防火墙及入侵检测技术课件.ppt

防火墙及入侵检测技术简介,网络通信安全管理员培训班,防火墙及入侵检测技术简介,讲座提纲,2022/11/19,2,网络通信安全管理员培训班,网络安全概述防火墙技术入侵检测技术系统安全审计与评估讲座提纲,概述-网络安全现状,2022/11/19,3,网络通信安全管理员培训班,概述-网络安全现状网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛,概述-网络安全现状（续）,我国网络安全形势非常严峻，仅2010年上半年： 59.2%的网民遭遇病毒或木马攻击 30.9%的网民账号或密码被盗过 2.5亿人遇到网络不安全事件,4780次网络安全事件报告（CNCERT） 124万个IP地址对应的主机被木马程序控制 23.3万个IP地址对应主机被僵尸程序控制 14907个网站被篡改 ,2022/11/19,4,网络通信安全管理员培训班,概述-网络安全现状（续）我国网络安全形势非常严峻，仅2010,概述-主要安全技术,数据完整性的鉴别密钥管理技术,基于密码认证协议的认证动态身份认证生物特征认证,状态检测技术地址翻译技术虚拟专用网,误用检测 异常检测,混合检测,2022/11/19,5,网络通信安全管理员培训班,概述-主要安全技术加密和数字签名技术数据传输加密数据存储加密,讲座提纲,2022/11/19,6,网络通信安全管理员培训班,网络安全概述防火墙技术入侵检测技术系统安全审计与评估讲座提纲,防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件；设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。,防火墙 1-基本概念,2022/11/19,7,网络通信安全管理员培训班,防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件；,防火墙 2 功能,2022/11/19,8,网络通信安全管理员培训班,安全策略网络流量过滤资料内容过滤网络地址翻译防火墙 2 功,防火墙 3 局限性,2022/11/19,9,网络通信安全管理员培训班,防外不防内不能防范绕过防火墙的攻击配置复杂，易出现安全漏洞控,防火墙 4 技术分类,包过滤防火墙 静态包过滤、动态包过滤代理防火墙,2022/11/19,10,网络通信安全管理员培训班,防火墙 4 技术分类包过滤防火墙Application F,Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头，不理会包内的正文信息)。 如果找到一个匹配，且规则允许这包，这个包则根据路由表中的信息前行；如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃；如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。,防火墙 4 包过滤技术原理,2022/11/19,11,网络通信安全管理员培训班,Router逐一审查每个数据包以判定它是否与其它包过滤规则相,防火墙 4 包过滤技术原理,2022/11/19,12,网络通信安全管理员培训班,防火墙 4 包过滤技术原理版本号Version(4bit),防火墙 4 包过滤技术原理,ICMP报文的一般格式：,Data,差错信息出错IP数据报的头+64个字节数据,类型,Type,(8bit),代码,Code,(8bit),检验和,Checksum,(16bit),不同类型和代码有不同的内容Data,0 8 16 31,2022/11/19,13,网络通信安全管理员培训班,防火墙 4 包过滤技术原理ICMP报文的一般格式：Data,防火墙 4 包过滤技术原理,TCP头部：,2022/11/19,14,网络通信安全管理员培训班,防火墙 4 包过滤技术原理源端口Source Port(1,防火墙 4 包过滤技术原理,UDP头部：,2022/11/19,15,网络通信安全管理员培训班,防火墙 4 包过滤技术原理UDP头部：UDP源端口UDP宿,IP 源地址IP目的地址封装协议(TCP、UDP、或IP Tunnel)TCP/UDP源端口TCP/UDP目的端口ICMP包类型TCP报头的ACK位包输入接口和包输出接口,防火墙 4 包过滤的依据,2022/11/19,16,网络通信安全管理员培训班,IP 源地址防火墙 4 包过滤的依据2022/9/2416,多数服务对应特定的端口，例：Telnet、SMTP、POP3分别为23、25、110。