信息安全技术基础第9章

1、第9章 网络安全技术学习目标标网络安全全包括哪哪些常用用技术和和手段网络扫描描技术作作用和实实施网络防火火墙的作作用和工工作机理理入侵检测测系统的的作用和和工作机机理使用蜜罐罐技术有有效发现现网络入入侵行为为本章主要要讲解网网络环境境下安全全防范技技术：2如何保护护网络免免遭入侵侵？3目录录9.1网络安全全技术概概述9.2网络扫描描技术9.3网络防火火墙技术术9.4入侵检测测技术9.5蜜罐技术术49.1网络安全全技术概概述由于网络络的存在在，攻击击者更容容易通过过网络非非法入侵侵他人网网络系统统、计算算机系统统，非法法访问网网络上的的资源，非法窃窃取终端端系统中中的数据据。网络通常常分为内内部

2、网络络和外部部网络（也称公公共网络络，如Internet），对安安全边界界的监控控是网络络安全的的重要内内容。构建网络络安全防防御体系系，除了了必要的的人、制制度、机机制、管管理等方方面保障障，还要要依赖于于各种网网络安全全技术。59.1网络安全全技术概概述扫描技术术：发现现内部网网络安全全薄弱环环节，进进行完善善保护。防火墙技技术：在在内部与与外部网网络衔接接处，阻阻止外部部对内部部网络的的访问，限制内内部对外外部网络络的访问问等。入侵检测测系统：发现非非正常的的外部对对内部网网络的入入侵行为为，报警警并阻止止入侵行行为和影影响的进进一步扩扩大。隔离网闸闸技术：在物理理隔离的的两个网网络之间

3、间进行安全数据交换换。6如何探测测网络拓拓扑结构构及网络络中系统统存在的的安全弱弱点？7目录录9.1网络安全全技术概概述9.2网络扫描描技术9.3网络防火火墙技术术9.4入侵检测测技术9.5蜜罐技术术89.2网络扫描描技术发现网络络中设备备及系统统是否存存在漏洞洞。主机扫描描：确定在目目标网络络上的主主机是否否可达，常用的的扫描手手段如ICMP Echo扫描、BroadcastICMP扫描等。防火墙和和网络过过滤设备备常常导导致传统统的探测测手段变变得无效效。为了了突破这这种限制制，攻击击者通常常利用ICMP协议提供供的错误误消息机机制，例例如发送送异常的的IP包头、在在IP头中设置置无效的的

4、字段值值、错误误的数据据分片，以及通通过超长长包探测测内部路路由器和和反向映映射探测测等。99.2网络扫描描技术端口扫描描发现目标标主机的的开放端端口，包包括网络络协议和和各种应应用监听听的端口。TCPConnect扫描和TCP反向ident扫描口。TCPXmas和TCPNull扫描是FIN扫描的两两个变种种。TCPFTP代理扫描描。分段扫描描，将数数据包分分为两个个较小的的IP段。TCPSYN扫描和TCP间接扫描描，两种种半开放放扫描。109.2网络扫描描技术发现网络络中设备备及系统统是否存存在漏洞洞。主机扫描描：确定在目目标网络络上的主主机是否否可达，常用的的扫描手手段如ICMP Echo

5、扫描、BroadcastICMP扫描等。防火墙和和网络过过滤设备备常常导导致传统统的探测测手段变变得无效效。为了了突破这这种限制制，攻击击者通常常利用ICMP协议提供供的错误误消息机机制，例例如发送送异常的的IP包头、在在IP头中设置置无效的的字段值值、错误误的数据据分片，以及通通过超长长包探测测内部路路由器和和反向映映射探测测等。119.2网络扫描描技术端口扫描描发现目标标主机的的开放端端口，包包括网络络协议和和各种应应用监听听的端口。TCPConnect扫描和TCP反向ident扫描口。TCPXmas和TCPNull扫描是FIN扫描的两两个变种种。TCPFTP代理扫描描。分段扫描描，将数数

6、据包分分为两个个较小的的IP段。TCPSYN扫描和TCP间接扫描描，两种种半开放放扫描。12如何隔离离内部网网络与外外部网络络？13目录录9.1网络安全全技术概概述9.2网络扫描描技术9.3网络防火火墙技术术9.4入侵检测测技术9.5蜜罐技术术149.3.1防火墙概概念、功功能159.3.1防火墙概概念、功功能1防火墙墙的特性性（1）内部网网络和外外部网络络之间的的所有网网络数据据流都必必须经过过防火墙墙。（2）只有符符合安全全策略的的数据流流才能通通过防火火墙。（3）防火墙墙自身应应具有非非常强的的抗攻击击免疫力力。169.3.1防火墙概概念、功功能2防火墙墙的功能能（1）防火墙墙是网络络安

