【文章內(nèi)容簡(jiǎn)介】 服務(wù)，但是來(lái)自兩個(gè)網(wǎng)絡(luò)的訪問(wèn)都必須通過(guò)兩個(gè)屏蔽路由器的檢查。 70 防火墻常見(jiàn)體系結(jié)構(gòu) 70 對(duì)于到來(lái)的信息流： ? 外層的路由器用于防范通常的外部攻擊并管理外部網(wǎng)絡(luò)到 DMZ網(wǎng)絡(luò)的訪問(wèn)。 它只允許外部系統(tǒng)訪問(wèn)堡壘主機(jī) 。 ? 內(nèi)層的路由器提供第二層防御，只接收源于堡壘主機(jī)的數(shù)據(jù)包，負(fù)責(zé)的是管理 DMZ網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。 對(duì)于外出的信息流： ? 內(nèi)層的路由器管理內(nèi)部網(wǎng)絡(luò)到 DMZ網(wǎng)絡(luò)的訪問(wèn)，它允許內(nèi)部系統(tǒng)只訪問(wèn)堡壘主機(jī)。 ? 外層的路由器的過(guò)濾規(guī)則要求只接收來(lái)自堡壘主機(jī)的去往外部網(wǎng)絡(luò)的數(shù)據(jù)。 71 防火墻常見(jiàn)體系結(jié)構(gòu) 71 ? 對(duì)于此結(jié)構(gòu)的防火墻，入侵者必須突破三個(gè)不同的設(shè)備都能侵襲內(nèi)部網(wǎng)絡(luò)： 外部路由器 、 堡壘主機(jī)和 內(nèi)部路由器 。 ? 由于外部路由器只能向外部網(wǎng)絡(luò)通告 DMZ網(wǎng)絡(luò)的存在，這樣保證了內(nèi)部網(wǎng)絡(luò)的 “不可見(jiàn) ”。 ? 由于內(nèi)部路由器只向內(nèi)部網(wǎng)絡(luò)通告 DMZ網(wǎng)絡(luò)的存在，內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往外部網(wǎng)絡(luò)，這樣保證了內(nèi)部網(wǎng)絡(luò)上的用戶必須通過(guò)駐留在堡壘主機(jī)上的代理服務(wù)才能訪問(wèn)外部網(wǎng)絡(luò)。 72 防火墻技術(shù)分類 72 防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同分為很多種類型，但總體來(lái)講可分為包過(guò)濾、應(yīng)用層網(wǎng)關(guān)、狀態(tài)檢測(cè)等幾大類。 1. 包過(guò)濾技術(shù) ? 包是網(wǎng)絡(luò)上信息流動(dòng)的基本單位，數(shù)據(jù)包過(guò)濾技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)位臵 (網(wǎng)絡(luò)層 )對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)的技術(shù) 即制定過(guò)濾規(guī)則 。 73 防火墻技術(shù)分類 ? 選擇好過(guò)濾規(guī)則后，只有滿足過(guò)濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口，而其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。 74 防火墻技術(shù)分類 包過(guò)濾一般要檢查下面幾項(xiàng)： (1)IP源地址 (2)IP目的地址； (3)協(xié)議類型 (TCP包、 UDP包、 ICMP包 )； (4)TCP或 UDP的源端口； (5)TCP或 UDP的目的端口； (6)ICMP消息類型； (7)TCP報(bào)頭中的 ACK位。 另外， TCP的序列號(hào)、確認(rèn)號(hào)， IP校驗(yàn)以及分段偏移也往往是要檢查的選項(xiàng)。 75 防火墻技術(shù)分類 ? 數(shù)據(jù)包過(guò)濾可以控制站點(diǎn)與站點(diǎn)、站點(diǎn)與網(wǎng)絡(luò)、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的相互訪問(wèn)，但不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容，因?yàn)閮?nèi)容是應(yīng)用層數(shù)據(jù)。 76 防火墻技術(shù)分類 ? 包過(guò)濾防火墻對(duì)接收的數(shù)據(jù)包進(jìn)行審查以便確定其是否與某一條包過(guò)濾規(guī)則匹配，進(jìn)而來(lái)做允許或拒絕的決定。不管是否符合過(guò)濾規(guī)則，防火墻一般要記錄數(shù)據(jù)包情況。 ? 不符合規(guī)則的包要報(bào)警或通知管理員。對(duì)于丟棄的數(shù)據(jù)包防火墻可以給發(fā)送方一個(gè)消息，也可以不發(fā)送，這取決于包過(guò)濾規(guī)則。 