windows系统安全14防火墙与入侵检测系统课件2

1、防火墙与入侵检测本章介绍两部分的内容：防火墙和入侵检测技术。介绍防火墙的基本概念，常见防火墙类型以及如何使用规则集实现防火墙。介绍入侵检测系统的基本概念以及入侵检测的常用方法1防火墙技术 1. 防火墙基本概念2. 防火墙的分类3 .防火墙的体系结构 4. 防火墙的实施2防火墙防火墙是位于可信网络与不可信网络之间，并对二者之间流动的数据包进行检查的一台、多台计算机或路由器。3防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。4防火墙实现的层次5防火墙的安全规则由匹配条件和处理方式两部分组成。匹配条件是指用于对通信流量是否合法作出判断的一些逻辑表达

2、式。若信息是匹配条件值为真，那么就进行处理。处理方式有以下几种。 接受：允许信息通过 拒绝：拒绝信息通过，通知发送信息的信息源 丢弃：直接丢弃信息，不通知信息源。6防火墙的基本功能（1）网络监控（包过滤功能，状态检查，网关级代理）（2）用户身份验证：可以限制未授权的用户进入内部网 络，过滤掉不安全的服务和非法用户（3）限制内部用户访问特殊站点防火墙的不足之处（1）不能防范恶意的知情者（2）防火墙不能防范不通过它的连接（3）防火墙不能防范病毒7防火墙技术 1. 防火墙基本概念 2 防火墙分类（按实现技术）3 .防火墙的体系结构 4. 防火墙的实施8防火墙分类（按实现技术）数据包过滤 防火墙（20

3、世纪80年代）应用级网关防火墙状态检测防火墙（20世纪90年代）9包过滤（分组过滤）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。状态检测（Status Detection）：直接对分组里的

4、数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。10包过滤防火墙数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出入，那么缺省参数将决定此包是前行还是被舍弃。 11包过滤技术 每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。 包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。12包过滤要检查的内容数据包过滤一般要检查网络层的IP头和传输层的头IP源地址IP目标地址协议类型（TCP包，UDP包和ICMP包）TCP或U

5、DP包的目的端口TCP或UDP包的原端口ICMP消息类型TCP包头的ACK位TCP包的序列号，IP校验和等13过滤的依据主要是TCP/IP包头里面的信息，不能对应用层数据进行处理14一个可靠的分组过滤防火墙依赖于规则集，表列出了几条典型的规则集。第一条规则：主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过。组序号动作源IP目的IP源端口目的端口协议类型1允许*TCP2允许*20*TCP3禁止*20S

6、ecurity Logs”，察看日志纪录如图所示。28防火墙分类（按实现技术）数据包过滤 防火墙（20世纪80年代）应用级网关防火墙状态检测防火墙（20世纪90年代）29应用级网关（代理）工作模型 作为一个信息交流的中转站，对客户来说，他是一个服务器，对服务器来说，他是一个客户，它的安全性较包过滤防火墙有了很大的提高30代理服务器数据包的重构过程 31服务端客户端telnetInternet应用级网关发送数据包到Internet必须先经过网关复制数据向目标服务器发送telnetd应用级网关防火墙32在Windows系统下的IE浏览器的配置 客户端的设置33应用级网关优缺点 优点：为内部网络提供

7、了更高的安全性应用代理防火墙工作于工作于应用层，适用于特定的网络服务，如HTTP，FTP等；并且应用代理防火墙适于做日志记录。缺点：处理速度较慢，因为它不允许直接访问外部网络网关的代理服务软件总要随着应用服务软件的更新而更新34Windows的防火墙：ISAISA具有防火墙和缓存代理的功能。35Windows的防火墙：ISA36网络地址转换防火墙的网络地址转换功能是指将内部主机的IP地址转换为某一固定或者某范围内的某个IP地址，而使从网络外部无法探测到它们。网络地址转换（NAT，Network Address Translation），有时也称为IP伪装。3738NAT类型静态NAT（Stat

