信息安全技术基础第9章

1、网络安全包括哪些常用技术和手段网络扫描技术作用和实施网络防火墙的作用和工作机理入侵检测系统的作用和工作机理使用蜜罐技术有效发现网络入侵行为本章主要讲解网络环境下安全防范技术：本章主要讲解网络环境下安全防范技术： 239.1 网络安全技术概述9.2 网络扫描技术9.3 网络防火墙技术9.4 入侵检测技术9.5 蜜罐技术4 由于网络的存在，攻击者更容易通过网络非法入侵他人网络系统、计算机系统，非法访问网络上的资源，非法窃取终端系统中的数据。 网络通常分为内部网络和外部网络（也称公共网络，如Internet），对安全边界的监控是网络安全的重要内容。 构建网络安全防御体系，除了必要的人、制度、机制、管

2、理等方面保障，还要依赖于各种网络安全技术。5 扫描技术：发现内部网络安全薄弱环节，进行完善保护。 防火墙技术：在内部与外部网络衔接处，阻止外部对内部网络的访问，限制内部对外部网络的访问等。 入侵检测系统：发现非正常的外部对内部网络的入侵行为，报警并阻止入侵行为和影响的进一步扩大。 隔离网闸技术：在物理隔离的两个网络之间进行安全数据交换。679.1 网络安全技术概述9.2 网络扫描技术9.3 网络防火墙技术9.4 入侵检测技术9.5 蜜罐技术8 发现网络中设备及系统是否存在漏洞。 主机扫描：确定在目标网络上的主机是否可达，常用的扫描手段如ICMP Echo 扫描、Broadcast ICMP 扫

3、描等。防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，攻击者通常利用ICMP协议提供的错误消息机制，例如发送异常的IP 包头、在IP头中设置无效的字段值、错误的数据分片，以及通过超长包探测内部路由器和反向映射探测等。9 端口扫描发现目标主机的开放端口，包括网络协议和各种应用监听的端口。TCP Connect 扫描和TCP反向ident 扫描口。TCP Xmas 和TCP Null 扫描是FIN 扫描的两个变种。TCP FTP 代理扫描。分段扫描，将数据包分为两个较小的IP 段。TCP SYN 扫描和TCP 间接扫描，两种半开放扫描。10 发现网络中设备及系统是否存在漏洞。

4、 主机扫描：确定在目标网络上的主机是否可达，常用的扫描手段如ICMP Echo 扫描、Broadcast ICMP 扫描等。防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，攻击者通常利用ICMP协议提供的错误消息机制，例如发送异常的IP 包头、在IP头中设置无效的字段值、错误的数据分片，以及通过超长包探测内部路由器和反向映射探测等。11 端口扫描发现目标主机的开放端口，包括网络协议和各种应用监听的端口。TCP Connect 扫描和TCP反向ident 扫描口。TCP Xmas 和TCP Null 扫描是FIN 扫描的两个变种。TCP FTP 代理扫描。分段扫描，将数据包

5、分为两个较小的IP 段。TCP SYN 扫描和TCP 间接扫描，两种半开放扫描。12139.1 网络安全技术概述9.2 网络扫描技术9.3 网络防火墙技术9.4 入侵检测技术9.5 蜜罐技术14151 1防火墙的特性防火墙的特性（1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙。（2）只有符合安全策略的数据流才能通过防火墙。（3）防火墙自身应具有非常强的抗攻击免疫力。162 2防火墙的功能防火墙的功能（1）防火墙是网络安全的屏障（2）防火墙可以强化网络安全策略（3）对网络存取和访问进行监控审计（4）防止内部信息的外泄17 1 1包过滤技术包过滤技术 “静态包过滤” “动态包过滤” 对

6、通过防火墙的每个IP数据报文（简称数据包）的头部、协议、地址、端口、类型等信息进行检查，与预先设定好的防火墙过滤规则进行匹配，一旦发现某个数据包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个数据包就会被丢弃。18 1 1包过滤技术包过滤技术 19 通常需要检查下列分组字段：源IP地址和目的IP地址；TCP、UDP和ICMP等协议类型；源TCP端口和目的TCP端口；源UDP端口和目的UDP端口；ICMP消息类型；输出分组的网络接口。20 匹配结果分为三种情况：如果一个分组与一个拒绝转发的规则相匹配，则该分组将被禁止通过；如果一个分组与一个允许转发的规则相匹配，则该分组将被允许通过；

7、如果一个分组没有与任何的规则相匹配，则该分组将被禁止通过。这里遵循了“一切未被允许的都是禁止的”的原则。21 2 2应用代理技术应用代理技术 “应用协议分析”技术工作在OSI模型的最高层应用层上，在这一层防火墙能“看到”应用数据最终形式，因而可以实现更高级、更全面的数据检测。 采取代理机制进行工作，即内外部网络之间的通信都需要先经过代理服务器审核，内外部网络的计算机不能直接连接会话，这样就可以避免攻击者使用“数据驱动”网络攻击。22 3 3、状态监视技术、状态监视技术 状态监视技术在支持对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上，进一步发展了“会话过滤”（Session

8、Filtering）功能，在每个连接建立时，防火墙会为这个连接构造一个会话状态，包含了这个连接数据包的所有信息，之后基于连接状态信息对每个数据包的内容进行分析和监视。2324DMZ部署方式，提供至少3个网路接口，一个用于连接外部网络通常是Internet，一个用于连接内部网络，一个用于连接提供对外服务的屏蔽子网。DMZ称为“隔离区”，也称“非军事化区”，它是一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间，放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。259.1 网络安全技术概述9.2 网络扫描技术9.3 网络防火墙技术9.4 入侵检测技

