【文章內容簡介】 ? 從本質上講，網(wǎng)絡地址映射并不是簡單的 IP地址之間的映射，而是網(wǎng)絡套接字映射，網(wǎng)絡套接字由 IP地址和端口號共同組成。 ? 這種方法在節(jié)省了大量網(wǎng)絡 IP地址的同時隱藏了內部網(wǎng)絡拓樸結構。 計算機網(wǎng)絡與信息安全技術研究中心 37 ?動態(tài)網(wǎng)絡地址翻譯地址轉換原理圖 計算機網(wǎng)絡與信息安全技術研究中心 38 ? 1 防火墻的基本概念與體系結構 ? 2 防火墻相關技術 ? 3 防火墻技術的發(fā)展 計算機網(wǎng)絡與信息安全技術研究中心 39 3 防火墻技術的發(fā)展 發(fā)展 ? 分布式防火墻 ? 應用層網(wǎng)關的進一步發(fā)展 – 認證機制 – 智能代理 ? 與其他技術的集成 – 比如 NAT、 VPN (IPSec)、 IDS，以及一些鑒別和訪問控制技術 – 防火墻自身的安全性和穩(wěn)定性 計算機網(wǎng)絡與信息安全技術研究中心 40 分布式防火墻 傳統(tǒng)防火墻技術的幾個問題 – 依賴于防火墻一端可信，另一端是潛在的敵人 – Inter的發(fā)展使從外部穿過防火墻訪問內部網(wǎng)的需求增加了 – 一些內部主機需要更多的權限 – 只依賴于端 端加密并不能完全解決問題 – 過于依賴物理拓撲結構 考慮到下面幾個事實 – 個人防火墻已得到了廣泛的應用 – 操作系統(tǒng)大多已提供了許多在傳統(tǒng)意義上還屬于防火墻的手段 – IPv6以及 IPSec技術的發(fā)展 – 防火墻這一概念還不能拋棄 計算機網(wǎng)絡與信息安全技術研究中心 41 ? 思路 – 主要工作防護工作在主機端 – 打破傳統(tǒng)防火墻的物理拓撲結構，不單純依靠物理位置來劃分內外 – 由安全策略來劃分內外網(wǎng) ? 具體方法：依賴于下面三點 – 策略描述語言：說明什么連接允許，什么連接不允許 – 一系列系統(tǒng)管理工具：用于將策略發(fā)布到每一主機處，以保證機構的安全 – IPSec技術及其他高層安全協(xié)議 計算機網(wǎng)絡與信息安全技術研究中心 42 ? 信息出入關控制技術： – 思路：信息自帶標識 – 網(wǎng)關證： ? 信息密級、信息源、信息允許流向、是否完整 – 預處理 +出入關檢查 – 對經(jīng)由網(wǎng)關的信息流給出了一個一致的結構及訪問控制機制。 安全網(wǎng)關 計算機網(wǎng)絡與信息安全技術研究中心 43 1 入侵檢測技術（ IDS）概念 2 IDS的分類 3 深入了解入侵檢測技術 4 信號分析 5 snort 二、入侵檢測 計算機網(wǎng)絡與信息安全技術研究中心 44 入侵檢測的開山之作 1980年 4月， James P. Anderson為美國空軍做了一份題為《 Computer Security Threat Monitoring and Surveillance》 （計算機安全威脅監(jiān)控與監(jiān)視） ?指出必須改變現(xiàn)有的系統(tǒng)審計機制，以便為專職系統(tǒng)安全人員提供安全信息 —— 預警 ?提出了對計算機系統(tǒng)風險和威脅的分類方法，將威脅分為外部滲透、內部滲透和不法行為三種， ?提出利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。 計算機網(wǎng)絡與信息安全技術研究中心 45 Denning于 1986年發(fā)表的論文 “ 入侵檢測模型 ” 被公認為是 IDS領域的又一篇開山之作。 1990年是入侵檢測系統(tǒng)發(fā)展史上的一個分水嶺。這一年，加州大學戴維斯分校的 L. T. Heberlein等人開發(fā)出了一套網(wǎng)絡入侵檢測系統(tǒng)（ Network Security Monitor）。 