《第11章网络安全技术.ppt》由会员分享,可在线阅读,更多相关《第11章网络安全技术.ppt(98页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、20 五月 2023第第11章网络安全技术章网络安全技术11.1 网络安全基础11.1.1 11.1.1 什么是网络安全?什么是网络安全?什么是网络安全?什么是网络安全?从狭义的角度来看从狭义的角度来看,计算机网络安全是指计算机及其网络系统资源和信,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,确保计算机和计算机网络系息资源不受自然和人为有害因素的威胁和危害,确保计算机和计算机网络系统的硬件、软件及其系统中的数据,不因偶然的或者恶意的原因而遭到破坏、统的硬件、软件及其系统中的数据,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,保证系统能连续可靠正常的运
2、行,网络服务不中断。计算机网更改、泄露,保证系统能连续可靠正常的运行,网络服务不中断。计算机网络安全从其本质上来讲就是系统的信息安全。计算机网络安全是一门涉及计络安全从其本质上来讲就是系统的信息安全。计算机网络安全是一门涉及计算机科学、网络技术、电子技术、密码技术、信息安全技术、应用数学等等算机科学、网络技术、电子技术、密码技术、信息安全技术、应用数学等等多种学科的综合性科学。多种学科的综合性科学。从广义的角度来讲,从广义的角度来讲,凡是涉及到计算机网络上信息的保密性、完整性、凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。可用性
3、、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。所以,广义的计算机网络安全还包括信息设备的物理安全性,如场地环境保所以,广义的计算机网络安全还包括信息设备的物理安全性,如场地环境保护、防火措施、静电防护、防水、防潮措施、电源保护、空调设备、计算机护、防火措施、静电防护、防水、防潮措施、电源保护、空调设备、计算机辐射等。辐射等。11.1.2 11.1.2 网络安全基本要素网络安全基本要素网络安全基本要素网络安全基本要素 1机密性:确保信息不暴露给未授权的实体或进程。机密性:确保信息不暴露给未授权的实体或进程。2完整性:只有得到允许的人才能修改数据,并且能够判别出数据是完整性:只有得
4、到允许的人才能修改数据,并且能够判别出数据是否已被篡改。否已被篡改。3可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。所有的资源而阻碍授权者的工作。4可控性:可以控制授权范围内的信息流向及行为方式。可控性:可以控制授权范围内的信息流向及行为方式。5可审查性:对出现的网络安全问题提供调查的依据和手段。可审查性:对出现的网络安全问题提供调查的依据和手段。11.1.3 11.1.3 网络安全面临的主要威胁网络安全面临的主要威胁网络安全面临的主要威胁网络安全面临的主要威胁根据各种网络威胁产生的原因,我们把
5、网络威胁归纳为以下根据各种网络威胁产生的原因,我们把网络威胁归纳为以下4类:类:1.软件系统自身的安全缺陷导致的威胁软件系统自身的安全缺陷导致的威胁(1)操作系统和应用软件自身存在着安全漏洞。)操作系统和应用软件自身存在着安全漏洞。(2)网络环境中的网络协议存在安全漏洞。)网络环境中的网络协议存在安全漏洞。2.非法进行网络操作带来的威胁非法进行网络操作带来的威胁(1)拒绝服务的攻击)拒绝服务的攻击 (2)非授权访问网络资源)非授权访问网络资源 (3)网络病毒)网络病毒3.网络设施本身和运行环境因素的影响造成的威胁网络设施本身和运行环境因素的影响造成的威胁4.网络规划、运行管理上的不完善带来的威
6、胁网络规划、运行管理上的不完善带来的威胁 11.1.4 11.1.4 黑客对网络的常见攻击手段黑客对网络的常见攻击手段黑客对网络的常见攻击手段黑客对网络的常见攻击手段黑客对网络的攻击手段可以说多种多样,下面介绍几种常见攻击手黑客对网络的攻击手段可以说多种多样,下面介绍几种常见攻击手段。段。1通过获取口令,进行口令入侵通过获取口令,进行口令入侵2放置特洛伊木马程序进行攻击放置特洛伊木马程序进行攻击3拒绝服务攻击拒绝服务攻击4电子邮件攻击电子邮件攻击5采取欺骗技术进行攻击采取欺骗技术进行攻击6寻找系统漏洞,入侵系统寻找系统漏洞,入侵系统7利用缓冲区溢出攻击系统利用缓冲区溢出攻击系统11.1.5 1