如要封锁输入Telnet 、SMTP的连接，则Router丢弃端口值为23和25的所有数据包。 典型的过滤规则有以下几种： .只允许进来的Telnet会话连接到指定的一些内部主机 .只允许进来的FTP会话连接到指定的一些内部主机 .允许所有出去的Telnet 会话 .允许所有出去的FTP 会话 .拒绝从某些指定的外部网络进来的所有信息,防火墙 4 依赖于服务的过滤,2022/11/19,17,网络通信安全管理员培训班,多数服务对应特定的端口，例：Telnet、SMTP、POP3,源IP地址欺骗攻击源路由攻击残片攻击,防火墙 4 独立于服务的过滤,2022/11/19,18,网络通信安全管理员培训班,源IP地址欺骗攻击防火墙 4 独立于服务的过滤2022/9,结构,防火墙 4.1 包过滤防火墙,2022/11/19,19,网络通信安全管理员培训班,结构防火墙 4.1 包过滤防火墙2022/9/2419网络,防火墙 4.1 包过滤防火墙,包过滤防火墙,原理,2022/11/19,20,网络通信安全管理员培训班,防火墙 4.1 包过滤防火墙IP封包目的IP地址目的端口号,规则表,防火墙 4.1 包过滤防火墙,2022/11/19,21,网络通信安全管理员培训班,规则表防火墙 4.1 包过滤防火墙2022/9/2421网,原理 通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。,防火墙 4.2 代理防火墙,2022/11/19,22,网络通信安全管理员培训班,原理防火墙 4.2 代理防火墙2022/9/2422网络通,防火墙 4.2 应用代理,2022/11/19,23,网络通信安全管理员培训班,防火墙 4.2 应用代理2022/9/2423网络通信安全,防火墙 4.3 技术对比,2022/11/19,24,网络通信安全管理员培训班,防火墙 4.3 技术对比2022/9/2424网络通信安全,堡垒主机式架构(Bastion Host Firewall)双闸式架构（ Dual-Homed Firewall ）屏障单机式架构(Screened Host Firewall)屏障子网域式架构（Screened Subnet Firewall）,防火墙 5 防火墙的系统结构,2022/11/19,25,网络通信安全管理员培训班,堡垒主机式架构(Bastion Host Firewall),防火墙 5.1 堡垒主机式防火墙,属于包过滤器有两块网卡 进出的包都要经过该防火墙检查内部网络与外部网络无法直接相连数据包均需透过该堡垒主机转发,2022/11/19,26,网络通信安全管理员培训班,防火墙 5.1 堡垒主机式防火墙属于包过滤器Interne,属于代理服务器型防火墙的一种有两块网卡需安装应用服务器转换器所有网络应用服务数据包都需经过该应用服务转换器的检查应用服务转换器将过滤掉不被系统允许的服务,防火墙 5.2 双闸式防火墙,2022/11/19,27,网络通信安全管理员培训班,属于代理服务器型防火墙的一种防火墙 5.2 双闸式防火墙I,属于结合包过滤器及代理服务器功能的一种架构硬件设备除了主机还需要路由器路由器：必须有包过滤功能主机：负责过滤及处理网络服务要求的数据包,防火墙 5.3 屏障单机式架构,2022/11/19,28,网络通信安全管理员培训班,属于结合包过滤器及代理服务器功能的一种架构防火墙 5.3 ,结合许多主机及两个路由器对外公开的应用服务器均需假设在屏障子网域内用外部路由器隔离外部网络与屏障子网域内部路由器隔离内部网络与屏障子网域将内部网络的架构、各主机IP及名称完全隐藏起来多次过滤检查,防火墙 5.4 屏障子网域式架构,2022/11/19,29,网络通信安全管理员培训班,结合许多主机及两个路由器防火墙 5.4 屏障子网域式架构I,防火墙 6 防火墙系统的构建,2022/11/19,30,网络通信安全管理员培训班,防火墙 6 防火墙系统的构建了解需求选择适当的防火墙产品决,防火墙的安全性防火墙的高效性防火墙的适用性防火墙的可管理性完善及时的售后服务体系,防火墙 6.1 防火墙产品选购策略,2022/11/19,31,网络通信安全管理员培训班,防火墙的安全性防火墙 6.1 防火墙产品选购策略2022/,防火墙的系统环境设置防火墙的要素服务访问策略防火墙设计策略,防火墙 6.2 防火墙设计策略,2022/11/19,32,网络通信安全管理员培训班,防火墙的系统环境防火墙 6.2 防火墙设计策略2022/9,路由(Routing),防火墙 6.3 防火墙设定实例（1）,2022/11/19,33,网络通信安全管理员培训班,路由(Routing)防火墙 6.3 防火墙设定实例（1）,过滤策略,防火墙 