【正文】 ? 訪問違反了訪問規(guī)則，所以在主機(jī)的安全日志中記錄下來，如圖所示。 應(yīng)用代理防火墻 ? 應(yīng)用代理（ Application Proxy）是運(yùn)行在防火墻上的一種服務(wù)器程序，防火墻主機(jī)可以是一個(gè)具有兩個(gè)網(wǎng)絡(luò)接口的雙重宿主主機(jī)，也可以是一個(gè)堡壘主機(jī)。代理服務(wù)器被放置在內(nèi)部服務(wù)器和外部服務(wù)器之間，用于轉(zhuǎn)接內(nèi)外主機(jī)之間的通信，它可以根據(jù)安全策略來決定是否為用戶進(jìn)行代理服務(wù)。代理服務(wù)器運(yùn)行在應(yīng)用層，因此又被稱為“應(yīng)用網(wǎng)關(guān)”。 防火墻服務(wù)器工作站臺(tái)式PC 打印機(jī)服務(wù)器數(shù)據(jù)包安全區(qū)域數(shù)據(jù)包服務(wù)器控制策略查找對(duì)應(yīng)的策略 數(shù)據(jù)IP報(bào)頭 TCP報(bào)頭分組過濾判斷拆開數(shù)據(jù)包應(yīng)用代理分析數(shù)據(jù)常見防火墻系統(tǒng)模型 ? 常見防火墻系統(tǒng)一般按照四種模型構(gòu)建： ? 篩選路由器模型、單宿主堡壘主機(jī)（屏蔽主機(jī)防火墻）模型、雙宿主堡壘主機(jī)模型（屏蔽防火墻系統(tǒng)模型）和屏蔽子網(wǎng)模型。 篩選路由器模型 ? 篩選路由器模型是網(wǎng)絡(luò)的第一道防線，功能是實(shí)施包過濾。創(chuàng)建相應(yīng)的過濾策略時(shí)對(duì)工作人員的 TCP/IP的知識(shí)有相當(dāng)?shù)囊?，如果篩選路由器被黑客攻破那么內(nèi)部網(wǎng)絡(luò)將變的十分的危險(xiǎn)。該防火墻不能夠隱藏內(nèi)部網(wǎng)絡(luò)的信息、不具備監(jiān)視和日志記錄功能。典型的篩選路由器模型如圖所示。 路由器內(nèi)部網(wǎng)絡(luò) 外部網(wǎng)絡(luò)進(jìn)行包過濾單宿主堡壘主機(jī)模型 ? 單宿主堡壘主機(jī)（屏蔽主機(jī)防火墻）模型由包過濾路由器和堡壘主機(jī)組成。該防火墻系統(tǒng)提供的安全等級(jí)比包過濾防火墻系統(tǒng)要高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。所以入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。單宿主堡壘主機(jī)的模型如圖所示。 防火墻 服務(wù)器 工作站 臺(tái)式 PC 打印機(jī) 堡壘主機(jī) 數(shù)據(jù)包 安全區(qū)域 數(shù)據(jù)包 不準(zhǔn)訪問除堡壘主機(jī)以外的主機(jī) 只允許外部與堡壘主機(jī)通信 查找對(duì)應(yīng)的策略 Inter網(wǎng)絡(luò) 雙宿主堡壘主機(jī)模型 ? 雙宿主堡壘主機(jī)模型（屏蔽防火墻系統(tǒng)）可以構(gòu)造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機(jī)有兩種網(wǎng)絡(luò)接口但是主機(jī)在兩個(gè)端口之間直接轉(zhuǎn)發(fā)信息的功能被關(guān)掉了。在物理結(jié)構(gòu)上強(qiáng)行將所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過堡壘主機(jī)。雙宿主堡壘主機(jī)模型如圖所示。 防火墻服務(wù)器工作站臺(tái)式PC 打印機(jī)堡壘主機(jī)數(shù)據(jù)包安全區(qū)域數(shù)據(jù)包所有通信都必須通過堡壘主機(jī)通過登錄到堡壘主機(jī)獲得服務(wù)查找對(duì)應(yīng)的策略Inter網(wǎng)絡(luò)屏蔽子網(wǎng)模型 ? 屏蔽子網(wǎng)模型用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)。它是最安全的防火墻系統(tǒng)之一，因?yàn)樵诙x了“中立區(qū)” (DMZ，Demilitarized Zone)網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息服務(wù)器、 Modem組，以及其它公用服務(wù)器放在 DMZ網(wǎng)絡(luò)中。如果黑客想突破該防火墻那么必須攻破以上三個(gè)單獨(dú)的設(shè)備，模型如圖所示。 內(nèi)部網(wǎng)絡(luò) 外部網(wǎng)絡(luò)防火墻 防火墻防火墻堡壘主機(jī)創(chuàng)建防火墻的步驟 ? 成功的創(chuàng)建一個(gè)防火墻系統(tǒng)一般需要六步： ? 第一步：制定安全策略 ? 第二步：搭建安全體系結(jié)構(gòu) ? 第三步：制定規(guī)則次序 ? 第四步：落實(shí)規(guī)則集 ? 