7、1.1.5 网络安全的重要性网络安全的重要性网络安全的重要性网络安全的重要性就目前网络应用和发展情况来看,计算机网络安全的重要性具体表就目前网络应用和发展情况来看,计算机网络安全的重要性具体表现在以下几个方面。现在以下几个方面。1随着计算机系统功能的日益完善和速度的不断提高,系统组成越随着计算机系统功能的日益完善和速度的不断提高,系统组成越来越复杂、系统规模越来越大,特别是来越复杂、系统规模越来越大,特别是Internet的迅速发展,存取控制、的迅速发展,存取控制、逻辑连接数量的不断增加,软件规模的空前膨胀,任何隐含的缺陷、失逻辑连接数量的不断增加,软件规模的空前膨胀,任何隐含的缺陷、失误、人
8、为的破坏都会造成巨大的损失。误、人为的破坏都会造成巨大的损失。2利用网络环境处理各类数据信息是信息化时代的发展趋势,这其利用网络环境处理各类数据信息是信息化时代的发展趋势,这其中包括个人邮件资料和隐私,一些部门、机构、企业的机密文件和商业中包括个人邮件资料和隐私,一些部门、机构、企业的机密文件和商业信息,甚至是有关国家发展和安全的政治、经济、军事以及国防的重要信息,甚至是有关国家发展和安全的政治、经济、军事以及国防的重要数据,这些数据信息不仅涉及到个人和团体的利益,更主要的是可能关数据,这些数据信息不仅涉及到个人和团体的利益,更主要的是可能关系一个国家的安全与稳定。系一个国家的安全与稳定。而正
9、是这些数据信息是不法分子和敌对势力攻击的目标。为了确保网络而正是这些数据信息是不法分子和敌对势力攻击的目标。为了确保网络中各类数据信息的安全,显然就离不开一套完善的网络安全防范体系的中各类数据信息的安全,显然就离不开一套完善的网络安全防范体系的支持。支持。3当前,仍有大量网络用户只关注网络系统的功能,而忽视网络当前,仍有大量网络用户只关注网络系统的功能,而忽视网络的安全,往往在碰到网络安全事件后,才被动地从发生的现象中注意系的安全,往往在碰到网络安全事件后,才被动地从发生的现象中注意系统应用的安全问题。广泛存在着重应用轻安全,安全意识淡薄的普遍现统应用的安全问题。广泛存在着重应用轻安全,安全意
10、识淡薄的普遍现象。因此,加强网络安全知识的宣传和教育,学习有关网络安全的法律象。因此,加强网络安全知识的宣传和教育,学习有关网络安全的法律法规和一定的防范技术,也是保护网络安全的一项重要工作。法规和一定的防范技术,也是保护网络安全的一项重要工作。11.2 网络安全体系结构网络安全体系结构11.211.2.1 网络安全系统模型11.2.2 ISO的网络安全体系结构标准11.2.3 计算机系统安全等级评价标准11.2.4 建立网络安全策略11.2.1 网络安全系统模型网络安全系统模型网络安全系统实际上是在一定的法律法规、安全标准的规范下,网络安全系统实际上是在一定的法律法规、安全标准的规范下,根据
11、具体应用需求和规定的安全策略的指导下,使用有关安全技术手根据具体应用需求和规定的安全策略的指导下,使用有关安全技术手段和措施所组成的用以控制网络之间信息流动的部件的集合,是一个段和措施所组成的用以控制网络之间信息流动的部件的集合,是一个准许或拒绝网络通信的具有保障网络安全功能的系统。准许或拒绝网络通信的具有保障网络安全功能的系统。一个完整的网络信息安全系统至少包括三个层次,并且三者缺一一个完整的网络信息安全系统至少包括三个层次,并且三者缺一不可,它们共同构成网络信息安全系统的基本模型,如下图所示。不可,它们共同构成网络信息安全系统的基本模型,如下图所示。政策、法律法规、安全策略政策、法律法规、
12、安全策略加密加密访问控制访问控制用户验证用户验证管理管理审计审计 网络信息安全模型图网络信息安全模型图这三个层次是:这三个层次是:这三个层次是:这三个层次是:(1)法律政策,包括规章制度、安全标准、安全策略以及网络)法律政策,包括规章制度、安全标准、安全策略以及网络安全教育。它是安全的基石,是建立安全管理的标准和方法;安全教育。它是安全的基石,是建立安全管理的标准和方法;(2)技术方面的措施,如防火墙技术、防病毒、信息加密、身)技术方面的措施,如防火墙技术、防病毒、信息加密、身份验证以及访问控制等;份验证以及访问控制等;(3)审计与管理措施,包括技术措施与社会措施。实际应用中,)审计与管理措施
