第5章防火墙与入侵检测技术案例.ppt 44页
|
《计算机网络安全》课程讲义 第五章 防火墙与入侵检测技术 本章内容 防火墙的基本概念和种类 防火墙的体系结构及功能 入侵检测技术的种类及各类技术的相关性能 学习目标 掌握防火墙的基本概念和种类 掌握防火墙的体系结构及功能 掌握入侵检测技术的种类 了解各类入侵检测技术的性能 5.1 防火墙技术 防火墙的概念防火墙是指隔离在本地网络与外界网络之间的一道防御系统, 是这一类防范措施的总称。在互联网上防火墙是一种非常有效的网 络安全模型,通过它可以隔离风险区域与安全区域(局域网)的连 接,同时不会妨碍人们对风险区域的访问。防火墙实质上是一种隔离控制技术,其核心思想是在不安全的 网络环境下构造一种相对安全的内部网络环境。从逻辑上讲它既是 分析器又是限制器,它要求所有进出网络的数据流都必须遵循安全 策略,同时将内外网络在逻辑上分离。 5.1 防火墙技术 防火墙的种类(1)包过滤防火墙包过滤型防火墙会检查所有通过的信息包中的IP地址,并按照 系统管理员所给定的过滤规则进行过滤,一旦发现来自危险站点的 数据包,防火墙便会将这些数据拒之门外。优点:对用户来说是透明的,处理速度快而且易于维护,实现 成本较低,能够以较小的代价在一定程度上保证系统的安全。 缺点:完全基于网络层的安全技术,只能根据数据包的来源、目 标和端口等网络信息进行判断,无法识别基于应用层的恶意入侵, 如恶意的Java小程序以及电子邮件中附带的病毒等。有经验的黑客 也很容易伪造IP地址,骗过包过滤型防火墙。5.1 防火墙技术 防火墙的种类(2)应用网关防火墙应用级网关是通常我们提到的代理服务器。代理服务器像一堵 墙一样挡在内部用户和外界之间,从外部只能看到该代理服务器而 无法获知任何的内部资源,外部的恶意侵害也就很难伤害到企业内 部网络系统。优点:应用级网关比单包过滤更为可靠,而且会详细地记录所有 的访问状态信息。缺点:对系统的整体性能有较大的影响,使访问速度变慢,因 为它不允许用户直接访问网络,而且应用级网关需要对客户机可能 产生的每一个特定的互联网服务安装相应的代理服务软件,从而大 大增加了系统的复杂度。用户不能使用未被服务器支持的服务。 5.1 防火墙技术 防火墙的种类(3)状态监测防火墙监测型防火墙能够对各层的数据进行主动的、实时的监测,在 对这些数据加以分析的基础上有效地判断出各层中的非法侵人。优点:当用户访问请求到达网关的操作系统前,状态监视器会 抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒 绝、身份认证、报警或给该通信加密等处理动作。 一旦某个访问违 反安全规定,就会拒绝该访问,并报告有关状态作日志记录。另一 个优点是它会检测无连接状态的远程过程调用(RPC)和用户数据 报(UDP)之类的端口信息。缺点:它会降低网络的速度,而且配置也比较复杂。 5.1 防火墙技术 防火墙的体系结构(1)屏蔽路由器屏蔽路由器是一个具有数据包过滤功能的路由器, 既可以是一个硬件设备,也可以是一台主机。路由器上 安装有IP层的包过滤软件,可以进行简单的数据包过 滤。其使用范围很广,但其缺点也非常明显,一旦屏蔽 路由器的包过滤功能失效,则受保护网络和外部网络就 可以进行任何数据通信了。 5.1 防火墙技术 防火墙的体系结构(2)双宿主机网关如果一台主机装有两块网卡,一块连接受保护网络,一块连接 外部网络,那么这台堡垒主机就是双宿主机网关。双重宿主主机至 少有两个网络接口。这样的主机可以充当与这些接口相连的网络之 间的路由器;它能够从一个网络到另外一个网络发送IP数据包,然 而双重宿主主机的防火墙体系结构禁止这种发送。双宿主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件 可用于维护系统日志、硬件拷贝日志或远程日志。