7、全的的屏障（2）防火墙墙可以强强化网络络安全策策略（3）对网络络存取和和访问进进行监控控审计（4）防止内内部信息息的外泄泄179.3.2防火墙工工作原理理1包过滤滤技术“静态包包过滤”“动态包包过滤”对通过防防火墙的的每个IP数据报文文（简称称数据包包）的头头部、协协议、地地址、端端口、类类型等信信息进行行检查，与预先先设定好好的防火火墙过滤滤规则进进行匹配配，一旦旦发现某某个数据据包的某某个或多多个部分分与过滤滤规则匹匹配并且且条件为为“阻止止”的时时候，这这个数据据包就会会被丢弃弃。189.3.2防火墙工工作原理理1包过滤滤技术199.3.2防火墙工工作原理理通常需要要检查下下列分组组字段

8、：源IP地址和目目的IP地址；TCP、UDP和ICMP等协议类类型；源TCP端口和目目的TCP端口；源UDP端口和目目的UDP端口；ICMP消息类型型；输出分组组的网络络接口。209.3.2防火墙工工作原理理匹配结果果分为三三种情况况：如果一个个分组与与一个拒拒绝转发发的规则则相匹配配，则该该分组将将被禁止止通过；如果一个个分组与与一个允允许转发发的规则则相匹配配，则该该分组将将被允许许通过；如果一个个分组没没有与任任何的规规则相匹匹配，则则该分组组将被禁禁止通过过。这里里遵循了了“一切切未被允允许的都都是禁止止的”的的原则。219.3.2防火墙工工作原理理2应用代代理技术术“应用协协议分析析

9、”技术术工作在在OSI模型的最最高层应用用层上，在这一一层防火火墙能“看到”应用数数据最终终形式，因而可可以实现现更高级级、更全全面的数数据检测测。采取代理理机制进进行工作作，即内内外部网网络之间间的通信信都需要要先经过过代理服服务器审审核，内内外部网网络的计计算机不不能直接接连接会会话，这这样就可可以避免免攻击者者使用“数据驱驱动”网网络攻击击。229.3.2防火墙工工作原理理3、状态监监视技术术状态监视视技术在在支持对对每个数数据包的的头部、协议、地址、端口、类型等等信息进进行分析析的基础础上，进进一步发发展了“会话过过滤”（Session Filtering）功能，在每个个连接建建立时，

10、防火墙墙会为这这个连接接构造一一个会话话状态，包含了了这个连连接数据据包的所所有信息息，之后后基于连连接状态态信息对对每个数数据包的的内容进进行分析析和监视视。239.3.3基于DMZ的防火墙墙部署24DMZ部署方式式，提供至少3个网路接接口，一一个用于于连接外外部网络络通通常是Internet，一个用用于连接接内部网网络，一一个用于于连接提提供对外外服务的的屏蔽子子网。DMZ称为“隔离区区”，也也称“非非军事化化区”，它是一一个非安安全系统统与安全全系统之之间的缓缓冲区，这个缓缓冲区位位于企业业内部网网络和外外部网络络之间，放置一一些必须须公开的的服务器器设施，如企业业Web服务器、FTP服

11、务器和和论坛等等。如何检测测非法入入侵网络络行为？25目录录9.1网络安全全技术概概述9.2网络扫描描技术9.3网络防火火墙技术术9.4入侵检测测技术9.5蜜罐技术术269.4.1入侵检测测系统概概述入侵检测测（IntrusionDetection），通过过收集和和分析计计算机网网络或计计算机系系统中若若干关键键点的信信息，检检查网络络或系统统中是否否存在违违反安全全策略的的行为和和被攻击击的迹象象。实现这一一功能的的软件与与硬件组组合即构构成入侵侵检测系系统IDS（IntrusionDetection System）。入侵检测测系统分类：主机型IDS是安装在在服务器器或PC机上软件件，监测测

12、到达主主机的网网络信息息流；网络型IDS一般配置置在网络络入口处处（路由由器）、或网络络核心交交换处（核心交交换路由由）通过过旁路技技术监测测网络上上的信息息流。279.4.1入侵检测测系统概概述入侵检测测系统应应包括以以下主要要功能：监测、记记录并分分析用户户和系统统的活动动；核查系统统配置和和漏洞；评估系统统关键资资源和数数据文件件的完整整性；识别已知知的攻击击行为；统计分析析异常行行为；管理操作作系统日日志，识识别违反反安全策策略的用用户活动动。289.4.1入侵检测测系统概概述入侵检测测系统一一般包括括以下组组件：事件产生生器（Eventgenerators）事件分析析器（Eventa

13、nalyzers）响应单元元（Responseunits）事件数据据库（Eventdatabases）29为事件（event），它可可以是网网络中的的数据包包，也可可以是从从系统日日志等其其他途径径得到的的信息。9.4.2IDS类型与部部署301网络IDS9.4.2IDS类型与部部署31基于数据据模式判判断IDS9.4.2IDS类型与部部署网络IDS分类：基于知识识的数据据模式判判断方法法：分析建立立网络中中非法使使用者（入侵者者）的工工作方法法数数据模型型，在实实时检测测网络流流量时，将网络络中读取取的数据据与数据据模型比比对，匹匹配成功功则报告告事件。基于行为为的行为为判断方方法：统计行为