13、,包括技术措施与社会措施。实际应用中,主要有实时监控、提供安全策略改变的能力以及对安全系统实施审计、主要有实时监控、提供安全策略改变的能力以及对安全系统实施审计、管理和漏洞检查等措施。当系统一旦出现了问题,审计与监控可以提管理和漏洞检查等措施。当系统一旦出现了问题,审计与监控可以提供问题的再现、责任追查和重要数据恢复等保障。供问题的再现、责任追查和重要数据恢复等保障。11.2.2 ISO11.2.2 ISO的网络安全体系结构标准的网络安全体系结构标准的网络安全体系结构标准的网络安全体系结构标准 安全体系结构的目的是从技术上保证安全目标全部准确地实现,包括确定必要的安全服务、安全机制和技术管理以
14、及它们在系统上的配置。国际标准化组织在ISO74982中描述的开放系统互连OSI安全体系结构确立了5种基本安全服务和8种安全机制。1安全服务安全服务 网络的安全服务定义了网络的各层可以提供的安全功能,这些功能可以在几层同时提供,也可由某一层提供。OSI安全体系结构的5个安全服务项目分别是:(1)鉴别服务 (2)访问控制 (3)机密性服务 (4)数据完整性 (5)抗抵赖服务2安全机制安全机制 网络安全机制定义了实现网络安全服务所使用的可能方法。一种安全服务可由一种或数种安全机制支持,一种安全机制也可支持多种安全服务。按照OSI网络安全体系结构的定义,网络安全服务所需的网络安全机制包括以下8类:(
15、1)加密机制 (2)数字签名机制 (3)访问控制机制 (4)数据完整性机制 (5)鉴别交换机制 (6)业务流填充机制 (7)路由控制机制 (8)公证机制11.2.3 11.2.3 计算机系统安全等级评价标准计算机系统安全等级评价标准计算机系统安全等级评价标准计算机系统安全等级评价标准由于对信息系统和安全产品的安全性评估事关国家安全和利益,由于对信息系统和安全产品的安全性评估事关国家安全和利益,任何国家不会轻易相信和接受由别的国家所作的评估结果,为保险起任何国家不会轻易相信和接受由别的国家所作的评估结果,为保险起见,一般情况下还是要通过自己的测试才认为可靠。因此没有一个国见,一般情况下还是要通过
16、自己的测试才认为可靠。因此没有一个国家会把事关国家安全利益的信息安全产品和安全可信性建立在别的评家会把事关国家安全利益的信息安全产品和安全可信性建立在别的评估基础上,而是在充分借鉴别的国家标准的前提下,制订自己的安全估基础上,而是在充分借鉴别的国家标准的前提下,制订自己的安全评估标准。评估标准。近几年来,随着我国信息化建设的迅猛发展,国家对计算机信息近几年来,随着我国信息化建设的迅猛发展,国家对计算机信息系统安全问题非常关注,为此公安部提出并组织制定了强制性国家标系统安全问题非常关注,为此公安部提出并组织制定了强制性国家标准计算机信息安全保护等级划分准则,该准则于准计算机信息安全保护等级划分准
17、则,该准则于1999年年9月月13日日经国家质量技术监督局发布。经国家质量技术监督局发布。1.1.美国国防部和国家标准局的可信计算机系统标准评估准则美国国防部和国家标准局的可信计算机系统标准评估准则美国国防部和国家标准局的可信计算机系统标准评估准则美国国防部和国家标准局的可信计算机系统标准评估准则(“桔皮书桔皮书桔皮书桔皮书”)()()()(TCSECTCSEC)它将计算机安全由低到高分为四类7级:D、C1、C2、B1、B2、B3、A。见下表:级别级别名称名称特征特征A验证设计安全级形式化的最高级描述和验证,形式化的隐蔽通道分析,非形式化的代码一致性证明B3安全域级安全内核,高抗渗透能力B2结
18、构化安全保护级面向安全的体系结构,遵循最小授权原则,有较好的抗渗透能力,对所有的主体和客体提供访问控制保护,对系统进行隐蔽通道分析B1标记安全保护级在C2安全级上增加安全策略模型,数据标记(安全和属性),托管访问控制C2访问控制环境保护级访问控制,以用户为单位进行广泛的审计C1选择性安全保护级有选择的访问控制,用户与数据分离,数据以用户组为单位进行保护D最低安全保护级保护措施很少,没有安全功能 美国国防部的标准自问世以来,一直是评估多用户主机和小型操作美国国防部的标准自问世以来,一直是评估多用户主机和小型操作系统的标准。其他方面,如数据库安全、网络安全也一直是通过这本美国系统的标准。其他方面,
19、如数据库安全、网络安全也一直是通过这本美国国防部标准的桔皮书进行解释和评估的,如可信任网络解释(国防部标准的桔皮书进行解释和评估的,如可信任网络解释(Trusted Network Interpretation)和可信任数据库解释()和可信任数据库解释(Trusted Database Interpretation)等。)等。2.2.欧共体的信息技术安全评测准则(欧共体的信息技术安全评测准则(欧共体的信息技术安全评测准则(欧共体的信息技术安全评测准则(ITSECITSEC)ITSEC在安全特征和安全保证之间提供了明显的区别在安全特征和安全保证之间提供了明显的区别,它定义了它定义了7个评个评估级