其致命弱点是: 一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户 均可以随便访问内网。 5.1 防火墙技术 防火墙的体系结构(3)被屏蔽主机网关堡垒主机在受保护网络中,可以与受保护网络的主 机进行通信,也可以和外部网的主机建立连接。屏蔽路 由器的作用是允许堡垒主机和外部网络之间的通信,同 时所有受保护网络的其它主机和外部网络直接通信。垒 主机成为从外部网络唯一可到达的主机,此时它就起到 了网关的作用。5.1 防火墙技术 防火墙的体系结构(4)被屏蔽子网由两台屏蔽路由器将受保护网络和外部网络隔离 开,中间形成一个隔离带(DMZ),就构成了被屏蔽子 网结构 。 5.1 防火墙技术 防火墙的功能(1)包过滤(2)审计和报警(3)代理 : 分为透明代理和传统代理(4)NAT:分为源地址转换和目的地址转换(5)VPN:虚拟专用网(6)流量统计和控制 5.1 防火墙技术 分布式防火墙(DWF)的概念传统防火墙缺陷的根源在于它的拓扑结构,分布式防火墙打破 了这种拓扑限制,将内部网的概念由物理意义变成逻辑意义。 分布式防火墙是由一个中心来制定策略,并将策略分发到主机 上执行,它使用一种策略语言(如Keynote)来制定策略,并被编译 成内部形式存于策略数据库中,系统管理软件将策略分发到被保护 主机,而主机根据这些安全策略和加密的证书来决定是接受还是丢 弃包,从而对主机实施保护。 5.1 防火墙技术 分布式防火墙的本质特征(1)安全策略必须由管理员统一制定。是分布式防 火墙区别于个人防火墙的根本所在 (2)策略必须被推到网络的边缘即主机上实施。 (3)日志统一收集管理。 本质特征可概括为“策略集中制定分散实施,日志分散产生集 中保存”,从管理员的角度来看,他管理分布式防火墙就像管理边界 防火墙一样,由他负责制定全网的安全策略并对全网的安全状况进 行监控,只不过策略的实施不在单一节点上而是分散到了多个节点 而已分布式防火墙的实现方法。 5.1 防火墙技术 分布式防火墙的实现方法1、基于OpenBSD UNIX的实现该原型系统由三部分组成:内核扩展程序,用于实 施安全机制;用户层后台处理程序,用于执行分布式防 火墙策略;设备驱动程序,为内核和策略后台程序之间 的双向通信提供接口。 5.1 防火墙技术 分布式防火墙的实现方法2、基于IPsec的分布式防火墙模型Steven的模型使用和IPSec一起使用的加密证书名 称表示网络主机,完全摒弃了以往使用IP地址表示主机 的方法。该模型共由三个部分组成:系统管理模块、翻 译器和个主机策略执行模块。网络安全管理员使用系统管理模块来管理所有的主 机,定义安全策略,还可以向主机分发新的防火墙软件 或安装补丁。
5.1 防火墙技术 分布式防火墙的实现方法3、基于网卡(NIC)的实现该方案是美国国防部资助的研究项目,它是基于硬件—种特殊 的网卡(3Com3CR990系列网卡)实现的,称为EFW(Embedded Firewall)。这种网卡有内置的处理器和存储器,它能独立于主机操 作系统而运行。(1) EFW组件EFW的主要组件分为主机端组件和服务器端组件。 5.1 防火墙技术 分布式防火墙的实现方法4、基于Windows平台实现的原型系统该防火墙产品包括中心管理部件、桌面机防火墙部件和服务 器,边界防火墙部件等。 包过滤引擎采用嵌人内核的方式运行,处 于链路层和网络层之间,能够提供访问控制、状态检测和人侵检测 的功能。用户配置接口在安装时是可选的,如果选择安装,则用户 或管理员可在本地配置安全策略。该产品实现了中心管理功能,管理员通过中心管理模块可对各 台主机实施全方位的控制。也具有较完善的审计功能,审计日志可 通过建立的连接、阻塞的数据包、人侵尝试和应用类型等来建立。 中心管理模块可对日志和报警信号进行汇集。 5.1 防火墙技术 分布式防火墙的典型应用 (1)锁定关键服务器 对企业中的关键服务器,可以安装分布式防火墙作为第二道防 线,使用分布式防火墙的集中管理模块,对这些服务器制定精细的 访问控制规则,增强这些服务器的安全性。 (2)商务伙伴之间共享服务器 随着电子商务的发展,商务伙伴之间需要共享信息,外联网是 一般的解决方案,但实施代价较高,可是用上面介绍的EFW在一台 服务器上安装两个NIC,一个与内部网相连,另一个与伙伴相连,这 样可以方便的实现服务器共享。 5.2 入侵检测技术 入侵和入侵检测入侵(Intrusion)是所有试图破坏网络信息的完整性、保密 性、可用性、可信任性的行为。入侵不仅包括发起攻击的人取得超 出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务等 危害计算机和网络的行为。入侵行为主要有以下几种:(1)外部渗透:指既未被授权使用计算机,又未被授权使用数 据或程序资源的渗透。(2)内部渗透:指虽被授权使用计算机,但是未被授权使用数 据或程序资源的渗透。(3)不法使用:指利用授权使用计算机、数据和程序资源的合法 用户身份的渗透。 5.2 入侵检测技术 入侵和入侵检测入侵检测(Intrusion Detection)是一种试图通过观察行为、安 全日志或审计资料来检测发现针对计算机或网络入侵的技术,该检 测通过手工或专家系统软件对日志或其它网络信息进行分析完成。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻 击、外部攻击和误操作的实时防护,在网络系统受到危害之前拦截 和对入侵做出响应。 强大的入侵检测软件的出现极大的方便了网络 的管理,其实时报警功能为网络安全增加了又一道保障。未来的入侵检测系统将会结合其它网络管理软件,形成入侵检 测、网络管理、网络监控三位一体的结构。 5.2 入侵检测技术 入侵检测的分类1、特征检测特征检测又称基于知识的入侵检测,这类检测方法的原则是: 任何与已知入侵模型符合的行为都是入侵行为。它要求首先对已知 的各种入侵行为建立签名,然后将当前的用户行为和系统状态与数 据库中的签名进行匹配,来识别系统中的入侵行为。这种入侵检测技术主要有以下局限性:(1)检测系统知识库中的入侵攻击知识与系统运行环境有关。(2)对于系统内部攻击者的越权行为,由于他们没有利用系统 的缺陷,因而很难检测出来。 5.2 入侵检测技术 特征检测(1)专家系统专家系统是基于知识的检测中运用最多的一种方法。将有关入 侵的知识转化成if-then结构的规则,即将构成入侵所要求的条件转化 为if部分,将发现入侵后采取的相应措施转化成then部分,当其中某 个或部分条件满足时,系统就判断为入侵行为发生。其中的if-then结 构构成了描述具体攻击的规则库,状态行为以及其语义环境可以根 据审计事件得到,推理机根据规则和行为完成判断工作。 5.2 入侵检测技术 特征检测(2)状态转换分析状态转换分析即将状态转换图应用于入侵行为的分析。状态转 换法将入侵过程看作一个行为序列,这个行为序列网络入侵检测技 术的研究导致系统从初始状态转入被入侵状态。分析时首先针对每 一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转 换的转换条件,和导致系统进入被入侵状态必须执行的操作。然后 用状态转换图来表示每一个状态和特征事件,这些事件被集成于模 型中,所以检测时不需要一个个地查找审计记录。 5.2 入侵检测技术 特征检测(2)状态转换分析Petri网用于入侵行为分析是一种类似于状态转换图分析的方 法。利用Petri网的有利之处在于它能一般化、图形化地表达状态。下面是这种方法的一个简单示例,表示在一分钟内如果登录失 败的次数超过4次,系统便发出警报。其中竖线代表状态转换,如果 在状态S1发生登录失败,则产生一个标志变量,并存储事件发生时 间T1,同时转入状态S2。如果在状态S4时又有登录失败,而且这时 的时间T2-T1其中的变量名、主体、客体唯一确定了每一个特征简表,特征 值由系统根据审计资料周期性地产生。