信息安全概论
防火墙的定义
防火墙的本义原是指古代人们房屋之间修建的墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。
这里所说的防火墙不是指为了防火而造的墙,而是指隔离在本地网络与外界网络之间的一道防御系统。 在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问。
防火墙是一种装置,它是由软件或硬件设备组合成,通常处于企业的内部网与internet之间,限制internet用户对内部网络的访问以及管理内部用户访问外界的权限。
从实现山看,防火墙实际上是一个独立的进程或一组紧密联系的进程,运行于路由器服务器上,控制经过它的网络应用服务与数据。
防火墙
防止易受攻击的服务
控制访问网点系统
集中安全性
增强保密,强化私有权
有利于对网络使用、滥用的纪录统计
防火墙的功能
根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下三种基本功能。
可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户
限制内部用户访问特殊站点
实施防火墙的基本方针
由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet等种类相对集中的网络。Internet上的Web网站中,超过三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都应该放在防火墙之后。
实施防火墙的基本方针
只允许访问特定的服务
只拒绝访问特定的服务
防火墙的必要性
随着世界各国信息基础设施的逐渐形成,国与国之间变得“近在咫尺”。Internet已经成为信
息化社会发展的重要保证。已深入到国家的政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此,难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。
网络安全已经成为迫在眉睫的重要问题,没有网络安全就没有社会信息化
网络有攻击就需要有防御,防火墙是很主要的网络防御手段。
防火墙特征
网络通信必须通过防火墙
合法数据可以通过防火墙
防火墙本身不受攻击的影响
使用最新安全技术
人机界面良好,易于配置管理
防火墙的局限性
没有万能的网络安全技术,防火墙也不例外。防火墙有以下三方面的局限:
防火墙不能防范网络内部的攻击。比如:防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。
防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令,并授予其临时的网络访问权限。
防火墙不能防止传送己感染病毒的软件或文件,不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒。
另外对于未知的威胁,防火墙很难防护。
防火墙体系结构
双宿主主机防火墙
被屏蔽主机防火墙
被屏蔽子网防火墙
其它形式防火墙
防火墙体系中的堡垒主机
双宿主主机防火墙
双宿主主机模型(屏蔽防火墙系统)可以构造更加安全的防火墙系统。双宿主主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。双宿主主机模型如图所示。
双宿主主机
双宿主主机特性
双宿主主机的安全至关重要。
双宿主主机的性能很重要。
双宿主主机的缺陷
账号问题
双宿网关防火墙
存储转发
特定服务适合于代理转发法
拒绝所有的网络服务
Telnet双宿主机实例
建立监听端口,等待客户端连接
收到连接请求,建立连接。
进行身份验证
如果用户合法,系统与服务器建立连接,开始通讯,并纪录用户的信息。
系统进行数据转接。
被屏蔽主机防火墙
单宿主堡垒主机(屏蔽主机防火墙)模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。
被屏蔽主机防火墙优缺点
相比双宿主主机具有更好的安全性和可用性
如果堡垒主机被入侵,则系统就不具有任何保密设施。
路由器也是同样。
屏蔽子网模型
屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一,因为在定义了“中立区”(DMZ,Demilitarized Zone)网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组,以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备,模型如图5-26所示。
其它形式的防火墙体系结构
将被屏蔽子网结构中的内部路由器和外部路由器合并
屏蔽子网结构中堡垒主机与外部路由器合并
使用多台堡垒主机
使用多台外部路由器
使用多个周边网络
堡垒主机
堡垒主机是一种被强化的、可以防御的、可进攻的服务器。它被暴漏在因特网之上,作为进入内部网络的检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而达到省时省力,而不用考虑其它主机的安全。
堡垒主机设计构筑原则
最简化原则
随时做好堡垒主机被损坏的准备
堡垒主机主要结构
无路由双宿主机