20、别。估级别。11.2.4 11.2.4 建立网络安全策略建立网络安全策略建立网络安全策略建立网络安全策略1网络安全策略的定义网络安全策略的定义所谓安全策略,是针对那些被允许进入访问网络资源的人所规定的、所谓安全策略,是针对那些被允许进入访问网络资源的人所规定的、必须遵守的规则,是保护网络系统中软、硬件资源的安全、防止非法的必须遵守的规则,是保护网络系统中软、硬件资源的安全、防止非法的或非授权的访问和破坏所提供的全局的指导,或者说,是指网络管理部或非授权的访问和破坏所提供的全局的指导,或者说,是指网络管理部门根据整个计算机网络所提供的服务内容、网络运行状况、网络安全状门根据整个计算机网络所提供的
21、服务内容、网络运行状况、网络安全状况、安全性需求、易用性、技术实现所需付出的代价和风险、社会因素况、安全性需求、易用性、技术实现所需付出的代价和风险、社会因素等许多方面因素,所制定的关于网络安全总体目标、网络安全操作、网等许多方面因素,所制定的关于网络安全总体目标、网络安全操作、网络安全工具、人事管理等方面的规定。络安全工具、人事管理等方面的规定。2确定网络安全目标确定网络安全目标 对于网络的建设者和运行者来说,实现网络安全的第一要务是必须对于网络的建设者和运行者来说,实现网络安全的第一要务是必须明确本网络的业务定位、所提供的服务类型和提供服务的对象。明确本网络的业务定位、所提供的服务类型和提
22、供服务的对象。在确定网络安全目标时,必须考虑如下问题:在确定网络安全目标时,必须考虑如下问题:(1)系统所提供的服务和对安全性的需求)系统所提供的服务和对安全性的需求 (2)易用性和安全性)易用性和安全性 (3)安全的代价和风险)安全的代价和风险 3制定安全策略的原则制定安全策略的原则 在制定网络安全策略时,应遵循以下几方面的原则:在制定网络安全策略时,应遵循以下几方面的原则:(1)可用性原则)可用性原则(2)可靠性原则)可靠性原则(3)动态性原则)动态性原则(4)系统性原则)系统性原则(5)后退性原则)后退性原则4网络安全策略包括的内容网络安全策略包括的内容(1)物理安全;)物理安全;(2)
23、访问控制;)访问控制;(3)信息加密;)信息加密;(4)网络用户的安全责任;)网络用户的安全责任;(5)系统管理员的安全责任;)系统管理员的安全责任;(6)安全管理策略;)安全管理策略;(7)检测到安全问题时的策略。)检测到安全问题时的策略。11.3 网络安全的常用技术网络安全的常用技术11.3.1 防火墙技术防火墙技术11.3.2 网络入侵检测系统网络入侵检测系统11.3.3 安全漏洞扫描与网络监听安全漏洞扫描与网络监听11.3.4 病毒防范技术病毒防范技术11.3.5 加密技术加密技术11.3.6 认证技术认证技术11.3.7 数据备份与恢复技术数据备份与恢复技术11.3.8 虚拟专用网(
24、虚拟专用网(VPN)技术)技术11.3.1 11.3.1 防火墙技术防火墙技术防火墙技术防火墙技术1.防火墙的概念防火墙的概念2.防火墙的主要功能防火墙的主要功能3.防火墙技术防火墙技术4.防火墙的选购防火墙的选购1.防火墙的概念防火墙的概念 现在通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它是指隔离在内部(本地)网络与外界网络之间的一道防御系统,是这一类防范措施的总称。通过它可以隔离风险区域(如Internet或有一定风险的网络)与安全区域(如局域网,也就是内部网络)的连接,同时不会妨碍人们对风险区域的访问。它是一种设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络
25、安全域之间的一系列部件的组合。一般由计算机硬件和软件组成的一个或一组系统,用于增强内部网络和外部网之间的访问控制。路由器Internet防火墙交换机用户内部网内部网外部网外部网网络管理平台内网服务器群外网服务器群2.防火墙的主要功能防火墙的主要功能 1防火墙是网络安全的屏障防火墙是网络安全的屏障 2防火墙能控制对特殊站点的访问防火墙能控制对特殊站点的访问 3对网络存取访问进行记录和统计对网络存取访问进行记录和统计 4防止内部网络信息的外泄防止内部网络信息的外泄 5地址转换地址转换(NAT)3.防火墙技术防火墙技术 目前在实际应用中所使用的防火墙产品有很多目前在实际应用中所使用的防火墙产品有很多
