【正文】 ? 特點 – 所有的連接都通過防火墻，防火墻作為網(wǎng)關(guān) – 在應(yīng)用層上實現(xiàn) – 可以監(jiān)視包的內(nèi)容 – 可以實現(xiàn)基于用戶的認(rèn)證 – 所有的應(yīng)用需要單獨(dú)實現(xiàn) – 可以提供理想的日志功能 – 非常安全，但是開銷比較大 應(yīng)用層網(wǎng)關(guān)的結(jié)構(gòu)示意圖 應(yīng)用層網(wǎng)關(guān)的協(xié)議棧結(jié)構(gòu) HTTP FTP Tel Smtp 傳輸層 網(wǎng)絡(luò)層 鏈路層 應(yīng)用層網(wǎng)關(guān)的優(yōu)缺點 ? 優(yōu)點 – 允許用戶 “ 直接 ” 訪問 Inter – 易于記錄日志 ? 缺點 – 新的服務(wù)不能及時地被代理 – 每個被代理的服務(wù)都要求專門的代理軟件 – 客戶軟件需要修改，重新編譯或者配置 – 有些服務(wù)要求建立直接連接，無法使用代理 ?如聊天服務(wù)、或者即時消息服務(wù) – 代理服務(wù)不能避免協(xié)議本身的缺陷或者限制 應(yīng)用層網(wǎng)關(guān)實現(xiàn) ? 編寫代理軟件 – 代理軟件一方面是服務(wù)器軟件 ? 但是它所提供的服務(wù)可以是簡單的轉(zhuǎn)發(fā)功能 – 另一方面也是客戶軟件 ? 對于外面真正的服務(wù)器來說，是客戶軟件 – 針對每一個服務(wù)都需要編寫模塊或者單獨(dú)的程序 – 實現(xiàn)一個標(biāo)準(zhǔn)的框架，以容納各種不同類型的服務(wù) ? 軟件實現(xiàn)的可擴(kuò)展性和可重用性 ? 客戶軟件 – 軟件需要定制或者改寫 – 對于最終用戶的透明性 ? 協(xié)議對于應(yīng)用層網(wǎng)關(guān)的處理 – 協(xié)議設(shè)計時考慮到中間代理的存在，特別是在考慮安全性（如數(shù)據(jù)完整性）的時候 三種防火墻技術(shù)的安全功能比較 源地址 目的地址 用戶身份 數(shù)據(jù)內(nèi)容 包過濾 Y Y N N 電路級網(wǎng)關(guān) Y Y Y N 應(yīng)用代理 Y Y Y Y ? 防火墻不能防范網(wǎng)絡(luò)內(nèi)部的攻擊 。 ? 主要是 基于 IP控制 而不是用戶身份。不能期望防火墻去對每一個文件進(jìn)行掃描，查出潛在的病毒。易造成安全漏洞 (5)防火墻的 局限性 存在一些防火墻不能防范的安全威脅，如防火墻不能 防范不經(jīng)過防火墻的攻擊（如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部 向外撥號，一些用戶就可能形成與 Inter的直接連接）。 – 至少有兩個網(wǎng)絡(luò)接口。 – 僅僅能通過代理，或讓用戶直接登錄到雙宿主主機(jī)來提供服務(wù)。 ? 問題： – 用戶賬號本身會帶來明顯的安全問題，會允許某種不安全的服務(wù)； – 通過登錄來使用因特網(wǎng)太麻煩。 ? 堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)上，是外部能訪問的惟一的內(nèi)部網(wǎng)絡(luò)主機(jī)。 ? 問題 – 如果路由器被破壞，整個網(wǎng)絡(luò)對侵襲者是開放的。 配置方案四： 屏蔽子網(wǎng)防火墻 ? 優(yōu)點： – 三層防護(hù)，用來阻止入侵者 – 外面的 router只向 Inter暴露屏蔽子網(wǎng)中的主機(jī) – 內(nèi)部的 router只向內(nèi)部私有網(wǎng)暴露屏蔽子網(wǎng)中的主機(jī) 屏蔽子網(wǎng)防火墻 ? 