第五步：注意更換控制 ? 第六步：做好審計(jì)工作。 入侵檢測(cè) ? 入侵檢測(cè)系統(tǒng) IDS（ Intrusion Detection System）指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對(duì)系統(tǒng)資源的非授權(quán)使用能夠做出及時(shí)的判斷、記錄和報(bào)警。 入侵檢測(cè)系統(tǒng)面臨的挑戰(zhàn) ? 一個(gè)有效的入侵檢測(cè)系統(tǒng)應(yīng)限制誤報(bào)出現(xiàn)的次數(shù)，但同時(shí)又能有效截?fù)簟Ｕ`報(bào)是指被入侵檢測(cè)系統(tǒng)測(cè)報(bào)警的是正常及合法使用受保護(hù)網(wǎng)絡(luò)和計(jì)算機(jī)的訪問。誤報(bào)是入侵檢測(cè)系統(tǒng)最頭疼的問題，攻擊者可以而且往往是利用包的結(jié)構(gòu)偽造無威脅的“正?！奔倬瘓?bào)，而誘導(dǎo)沒有警覺性的管理員人把入侵檢測(cè)系統(tǒng)關(guān)掉。 誤報(bào) ? 沒有一個(gè)入侵檢測(cè)能無敵于誤報(bào)，因?yàn)闆]有一個(gè)應(yīng)用系統(tǒng)不會(huì)發(fā)生錯(cuò)誤，原因主要有四個(gè)方面。 ? 缺乏共享數(shù)據(jù)的機(jī)制 ? 缺乏集中協(xié)調(diào)的機(jī)制 ? 缺乏揣摩數(shù)據(jù)在一段時(shí)間內(nèi)變化的能力 ? 缺乏有效的跟蹤分析 入侵檢測(cè)系統(tǒng)的類型和性能比較 ? 根據(jù)入侵檢測(cè)的信息來源不同，可以將入侵檢測(cè)系統(tǒng)分為兩類：基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。 ? 基于主機(jī)的入侵檢測(cè)系統(tǒng)：主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。它通過監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件：來檢測(cè)入侵。日志中包含發(fā)生在系統(tǒng)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。 ? 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它監(jiān)聽網(wǎng)絡(luò)上的所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。 入侵檢測(cè)的方法 ? 常用的方法有三種：靜態(tài)配置分析、異常性檢測(cè)方法和基于行為的檢測(cè)方法。 靜態(tài)配置分析 ? 靜態(tài)配置分析通過檢查系統(tǒng)的配置，諸如系統(tǒng)文件的內(nèi)容，來檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征（比如，系統(tǒng)配置信息）。 ? 采用靜態(tài)分析方法主要有以下原因：入侵者對(duì)系統(tǒng)攻擊時(shí)可能會(huì)留下痕跡，可通過檢查系統(tǒng)的狀態(tài)檢測(cè)出來。 異常性檢測(cè)方法 ? 異常性檢測(cè)技術(shù)是一種在不需要操作系統(tǒng)及其安全性缺陷的專門知識(shí)的情況下，就可以檢測(cè)入侵者的方法，同時(shí)它也是檢測(cè)冒充合法用戶的入侵者的有效方法。但是在許多環(huán)境中，為用戶建立正常行為模式的特征輪廓以及對(duì)用戶活動(dòng)的異常性進(jìn)行報(bào)警的門限值的確定都是比較困難的事。因?yàn)椴⒉皇撬腥肭终叩男袨槎寄軌虍a(chǎn)生明顯的異常性，所以在入侵檢測(cè)系統(tǒng)中，僅使用異常性檢測(cè)技術(shù)不可能檢測(cè)出所有的入侵行為。而且，有經(jīng)驗(yàn)的入侵者還可以通過緩慢地改變他的行為，來改變?nèi)肭謾z測(cè)系統(tǒng)中的用戶正常行為模式，使其入侵行為逐步變?yōu)楹戏?，這樣就可以避開使用異常性檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)的檢測(cè)。 基于行為的檢測(cè)方法 ? 基于行為的檢測(cè)方法通過檢測(cè)用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或者是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測(cè)系統(tǒng)中的入侵活動(dòng)。 ? 基于入侵行為的入侵檢測(cè)技術(shù)的優(yōu)勢(shì)：如果檢測(cè)器的入侵特征模式庫中包含一個(gè)已知入侵行為的特征模式，就可以保證系統(tǒng)在受到這種入侵行為攻擊時(shí)能夠把它檢測(cè)出來。