26、,但从其采用的技术来但从其采用的技术来看主要包括两类看主要包括两类:包过滤技术和应用代理技术包过滤技术和应用代理技术,实际的防火墙产品往往由这实际的防火墙产品往往由这两种技术的演变扩充或复合而形成的。两种技术的演变扩充或复合而形成的。具体来说主要包括:简单包过滤防火墙、状态检测包过滤防火墙、具体来说主要包括:简单包过滤防火墙、状态检测包过滤防火墙、应用代理防火墙和复合型防火墙。应用代理防火墙和复合型防火墙。(1)简单包过滤防火墙简单包过滤防火墙 包过滤防火墙工作在网络层,对数据包的源及目的包过滤防火墙工作在网络层,对数据包的源及目的 IP 具有识别和控具有识别和控制作用,对于传输层,只能识别数
27、据包是制作用,对于传输层,只能识别数据包是 TCP 还是还是 UDP 及所用的端口及所用的端口信息。它对所收到的信息。它对所收到的IP数据包的源地址、目的地址、数据包的源地址、目的地址、TCP数据分组或数据分组或UDP报文的源端口号、包出入接口、协议类型和数据包中的各种标志位等参数,报文的源端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与网络管理员预先设置的访问控制表进行比较,确定是否符合预定义的安与网络管理员预先设置的访问控制表进行比较,确定是否符合预定义的安全策略,并决定数据包的通过或丢弃。全策略,并决定数据包的通过或丢弃。比如:如果防火墙已设置拒绝比如:如果防火墙已设置拒绝t
28、elnet连接,这时当数据包的目的端口连接,这时当数据包的目的端口是是23时,则该数据包就会被丢弃;如果允许进行时,则该数据包就会被丢弃;如果允许进行Web访问,这时目的端访问,这时目的端口为口为80时则数据包就会被放行。由于这类防火墙只对数据包的时则数据包就会被放行。由于这类防火墙只对数据包的 IP 地址、地址、TCP/UDP 协议和端口进行分析,因此它的处理速度较快,并且易于配置。协议和端口进行分析,因此它的处理速度较快,并且易于配置。简单包过滤是对单个包的检查,目前绝大多数路由器产品都提供这简单包过滤是对单个包的检查,目前绝大多数路由器产品都提供这样的功能,所以如果内部网络已经配有边界路
29、由器,那么完全没有必要样的功能,所以如果内部网络已经配有边界路由器,那么完全没有必要购买一个简单包过滤的防火墙产品。购买一个简单包过滤的防火墙产品。由于这类技术不能跟踪由于这类技术不能跟踪TCP的状态,所以对的状态,所以对TCP层的控制是有漏洞层的控制是有漏洞的。的。单纯简单包过滤的产品由于其保护的不完善,在单纯简单包过滤的产品由于其保护的不完善,在1999年以前国外的年以前国外的网络防火墙市场上就已经不存在了。网络防火墙市场上就已经不存在了。(2)应用代理防火墙应用代理防火墙 应用代理防火墙,也叫应用代理网关防火墙。应用代理防火墙,也叫应用代理网关防火墙。所谓网关是指在两个设备之间提供转发服
30、务的系统。所谓网关是指在两个设备之间提供转发服务的系统。这种防火墙能彻底隔断内网与外网的直接通信,内网用户对外网的访这种防火墙能彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,外网的访问应答先由防火墙处理,然后再由问变成防火墙对外网的访问,外网的访问应答先由防火墙处理,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的任何时候都不能与服务器建立直接的 TCP 连接,应用层的协议会话过程必连接,应用层的协议会话过程必须符合代理的安全策略要求。须符合代理的
31、安全策略要求。由于针对各种应用协议的代理防火墙提供了丰富的应用层的控制能由于针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力,使应用代理型防火墙具有了极高的安全性。但是代理型防火墙是利力,使应用代理型防火墙具有了极高的安全性。但是代理型防火墙是利用操作系统本身的用操作系统本身的socket接口传递数据,从而导致性能比较差,不能支接口传递数据,从而导致性能比较差,不能支持大规模的并发连接;持大规模的并发连接;另外对于代理型防火墙要求防火墙核心预先内置一些已知应用程序另外对于代理型防火墙要求防火墙核心预先内置一些已知应用程序的代理后防火墙才能正常工作,这样的后果是一些新出现的应用在代理的代