從 20世紀 90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展 概念的誕生 ： 計算機網(wǎng)絡與信息安全技術研究中心 46 1入侵檢測技術（ IDS）概念 ? 入侵檢測是通過從計算機網(wǎng)絡或系統(tǒng)中的若干關鍵點收集信息，并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中“是否有違反安全策略的行為和遭到入侵“的跡象的一種安全技術。 內網(wǎng) Inter 計算機網(wǎng)絡與信息安全技術研究中心 47 ? 入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力，包括安全審計、監(jiān)視、進攻識別和響應，提高了信息安全基礎結構的完整性。 ? 入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內部攻擊外部攻擊和誤操作的實時保護。 ? 入侵檢測也是保障系統(tǒng)動態(tài)安全的核心技術之一。 計算機網(wǎng)絡與信息安全技術研究中心 48 實時監(jiān)控非法入侵的過程示意圖 報警 日志記錄 攻擊檢測 記錄入侵 過程 重新配置 防火墻 路由器 內部入侵 入侵檢測 記錄 終止入侵 計算機網(wǎng)絡與信息安全技術研究中心 49 IDS通常執(zhí)行以下任務 ① 監(jiān)視分析用戶及系統(tǒng)活動 ② 系統(tǒng)構造和弱點的審計 ③ 識別反映已知進攻的活動模式并報警 ④ 異常行為模式的統(tǒng)計分析 ⑤ 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性 ⑥ 操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為 計算機網(wǎng)絡與信息安全技術研究中心 50 傳統(tǒng)安全防范技術的不足 ? 傳統(tǒng)的操作系統(tǒng)加固技術和防火墻隔離技術等都是靜態(tài)安全防御技術，對網(wǎng)絡環(huán)境下日新月異的攻擊手段缺乏主動的反應。 ? 入侵檢測技術通過對入侵行為的過程與特征的研究，使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應。 計算機網(wǎng)絡與信息安全技術研究中心 51 入侵檢測系統(tǒng)術語 ? 警報 – IDS向系統(tǒng)操作人員發(fā)出入侵正在發(fā)生或正在嘗試進行的消息。 ? 異常 – 用一段時間建立一個主機或者網(wǎng)絡活動的輪廓。當一個用戶行為或者網(wǎng)絡行為與此輪廓距離超過某一個值的時候，需要發(fā)出警報，此行為稱之為異常 計算機網(wǎng)絡與信息安全技術研究中心 52 ? 網(wǎng)絡入侵特征數(shù)據(jù)庫 – 將網(wǎng)絡入侵行為抽象成特定的字符集和，通過與網(wǎng)絡上或主機上的行為向匹配，發(fā)現(xiàn)可能的網(wǎng)絡入侵。是基于誤用檢測系統(tǒng)的重要組成部分。 ? 構造數(shù)據(jù)包 – 不遵循通常的數(shù)據(jù)包結構，通過構造自己的數(shù)據(jù)包，進行數(shù)據(jù)包欺騙，或者是接受者無法處理這樣的數(shù)據(jù)包 計算機網(wǎng)絡與信息安全技術研究中心 53 ? 自動響應 – 一些 IDS能夠對攻擊做出防御性反應 ? 重新配置路由器或者防火墻，拒絕來自相同地址的流量 ? 發(fā)送 reset包切斷連接 – 攻擊者可以通過信任地址實施攻擊，引起設備重新配置，達到拒絕服務攻擊的目的 計算機網(wǎng)絡與信息安全技術研究中心 54 ? 漏報 ? 誤報 ? 防火墻 ? 蜜罐（ Honeypot） – 模