windows系统安全14防火墙与入侵检测系统2 课件.ppt

1,防火墙与入侵检测,本章介绍两部分的内容：防火墙和入侵检测技术。介绍防火墙的基本概念，常见防火墙类型以及如何使用规则集实现防火墙。介绍入侵检测系统的基本概念以及入侵检测的常用方法,2,防火墙技术,1. 防火墙基本概念2. 防火墙的分类3 .防火墙的体系结构 4. 防火墙的实施,3,防火墙,防火墙是位于可信网络与不可信网络之间，并对二者之间流动的数据包进行检查的一台、多台计算机或路由器。,4,防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。,5,防火墙实现的层次,6,防火墙的安全规则,由匹配条件和处理方式两部分组成。匹配条件是指用于对通信流量是否合法作出判断的一些逻辑表达式。若信息是匹配条件值为真，那么就进行处理。处理方式有以下几种。 接受：允许信息通过 拒绝：拒绝信息通过，通知发送信息的信息源 丢弃：直接丢弃信息，不通知信息源。,7,防火墙的基本功能（1）网络监控（包过滤功能，状态检查，网关级代理）（2）用户身份验证：可以限制未授权的用户进入内部网 络，过滤掉不安全的服务和非法用户（3）限制内部用户访问特殊站点防火墙的不足之处（1）不能防范恶意的知情者（2）防火墙不能防范不通过它的连接（3）防火墙不能防范病毒,8,防火墙技术,1. 防火墙基本概念 2 防火墙分类（按实现技术）3 .防火墙的体系结构 4. 防火墙的实施,9,防火墙分类（按实现技术）,数据包过滤 防火墙（20世纪80年代）应用级网关防火墙状态检测防火墙（20世纪90年代）,10,包过滤（分组过滤）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。状态检测（Status Detection）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。,11,包过滤防火墙,数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出入，那么缺省参数将决定此包是前行还是被舍弃。,12,包过滤技术,每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。 包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。,13,包过滤要检查的内容,数据包过滤一般要检查网络层的IP头和传输层的头IP源地址IP目标地址协议类型（TCP包，UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的原端口ICMP消息类型TCP包头的ACK位TCP包的序列号，IP校验和等,14,过滤的依据主要是TCP/IP包头里面的信息，不能对应用层数据进行处理,15,一个可靠的分组过滤防火墙依赖于规则集，表列出了几条典型的规则集。第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机10.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过。,16,包过滤防火墙的优缺点,优点：实现比较简单，产品比较便宜。对系统要求不是很高，便于在各种系统上运行很容易实现网络流量的监控与管理缺点：安全规则的配置比较复杂，稍不注意就会发生一些逻辑错误允许外部网络与内部主机直接通信，存在一定的隐患不能彻底防止地址欺骗,17,源IP地址欺骗攻击入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。,18,19,20,用WinRoute创建包过滤规则,WinRoute目前应用比较广泛，既可以作为一个服务器的防火墙系统，也可以作为一个代理服务器软件。目前比较常用的是WinRoute4，,21,举例,利用WinRoute创建包过滤规则，创建的规则内容是：防止主机被别的计算机使用“Ping”指令探测。选择菜单项“Packet Filter”，如图所示。,22,在包过滤对话框中可以看出目前主机还没有任何的包规则，如图所示。,23,选中图中网卡图标，单击按钮“添加”。出现过滤规则添加对话框，所有的过滤规则都在此处添加，如图所示。,24,因为“Ping”指令用的协议是ICMP，所以这里要对ICMP协议设置过滤规则。在协议下拉列表中选择“ICMP”，如图所示。,25,在“ICMP Type”栏目中，将复选框全部选中。在“Action”栏目中，选择单选框“Drop”。在“Log Packet”栏目中选中“Log into Window”，创建完毕后点击按钮“OK”，一条规则就创建完毕，如图所示。,26,为了使设置的规则生效，点击按钮“应用”，如图所示。,27,设置完毕，该主机就不再响应外界的“Ping”指令了，使用指令“Ping”来探测主机，将收不到回应，如图所示。,28,虽然主机没有响应，但是已经将事件记录到安全日志了。选择菜单栏“View”下的菜单项“LogsSecurity Logs”，察看日志纪录如图所示。,29,防火墙分类（按实现技术）,数据包过滤 防火墙（20世纪80年代）应用级网关防火墙状态检测防火墙（20世纪90年代）,30,应用级网关（代理）工作模型,作为一个信息交流的中转站，对客户来说，他是一个服务器，对服务器来说，他是一个客户，它的安全性较包过滤防火墙有了很大的提高,31,代理服务器数据包的重构过程,32,应用级网关防火墙,33,在Windows系统下的IE浏览器的配置,客户端的设置,34,应用级网关优缺点,优点：为内部网络提供了更高的安全性应用代理防火墙工作于工作于应用层，适用于特定的网络服务，如HTTP，FTP等；并且应用代理防火墙适于做日志记录。