32、理后防火墙才能正常工作,这样的后果是一些新出现的应用在代理型防火墙上往往不能使用,出现了防火墙不支持很多新型应用的局面。型防火墙上往往不能使用,出现了防火墙不支持很多新型应用的局面。在在IT领域中,新的应用和新的技术不断出现,甚至每一天都有新的应用方领域中,新的应用和新的技术不断出现,甚至每一天都有新的应用方式和新的协议出现,代理型防火墙很难适应这种局面,使得在一些重要式和新的协议出现,代理型防火墙很难适应这种局面,使得在一些重要的领域和行业的核心业务应用中,代理型防火墙被渐渐地被抛弃。的领域和行业的核心业务应用中,代理型防火墙被渐渐地被抛弃。(3)状态检测包过滤防火墙状态检测包过滤防火墙 状
33、态检测包过滤防火墙是在简单包过滤上的功能扩展,最早是状态检测包过滤防火墙是在简单包过滤上的功能扩展,最早是Check Point公司提出的,现在已经成为防火墙的主流技术。公司提出的,现在已经成为防火墙的主流技术。状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。因而包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用,状提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用,状态检
34、测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的态检测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的大型网络上。大型网络上。前面介绍的简单包过滤只是一种静态包过滤,静态包过滤将每个数据前面介绍的简单包过滤只是一种静态包过滤,静态包过滤将每个数据包单独分析,固定根据其包头信息(如源地址、目的地址、端口号等)进行包单独分析,固定根据其包头信息(如源地址、目的地址、端口号等)进行匹配,这种方法在遇到利用动态端口应用协议时会发生困难。匹配,这种方法在遇到利用动态端口应用协议时会发生困难。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而可以这样说,状态检测包过滤防
35、火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。应用代理型防火墙则是规范了特定的应用协议上的行为。目前业界很多优秀的防火墙产品采用了状态检测型的体系结构,比如目前业界很多优秀的防火墙产品采用了状态检测型的体系结构,比如Check Point的的Firewall-1,Cisco的的PIX防火墙,防火墙,NetScreen防火墙等等。防火墙等等。(4)复合型防火墙复合型防火墙 复合型防火墙是指综合了状态检测与透明代理的新一代防火墙,它基复合型防火墙是指综合了状态检测与透明代理的新一代防火墙,它基于专用集成电路(于专用集成电路(ASIC,Application Sp
36、ecific Integrated Circuit)架)架构,把防病毒、内容过滤整合到防火墙里,其中还包括构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,功能,多单元融为一体,是一种新突破。多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击。复合型防火墙在常规的防火墙并不能防止隐蔽在网络流量里的攻击。复合型防火墙在网络边界实施网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘部署病毒防第七层的内容扫描,实现了实时在网络边缘部署病毒防护、内容过滤等应用层服务措施,体现出网络与信息安全的新思路。护、内容过滤等应用层服务措施,体现出网络与信息安全的新
37、思路。四种典型防火四种典型防火墙墙的工作原理及特点比的工作原理及特点比较较防火防火墙类墙类型型工作原理及特点工作原理及特点简单简单包包过滤过滤防火防火墙墙1 1只只检查报头检查报头2 2不不检查检查数据区、不建立数据区、不建立连连接状接状态态表、前后表、前后报报文无关文无关3 3应应用用层层控制很弱控制很弱应应用代理防火用代理防火墙墙1 1只只检查检查数据数据2 2不不检查检查IPIP、TCPTCP报头报头,不建立,不建立连连接状接状态态表表3 3网网络层络层保保护护比比较较弱弱状状态检测态检测包包过滤过滤防火防火墙墙1 1不不检查检查数据区数据区2 2建立建立连连接状接状态态表、前后表、前后