9、术9.5 蜜罐技术26 入侵检测（Intrusion Detection），通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。 实现这一功能的软件与硬件组合即构成入侵检测系统IDS（Intrusion Detection System）。 入侵检测系统分类：主机型IDS是安装在服务器或PC机上软件，监测到达主机的网络信息流；网络型IDS一般配置在网络入口处（路由器）、或网络核心交换处（核心交换路由）通过旁路技术监测网络上的信息流。27入侵检测系统应包括以下主要功能：监测、记录并分析用户和系统的活动；核查系统配置和漏洞；评估系统关键

10、资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；管理操作系统日志，识别违反安全策略的用户活动。28 入侵检测系统一般包括以下组件： 事件产生器（Event generators）事件分析器（Event analyzers）响应单元（Response units）事件数据库（Event databases）293031 网络IDS分类：基于知识的数据模式判断方法：分析建立网络中非法使用者（入侵者）的工作方法数据模型，在实时检测网络流量时，将网络中读取的数据与数据模型比对，匹配成功则报告事件。基于行为的行为判断方法： 统计行为判断：根据上面模式匹配的事件，在进行事后统计分析时，根据已

11、知非法行为的规则，判断出非法行为。 异常行为判断：根据平时统计的各种信息，得出正常网络行为准则，当遇到违背这种准则的事件发生时，报告非法行为事件。32 以主机系统日志、应用程序日志等作为数据源，也可以包括其他资源（如网络、文件、进程），从所在当然也的主机上收集信息并进行分析，通过查询、监听当前系统的各种资源的使用、运行状态，发现系统资源被非法使用或修改的事件，并进行上报和处理。截获本地主机系统的网络数据扫描、监听本地磁盘文件操作，检查文件的操作状态和内容轮询等方式监听系统的进程及其参数查询系统各种日志文件333435369.1 网络安全技术概述9.2 网络扫描技术9.3 网络防火墙技术9.4

12、入侵检测技术9.5 蜜罐技术37 蜜罐（Honeypot）技术可以看成是一种诱导技术，目的是发现恶意攻击和入侵。通过设置一个“希望被探测、攻击甚至攻陷”系统，模拟正常的计算机系统或网络环境，引诱攻击者入侵蜜罐系统，从而发现甚至定位入侵者，发现攻击模式、手段和方法，进而发现配置系统的缺陷和漏洞，以便完善安全配置管理消除安全隐患。 蜜罐可以分为高交互蜜罐（High-interaction honeypots）和低交互蜜罐（Low-interaction honeypots）38 一个高交互蜜罐是一个常规的计算机系统，如使用一台标准计算机、路由器等。 即高交互蜜罐实际上是一个配置了真实操作系统和服务

13、的系统，为攻击者提供一个可以交互的真实系统。 这一系统在网络中没有常规任务，也没有固定的活动用户。 系统上只运行正常守护进程或服务，不应该有任何不正常的进程，也不产生任何网络流量。39（1）高交互蜜罐 高交互蜜罐可以完全被攻陷，它们运行真实操作系统，可能带有所有已知和未知的安全漏洞，攻击者与真实的系统和真实的服务交互，使得我们能够捕获大量的威胁信息。 当攻击者获得对蜜罐的非授权访问时，可以捕捉他们对漏洞的利用，监视他们的按键，找到他们的工具，搞清他们的动机。 即使攻击者使用了我们尚不知道的未知漏洞，通过分析其入侵过程和行为，可以发现其使用的方法和手段，即所谓发现“零日攻击”。40（1）高交互蜜

14、罐 低交互蜜罐则是使用特定软件工具模拟操作系统、网络堆栈或某些特殊应用程序的一部分功能，例如具有网络堆栈、提供TCP连接、提供HTTP模拟服务等。 低交互蜜罐允许攻击者与目标系统有限交互，允许管理员了解关于攻击的主要的定量信息。 优点是简单、易安装和易维护。只需要安装和配置一个工具软件即可，典型的低交互蜜罐工具软件如Tiny Honypot、Honeyd、Nepentbes等，以及用于Web欺骗的Google入侵蜜罐GHH（Google Hack Honeypot）、PHP.HoP等。41（2）低交互蜜罐 由于低交互蜜罐只为攻击者提供一个模拟交互系统，这一系统不会完全被攻陷，因此，低交互蜜罐构

15、造了一个可控环境，风险有限。 因为蜜罐没有生产价值，任何连接蜜罐的尝试都被认为是可疑的。42（2）低交互蜜罐 根据蜜罐系统载体的不同，蜜罐又可分为物理蜜罐和虚拟蜜罐。物理蜜罐意味着蜜罐运行在一个物理计算机上，“物理”通常暗指高交互，允许系统被完全攻陷。物理蜜罐安装和维护成本高，但为每个空闲IP地址（空闲即被用于监听入侵）部署一个物理蜜罐是不切实际的。虚拟蜜罐是在一台物理计算机上部署多个虚拟机作为蜜罐，可以是低交换蜜罐也可以是高交互蜜罐，虚拟蜜罐配置资源少成本低易于维护。通常使用如VMware、Virtual PC虚拟机软件。43本章介绍了典型的网络安全防范技术。全面的网络安全防御体系应该包括风险评估、安全策略定义、部