添加額外的安全層：周邊網(wǎng)，將內(nèi)部網(wǎng)與因特網(wǎng)進(jìn)一 步隔開。周邊網(wǎng)上的主機(jī)主要通過主機(jī)安全來保證其安全性。 ? 兩個屏蔽路由器的規(guī)則設(shè)置的側(cè)重點不同。 ： IDS 入侵 Intrusion:企圖進(jìn)入或濫用計算機(jī)系統(tǒng)的行為。 入侵檢測系統(tǒng) IDS（ Intrusion DetectionSystem） 進(jìn)行入侵檢測的軟件與硬件的組合。 ? IDS能使系統(tǒng)對入侵事件和過程做出實時響應(yīng)。 ? 入侵檢測是防火墻的合理補(bǔ)充。 入侵監(jiān)測系統(tǒng)的設(shè)計要求 ? 健壯性 ? 可配置性 ? 可擴(kuò)展性 ? 可升級性 ? 自適應(yīng)性 ? 全局分析 ? 有效性 (1)IDS的 種類 根據(jù)收集的待分析信息來源， IDS可以分為三大類： （ 1） 基于網(wǎng)絡(luò)的 IDS； 將 IDS放置于網(wǎng)絡(luò)之上，靠近被檢測的系統(tǒng)， 用以監(jiān)測網(wǎng)絡(luò)流量并判斷是否正常。 （ 3） 基于應(yīng)用的 IDS。 (2)IDS的 模型 Dennying于 1987年提出一個通用的 IDS模型： 主體活動 規(guī)則集 處理引擎 異常 記錄 活動 概要 定時器 審計 記錄 規(guī)則設(shè)計 與修改 創(chuàng)建 提取規(guī)則 學(xué)習(xí) 新的活 動概要 歷史概要 更新 IDS模型包括 2個功能部件： 1．提供事件記錄流的信息源 2．發(fā)現(xiàn)入侵跡象的分析引擎 (3)常用的入侵檢測技術(shù) ?統(tǒng)計分析技術(shù)； 活動與具有“正?；顒印钡奶卣髟捅容^。 ?基于神經(jīng)網(wǎng)絡(luò)的檢測技術(shù)； 神經(jīng)網(wǎng)絡(luò)用已出現(xiàn)的用戶特征去預(yù)測和匹配實際的用戶行為和操作。 ?模式匹配技術(shù)； ?數(shù)據(jù)挖掘技術(shù)； ?針對分布式入侵的檢測技術(shù)。因此，要確保采集、報告這些信息的軟件工具的可靠性，這些軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅固性，能夠防止被篡改而收集到錯誤的信息 ?數(shù)據(jù)分析 :是入侵檢測系統(tǒng)的核心，它的效率高低直接決定了整個入侵檢測系統(tǒng)的性能 ,有異常入侵檢測與誤用入侵檢測兩類。 觸發(fā)警報：如在系統(tǒng)管理員的桌面上產(chǎn)生一個告警標(biāo)志位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件等等。 (4)入侵檢測的步驟 信息收集技術(shù) ? 基于網(wǎng)絡(luò)的實時入侵檢測系統(tǒng) ： – 原始數(shù)據(jù)來源豐富 ， 實時性 、 適應(yīng)性 、 可擴(kuò)展性方面具有其獨(dú)特的優(yōu)勢； – 容易受到基于網(wǎng)絡(luò)的拒絕服務(wù)等惡意攻擊 ， 在高層信息的獲取上更為困難 。 ? 通過分析應(yīng)用的日志文件檢測攻擊 – 通過分析應(yīng)用的日志文件檢測攻擊。 ? 基于異常 (Misusebased) 的分析方法 – 首先統(tǒng)計和規(guī)范網(wǎng)絡(luò)和用戶的正常行為模式 (Activity Profile)， 當(dāng)網(wǎng)絡(luò)和用戶的行為模式偏離了其正常行為模式時 ， 就認(rèn)為是異常； – 行為異常通常意味著某種攻擊行為的發(fā)生； – 能夠檢測出新出現(xiàn)的攻擊模式； – 對正常行為模式的描述比較困難 、 誤報率高； – 統(tǒng)計分析 。 ? 狀態(tài)分析 – 將攻擊行為的過程以 狀態(tài)轉(zhuǎn)移圖 的形式記錄在模式數(shù)據(jù)庫中 ， 狀態(tài)轉(zhuǎn)移的條件是網(wǎng)絡(luò)或系統(tǒng)中的一些 特征事件； – 檢測軟件記錄所有可能攻擊行為的狀態(tài) ， 并從數(shù)據(jù)流中提取特征事件進(jìn)行狀態(tài)轉(zhuǎn)移 ， 當(dāng)轉(zhuǎn)移到達(dá)某個特定狀態(tài)時 ， 就被認(rèn)為是檢測到了一次攻擊行為； – 用于檢測過程較復(fù)雜的攻擊過程 （ 如分布式攻擊 ） 。 ? 應(yīng)用數(shù)據(jù)挖掘技術(shù) – 使用一定的數(shù)據(jù)挖掘算法進(jìn)行挖掘 ， 推導(dǎo)出系統(tǒng)的正常行為模式和入侵的行為模式； – 需要提出一種真正自適應(yīng)的 、 無須預(yù)標(biāo)識的數(shù)據(jù)挖掘的方式 。比如規(guī)則：E1— E2— (E3=80%， E4=15%， E5=5%)，即假定事件 E1和 E2已經(jīng)發(fā)生， E3隨后發(fā)生的概率是 80%， E4隨后發(fā)生的概率是 15%， E5隨后發(fā)生的概率是 5%，若 E E2發(fā)生了，接著E3發(fā)生，則為正常的概率很大，若 E5發(fā)生，則為異常的概率很大，若 E E E5都沒有發(fā)生，而是發(fā)生了模式中沒有描述到的 E5，則可以認(rèn)為發(fā)生了攻擊。此類系統(tǒng)較容易發(fā)現(xiàn)在系統(tǒng)學(xué)習(xí)期間試圖訓(xùn)練系統(tǒng)的用戶。 – 入侵檢測系統(tǒng)采用分布式計算技術(shù)。 主要信息分析技術(shù) (4) 一個有效的入侵檢測系統(tǒng)應(yīng)限制誤報出現(xiàn)的次數(shù)，但同時又能有效截?fù)簟? IDS也隨著網(wǎng)絡(luò)技術(shù)和相關(guān)學(xué)科的發(fā)展而日趨成熟，其未來 發(fā)展的趨勢主要表現(xiàn) 在以下方面： ? 寬帶高速實時的檢測技術(shù) ； ? 大規(guī)模分布式的檢測技術(shù) ； ? 數(shù)據(jù)挖掘技術(shù) ； ? 更先進(jìn)的檢測算法 ； 如計算機(jī)免疫技術(shù)、神經(jīng)網(wǎng)絡(luò)技術(shù)、遺傳算法等。 從系統(tǒng)保護(hù)（事件警告）、動態(tài)策略到攻擊對抗。 隱患掃描技術(shù) 網(wǎng)絡(luò)安全一直無法落實的主要原因是不知道漏洞的存在，甚至不去實時修補(bǔ)漏洞。 ? 其原理是： 采用模擬黑客攻擊的形式對目標(biāo)可能存在的已知安全漏洞和弱點進(jìn)行逐項掃描和檢查，向系統(tǒng)管理員提供周密可靠的安全性分析報告 。 ? 安全防護(hù)最弱的部分容易被入侵者利用，給網(wǎng)絡(luò)帶來災(zāi)難。這需要有高效的漏洞掃描工具，來自動發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的弱點，以便管理員能夠迅速有效地采取相應(yīng)的措施。 ?基于客戶的安全評估系統(tǒng) ； 安全檢測人員在一臺客戶機(jī)上執(zhí)行評估軟件，對網(wǎng)絡(luò)中的所有資源進(jìn)行檢測。 