38、报报文相关文相关3 3应应用用层层控制很弱控制很弱复合型防火复合型防火墙墙1 1可以可以检查检查整个数据包内容整个数据包内容2 2根据需要建立根据需要建立连连接状接状态态表表3 3网网络层络层保保护护强强、应应用用层层控制控制细细4.防火墙的选购防火墙的选购 目前国内外防火墙产品品种繁多、特点各异,有硬件的防火墙,也目前国内外防火墙产品品种繁多、特点各异,有硬件的防火墙,也有软件防火墙。硬件防火墙采用专用的硬件设备,然后集成生产厂商的有软件防火墙。硬件防火墙采用专用的硬件设备,然后集成生产厂商的专用防火墙软件。从功能上看,硬件防火墙内建安全软件,使用专属或专用防火墙软件。从功能上看,硬件防火墙
39、内建安全软件,使用专属或强化的操作系统,管理方便,更换容易,软硬件搭配较固定。硬件防火强化的操作系统,管理方便,更换容易,软硬件搭配较固定。硬件防火墙效率高,解决了防火墙效率、性能之间的矛盾,基本上可以达到线性。墙效率高,解决了防火墙效率、性能之间的矛盾,基本上可以达到线性。而软件防火墙一般是基于某个操作系统平台开发的,直接在计算机上进而软件防火墙一般是基于某个操作系统平台开发的,直接在计算机上进行软件的安装和配置。由于用户平台的多样性,使得软件防火墙需支持行软件的安装和配置。由于用户平台的多样性,使得软件防火墙需支持多操作系统,如:多操作系统,如:Unix、Linux、SCO-Unix、Wi
40、ndows等,代码庞大、等,代码庞大、安装维护成本高、效率低,同时还受到操作系统平台稳定性的影响。显安装维护成本高、效率低,同时还受到操作系统平台稳定性的影响。显然,硬件防火墙总体性能上来说是优于软件防火墙的,但其价格也要高然,硬件防火墙总体性能上来说是优于软件防火墙的,但其价格也要高些。些。(1)关系到防火墙性能的几个指标和概念关系到防火墙性能的几个指标和概念防火墙端口数、防火墙吞吐量、防火墙会话数、防火墙策防火墙端口数、防火墙吞吐量、防火墙会话数、防火墙策略、略、DMZ区、防火墙的通信模式区、防火墙的通信模式(2)防火墙的选购防火墙的选购下面从几个方面探讨选购防火墙时应该注意的问题。防火墙
41、自身是否安全系统是否稳定是否高效是否可靠功能是否灵活配置是否方便管理是否简便是否可以抵抗拒绝服务攻击是否可以针对用户身份进行过滤是否具有可扩展、可升级性11.3.2 11.3.2 网络入侵检测系统网络入侵检测系统网络入侵检测系统网络入侵检测系统 入侵检测能弥补防火墙在某些方面的不足,为网络安全提供实时入侵检测能弥补防火墙在某些方面的不足,为网络安全提供实时的入侵监测,以及采取相应的防护手段。网络入侵检测分为基于网络的入侵监测,以及采取相应的防护手段。网络入侵检测分为基于网络的入侵检测和基于主机的入侵检测两种方式。的入侵检测和基于主机的入侵检测两种方式。网络安全漏洞扫描实际上是通过模拟网络攻击的
42、方式,提前获得网络安全漏洞扫描实际上是通过模拟网络攻击的方式,提前获得可能被攻击的薄弱环节,为系统安全提供可信的分析报告,从而为提可能被攻击的薄弱环节,为系统安全提供可信的分析报告,从而为提高网络安全性提供重要的依据。高网络安全性提供重要的依据。1.入侵检测系统概述入侵检测系统概述入侵检测系统:入侵检测系统:Intrusion Detection System,简称简称IDS。入侵检测是指:入侵检测是指:“通过对行为、安全日志或审计数据或其他网络上可以通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图获得的信息进行操作,检测到对系统的闯入或闯入的企
43、图”。入侵检测系统是一个典型的入侵检测系统是一个典型的“窥探设备窥探设备”。入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,可以与防火墙联动,可以记录和禁止网络活动,所以入侵监测系统是防火墙可以与防火墙联动,可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。的延续。它们可以和防火墙和路由器配合工作。2.入侵检测系统技术入侵检测系统技术 入侵检测技术通过对入侵行为的过程与特征的研究,使安全系统对入侵检测技术通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响
44、应。入侵事件和入侵过程能做出实时响应。入侵检测系统从分析方式上主要可分为两种:入侵检测系统从分析方式上主要可分为两种:(1)模式发现技术(模式匹配)模式发现技术(模式匹配)(2)异常发现技术(异常检测)异常发现技术(异常检测)模式发现技术模式发现技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准的核心是维护一个知识库。对于已知的攻击,它可以详细、准确的报告出攻击类型,而且知识库必须不断更新。对所有已知入侵行为和手确的报告出攻击类型,而且知识库必须不断更新。对所有已知入侵行为和手段(及其变种)都能够表达为一种模式或特征,所有已知的入侵方法都可以段(及其变种)都能够表达为一种模式或特征,所