8、ic NAT）动态地址NAT（Dynamic NAT）端口转换NAPT（Network Address Port Translation） 39静态NAT把内部网络中的每个主机都永久映射成外部网络中的某个合法的地址40动态NAT在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络 41端口转换 NAT把内部地址映射到外部网络的一个IP地址的不同端口上 42防火墙分类（按实现技术）数据包过滤 防火墙（20世纪80年代）应用级网关防火墙状态检测防火墙（20世纪90年代）43状态监测防火墙（20世纪90年代）状态监测防火墙具有非常好的安全特性，它使用一个在网关上执行网络安全策略的软件

9、模块，称为“监测引擎”。监测引擎在不影响网络正常运行的前提下，监测网络通信的各层并在通信各层抽取有关数所生成状态信息，并动态地保存以供后续执行安全策略的参考。使用状态监测的一个优点是，虽然在网络层接收数据包以提高效率，但防火墙依旧检查通信各层的数据，并根据生成的通信状态，应用状态和上下文信息等结合网络安全策略对数据包作出接收，拒绝，身份认证，报警或通信加密等动作。它的另一个优点是它可以监测无连接协议（如RPC，某些基于UDP的应用），而包过滤防火墙和应用代理防火墙都不具备这种功能。它的缺点是降低网络速度，且配置比较复杂。4445防火墙技术 1. 防火墙基本概念 2 防火墙分类（按实现技术）3

10、.防火墙的体系结构 4. 防火墙的实施46防火墙体系结构防火墙的体系结构一般有双宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。47双重宿主主机体系结构双重宿主主机的防火墙体系结构是相当简单的，双重宿主主机位于两者之间，并且被连接到因特网和内部的网络。右图显示这种体系结构。 48双重宿主主机体系结构双宿主机是连接内外网络的通道，因此它本应具有路由功能。而在实际应用中，双宿主机路由功能是被禁止的。49屏蔽主机体系结构在此结构中提供安全保护的主机仅仅与内部网相连。另外，结构中还有一台单独的路由器（过滤路由器）。在这种体系结构中，堡垒主机即可提供包过滤功能，也可提供代理功能，其结构如左图所示。

11、50内外网络之间的所有通信都必须通过堡垒主机主要优点： 相对于双宿主机体系结构，堡垒主机不直接与外部网络连接，减小了被攻击的可能性。路由器的同时存在，减轻了堡垒主机的负担缺点： 一旦堡垒主机遭到攻击，内部网络助于不安全的状态51屏蔽子网模型屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在非军事区网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。 防火墙52屏蔽子网体系结构内部路由器内部路由器有时被称为阻塞路由器，它保护内部的网络使之免受Internet和周

12、边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。外部路由器外部路由器能有效地执行的安全任务之一是：阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络，但实际上是来自Internet。53实施方法1 基于网络主机的防火墙 一种是作为现有的商业操作系统上的应用程序另外一种是整合成操作系统的一部分2 基于路由器的防火墙一般他们可以起到阻止和允许特定的IP地址和端口号的基本防火墙功能使用NAT来隐藏内部IP地址在一个全面安全体系结构中，路由器经常作为屏蔽设备使用3 基于单个主机的防火墙常用于规模很小的办

13、公室或者家庭比如：瑞星个人防火墙、天网个人防火墙4 硬件防火墙硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行功能通常硬件防火墙的性能要强于软件防火墙、并且连接、使用比较方便54防火墙环境下的服务器部署最典型的防火墙环境就是DMZ(非军事区)。DMZ是作为内外网都可以访问的计算机系统和资源的连接点，比如Web服务器、邮件服务器、VPN网关、DNS服务器等，这些系统和资源不能放置在内部保护网络内。 55防火墙环境下的服务器部署56防火墙环境下的服务器部署遵循原则。(1) 通过边界路由过滤设备保护外部服务器，或将它们放置在外部DMZ中。(2) 绝不可将外部可访问的服务器放置在内部要保护网络中。(