如果返回一個(gè)消息，攻擊者可能會(huì)根據(jù)拒絕包的類型猜測(cè)包過(guò)濾規(guī)則的大致情況。 77 防火墻技術(shù)分類 ? 數(shù)據(jù)包過(guò)濾技術(shù)是防火墻中最常用的技術(shù)。對(duì)于一個(gè)充滿危險(xiǎn)的網(wǎng)絡(luò)，過(guò)濾路由器提供了一種方法，用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò)，也可以限制內(nèi)部人員對(duì)一些站點(diǎn)的訪問(wèn)。 ? 優(yōu)點(diǎn)： 簡(jiǎn)單實(shí)用、成本低、一定程度上保證系統(tǒng)安全。 ? 缺點(diǎn)： 首先，無(wú)法識(shí)別應(yīng)用層的入侵，并且數(shù)據(jù)包信息很容易被竊聽； ? 其次，過(guò)濾規(guī)則受到過(guò)濾器的限制，且規(guī)則數(shù)目過(guò)多，會(huì)影響網(wǎng)絡(luò)傳輸?shù)男阅埽? ? 再次，要求管理員的水平比較高。 78 防火墻技術(shù)分類 ? 2. 應(yīng)用層網(wǎng)關(guān)技術(shù) ? 應(yīng)用層網(wǎng)關(guān)技術(shù)也稱為代理技術(shù)，它與包過(guò)濾技術(shù)完全不同，包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流，代理技術(shù)是針對(duì)每一個(gè)特定應(yīng)用都有的一個(gè)程序，是在 應(yīng)用層 實(shí)現(xiàn)防火墻的功能。 ? 代理服務(wù)是在防火墻主機(jī)上運(yùn)行的專門的應(yīng)用程序或服務(wù)器程序，這些程序根據(jù)安全策略處理用戶對(duì)網(wǎng)絡(luò)服務(wù)的請(qǐng)求。 ? 代理服務(wù)具有兩個(gè)部件： 一個(gè)是服務(wù)器端代理 ，一個(gè)是客戶端代理 ，其工作原理如下圖所示。 79 防火墻技術(shù)分類 代理 客戶 代理服務(wù)器 80 防火墻技術(shù)分類 ? 代理使得網(wǎng)絡(luò)管理員能夠?qū)崿F(xiàn)比包過(guò)濾路由器更嚴(yán)格的安全策略，它能夠?qū)?yīng)用程序的數(shù)據(jù)進(jìn)行校驗(yàn)以確保數(shù)據(jù)格式可以接受。 ? 應(yīng)用層網(wǎng)關(guān)不用依賴包過(guò)濾工具來(lái)管理 Inter服務(wù)在防火墻系統(tǒng)中的進(jìn)出，而是采用為每種所需服務(wù)在網(wǎng)關(guān)上安裝特殊代碼（代理服務(wù)）的方式來(lái)管理 Inter服務(wù)，即進(jìn)行協(xié)議過(guò)濾。 ? 應(yīng)用層網(wǎng)關(guān)能夠讓網(wǎng)絡(luò)管理員進(jìn)行全面的控制。如果網(wǎng)絡(luò)管理員沒(méi)有為某種應(yīng)用安裝代理編碼，那么該項(xiàng)服務(wù)就不支持并且不能通過(guò)防火墻系統(tǒng)來(lái)轉(zhuǎn)發(fā)。 81 防火墻技術(shù)分類 ? 3. 電路層網(wǎng)關(guān)技術(shù) ? 電路層網(wǎng)關(guān)也稱回路層代理，工作原理與組成結(jié)構(gòu)和應(yīng)用層網(wǎng)關(guān)相似。 ? 電路層網(wǎng)關(guān)并不針對(duì)專門的應(yīng)用協(xié)議， 它用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息 ,這樣來(lái)決定該會(huì)話是否合法。 ? 一旦網(wǎng)關(guān)認(rèn)為會(huì)話是合法的，就為雙方建立連接，并維護(hù)一張合法會(huì)話連接表，當(dāng)會(huì)話信息與表中的條目匹配時(shí)，才允許數(shù)據(jù)通過(guò)，會(huì)話結(jié)束后表中的條目就被刪除。 82 防火墻技術(shù)分類 ? 連接的發(fā)起方不直接與響應(yīng)方建立連接，而是與電路層網(wǎng)關(guān)交互，由它再與響應(yīng)方建立連接。 ? 這樣，電路層網(wǎng)關(guān)將建立兩個(gè) TCP連接，一個(gè)是在電路層網(wǎng)關(guān)和內(nèi)部主機(jī)上一個(gè) TCP用戶之間；另一個(gè)是在電路層網(wǎng)關(guān)和外部主機(jī)上一個(gè) TCP用戶之間。 83 防火墻技術(shù)分類 ? 優(yōu)點(diǎn)：能夠提供網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）功能，在使用內(nèi)部網(wǎng)絡(luò)地址機(jī)制時(shí)為網(wǎng)絡(luò)管理員實(shí)現(xiàn)安全提供了很大的靈活性。 ? 缺點(diǎn)：要求終端用戶通過(guò)身份認(rèn)證；不能很好地區(qū)分包的真實(shí)意圖，容易受到諸如 IP欺騙等攻擊。 