6.3 防火墙设定实例（2）,2022/11/19,34,网络通信安全管理员培训班,过滤策略防火墙 6.3 防火墙设定实例（2）ICMPHTT,地址翻译,防火墙 6.3 防火墙设定实例（3）,2022/11/19,35,网络通信安全管理员培训班,地址翻译防火墙 6.3 防火墙设定实例（3）2323Web,防火墙 6.4 存取控制原则,2022/11/19,36,网络通信安全管理员培训班,防火墙 6.4 存取控制原则决定需求定义规则测试设定修正设,优良的性能 速度瓶颈易扩展 支持NAT VPN等过滤深度加强，URL(页面)过滤、关键字过滤、ActiveX过滤、病毒扫描等主动检测与报警日志分析工具,防火墙 7 发展趋势,2022/11/19,37,网络通信安全管理员培训班,优良的性能 速度瓶颈防火墙 7 发展趋势2022/9/,讲座提纲,2022/11/19,38,网络通信安全管理员培训班,网络安全概述防火墙技术入侵检测技术系统安全审计与评估讲座提纲,网络攻击的破坏性、损失的严重性 日益增长的网络安全威胁入侵很容易入侵教程随处可见各种工具唾手可得 单纯的防火墙无法防范复杂多变的攻击自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部,概述-入侵检测的目的和意义,2022/11/19,39,网络通信安全管理员培训班,网络攻击的破坏性、损失的严重性概述-入侵检测的目的和意义2,入侵系统类攻击； 缓冲区溢出攻击； 欺骗类攻击； 拒绝服务攻击； 对防火墙的攻击； 利用病毒攻击； 木马程序攻击； 后门攻击。,概述-网络攻击方法,2022/11/19,40,网络通信安全管理员培训班,入侵系统类攻击； 概述-网络攻击方法2022/9/2440网,入侵检测系统（intrusion detection system，IDS）是对计算机和网络资源的恶意使用行为进行识别的系统；它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非授权行为，并且采取相应的防护手段。,概述-入侵检测的基本概念,2022/11/19,41,网络通信安全管理员培训班,入侵检测系统（intrusion detection sys,监控、分析用户和系统的行为；检查系统的配置和漏洞；评估重要的系统和数据文件的完整性；对异常行为的统计分析，识别攻击类型，并向网络管理人员报警； 对操作系统进行审计、跟踪管理，识别违反授权的用户活动。,概述-IDS的基本功能,2022/11/19,42,网络通信安全管理员培训班,监控、分析用户和系统的行为；概述-IDS的基本功能2022/,技术分析-入侵检测技术发展,1980年 Anderson提出：入侵检测概念，分类方法1987年 Denning提出了一种通用的入侵检测模型 独立性 ：系统、环境、脆弱性、入侵种类 系统框架：异常检测器，专家系统 90年初 CMDS、NetProwler、NetRanger ISS RealSecure,2022/11/19,43,网络通信安全管理员培训班,技术分析-入侵检测技术发展1980年 Anderson提出,技术分析-入侵检测技术发展,1980年4月，James P. Anderson Computer Security Threat Monitoring and Surveillance（计算机安全威胁监控与监视）第一次详细阐述了入侵检测的概念计算机系统威胁分类: 外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作,2022/11/19,44,网络通信安全管理员培训班,技术分析-入侵检测技术发展 1980年4月，James P.,技术分析-入侵检测技术发展,从1984年到1986年乔治敦大学的Dorothy DenningSRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型IDES（入侵检测专家系统）,2022/11/19,45,网络通信安全管理员培训班,技术分析-入侵检测技术发展从1984年到1986年2022/,技术分析-入侵检测模型,2022/11/19,46,网络通信安全管理员培训班,技术分析-入侵检测模型2022/9/2446网络通信安全管理,技术分析-入侵检测技术发展,1990，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor）该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS,2022/11/19,47,网络通信安全管理员培训班,技术分析-入侵检测技术发展1990，加州大学戴维斯分校的L.,入侵检测的思想源于传统的系统审计，但拓宽了传统审计的概念，它以近乎不间断的方式进行安全检测，从而可形成一个连续的检测过程。