《第3章防火墙与入侵检测.ppt》由会员分享,可在线阅读,更多相关《第3章防火墙与入侵检测.ppt(27页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第3章章 防火墙与入侵检测防火墙与入侵检测第第3章章 防火墙与入侵检测防火墙与入侵检测任务驱动任务驱动防火墙是保护用户资源的一种较好的措施,它能将内部私有网络与外部公共网络进行隔离,能够防止一些外部攻击通过Internet对内部网络的攻击。入侵检测可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段。通过本章学习,学生应该能理解防火墙的基本概念、功能和准则,了解防火墙的优点和缺陷,掌握防火墙不同的体系结构,熟悉入侵检测的原理,说明入侵检测的方法与步骤。第第3章章 防火墙与入侵检测防火墙与入侵检测本章内容3.1防火墙概述3.2防火墙体系结构3.3防火墙产品及其选择3.4入侵检
2、测概述3.5 入侵检测的方法与步骤3.6 入侵检测系统的部署与特点3.1防火墙概述防火墙概述3.1.1什么是防火墙什么是防火墙防火墙是设置在用户网络和外界之间的一道屏障,防止不可预料的、潜在的破坏侵入用户网络。防火墙在开放和封闭的界面上构造一个保护层,属于内部范围的业务,依照协议在授权许可下进行;外部对内部网络的访问受到防火墙的限制。 防火墙是一种综合性的技术,涉及计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织(ISO)的安全规范以及安全操作系统等多方面。防火墙最基本的构件既不是软件又不是硬件,而是构造防火墙的人的思想。 3.1.2 防火墙的功能和准则防火墙的功能和准则
3、不管哪一代防火墙,从总体上看都应具有以下五大基本功能:不管哪一代防火墙,从总体上看都应具有以下五大基本功能:过滤进出网络的数据包;过滤进出网络的数据包;管理进出网络的访问行为;管理进出网络的访问行为;封堵某些禁止的访问行为;封堵某些禁止的访问行为;记录通过防火墙的信息内容和活动;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。对网络攻击进行检测和告警。因此,防火墙的基本准则是:因此,防火墙的基本准则是:一切未被允许的就是禁止的一切未被允许的就是禁止的基于该准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开基于该准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。这是一种
4、非常实用的方法,可以造成一种十分安全的环境,因为只放。这是一种非常实用的方法,可以造成一种十分安全的环境,因为只有经过仔细挑选的服务才被允许使用。其弊端是,安全性高于用户使用有经过仔细挑选的服务才被允许使用。其弊端是,安全性高于用户使用的方便性,用户所能使用的服务范围受限制。的方便性,用户所能使用的服务范围受限制。一切未被禁止的就是允许的一切未被禁止的就是允许的3.1.3防火墙的优点和缺陷防火墙的优点和缺陷 利用防火墙来保护内部网主要有以下几个方面的优点:允许网络管理员定义一个中心“扼制点”来防止非法用户(如黑客、网络破坏者等)进入内部网络。 保护网络中脆弱的服务。 通过防火墙,用户可以很方便
5、地监视网络的安全性,并产生报警信息。 集中安全性。 增强保密性、强化私有权。 防火墙是审计和记录网络流量的一个最佳地方。 防火墙的主要缺陷有:限制有用的网络服务:不能有效防护内部网络用户的攻击: Internet防火墙无法防范通过防火墙以外的其他途径的攻击。 防火墙也不能完全防止传送已感染病毒的软件或文件。 防火墙无法防范数据驱动型的攻击。 不能防备新的网络安全问题。防火墙是一种被动式的防护手段,它只能对现在已知的网络威胁起作用。 3.1.4 防火墙的必要性和发展趋势防火墙的必要性和发展趋势1防火墙的必要性防火墙的必要性随着世界各国信息基础设施的逐渐形成,随着世界各国信息基础设施的逐渐形成,I
6、nternet已经成为信已经成为信息化社会发展的重要保证。许多重要的政府宏观调控决策、商业息化社会发展的重要保证。许多重要的政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息都通过网络存储、传输和处理。等重要信息都通过网络存储、传输和处理。难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。数据篡改、数据删除和计算机病毒等。网络安全已经成为迫在眉睫的重要问题,没有网络安全就没有网络安全已经成为迫在眉睫的重要问