但是，目前主要是從已知的入侵行為以及已知的系統(tǒng)缺陷來提取入侵行為的特征模式，加入到檢測(cè)器入侵行為特征模式庫中，來避免系統(tǒng)以后再遭受同樣的入侵攻擊。 案例 檢測(cè)與端口關(guān)聯(lián)的應(yīng)用程序 ? 網(wǎng)絡(luò)入侵者都會(huì)連接到主機(jī)的某個(gè)非法端口，通過檢查出與端口關(guān)聯(lián)應(yīng)用程序，可以進(jìn)行入侵檢測(cè)，這種方法屬于靜態(tài)配置分析。 ? 利用工具軟件 ，執(zhí)行程序如圖所示。 入侵檢測(cè)的步驟 ? 入侵檢測(cè)系統(tǒng)的作用是實(shí)時(shí)地監(jiān)控計(jì)算機(jī)系統(tǒng)的活動(dòng)，發(fā)現(xiàn)可疑的攻擊行為，以避免攻擊的發(fā)生，或減少攻擊造成的危害。由此也劃分了入侵檢測(cè)的三個(gè)基本步驟： ? 信息收集、 ? 數(shù)據(jù)分析、 ? 響應(yīng)。 信息收集 ? 入侵檢測(cè)的第一步就是信息收集，收集的內(nèi)容包括整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。 ? 入侵檢測(cè)在很大程度上依賴于收集信息的可靠性、正確性和完備性。因此，要確保采集、報(bào)告這些信息的軟件工具的可靠性，這些軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，能夠防止被篡改而收集到錯(cuò)誤的信息。否則 數(shù)據(jù)分析 ? 數(shù)據(jù)分析（ Analysis Schemes）是入侵檢測(cè)系統(tǒng)的核心，它的效率高低直接決定了整個(gè)入侵檢測(cè)系統(tǒng)的性能。數(shù)據(jù)分析可以通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。前兩種是實(shí)時(shí)分析，完整性分析是事后分析。 響應(yīng) ? 數(shù)據(jù)分析發(fā)現(xiàn)入侵跡象后，入侵檢測(cè)系統(tǒng)的下一步工作就是響應(yīng)。而響應(yīng)并不局限于對(duì)可疑的攻擊者。目前的入侵檢測(cè)系統(tǒng)一般采取下列響應(yīng)。 ? 將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應(yīng)的報(bào)告。 ? 觸發(fā)警報(bào)：如在系統(tǒng)管理員的桌面上產(chǎn)生一個(gè)告警標(biāo)志位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件等等。 ? 修改入侵檢測(cè)系統(tǒng)或目標(biāo)系統(tǒng)，如終止進(jìn)程、切斷攻擊者的網(wǎng)絡(luò)連接，或更改防火墻配置等。 案例 入侵檢測(cè)工具： BlackICE ? BlackICE是一個(gè)小型的入侵檢測(cè)工具，在計(jì)算機(jī)上安裝完畢后，會(huì)在操作系統(tǒng)的狀態(tài)欄顯示一個(gè)圖標(biāo)，當(dāng)有異常網(wǎng)絡(luò)情況的時(shí)候，圖標(biāo)就會(huì)跳動(dòng)。主界面如圖所示。 ? 可以查看主機(jī)入侵的信息，選擇屬性頁“ Intruders”，如圖所示。 入侵檢測(cè)工具：冰之眼 ? “冰之眼”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是 NSFOCUS系列安全軟件中一款專門針對(duì)網(wǎng)絡(luò)遭受黑客攻擊行為而研制的網(wǎng)絡(luò)安全產(chǎn)品，該產(chǎn)品可最大限度地、全天地監(jiān)控企業(yè)級(jí)的安全。由于用戶自身網(wǎng)絡(luò)系統(tǒng)的缺陷、網(wǎng)絡(luò)軟件的漏洞以及網(wǎng)絡(luò)管理員的疏忽等等，都可能使網(wǎng)絡(luò)入侵者有機(jī)可乘，而系統(tǒng)遭受了攻擊，就可能造成重要的數(shù)據(jù)、資料丟失，關(guān)鍵的服務(wù)器丟失控制權(quán)等。 ? 使用“冰之眼”，系統(tǒng)管理人員可以自動(dòng)地監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)流、主機(jī)的日志等，對(duì)可疑的事件給予檢測(cè)和響應(yīng) ,在內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的主機(jī)和網(wǎng)絡(luò)遭受破壞之前阻止非法的入侵行為，主界面如圖所示。 ? 管理員可以添加主機(jī)探測(cè)器來檢測(cè)系統(tǒng)是否被入侵，選擇菜單欄“網(wǎng)絡(luò)”下的菜單項(xiàng)“添加探測(cè)器”，可以添加相關(guān)的探測(cè)器，如圖所示。 網(wǎng)絡(luò)安全協(xié)議 ? IPSec ? SSL ? 電子郵件安全 ? SET