防火墙、IDS、IPS、漏洞扫描基础知识ppt课件.ppt

《防火墙、IDS、IPS、漏洞扫描基础知识ppt课件.ppt》由会员分享，可在线阅读，更多相关《防火墙、IDS、IPS、漏洞扫描基础知识ppt课件.ppt（58页珍藏版）》请在三一办公上搜索。

1、防火墙、IDSIPS、漏洞扫描的基础知识,主要内容,防火墙IDSIPS漏洞扫描,防火墙的基本概念（一）,防火墙是位于两个(或多个)网络间，实施网络间访问控制的一组组件的集合。防火墙的英文名为“FireWall”，它是最重要的网络防护设备之一。,通常意义上的防火墙：不同安全级别的网络或安全域之间的唯一通道 只有被防火墙策略明确授权的通信才可以通过 系统自身具有高安全性和高可靠性,防火墙的基本概念（二）,网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和因特网之间连接、和其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。,(1)不同安全级别的网络或安全域之间的唯一通道,防火墙

2、的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。,防火墙的基本概念（三）,(2)只有被防火墙策略明确授权的通信才可以通过,防火墙的基本概念（四）,(3)系统自身具有高安全性和高可靠性,防火墙自身应具有非常强的抗攻击免疫力。,防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其他应用程序在防火墙上运行。,一般采用Linux、UNIX或FreeBSD系统作为支撑其工作的操作系统。,防火墙在网络中的位置,安装防火墙以前的网络,安装防火墙后的网络,防火墙在网络中的位置,DMZ是为了解决安装防火墙后外部

3、网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。这样，不管是外部还是内部与对外服务器交换信息数据也要通过防火墙，实现了真正意义上的保护。,DMZ区(demilitarized zone，也称非军事区),防火墙的功能,防火墙并不能为网络防范一切，也不应该把它作为对所有安全问题的一个最终解决方案，所以懂

4、得哪些工作是防火墙能做的非常重要：（1）实现安全策略（2）创建一个阻塞点（3）记录网络活动（4）限制网络暴露,1.实现安全策略,安全策略对哪些人和哪些行为被允许做出规定。如一个常见的安全策略是允许任何人访问公司服务器上的Web站点，但是不允许telnet登陆到服务器上。,防火墙可以使用的两种基本的安全策略：规则规定拒绝哪些访问，允许其余没规定的访问规则规定允许哪些访问，拒绝其余没规定的访问 为了得到较高的安全性，一般采用第2个策略。,2.创建一个阻塞点,防火墙在一个公司私有网络和分网间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。在该检查点防火墙设备就可以监视，过滤和检查所有进来和

5、出去的流量。网络安全产业称这些检查点为阻塞点。,没有防火墙，分散管理，效率低下 使用防火墙，集中管理，高效率,3.记录网络活动,例如，通过查看安全日志，管理员可以找到非法入侵的相关纪录，从而可以做出相应的措施。,防火墙还能够监视并记录网络活动，并且提供警报功能。通过防火墙记录的数据，管理员可以发现网络中的各种问题。,4.限制网络暴露,防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时，他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。,例如，防火墙的NAT功能可以隐藏内部的IP地址；代理服务器防火墙可以隐

6、藏内部主机信息。,防火墙不能保护什么,除了懂得防火墙能保护什么非常重要外，懂得防火墙不能保护什么也是同等重要：1.病毒与特洛伊木马 2.社会工程 3.物理故障 4.不当配置和内部攻击,防火墙不能保护什么,总体来说，除了不能防止物理故障等错误外，防火墙本身并不能防范经过授权的东西，如内部员工的破坏等。,例如，员工接收了一封包含木马的邮件，木马是以普通程序的形式放在了附件里，防火墙不能避免该情况的发生。,防火墙的分类,按工作方式分类：防火墙的工作方式主要分包过滤型和应用代理型两种。,1.包过滤防火墙,简述：包过滤防火墙检查每一个通过的网络包，决定或者丢弃，或者放行，取决于所建立的一套规则。地位：是