7、题,没有网络安全就没有社会信息化。社会信息化。2防火墙的未来发展趋势优良的性能可扩展的结构和功能简化的安装与管理主动过滤防病毒与防黑客3.2 防火墙体系结构防火墙体系结构3.2.1双宿网关防火墙双宿网关防火墙双宿网关防火墙又称为双重宿主主机防火墙。双双宿网关防火墙又称为双重宿主主机防火墙。双宿网关是一种拥有两个连接到不同网络上的网络宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。例如,一个网络接口连到外部的接口的防火墙。例如,一个网络接口连到外部的不可信任的网络上,另一个网络接口连接到内部不可信任的网络上,另一个网络接口连接到内部的可信任的网络上。这种防火墙的最大特点是的可信任的网络上
8、。这种防火墙的最大特点是IP层的通信是被阻止的,两个网络之间的通信可通层的通信是被阻止的,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。一过应用层数据共享或应用层代理服务来完成。一般情况下,人们采用代理服务的方法,因为这种般情况下,人们采用代理服务的方法,因为这种方法为用户提供了更为方便的访问手段。也可以方法为用户提供了更为方便的访问手段。也可以通过应用层数据共享来实现对外网的访问。通过应用层数据共享来实现对外网的访问。3.2 防火墙体系结构防火墙体系结构3.2 防火墙体系结构防火墙体系结构3.2.2屏蔽主机防火墙屏蔽主机防火墙屏蔽主机防火墙强迫所有的外部主机与一个堡垒屏蔽主机
9、防火墙强迫所有的外部主机与一个堡垒主机(一种被强化的可以防御进攻的计算机)相主机(一种被强化的可以防御进攻的计算机)相连接,而不让它们直接与内部主机相连。屏蔽主连接,而不让它们直接与内部主机相连。屏蔽主机防火墙由包过滤路由器和堡垒主机组成。这个机防火墙由包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统防火墙系统提供的安全等级比包过滤防火墙系统要高,因为它实现了网络层安全(包过滤)和应要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务),所以入侵者在破坏内部用层安全(代理服务),所以入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安网络的安全性之前,必
10、须首先渗透两种不同的安全系统。全系统。 3.2 防火墙体系结构防火墙体系结构3.2 防火墙体系结构防火墙体系结构3.2.3 屏蔽子网防火墙屏蔽子网防火墙屏蔽子网防火墙系统用了两个包过滤路由器和一屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这种防火墙系统最安全,它定义了个堡垒主机。这种防火墙系统最安全,它定义了“非军事区非军事区”网络,支持网络层和应用层安全功网络,支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、能。网络管理员将堡垒主机、信息服务器、Modem组以及其他公用服务器放在组以及其他公用服务器放在“非军事区非军事区”网络中。网络中。“非军事区非军事区”网络很小,
11、处于因特网和网络很小,处于因特网和内部网络之间。内部网络之间。3.2 防火墙体系结构防火墙体系结构3.3 防火墙产品及其选择防火墙产品及其选择3.3.1防火墙产品介绍防火墙产品介绍1清华紫光的Unisecure系列防火墙2实达朗新的NetShine网络防火墙3天融信的网络卫士防火墙4ZoneAlarm(ZA)5傲盾(KFW)6Kaspersky Anti-Hacker(KAH)3.3 防火墙产品及其选择防火墙产品及其选择3.3.2如何选择防火墙如何选择防火墙1用户可能考虑的特殊功能要求网络地址转换功能(NAT)双重DNS虚拟专用网络(VPN)扫毒功能特殊控制需求 2选择防火墙不容忽视的两个要素
12、防火墙管理的难易度防火墙自身的安全性3选择防火墙需要综合考虑的问题3.4入侵检测概述入侵检测概述3.4.1什么是入侵检测什么是入侵检测入侵检测系统(Intrusion Detection System,简称IDS),是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时
13、保护。3.4入侵检测概述入侵检测概述入侵检测系统主要执行如下任务。监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 3.4入侵检测概述入侵检测概述3.4.2入侵检测系统的原理入侵检测系统的原理目前大多数的IDS系统主要采用基于包特征的检测技术来组建,它们的基本原理是对网络上的所有数据包进行复制并检测,然后与内部的攻击特征数据库(规则库) 进行匹配比较,如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确,但会给IDS带来较大