14、3) 根据内部服务器的敏感程度和访问方式，将它们放置在内部防火墙之后。(4) 尽量隔离各种服务器，防止一个服务器被攻破后波及到其他服务器的安全。 571 入侵检测系统(IDS)的概念入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。58 检测来自内部的攻击事件和越权访问85以上的攻击事件来自于内部的攻击防火墙只能防外，难于防内入侵检测系统作为防火墙系统的一个有效的补充入侵检测系统可以有效的防范防火墙开放的服务入侵入侵检测的任务59分类网络型入侵检测系统主机型入侵检测系统混合型入侵检测

15、系统（Hybrid IDS）60网络型入侵检测系统(Network Intrusion Detection System，NIDS)的数据源来自网络上的数据包。一般地，用户可将某台主机网卡设定为混杂模式，以监听本网段内所有数据包，判断其是否合法。NIDS担负着监视整个网段的任务IDS分类61IDS分类NIDS的优点主要是使用简便，不会给运行关键业务的主机和网络增加任何负担。62IDS分类主机型入侵检测系统(Host Intrusion Detection System，HIDS)：系统安装在主机上面，对本主机进行安全检测往往以系统日志、应用程序日志等作为数据源，当然也可以通过通过查询、监听当前

16、系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。632 入侵检测系统构件64入侵检测的步骤 由此也划分了入侵检测的三个基本步骤：信息收集数据分析响应 数据分析后处理方式AlertLogCall Firewall65数据分析数据分析（Analysis Schemes）是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。快速的模式匹配算法根据数据分析的不同方式可将入侵检测系统分为三类：异常入侵检测误用入侵检测完整性检测66 3 入侵检测的分析方式异常检测（Anomaly Detection） 统计模型误报较多误用检测（Misuse Detectio

17、n）维护一个入侵特征知识库（CVE）准确性高完整性分析（静态检测）67 3.1 异常检测基本原理一般采用统计方法建立正常行为的特征轮廓检查系统的运行情况是否偏离预设的门限？68 3.1 异常检测异常检测的优点：可以检测到未知的入侵 可以检测冒用他人帐号的行为 具有自适应，自学习功能 不需要系统先验知识69 3.1 异常检测异常检测的缺点：漏报、误报率高入侵者可以逐渐改变自己的行为模式来逃避检测合法用户正常行为的突然改变也会造成误警 统计算法的计算量庞大，效率很低 统计点的选取和参考库的建立比较困难70 3.1异常性检测问题：在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进

18、行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性，所以在入侵检测系统中，仅使用异常性检测技术不可能检测出所有的入侵行为。71 3.2 误用检测采用模式匹配技术检测已知攻击提前建立已出现的入侵行为特征检测当前用户行为特征72 3.2 误用检测误用检测的优点算法简单系统开销小 准确率高效率高73 3.2 误用检测误用检测的缺点被动只能检测出已知攻击 新类型的攻击会对系统造成很大的威胁 模式库的建立和维护难模式库要不断更新知识依赖于硬件平台操作系统系统中运行的应用程序74 3.3 完整性分析通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否

19、已经或者可能会遭到破坏。 其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。 缺点是一般以批处理方式实现，不用于实时响应。 75案例： 检测与端口关联的应用程序网络入侵者都会连接到主机的某个非法端口，通过检查出与端口关联应用程序，可以进行入侵检测，这种方法属于静态配置分析。利用工具软件fport.exe可以检查与每一端口关联的应用程序，执行程序如图所示。76案例： 入侵检测工具：BlackICEBlackICE是一个小型的入侵检测工具，在计算机上安全完毕后，会在操作系统的状态栏显示一个图标，当有异常网络情况的时候，图标就会跳动。主界面如图所示。77可以查看主机入侵的信息，选择属性页“Intruders”，如图所示。78 3.3 入侵检测产品 免费的入侵检测产品Snort SHADOW /ISSEC/CID79 3.3 商业的入侵检测产品CyberCop Monitor, NAIDragon Sensor, EnterasyseTrust ID, CANetProwler, SymantecNetRanger, CiscoNID-100/200, NFR SecurityRealSec