缺点：处理速度较慢，因为它不允许直接访问外部网络网关的代理服务软件总要随着应用服务软件的更新而更新,35,Windows的防火墙：ISA,ISA具有防火墙和缓存代理的功能。,36,Windows的防火墙：ISA,37,网络地址转换,防火墙的网络地址转换功能是指将内部主机的IP地址转换为某一固定或者某范围内的某个IP地址，而使从网络外部无法探测到它们。网络地址转换（NAT，Network Address Translation），有时也称为IP伪装。,38,39,NAT类型,静态NAT（Static NAT）动态地址NAT（Dynamic NAT）端口转换NAPT（Network Address Port Translation）,40,静态NAT,把内部网络中的每个主机都永久映射成外部网络中的某个合法的地址,41,动态NAT,在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络,42,端口转换 NAT,把内部地址映射到外部网络的一个IP地址的不同端口上,43,防火墙分类（按实现技术）,数据包过滤 防火墙（20世纪80年代）应用级网关防火墙状态检测防火墙（20世纪90年代）,44,状态监测防火墙（20世纪90年代）,状态监测防火墙具有非常好的安全特性，它使用一个在网关上执行网络安全策略的软件模块，称为“监测引擎”。监测引擎在不影响网络正常运行的前提下，监测网络通信的各层并在通信各层抽取有关数所生成状态信息，并动态地保存以供后续执行安全策略的参考。使用状态监测的一个优点是，虽然在网络层接收数据包以提高效率，但防火墙依旧检查通信各层的数据，并根据生成的通信状态，应用状态和上下文信息等结合网络安全策略对数据包作出接收，拒绝，身份认证，报警或通信加密等动作。它的另一个优点是它可以监测无连接协议（如RPC，某些基于UDP的应用），而包过滤防火墙和应用代理防火墙都不具备这种功能。它的缺点是降低网络速度，且配置比较复杂。,45,46,防火墙技术,1. 防火墙基本概念 2 防火墙分类（按实现技术）3 .防火墙的体系结构 4. 防火墙的实施,47,防火墙体系结构,防火墙的体系结构一般有双宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。,48,双重宿主主机体系结构,双重宿主主机的防火墙体系结构是相当简单的，双重宿主主机位于两者之间，并且被连接到因特网和内部的网络。右图显示这种体系结构。,49,双重宿主主机体系结构,双宿主机是连接内外网络的通道，因此它本应具有路由功能。而在实际应用中，双宿主机路由功能是被禁止的。,50,屏蔽主机体系结构,在此结构中提供安全保护的主机仅仅与内部网相连。另外，结构中还有一台单独的路由器（过滤路由器）。在这种体系结构中，堡垒主机即可提供包过滤功能，也可提供代理功能，其结构如左图所示。,51,内外网络之间的所有通信都必须通过堡垒主机主要优点： 相对于双宿主机体系结构，堡垒主机不直接与外部网络连接，减小了被攻击的可能性。路由器的同时存在，减轻了堡垒主机的负担缺点： 一旦堡垒主机遭到攻击，内部网络助于不安全的状态,52,屏蔽子网模型,屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在非军事区网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。,53,屏蔽子网体系结构,内部路由器内部路由器有时被称为阻塞路由器，它保护内部的网络使之免受Internet和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。外部路由器外部路由器能有效地执行的安全任务之一是：阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络，但实际上是来自Internet。,54,实施方法,1 基于网络主机的防火墙 一种是作为现有的商业操作系统上的应用程序另外一种是整合成操作系统的一部分2 基于路由器的防火墙一般他们可以起到阻止和允许特定的IP地址和端口号的基本防火墙功能使用NAT来隐藏内部IP地址在一个全面安全体系结构中，路由器经常作为屏蔽设备使用3 基于单个主机的防火墙常用于规模很小的办公室或者家庭比如：瑞星个人防火墙、天网个人防火墙4 硬件防火墙硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行功能通常硬件防火墙的性能要强于软件防火墙、并且连接、使用比较方便,55,防火墙环境下的服务器部署,最典型的防火墙环境就是DMZ(非军事区)。DMZ是作为内外网都可以访问的计算机系统和资源的连接点，比如Web服务器、邮件服务器、VPN网关、DNS服务器等，这些系统和资源不能放置在内部保护网络内。,56,防火墙环境下的服务器部署,57,防火墙环境下的服务器部署,遵循原则。(1) 通过边界路由过滤设备保护外部服务器，或将它们放置在外部DMZ中。(2) 绝不可将外部可访问的服务器放置在内部要保护网络中。(3) 根据内部服务器的敏感程度和访问方式，将它们放置在内部防火墙之后。(4) 尽量隔离各种服务器，防止一个服务器被攻破后波及到其他服务器的安全。,58,1 入侵检测系统(IDS)的概念,入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。,59,检测来自内部的攻击事件和越权访问85以上的攻击事件来自于内部的攻击防火墙只能防外，难于防内入侵检测系统作为防火墙系统的一个有效的补充入侵检测系统可以有效的防范防火墙开放的服务入侵,入侵检测的任务,60,分类网络型入侵检测系统主机型入侵检测系统混合型入侵检测系统（Hybrid IDS）,61,网络型入侵检测系统(Network Intrusion Detection System，NIDS)的数据源来自网络上的数据包。