14、的负载,所以需要对检测策略作进一步的调整和优化。具体做法是:根据企业自身网络的业务应用情况选择最适合的检测策略(可根据操作系统、应用服务或部署位置等),并对所选的策略进行修改,选择具有参考价值的检测规则,而去除一些无关紧要的选项,如对于全部是Windows的应用环境,则完全可以把Unix的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外,还提供了对端口扫描检测规则的自定义,如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数,这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。 3.4入侵检测概述入侵检测概述3.4.3入侵检测系统的分类入侵检测系统的分类入
15、侵检测系统按其输入数据的来源来看,可以分入侵检测系统按其输入数据的来源来看,可以分为以下三种。为以下三种。1基于主机的入侵检测系统基于主机的入侵检测系统2基于网络的入侵检测系统基于网络的入侵检测系统3采用上述两种数据来源的分布式入侵检测系统采用上述两种数据来源的分布式入侵检测系统3.5 入侵检测的方法与步骤入侵检测的方法与步骤3.5.1入侵检测的主要方法入侵检测的主要方法1静态配置分析静态配置分析2异常性检测方法异常性检测方法3基于行为的检测方法基于行为的检测方法4其他检测方法与其发展方向其他检测方法与其发展方向分布式入侵检测与分布式入侵检测与CIDF。应用层入侵检测。应用层入侵检测。智能入侵
16、检测。智能入侵检测。与网络安全技术相结合。与网络安全技术相结合。3.5 入侵检测的方法与步骤入侵检测的方法与步骤3.5.2入侵检测系统的实现步骤入侵检测系统的实现步骤1信息收集信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息四个方面。 2数据分析对上述收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。 3响应3.6入侵检测系统的部署与特点入侵检测系统的部署与特点3.6.1入侵检测系统的部署入侵检测系统的部署1基于网
17、络入侵检测系统的部署基于网络入侵检测系统的部署2基于主机入侵检测系统的部署基于主机入侵检测系统的部署3入侵检测系统与防火墙的结合入侵检测系统与防火墙的结合 入侵检测引擎放在防火墙之外。入侵检测引擎放在防火墙之内。防火墙内外都装有入侵检测引擎。将入侵检测引擎安装在其他关键位置。 3.6入侵检测系统的部署与特点入侵检测系统的部署与特点3.6.2入侵检测系统的优点与缺点入侵检测系统的优点与缺点1入侵检测系统的优点入侵检测系统的优点 可以检测和分析系统事件以及用户的行为;可以检测和分析系统事件以及用户的行为;可以测试系统设置的安全状态;可以测试系统设置的安全状态;以系统的安全状态为基础,跟踪任何对系统
18、安全的修改操作;以系统的安全状态为基础,跟踪任何对系统安全的修改操作;通过模式识别等技术从通信行为中检测出已知的攻击行为;通过模式识别等技术从通信行为中检测出已知的攻击行为;可以对网络通信行为进行统计,并进行检测分析;可以对网络通信行为进行统计,并进行检测分析;管理操作系统认证和日志机制并对产生的数据进行分析处理;管理操作系统认证和日志机制并对产生的数据进行分析处理;在检测到攻击的时候,通过适当的方式进行适当的报警处理;在检测到攻击的时候,通过适当的方式进行适当的报警处理;通过对分析引擎的配置对网络的安全进行评估和监督;通过对分析引擎的配置对网络的安全进行评估和监督;允许非安全领域的管理人员对
19、重要的安全事件进行有效的处理。允许非安全领域的管理人员对重要的安全事件进行有效的处理。3.6入侵检测系统的部署与特点入侵检测系统的部署与特点2入侵检测系统的局限性入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞。对于高负载的网络或主机,很难实现对网络入侵的实时检测、报警和迅速的进行攻击响应。基于知识的入侵检测系统很难检测到未知的攻击行为。入侵检测系统的主动防御功能和联动防御功能会对网络的行为产生影响,同样也会成为攻击者的目标,实现以入侵检测系统过敏自主防御为基础的攻击。入侵检测系统无法单独防止攻击行为的渗透,只能调整相关网络设备的参数或人为的进行处理。网络入侵检测系统在纯交换环境无法正常工作,只有对交换环境进行一定的处理,利用镜像等技术,网络入侵检测系统才能对镜像的数据进行分析处理。入侵检测系统主要是针对网络行为进行分析检测,不能修正信息资源中存在的安全问题。