石家庄裕华区委书记
牺牲主机
内部堡垒主机
堡垒主机
堡垒主机的选择
堡垒主机的建立
防火墙的实现
数据包过滤
应用层防火墙
代理服务
数据包过滤
在路由器上加入IP Filtering 功能。
Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头,不理会包内的正文信息)。 如果到一个匹配,且规则允许这包,这个包则根据路由表中的信息前行;
如果到一个匹配,且规则允许拒绝此包,这一包则被舍弃;
如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。
数据包过滤优缺点
优点
速度快
代价小
对用户透明
缺点
维护困难
不能阻止IP欺骗
无法防止数据驱动式攻击
用户认证
没有有效日志
性能下降
上下文无关
过滤规则制定
联想100分学校按照地址制定
按照端口制定
综合过滤
应用层防火墙
代理与代管服务
地址扩充与地址保护
邮件技术
代理与代管服务
应用代理服务器
回路级代理服务器
套接字服务器
代管服务器
2012奥运羽毛球男双决赛地址扩充与地址转换器
网络地址转换器
隔离域名服务器
基于防火墙的虚拟专用网(VPN)
虚拟专用网(VPN)技术
VPN定义与分类
VPN的作用与特点
VPN技术
VPN定义
VPN为通过一公共隧道建立临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,它是对企业内部网的扩展。
VPN的作用与特点
功能
数据加密
信息认证与身份认证
访问权限控制
特点
使用VPN专用网的构建将使用费大幅降低
VPN灵活性大
VPN易于管理
VPN技术
隧道协议
隧道服务器
认证
加密
入侵检测系统IDS(Intrusion Detection System)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。
静态安全措施不足以保护对象安全。
通过对访问行为进行动态分析发现访问中出现的异常情况,从而检测出网络的入侵行为。
IDES入侵检测模型
入侵检测系统的原理
确定入侵行为的类型
分析定义这些行为的统计学特征或行为特征。
收集需要确认这些的特征的数据。
根据这些特征数据确定入侵行为。
做出反应。
入侵检测系统的原理
规则1:通常情况下,主体访问客体进行135端口的密度很小(3/S)。
尝试口令攻击:连续对135端口进行连接,一般大于3/S。
当判断到对135端口的连接大于3/s后可以确认为攻击行为。
禁止该主体对系统的网络访问一定时间。
检测方法
统计异常检测方法
基于特征选择检测异常方法
基于贝叶斯推理异常检测方法
基于贝叶斯网络异常检测方法
基于模式预测异常检测方法
基于神经网络异常检测方法
基于贝叶斯聚类异常检测方法
基于机器学习异常检测方法
基于数据挖掘异常检测方法
统计异常检测方法
根据异常检测器观察主体的活动,产生描述这些活动行为的参数。每个参数保存记录主体当前某种行为,并定时将当前参数与保存参数与存储参数进行合并。通过比较发现参数的异常,从而检测出入侵行为。
入侵检测系统面临的挑战
一个有效的入侵检测系统应限制误报出现的次数,但同时又能有效截击。
误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。
张柱金
误报是入侵检测系统最头疼的问题,攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报,而诱导没有警觉性的管理员人把入侵检测系统关掉。
误报
没有一个入侵检测能无敌于误报,因为没有一个应用系统不会发生错误,原因主要有四个方面。
1、缺乏共享数据的机制
2、缺乏集中协调的机制
3、缺乏揣摩数据在一段时间内变化的能力
地球脉动4、缺乏有效的跟踪分析
入侵检测系统的类型和性能比较
根据入侵检测的信息来源不同,可以将入侵检测系统分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。
1、基于主机的入侵检测系统:主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件:来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。
2、基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。
入侵检测的方法
目前入侵检测方法有三种分类依据:
1、根据物理位置进行分类。
2、根据建模方法进行分类。
3、根据时间分析进行分类。
常用的方法有三种:静态配置分析、异常性检测方法和基于行为的检测方法。
响应
数据分析发现入侵迹象后,入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。
1、将分析结果记录在日志文件中,并产生相应的报告。
2、触发警报:如在系统管理员的桌面上产生一个告警标志位,向系统管理员发送传呼或等等。
3、修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连接,或更改防火墙配置等。
案例 入侵检测工具:BlackICE
目标
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议