14、为判断：根据上面面模式匹匹配的事事件，在在进行事事后统计计分析时时，根据据已知非非法行为为的规则则，判断断出非法法行为。异常行为为判断：根据平时时统计的的各种信信息，得得出正常常网络行行为准则则，当遇遇到违背背这种准准则的事事件发生生时，报报告非法法行为事事件。329.4.2IDS类型与部部署以主机系系统日志志、应用用程序日日志等作作为数据据源，也可以包括括其他资资源（如如网络、文件、进程），从所所在当然然也的主主机上收收集信息息并进行行分析，通过查查询、监监听当前前系统的的各种资资源的使使用、运运行状态态，发现现系统资资源被非非法使用用或修改改的事件件，并进进行上报报和处理理。截获本地地主机

15、系系统的网网络数据据扫描、监监听本地地磁盘文文件操作作，检查查文件的的操作状状态和内内容轮询等方方式监听听系统的的进程及及其参数数查询系统统各种日日志文件件332主机IDS9.4.3IDS工作原理理349.4.4典型入侵侵检测系系统规划划与配置置35如何更有有效地检检测非法法入侵网网络行为为？36目录录9.1网络安全全技术概概述9.2网络扫描描技术9.3网络防火火墙技术术9.4入侵检测测技术9.5蜜罐技术术379.5蜜罐技术术蜜罐（Honeypot）技术可可以看成成是一种种诱导技技术，目目的是发发现恶意意攻击和和入侵。通过设设置一个个“希望望被探测测、攻击击甚至攻攻陷”系系统，模模拟正常常的计

16、算算机系统统或网络络环境，引诱攻攻击者入入侵蜜罐罐系统，从而发发现甚至至定位入入侵者，发现攻攻击模式式、手段段和方法法，进而而发现配配置系统统的缺陷陷和漏洞洞，以便便完善安安全配置置管理消消除安全全隐患。蜜罐可以以分为高高交互蜜蜜罐（High-interaction honeypots）和低交交互蜜罐罐（Low-interactionhoneypots）389.5蜜罐技术术一个高交交互蜜罐罐是一个个常规的的计算机机系统，如使用用一台标标准计算算机、路路由器等等。即高交互互蜜罐实实际上是是一个配配置了真真实操作作系统和和服务的的系统，为攻击击者提供供一个可可以交互互的真实实系统。这一系统统在网络

17、络中没有有常规任任务，也也没有固固定的活活动用户户。系统上只只运行正正常守护护进程或或服务，不应该该有任何何不正常常的进程程，也不不产生任任何网络络流量。39（1）高交互互蜜罐9.5蜜罐技术术高交互蜜蜜罐可以以完全被被攻陷，它们运运行真实实操作系系统，可可能带有有所有已已知和未未知的安安全漏洞洞，攻击击者与真真实的系系统和真真实的服服务交互互，使得得我们能能够捕获获大量的的威胁信信息。当攻击者者获得对对蜜罐的的非授权权访问时时，可以以捕捉他他们对漏漏洞的利利用，监监视他们们的按键键，找到到他们的的工具，搞清他他们的动动机。即使攻击击者使用用了我们们尚不知知道的未未知漏洞洞，通过过分析其其入侵过

18、过程和行行为，可可以发现现其使用用的方法法和手段段，即所所谓发现现“零日日攻击”。40（1）高交互互蜜罐9.5蜜罐技术术低交互蜜蜜罐则是是使用特特定软件件工具模模拟操作作系统、网络堆堆栈或某某些特殊殊应用程程序的一一部分功功能，例例如具有有网络堆堆栈、提提供TCP连接、提提供HTTP模拟服务务等。低交互蜜蜜罐允许许攻击者者与目标标系统有有限交互互，允许许管理员员了解关关于攻击击的主要要的定量量信息。优点是简简单、易易安装和和易维护护。只需要安安装和配配置一个个工具软软件即可可，典型型的低交交互蜜罐罐工具软软件如Tiny Honypot、Honeyd、Nepentbes等，以及及用于Web欺骗的Google入侵蜜罐罐GHH（GoogleHackHoneypot）、PHP.HoP等。41（2）低交互互蜜罐9.5蜜罐技术术由于低交交互蜜罐罐只为攻攻击者提提供一个个模拟交交互系统统，这一一系统不不会完全全被攻陷陷，因此此，低交交互蜜罐罐构造了了一个可可控环境境，风险险有限。因为蜜罐罐没有生生产价值值，任何何连接蜜蜜罐的尝尝试都被被认为是是可疑的的。42（2）低交互互蜜罐9.5