一般地，用户可将某台主机网卡设定为混杂模式，以监听本网段内所有数据包，判断其是否合法。NIDS担负着监视整个网段的任务,IDS分类,62,IDS分类,NIDS的优点主要是使用简便，不会给运行关键业务的主机和网络增加任何负担。,63,IDS分类,主机型入侵检测系统(Host Intrusion Detection System，HIDS)：系统安装在主机上面，对本主机进行安全检测往往以系统日志、应用程序日志等作为数据源，当然也可以通过通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。,64,2 入侵检测系统构件,65,入侵检测的步骤,由此也划分了入侵检测的三个基本步骤：信息收集数据分析响应 数据分析后处理方式AlertLogCall Firewall,66,数据分析,数据分析（Analysis Schemes）是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。快速的模式匹配算法根据数据分析的不同方式可将入侵检测系统分为三类：异常入侵检测误用入侵检测完整性检测,67, 3 入侵检测的分析方式,异常检测（Anomaly Detection） 统计模型误报较多误用检测（Misuse Detection）维护一个入侵特征知识库（CVE）准确性高完整性分析（静态检测）,68, 3.1 异常检测,基本原理一般采用统计方法建立正常行为的特征轮廓检查系统的运行情况是否偏离预设的门限？,69, 3.1 异常检测,异常检测的优点：可以检测到未知的入侵 可以检测冒用他人帐号的行为 具有自适应，自学习功能 不需要系统先验知识,70, 3.1 异常检测,异常检测的缺点：漏报、误报率高入侵者可以逐渐改变自己的行为模式来逃避检测合法用户正常行为的突然改变也会造成误警 统计算法的计算量庞大，效率很低 统计点的选取和参考库的建立比较困难,71, 3.1异常性检测,问题：在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性，所以在入侵检测系统中，仅使用异常性检测技术不可能检测出所有的入侵行为。,72, 3.2 误用检测,采用模式匹配技术检测已知攻击提前建立已出现的入侵行为特征检测当前用户行为特征,73, 3.2 误用检测,误用检测的优点算法简单系统开销小 准确率高效率高,74, 3.2 误用检测,误用检测的缺点被动只能检测出已知攻击 新类型的攻击会对系统造成很大的威胁 模式库的建立和维护难模式库要不断更新知识依赖于硬件平台操作系统系统中运行的应用程序,75, 3.3 完整性分析,通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。 其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。 缺点是一般以批处理方式实现，不用于实时响应。,76,案例： 检测与端口关联的应用程序,网络入侵者都会连接到主机的某个非法端口，通过检查出与端口关联应用程序，可以进行入侵检测，这种方法属于静态配置分析。利用工具软件fport.exe可以检查与每一端口关联的应用程序，执行程序如图所示。,77,案例： 入侵检测工具：BlackICE,BlackICE是一个小型的入侵检测工具，在计算机上安全完毕后，会在操作系统的状态栏显示一个图标，当有异常网络情况的时候，图标就会跳动。主界面如图所示。,78,可以查看主机入侵的信息，选择属性页“Intruders”，如图所示。,79, 3.3 入侵检测产品, 免费的入侵检测产品Snort snort.orgSHADOW nswc.navy.mil/ISSEC/CID,80, 3.3 商业的入侵检测产品,CyberCop Monitor, NAIDragon Sensor, EnterasyseTrust ID, CANetProwler, SymantecNetRanger, CiscoNID-100/200, NFR SecurityRealSecure, ISSSecureNet Pro, Intrusion,81,入侵检测系统面临的挑战,一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。,82, IDS目前存在的问题,关于入侵检测方法的研究仍在进行中，较成熟的检测方法已用于商业软件的开发中。各种监测方式都存在不同的问题，例如，误报率高、效率低、占用资源多或者实时性差等缺点。依靠单一的中心监测不可能检测所有的入侵，已不能满足系统安全性和性能的要求。目前，国内只有少数的网络入侵检测软件，相关领域的系统研究也刚刚起步，与外国尚有很大差距。,83,发展趋势及主要研究方向,针对分布式攻击的分布式入侵检测方面的研究用于大规模高速网络入侵检测系统的研究应用层入侵检测的研究智能入侵检测的研究基于神经网络免疫系统方法 遗传算法 基于代理检测 数据挖掘,84,本章总结,本章介绍了防御技术中的防火墙技术与入侵检测技术。重点理解防火墙的概念、分类、常见防火墙的系统模型以及创建防火墙的基本步骤。掌握使用Winroute创建简单的防火墙规则。重点理解入侵检测系统的基本概念、检测的方法以及入侵检测的步骤。掌握编写简单入侵检测的程序，掌握一种入侵检测工具。,85,本章习题,简述防火墙的分类，并说明分组过滤防火墙的基本原理。常见防火墙模型有哪些？比较他们的优缺点。编写防火墙规则：禁止除管理员计算机（IP为172.18.25.110）外任何一台电脑访问某主机（IP为172.18.25.109）的终端服务（TCP端口3389）。什么是入侵检测系统？简述入侵检测系统目前面临的挑战。编写程序实现每十秒检查一次与端口关联的应用程序,