这通常是通过执行下列任务来实现的：监视、分析用户及系统活动；系统构造和弱点的审计；识别分析知名攻击的行为特征并告警；异常行为特征的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。,技术分析-入侵检测技术,2022/11/19,48,网络通信安全管理员培训班,入侵检测的思想源于传统的系统审计，但拓,技术分析-入侵检测系统结构,入侵检测系统包括三个功能部件（1）信息收集(数据源)（2）信息分析(分析引擎)（3）结果处理(响应),2022/11/19,49,网络通信安全管理员培训班,技术分析-入侵检测系统结构入侵检测系统包括三个功能部件202,技术分析-入侵检测分类,2022/11/19,50,网络通信安全管理员培训班,技术分析-入侵检测分类2022/9/2450网络通信安全管理,误用入侵检测（Misuse Detection） 利用已知系统和应用软件的弱点攻击模式来检测入侵。 异常入侵检测 （Anomaly Detection） 根据异常行为和使用计算机资源的情况检测出来的入侵。,技术分析-入侵检测技术,2022/11/19,51,网络通信安全管理员培训班,误用入侵检测（Misuse Detection）技术分析-入,误用检测是按照预定模式搜寻事件数据的，最适用于对已知模式的可靠检测。执行误用检测，主要依赖于可靠的用户活动记录和分析事件的方法。检测模型：,技术分析-误用入侵检测技术,2022/11/19,52,网络通信安全管理员培训班,误用检测是按照预定模式搜寻事件数据的，最适用,异常检测基于一个假定：用户的行为是可预测的、遵循一致性模式的，且随着用户事件的增加异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由度量（measure）集来描述，度量是特定网络行为的定量表示，通常与某个检测阀值或某个域相联系。 异常检测可发现未知的攻击方法，体现了强健的保护机制，但对于给定的度量集能否完备到表示所有的异常行为仍需要深入研究。检测模型：,技术分析-异常入侵检测技术,2022/11/19,53,网络通信安全管理员培训班,异常检测基于一个假定：用户的行为是可预测的、,统计方法神经网络专家系统模型推理免疫系统方法 遗传算法 基于代理检测 数据挖掘等,技术分析-入侵检测技术,2022/11/19,54,网络通信安全管理员培训班,统计方法技术分析-入侵检测技术2022/9/2454网络通信,1专家系统 用专家系统对入侵进行检测，主要是检测基于特征的入侵行为。所谓规则，即是知识，专家系统的建立依赖于知识库的完备性，而知识库的完备性又取决于审计记录的完备性与实时性。 产生式/专家系统是误用检测早期的方案之一，在MIDAS、IDES、NIDES、DIDS和CMDS中都使用了这种方法。,技术分析-入侵检测技术,2022/11/19,55,网络通信安全管理员培训班,1专家系统技术分析-入侵检测技术2022/9/2455网,2状态转换方法 状态转换方法使用系统状态和状态转换表达式来描述和检测入侵，采用最优模式匹配技巧来结构化误用检测，增强了检测的速度和灵活性。目前，主要有三种实现方法：状态转换分析、有色Petri-Net和语言/应用编程接口（API）。,技术分析-入侵检测技术,2022/11/19,56,网络通信安全管理员培训班,2状态转换方法技术分析-入侵检测技术2022/9/245,3统计度量 统计度量方法是产品化的入侵检测系统中常用的方法，常见于异常检测。运用统计方法，有效地解决了四个问题：（1）选取有效的统计数据测量点，生成能够反映主体特征的会话向量；（2）根据主体活动产生的审计记录，不断更新当前主体活动的会话向量；（3）采用统计方法分析数据，判断当前活动是否符合主体的历史行为特征；（4）随着时间推移，学习主体的行为特征，更新历史记录。,技术分析-入侵检测技术,2022/11/19,57,网络通信安全管理员培训班,3统计度量 技术分析-入侵检测技术2022/9/2457网,4神经网络（Neural Network） 作为人工智能（AI）的一个重要分支，神经网络（Neural Network）在入侵检测领域得到了很好的应用，它使用自适应学习技术来提取异常行为的特征，需要对训练数据集进行学习以得出正常的行为模式。这种方法要求保证用于学习正常模式的训练数据的纯洁性，即不包含任何入侵或异常的用户行为。