45、有已知的入侵方法都可以用匹配的方法发现,把真正的入侵与正常行为区分开来。模式发现的优点是用匹配的方法发现,把真正的入侵与正常行为区分开来。模式发现的优点是误报少,误报少,局限局限是它只能发现已知的攻击,对未知的攻击无能为力。是它只能发现已知的攻击,对未知的攻击无能为力。异常发现技术异常发现技术先定义一组系统先定义一组系统“正常正常”情况的数值,如情况的数值,如CPU利用率、内存利用利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的计的办法得出),然后
46、将系统运行时的数值与所定义的“正常正常”情况比较,得情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常正常”情情况。况。异常发现技术的异常发现技术的局限局限是并非所有的入侵都表现为异常,而且系统的是并非所有的入侵都表现为异常,而且系统的“正正常常”标准难于计算和更新,并无法准确判别出攻击的手法,但它可以(至少标准难于计算和更新,并无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。在理论上可以)判别更广范、甚至未发觉的攻击。目前,国际顶尖的入侵检测系统目前,国际顶尖的入侵检测系统
47、IDS主要以模式发现技术为主要以模式发现技术为主,并结合异常发现技术。主,并结合异常发现技术。IDS一般从实现方式上分为两种:一般从实现方式上分为两种:(1)基于主机的)基于主机的IDS (2)基于网络的)基于网络的IDS 基于网络的基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用网络适配器(探测器)来实时监视和分析所有通过网络进源,一般利用网络适配器(探测器)来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,行传输的通信。一旦检测到攻击,IDS应答模块通过应答模块通过通知、报警通知、报警以及以及中中断连接断连接
48、等方式来对攻击做出反应。等方式来对攻击做出反应。基于网络的入侵检测系统的主要优点有:基于网络的入侵检测系统的主要优点有:(1)成本低。)成本低。(2)攻击者消除证据很困难。)攻击者消除证据很困难。(3)实时检测和应答一旦发生恶意访问或攻击,基于网络的)实时检测和应答一旦发生恶意访问或攻击,基于网络的IDS检测可检测可以随时发现它们,因此能够更快地做出反应。从而将入侵活动对系统的以随时发现它们,因此能够更快地做出反应。从而将入侵活动对系统的破坏减到最低。破坏减到最低。(4)能够检测未成功的攻击企图。)能够检测未成功的攻击企图。(5)操作系统独立。基于网络的)操作系统独立。基于网络的IDS并不依赖
49、主机的操作系统作为检测并不依赖主机的操作系统作为检测资源,而基于主机的系统需要特定的操作系统才能发挥作用。资源,而基于主机的系统需要特定的操作系统才能发挥作用。基于主机的基于主机的IDS一般监视一般监视Windows NT上的系统、事件、安全日志以上的系统、事件、安全日志以及及UNIX环境中的环境中的syslog文件。一旦发现这些文件发生任何变化,文件。一旦发现这些文件发生任何变化,IDS将比将比较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话,检测系较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话,检测系统就向管理员发出入侵报警并且发出采取相应的行动。统就向管理员发出入侵报警
50、并且发出采取相应的行动。基于主机的基于主机的IDS的主要优势有:的主要优势有:(1)非常适用于加密和交换环境。)非常适用于加密和交换环境。(2)近实时的检测和应答。)近实时的检测和应答。(3)不需要额外的硬件。)不需要额外的硬件。(4)确定攻击是否成功。)确定攻击是否成功。(5)监测特定主机系统活动。)监测特定主机系统活动。以上两种实现方式的集成化是以上两种实现方式的集成化是IDS的发展趋势。基于网络和基于主机的的发展趋势。基于网络和基于主机的IDS都有各自的优势,两者可以相互补充。这两种方式都能发现对方无法检都有各自的优势,两者可以相互补充。这两种方式都能发现对方无法检测到的一些入侵行为。测