionhoneypot 而高交互蜜罐通常又被称为研究型蜜罐 researchhoneypot 低交互蜜罐 低交互蜜罐包括有 Specter Honeyd和KfSensor等 其最大的特点就是模拟 通常低交互蜜罐通过模拟某些特定的服务或是操作系统 使攻击者行为被限制在被模拟的范围内 低交互蜜罐的优点在于简单 容易配置和维护 也具有更小的危险性低交互蜜罐由于只为攻击者提供简单的交互能力 因此获得信息非常有限 只能对攻击行为做简单的记录和分析 而且这也使低交互蜜罐无论模拟的多么完美 对攻击者来讲也会很容易检测出蜜罐的存在 高交互蜜罐 高交互蜜罐包括有 SymantecDecoyServer和Honeynets 其最大的特点就是真实 除了系统中信息是假的外 其余系统功能或软件都是真的 安装在蜜罐上的系统和应用程序都是能在网络上发现的真正的系统和应用程序 没有模拟也没有故意的不安全设置这种设计有两种好处 一是能够捕捉到更广泛更有价值的信息二是高交互蜜罐没有预先设定攻击者的攻击行为 主要内容 防火墙基础防火墙防御体系结构防火墙部署入侵检测技术蜜罐与密网技术常见防火墙产品和入侵检测产品补充1 网络不良信息过滤方法补充2 网络不良信息过滤存在问题及建议 典型防火墙产品 1 CiscoPIX是最具代表性的硬件防火墙 属状态检测型CheckPointFirewall 1可以基于Unix WinNT Win2K等系统平台上工作 属状态检测型 综合性能比较优秀的软件防火墙产品Raptor完全是基于代理技术的软件防火墙 它是代理服务型防火墙中的较好的一种Gauntlet属于应用层网关一级的防火墙NetScreen使用专有ASIC构成高性能防火墙 价格便宜而且易于安装CyberGuard防火墙基于代理技术 界面简单OfficeConnectFirewall采用全静态数据包检验技术 典型防火墙产品 2 F3500防火墙具有防火墙和流量控制等功能 结合了网络级包过滤 Network levelPacketFilter 和应用级代理服务器 Application levelProxyServer 的功能天融信公司网络卫士是我国第一套自主版权的防火墙系统联想网御综合应用创新的VSP USE MRP等安全关键技术 在业界率先实现完全内容过滤防火墙微软网络安全和网络加速解决方案 ISAServer2000 典型入侵检测产品 1 Cisco公司的NetRangerNetworkAssociates公司的CyberCopInternetSecuritySystem公司的RealSecureIntrusionDetection公司的KaneSecurityMonitorAxentTechnologies公司的OmniGuard IntruderAlertComputerAssociates公司的SessionWall 3 eTrustIntrusionDetectionTrustedInformationSystem公司的StalkersNetworkSecurityWizards公司的DragonIDS 典型入侵检测产品 2 NetworkIce公司的BlackIceDefenderandEnterpriseIcepac1 0NFR公司的IntrusionDetectionAppliance4 0CyberSafe公司的Centrax2 2中科网威的 天眼 入侵检测系统启明星辰的SkyBell 天阗 UTM简介 UTM是指能够提供广泛的网络保护的设备 它在一个单一的硬件平台下提供了以下的一些技术特征 防火墙 防病毒 入侵检测和防护功能 UTM的几个显著特征如下 1 深度检测2 个体差异3 动态更新4 高度集成 主要内容 防火墙基础防火墙防御体系结构防火墙部署入侵检测技术蜜罐与密网技术常见防火墙产品和入侵检测产品补充1 网络不良信息过滤方法补充2 网络不良信息过滤存在问题及建议 网络不良信息的过滤方法 从过滤系统的结构来看 可以分为基于内容的过滤和协作过滤两种从过滤系统的作用来看 可以分为推荐系统 阻挡系统和一般过滤系统三种从过滤依据来看 可己分为内容过滤 网址过滤和混合过滤三种从是否对过滤进行预处理来看 可以分为主动过滤和被动过滤两种 国外网络内容分级标准 国外在基于内容分级方案中 多方标记和分级模式 MPLRM Multi PartyLabeling RatingModel 占据主导地位 MPLRM遵循W3C WorldWideWebConsortium 所提出的 互联网内容分级平台 PICS platformforinternetcontentselection 技术标准以PlCS为核心研发的相关分级系统已不少 在众多引用PICS技术标准的平台中 又以网络分级协会 ICRA InternetContentRatingAssociation 的推广最为有力 ICRA分级标准 国内网页内容分级标准 我国的网页内容分级标准有影响的是网络教育内容分级标准 CHERS Chinesee learningcontentratingstandard CHERS旨在为我国网络教育内容分级提供统一的尺度 它遵守PICS技术规范 具有以下特点 1 更适合中国国情 以代表我国利益的文化 理论 价值取向为出发点 2 采用二维的内容分级方案 即同时采用内容分级维和年龄分级维 3 内容分类更加全面 除了对色情 暴力等网络信息进行过滤外 还可过滤不良语言 恐怖 军国主义 邪教等网页内容 4 CHERS不仅具有阻挡不良信息的功能而且还具有推荐信息的功能 它可借助先进的技术手段把中华民族优秀文化传统 推 给广大中国学习者 乃至全球的学习者 URL过滤 URL过滤主要是通过对互联网上各样信息进行分类后 精确地匹配URL和与之对应的页面内容 形成一个预分类网址库 在用户访问网页时 将要访问的网址与预分类网址库中的网页地址进行对比 以此来判断该网址是否被允许访问 通常情况下 需要维护两种类型的列表 一种为 黑名单 blacklist 包括禁止访问的目标网站的URL 另一个为 白名单 whitelist 包括允许访问的目标网站的URL 文本内容过滤技术 基于内容的文本过滤相似于信息检索 往往采用与信息检索类似的技术 目前己有一些算法用来分析文档的内容 主要有 关键词匹配法潜在语义索引法神经网络法 多媒体信息过滤技术 多媒体信息不仅包括文本信息 还包括图像信息 音频信息和视频信息 因此多媒体信息的过滤要比文本信息过滤困难得多 目前对多媒体信息过滤主要有两种方法 第一种是基于文本的多媒体信息过滤第二种是基于内容的多媒体过滤 主要内容 防火墙基础防火墙防御体系结构防火墙部署入侵检测技术蜜罐与密网技术常见防火墙产品和入侵检测产品补充1 网络不良信息过滤方法补充2 网络不良信息过滤存在问题及建议 内容小结 防火墙基础防火墙防御体系结构防火墙部署入侵检测技术蜜罐与密网技术常见防火墙产品和入侵检测产品补充1 网络不良信息过滤方法补充2 网络不良信息过滤存在问题及建议 技术问题 1 不良信息过滤存在样本分布不均衡问题 正面文本的样本比较容易获取 而负面样本较难获取 2 一般信息过滤所过滤的信息表达形式稳定 易于利用关键词和词频统计方法进行文本表示 而不良信息制造者往往采取更换表达形式和用同音字代替等方式来逃避过滤 增加过滤难度 3 在对不良信息进行过滤时 不仅要分析其包含的主题内容 还必须判断它的态度和立场 即文本的倾向性 法律问题 1 明确