,技术分析-入侵检测技术,2022/11/19,58,网络通信安全管理员培训班,4神经网络（Neural Network） 技术分析-入,5免疫学方法 New Mexico大学的Stephanie Forrest提出了将生物免疫机制引入计算机系统的安全保护框架中。免疫系统中最基本也是最重要的能力是识别“自我/非自我”（self/nonself），换句话讲，它能够识别哪些组织是属于正常机体的，不属于正常的就认为是异常，这个概念和入侵检测中异常检测的概念非常相似。,技术分析-入侵检测技术,2022/11/19,59,网络通信安全管理员培训班,5免疫学方法技术分析-入侵检测技术2022/9/2459网,6数据挖掘方法 Columbia大学的Wenke Lee在其博士论文中，提出了将数据挖掘（Data Mining, DM）技术应用到入侵检测中，通过对网络数据和主机系统调用数据的分析挖掘，发现误用检测规则或异常检测模型。具体的工作包括利用数据挖掘中的关联算法和序列挖掘算法提取用户的行为模式，利用分类算法对用户行为和特权程序的系统调用进行分类预测。实验结果表明，这种方法在入侵检测领域有很好的应用前景。,技术分析-入侵检测技术,2022/11/19,60,网络通信安全管理员培训班,6数据挖掘方法技术分析-入侵检测技术2022/9/2460,7基因算法 基因算法是进化算法（evolutionary algorithms）的一种，引入了达尔文在进化论中提出的自然选择的概念（优胜劣汰、适者生存）对系统进行优化。该算法对于处理多维系统的优化是非常有效的。在基因算法的研究人员看来，入侵检测的过程可以抽象为：为审计事件记录定义一种向量表示形式，这种向量或者对应于攻击行为，或者代表正常行为。,技术分析-入侵检测技术,2022/11/19,61,网络通信安全管理员培训班,7基因算法技术分析-入侵检测技术2022/9/2461网络,虚/漏报率高缺乏检测新攻击类型的能力缺乏准确定位和处理机制性能普遍不足缺乏证据提取能力体系结构缺乏可扩展性主动防御能力不足,存在问题和发展方向-存在问题,2022/11/19,62,网络通信安全管理员培训班,虚/漏报率高存在问题和发展方向-存在问题2022/9/246,针对分布式攻击的分布式入侵检测方面的研究用于大规模高速网络入侵检测系统的研究应用层入侵检测的研究智能入侵检测的研究对入侵检测系统与防病毒工具、防火墙、VPN等其他安全产品协同工作方面的研究入侵检测系统的评估测试方面的研究入侵检测与操作系统集成方面的研究对入侵检测系统自身安全状况的研究,存在问题和发展方向-研究方向,2022/11/19,63,网络通信安全管理员培训班,针对分布式攻击的分布式入侵检测方面的研究存在问题和发展方向-,讲座提纲,2022/11/19,64,网络通信安全管理员培训班,网络安全概述防火墙技术入侵检测技术系统安全审计与评估讲座提纲,概述-基本概念,2022/11/19,网络通信安全管理员培训班,65,安全审计系统（Security Audit System）在,概述-为什么需要安全审计,2022/11/19,66,网络通信安全管理员培训班,互联网安全风险增大，安全问题复杂性日益加大76%的网络安全威,安全审计-主要功能,2022/11/19,67,网络通信安全管理员培训班,安全审计-主要功能内容审计对网页页面内容、邮件、数据库操作、,有效掌握网络安全状态，预防敏感涉密信息外泄实现对内部网络信息的整体智能关联分析、评估、调查及安全事件的准确跟踪定位为整体安全策略的制定提供权威可靠的支持,安全审计-作用,2022/11/19,网络通信安全管理员培训班,68,有效掌握网络安全状态，预防敏感涉密信息外泄安全审计-作用20,安全审计-典型部署,2022/11/19,网络通信安全管理员培训班,69,安全审计-典型部署2022/9/24网络通信安全管理员培训班,安全审计-需要考虑的主要问题,2022/11/19,70,网络通信安全管理员培训班,日志格式兼容问题日志数据的管理问题日志数据的集中分析问题分析,安全审计-评价标准,2022/11/19,71,网络通信安全管理员培训班,一细粒度的操作内容审计与精准的网络行为实时监控二全面详细的审,网络主机活动扫描操作系统扫描端口扫描服务识别帐户扫描漏洞扫描Web漏洞扫描,安全评估-网络漏洞扫描技术,2022/11/19,网络通信安全管理员培训班,72,网络主机活动扫描安全评估-网络漏洞扫描技术2022/9/24,网络安全是一个系统工程，需要大家的共同努力！,2022/11/19,网络通信安全管理员培训班,73,网络安全是一个系统工程，需要大家的共同努力！2022/9/2,74,可编辑,感谢下载,74可编辑感谢下载,