84 防火墻技術(shù)分類 ? 4. 狀態(tài)檢測(cè)技術(shù) ? 狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過(guò)規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別。 ? 網(wǎng)絡(luò)安全問(wèn)題概述 ? 網(wǎng)絡(luò)相關(guān)知識(shí) ? 防火墻技術(shù) ? 入侵檢測(cè)技術(shù) ? 網(wǎng)絡(luò)常見(jiàn)的攻防技術(shù) ? 案例分析 86 入侵檢測(cè)技術(shù) ? 入侵檢測(cè) (Intrusion Detection) 是對(duì)入侵行為的發(fā)覺(jué)，它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，并在不影響網(wǎng)絡(luò)性能的情況下，對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 87 入侵檢測(cè)技術(shù) ? 入侵檢測(cè)系統(tǒng)（ IDS）：進(jìn)行入侵檢測(cè)的軟件與硬件的組合。 ? 入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一，它是防火墻的合理補(bǔ)充，被認(rèn)為是防火墻的第二道安全防線。 ? 入侵檢測(cè)技術(shù)能夠： ?幫助系統(tǒng) 主動(dòng) 對(duì)付網(wǎng)絡(luò)攻擊； ?擴(kuò)展 了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、安全監(jiān)視和檢測(cè)、入侵識(shí)別、入侵取證和響應(yīng)）。 88 入侵檢測(cè)技術(shù)的分類 1. 根據(jù)數(shù)據(jù)來(lái)源（信息源）分類 (1)基于主機(jī)的入侵檢測(cè)系統(tǒng)（ HIDS） HIDS為早期的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)，其檢測(cè)目標(biāo)主要是 主機(jī)系統(tǒng) 和 系統(tǒng)本地用戶 。如圖所示。 89 89 報(bào)警 攻擊模式庫(kù) 配置系統(tǒng)庫(kù) 入侵分析引擎 響應(yīng)處理 數(shù)據(jù)采集 安全控制 主機(jī)系統(tǒng) 系統(tǒng)操作 審計(jì)記錄 /協(xié)議數(shù)據(jù) 簡(jiǎn)單的入侵檢測(cè)系統(tǒng)示意圖 90 ? 檢測(cè)原理： ? 在每一個(gè)需要保護(hù)的主機(jī)（端系統(tǒng)）上運(yùn)行代理程序，根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，從而實(shí)現(xiàn)監(jiān)控。 因此： HIDS依賴于審計(jì)數(shù)據(jù)或系統(tǒng)日志的準(zhǔn)確性和完整性，以及安全事件的定義。 入侵檢測(cè)技術(shù)的分類 91 入侵檢測(cè)技術(shù)的分類 HIDS的優(yōu)勢(shì)： ⑴能夠精確地判斷入侵行為，并及時(shí)響應(yīng)； ⑵監(jiān)控主機(jī)上特定用戶活動(dòng)、系統(tǒng)運(yùn)行情況； ⑶能夠檢測(cè)到 NIDS無(wú)法檢測(cè)的攻擊； ⑷適用加密和交換的環(huán)境； ⑸檢測(cè)和響應(yīng)接近實(shí)時(shí)性； ⑹沒(méi)有帶寬的限制、不需要額外的硬件設(shè)備。 92 入侵檢測(cè)技術(shù)的分類 HIDS的局限： ⑴對(duì)被保護(hù)主機(jī)的性能和安全性會(huì)帶來(lái)影響； ⑵依賴宿主 OS的可靠性，它要求系統(tǒng)本身應(yīng)該具備基本的安全功能并具有合理的設(shè)臵； ⑶ HIDS的數(shù)據(jù)源受到審計(jì)系統(tǒng)的限制； ⑷通用性較差，維護(hù) /升級(jí)不方便。 93 入侵檢測(cè)技術(shù)的分類 (2)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（ NIDS） 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通過(guò)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽采集數(shù)據(jù)，分析可疑現(xiàn)象。 這類系統(tǒng)不需要主機(jī)提供嚴(yán)格的審計(jì)，因而對(duì)主機(jī)資源消耗少，并且由于網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的，它可以提供對(duì)網(wǎng)絡(luò)通用的保護(hù)，而無(wú)需顧及異構(gòu)主機(jī)的不同架構(gòu)。 