安全管理員通過一臺管理器來控制和管理大型系統(tǒng)中的安全隱患掃描 (2)漏洞掃描系統(tǒng)的內(nèi)容 一個功能完善、可不斷擴(kuò)展的漏洞掃描系統(tǒng)包括： ?安全漏洞數(shù)據(jù)庫 ； 通過對安全性漏洞和掃描手段的分析，形成一個安全漏洞數(shù)據(jù)庫。 ?結(jié)果分析和報表生成 ； ?安全掃描工具管理器 。 ? 安全漏洞數(shù)據(jù)庫 – 安全性漏洞原理描述、及危害程度、所在的系統(tǒng)和環(huán)境等信息； – 采用的入侵方式、入侵的攻擊過程、漏洞的檢測方式； – 發(fā)現(xiàn)漏洞后建議采用的防范措施。 隱患掃描系統(tǒng)的組成（ 1） ? 結(jié)果分析和報表生成 – 目標(biāo)網(wǎng)絡(luò)中存在的安全性弱點的總結(jié)； – 對目的網(wǎng)絡(luò)系統(tǒng)的安全性進(jìn)行詳細(xì)描述，為用戶確保網(wǎng)絡(luò)安全提供依據(jù)； – 向用戶提供修補(bǔ)這些弱點的建議和可選擇的措施； – 能就用戶系統(tǒng)安全策略的制定提供建議，以最大限度地幫助用戶實現(xiàn)信息系統(tǒng)的安全。 隱患掃描系統(tǒng)的組成（ 2） ? 虛擬專用網(wǎng) VPN(Virtual Private Network)是利用現(xiàn)有的不安全的公共網(wǎng)絡(luò)環(huán)境 ， 構(gòu)建的具有安全性 、 獨(dú)占性 、 自成一體的虛擬網(wǎng)絡(luò) 。 它實際上是一個在互聯(lián)網(wǎng)等公用網(wǎng)絡(luò)上的一些節(jié)點的集合 。 ? 虛擬專用網(wǎng)可以在兩個異地子網(wǎng)之間建立安全的通道 。 其中 “ 虛擬 ” 指網(wǎng)絡(luò)不是物理上獨(dú)立存在的 ， 而是利用服務(wù)商 （ 如ISP） 提供的公共網(wǎng)絡(luò)來實現(xiàn)遠(yuǎn)程的廣域連接； “ 專用 ” 指用戶可以為自己定制一個符合自己需求的網(wǎng)絡(luò) ， 使網(wǎng)內(nèi)業(yè)務(wù)獨(dú)立于網(wǎng)外的業(yè)務(wù)流 ， 且具有獨(dú)立的尋址空間和路由空間 ， 使用戶獲得等同于專用網(wǎng)絡(luò)的通信體驗 。 ?實現(xiàn)了網(wǎng)絡(luò)安全 ： 以多種方式增強(qiáng)了網(wǎng)絡(luò)的智能與安全性； ?簡化網(wǎng)絡(luò)設(shè)計和管理 ： 替代租用線路來實現(xiàn)分支機(jī)構(gòu)的連接； ?降低成本 ： 只需付短途電話費(fèi)，卻收到長途通信的效果；局域網(wǎng)互聯(lián)費(fèi)降低 20%~40%，遠(yuǎn)程接入費(fèi)減少 60% ~80%； ?容易擴(kuò)展，適應(yīng)性強(qiáng) ； ?可隨意與合作伙伴聯(lián)網(wǎng) ； ?完全控制主動權(quán) ： 自己負(fù)責(zé)用戶的查驗、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作； ?支持新興應(yīng)用 。 ? VPN設(shè)備根據(jù)網(wǎng)絡(luò)管理員設(shè)置的規(guī)則，確定是否需要對數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過。 ? VPN設(shè)備重新封裝加密后數(shù)據(jù)（加上新的數(shù)據(jù)報頭，包括目的地VPN設(shè)備所需的安全信息和一些初始化參數(shù)），然后將其通過虛擬通道在公共網(wǎng)絡(luò)上傳輸。 訪