这个特征值是所有有悖于用 户特征的异常程度值的函数。 如果假设S1,S2服务器安全ppt,…,Sn分别是用于 描述特征的变量M1,M2,…,Mn的异常程度值,Si值越大说明异 常程度越大。则这个特征值可以用所有Si值的加权平方和来表示:,ai>0,其中ai表示每一个特征的权值。如果选用标准偏差作为判别准则,则标准偏差:M/(n-1)-μ /2, 其中μ=M/n,如果某S值超过了就认为出现了异常。 5.2 入侵检测技术异常入侵检测 (2)神经网络方法基本思想是用一系列信息单元(命令)训练神经单元,这样在 给定一组输入后,就可能预测出输出。与统计理论相比,神经网络 更好地表达了变量间的非线性关系,并且能自动学习并更新。用于检测的神经网络模块结构大致是这样的:当前命令和刚过 去的w个命令组成了网络的输入,其中w是神经网络预测下一个命令 时所包含的过去命令集的大小。根据用户的代表网络入侵检测技术 的研究性命令序列训练网络后,该网络就形成了相应用户的特征 表,于是网络对下一事件的预测错误率在一定程度上反映了用户行 为的异常程度。 5.2 入侵检测技术 入侵检测系统及其分类入侵检测系统(Intrusion Detection Systems,IDS)在逻辑上 必须包含最基本的三个部分:数据提取模块、数据分析模块和结 果处理模块。
数据提取模块: 为系统提取数据。数据为网络数据包、计算机 的日志文件和系统调用记录等。数据分析模块: 对数据进行深入分析,发现攻击并根据分析的 结果产生事件,传递到结果处理模块。结果处理模块: 作用在于告警与反应,这实际上与PPDR模型 的R有所重叠。 5.2 入侵检测技术 入侵检测系统原理入侵检测系统的原理比较简单:当感应器感知到数 据后,由系统管理员所提供的安全策略对该感应事件进 行分析审计数据,一旦分析结果认定为入侵则发出警报 信息,启动管理器通知操作人员并启动相应的应急措 施:如关闭相应连接、切断网络,以便帮助管理员采取 进一步的应急措施。 5.2 入侵检测技术 基于主机和网络的入侵检测系统(1)基于主机的入侵检测系统(HIDS)基于主机的入侵检测系统主要从主机的审计记录和日志文件中 获得所需的数据,并辅以主机上的其它信息,例如文件系统属性, 进程管理状态等,在此基础上完成检测入侵行为的任务。优点包括:1)能够监视特定的系统行为,基于主机的IDS能够监视所有的 用户登录和退出、甚至用户所做的所有操作等。2)系统的复杂性也小很多。3)能检测某些在网络的数据流中很难发现,或者根本没有通过 网络而是在本地进行的攻击。 4)适用被加密的和交换的环境。 5.2 入侵检测技术 基于主机和网络的入侵检测系统(1)基于主机的入侵检测系统(HIDS)其主要缺点有:1)HIDS安装在我们需要保护的设备上,这会降低应用系统的 效率,它依赖于服务器固有的日志与监视能力。2)全面布置HIDS代价较大,企业中很难将所有主机采用基于 主机的入侵检测系统保护,只能选择部分主机保护。3)HIDS除了监测自身的主机外,根本不检测网络上的情况。 而且对入侵行为的分析的工作量会随着主机数目的增加而增加。 5.2 入侵检测技术 基于主机和网络的入侵检测系统(2)基于网络的入侵检测系统(NIDS)它使用原始网络数据包作为入侵检测的数据来源,通常利用一个 运行在混杂模式下的网络适配器来实时监视并分析网络中所有通信 数据。NIDS通常使用四种常用检测技术来识别入侵:模式、表达式 或字节匹配;频率或阈值判断;低级事件的相关性;统计学意义上 的非常规现象检测。主要优点有:1)成本较低。2)能够检测到HIDS无法检测的入侵。3)NIDS不依赖于保护主机的操作系统,而且隐蔽性好。 5.2 入侵检测技术 基于主机和网络的入侵检测系统(2)基于网络的入侵检测系统(NIDS)其主要缺点有:1)只能检查它直接连接网段的通信,不能检测在不同网段的网 段包。 2)网络入侵检测系统可能会将大量的数据传回分析系统中。在 一些系统中监听特定的资料包会产生大量的分析数据流量。