94 NIDS的優(yōu)勢(shì)： ⑴ 檢測(cè)的范圍是整個(gè)網(wǎng)段，而不僅僅是被保護(hù)的主機(jī)。采用集中管理的分布工作方式，能遠(yuǎn)程監(jiān)控。 ⑵ 實(shí)時(shí)檢測(cè)和應(yīng)答。 ⑶ 隱蔽性好。不需要在每個(gè)主機(jī)上安裝，不易被發(fā)現(xiàn)。 ⑷ 不需要任何特殊的審計(jì)和登錄機(jī)制，只要配置網(wǎng)絡(luò)接口就可以了，不會(huì)影響其他數(shù)據(jù)源。 ⑸ 操作系統(tǒng)獨(dú)立。 NIDS系統(tǒng)單獨(dú)架設(shè)，不占用其它計(jì)算機(jī)系統(tǒng)的任何資源。 ⑹ NIDS不會(huì)成為系統(tǒng)中的關(guān)鍵路徑，所以系統(tǒng)發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行。 95 NIDS的局限： ⑴ 網(wǎng)絡(luò)局限。只能檢測(cè)經(jīng)過(guò)本網(wǎng)段的活動(dòng)，且精確度較差。在交換式網(wǎng)絡(luò)環(huán)境下會(huì)出現(xiàn)監(jiān)測(cè)范圍的局限且難以配置，防入侵欺騙的能力也比較差。無(wú)法知道主機(jī)內(nèi)部的安全情況。 ⑵ 檢測(cè)方法局限。難以審查處理加密數(shù)據(jù)流的內(nèi)容，對(duì)主機(jī)上執(zhí)行的命令也難以檢測(cè)。對(duì)重放攻擊無(wú)能為力。對(duì) DoS攻擊也沒(méi)有有效的辦法。 因此，一個(gè)完備的 IDS系統(tǒng)一定是 HIDS和 NIDS兩種方式兼?zhèn)涞姆植际较到y(tǒng)。 96 入侵檢測(cè)技術(shù)的分類 (3)分布式入侵檢測(cè)系統(tǒng) 分布式 IDS系統(tǒng)是指具有分布式布臵、分布式檢測(cè)和分布式管理能力的 IDS系統(tǒng)。它的目標(biāo)是既能檢測(cè)網(wǎng)絡(luò)入侵行為，又能檢測(cè)主機(jī)的入侵行為。 優(yōu)勢(shì)： 對(duì)大型網(wǎng)絡(luò)的安全是有幫助的，它能夠?qū)IDS和 NIDS的系統(tǒng)結(jié)構(gòu)結(jié)合起來(lái)，檢測(cè)所用到的數(shù)據(jù)源豐富，可克服前兩者的弱點(diǎn)。 局限： 首先，可擴(kuò)展性比較差。 其次，統(tǒng)一數(shù)據(jù)格式的建立還需要進(jìn)一步的研究，才能使系統(tǒng)具有更廣泛的應(yīng)用范圍，更好的兼容性和可擴(kuò)展性。 ? 再次，增加了網(wǎng)絡(luò)管理復(fù)雜度。 97 入侵檢測(cè)技術(shù)的分類 ? ? (1)異常檢測(cè)（ Anomaly Detection） ?異常檢測(cè)系統(tǒng)通過(guò)運(yùn)行在系統(tǒng)或應(yīng)用層的監(jiān)控程序監(jiān)控用戶的行為，將當(dāng)前主體的活動(dòng)情況和用戶輪廓進(jìn)行比較。 ?用戶輪廓 通常定義為各種行為參數(shù)及其閾值的集合，用于描述正常行為范圍。當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。 ? 異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。 98 入侵檢測(cè)技術(shù)的分類 ? (2)誤用檢測(cè)（ Misuse Detection） ?進(jìn)行誤用檢測(cè)的前提是所有的入侵行為都有可被檢測(cè)到的特征。 誤用檢測(cè)系統(tǒng)提供攻擊特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。 ?如果正常的用戶行為與入侵特征相匹配 ?錯(cuò)報(bào) 。 ?如果沒(méi)有特征能與某種新的攻擊行為匹配 ?漏報(bào) 。 ?此模式降低錯(cuò)報(bào)率，但增加了漏報(bào)率，因?yàn)楣籼卣鞯募?xì)微變化，就會(huì)使錯(cuò)誤檢測(cè)無(wú)能為力。 99 入侵檢測(cè)技術(shù)的分類 ? 3. 根據(jù)時(shí)效性分類 ? (1)脫機(jī)檢測(cè) ?是非實(shí)時(shí)工作的系統(tǒng)，在行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析。 ? (2)聯(lián)機(jī)檢測(cè) ?在數(shù)據(jù)產(chǎn)生或者發(fā)生改變的同時(shí)對(duì)其進(jìn)行檢查，以發(fā)現(xiàn)攻擊行為 100 入侵檢測(cè)技術(shù)的分類 ? 4. 根據(jù)分布性分類 ? (1)集中式 ?系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)模塊都集中在一臺(tái)主機(jī)上運(yùn)行 ? (