3)网络入侵检测系统处理加密的会话过程较困难,目前通过加 密信道的攻击尚不多,随着IPv6的普及,这个问题会越来越突出。 5.2 入侵检测技术 误用和异常入侵检测系统(1)误用入侵检测系统(Misuse Intrusion Detection System)误用入侵检测系统根据已知入侵类型(知识、模式等)来检测 目标网络系统中的入侵,它是指运用己知攻击方法,根据已定义好 的入侵模式,通过分析数据判断这些入侵模式是否出现来进行检 测。首先收集入侵行为的特征,建立相关的误用模式库。在后续的 检测过程中,将收集到的数据与库中的特征代码进行比较,得出是 否入侵的结论。不足在于只能检测已知的攻击模式,当新漏洞或新入侵方式出 现时,需要由人工或其他机器学习系统得出新入侵行为的特征模 式,添加到误用模式库中,才使系统具备检测能力。 5.2 入侵检测技术 误用和异常入侵检测系统(2)异常入侵检测系统(Anomaly Intrusion Detection System)检测系统将被监控系统正常行为的信息作为检测目标系统中是 否有入侵的异常活动的依据,它根据使用者的行为或资源使用状况 的正常程度来判断是否入侵。 优点是它能抽象系统的正常行为以此检测系统异常行为。这种 能力不受系统以前是否知道这种入侵与否的限制。主要不足则是误报率很高,此外,若入侵者了解到检测方法, 就可以通过慢慢训练检测系统,避免系统指标突变,到最后连异常 行为也可能认为是正常的方法来进行欺骗以达到入侵目的。 5.2 入侵检测技术 集中式和分布式入侵检测系统(1)集中式入侵检测系统(CIDS)CIDS的各个模块包括数据的收集与分析以及响应都集中在一台 主机上运行,这种方式适用于网络环境比较简单的情况。CIDS也可 能有多个分布于不同主机上的审计程序,但只有一个中央入侵检测 服务器,审计程序将当地收集到的数据踪迹发送给中央服务器进行 分析处理。CIDS在系统的可伸缩性、可配置性方面存在致命缺陷。随着网 络规模的增大,主机审计程序和服务器之间传送的数据量就会骤 增,必将导致网络性能的降低。且一旦中央服务器出现故障,整个 系统将会陷入瘫痪。 5.2 入侵检测技术 集中式和分布式入侵检测系统(2)分布式入侵检测系统(DIDS)DIDS的各个模块分布在网络中不同的计算机、设备上。一般来 说分布性主要体现在数据收集模块上,如果网络环境比较复杂、数 据量比较大,那么数据分析模块也会分布在网络的不同计算机设备 上,通常是按照层次性的原则进行组织。 DIDS根据各组件间的关系还可细分为层次式DIDS和协作式 DIDS。其中层次式DIDS是一种部分分布控制形式,而协作式DIDS 是全分布式控制形式。 5.2 入侵检测技术 入侵检测系统的局限性(1)误报和漏报的矛盾(2)隐私和安全的矛盾(3)被动分析与主动发现的矛盾(4)海量信息与分析代价的矛盾(5)功能性和管理性的矛盾(6)单一的产品与复杂的网络应用的矛盾 5.2 入侵检测技术 入侵检测系统的发展趋势(1)分析技术的改进(2)内容恢复和网络审计功能的引入(3)集成网络分析和管理功能(4)安全性和易用性的提高(5)改进对大数据量的网络的处理方法(6)防火墙联动功能 思考题 简述计算机网络有哪些漏洞。 试描述什么样的网络是安全的?网络安全的重要性? 简述网络安全所涉及到的主要技术。 防火墙在网络安全中的地位,它可以分为几种类型? 典型的防火墙有哪些方面的基本特征? 防火墙有哪些不足? 入侵检测系统弥补了防火墙的哪些不足? 思考题 试描述通用的入侵检测系统的基本结构。 简述基于主机的入侵检测系统的特点。 简述基于网络的入侵检测系统的优缺点。 根据检测原理入侵检测系统可以分为几种,它们的原理分别是什么? 简述入侵检测系统的发展方向。 * * * * 清华大学出版社 * * (编辑:成都站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