7、第一代防火墙和最基本形式防火墙，是目前建立防火墙系统首先要使用的部件，和其他技术配合使用能得到较好的效果。,产品：通常使用路由器或双网卡的主机来完成包过滤防火墙功能，当然，许多防火墙硬件产品也都提供了包过滤功能。,router dualhomed-host firewall,1.包过滤防火墙,1.包过滤防火墙,简单规则例子只允许访问外网WEB站点,目前，路由器都有建立访问列表（ACL）的功能，使用相关的命令就可以建立如上表所示的规则。,1.包过滤防火墙,简单规则例子只允许访问外网WEB站点,前面的规则只允许内网主机访问外网的Web网站，此外不允许任何其他的数据交换。,请求浏览,满足规则1允许通

8、过,WWW.NCIAE.EDU.CN,回应的网页,满足规则2允许通过,Telnet登录外网主机,根据规则3拒绝通过,1.包过滤防火墙,包过滤防火墙优缺点,包过滤防火墙优点：,包过滤是“免费的”，大多数路由器具有该功能；无需修改客户端和服务器端程序；非常容易创建阻塞点；,包过滤防火墙缺点：,配置困难，特别是需要设置复杂规则时；只能检测有限的信息，不能检测应用层的内容；安全性较低，发生故障或配置错误时容易让数 据直接通过；,2.应用代理防火墙,简述：应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。应用代理型防火墙(Application Proxy)是工作在OSI的最高层，即应用层。其

9、特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持的，不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接，从而提供了额外的安全性和控制性。,代理服务器工作原理,应用代理型防火墙(Application Proxy)是工作在OSI的最高层，即应用层。,应用代理防火墙优缺点,应用代理防火墙的优点：理解应用的具体内容;防止对外网暴露内网;安全性比包过滤防火墙高;应用代理防火墙的缺点：相对而言,速度较低;每一种应用都需要特定的代理;,主要内容,防火墙IDSIPS漏洞扫描,IDS定义,

10、美国国际计算机安全协会ICSA对入侵检测的定义是：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。功能:1.监测并分析用户和系统的活动；2.核查系统配置和漏洞 3.评估系统关键资源和数据文件的完整性 4.识别已知的攻击行为 5.统计分析异常行为 6.对操作系统进行日志管理，并识别违反安全策略的用户活动,IDS工作过程,（1）信息收集：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正

11、常的目录和文件改变、非正常的程序执行。（2）信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。,续,3）结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。其绝大多数响应机制分为:TCP 拦截-通过发带RST置位的TCP数据包给源目IP，马上终止连接；IP拦阻-在特定时间内,通过和其它设备的联动,产生 ACL阻止来自攻击主机的数据包,产

12、生的ACL会应用到联动设备上;如防火墙、路由器、交换机等；记录-捕获与攻击相关的数据包；访问限制-对访问的内容进行限制；,IDS分类,根据系统所监测的对象分类基于主机的IDS（HIDS）：主要用于保护运行关键应用的服务器。一般通过监视与分析系统的事件、安全日志以及syslog文件。一旦发现这些文件发生任何变化，IDS将比较新的日志记录与攻击特征以发现它们是否匹配。如果匹配的话，检测系统就向管理员发出入侵报警并且发出采取相应的行动。基于主机的IDS的主要优势有：非常适用于加密和交换环境。实时的检测和应答，不需要额外的硬件。缺点：它可针对不同系统的特点判断应用层的入侵事件，但占用主机资源，给服务器

13、产生额外的负载，而且缺乏跨平台支持，可移值性差，因而应用范围受到限制。,续,基于网络的IDS（NIDS）：基于网络的IDS使用原始的网络分组数据包】（IP包、TCP段）作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，IDS应答模块通过通知、报警以及中断连接等方式来对攻击作出反应。基于网络的入侵检测系统的主要优点有：成本低。攻击者转移证据很困难。实时检测和应答。一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们，因此能够更快地作出反应。从而将入侵活动对系统的破坏减到最低。能够检测未成功的攻击企图。操作系统独立。基于网络的IDS

14、并不依赖主机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能发挥作用。缺点：只能监控经过本网段的活动，精确度不高，在交换环境下难以配置。,IDS模型,主要内容,防火墙IDSIPS漏洞扫描,IPS定义,侵入保护（阻止）系统（IPS）是新一代的侵入检测系统（IDS），可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析，然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。,IPS工作原理,IPS与IDS在检测方面的原理相同，它首先由信息采集模块从入侵源实施信息收集，内容包括系统、网络、数据以及用户

15、活动的状态和行为。入侵检测利用的信息一般来自系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息等4个方面；然后入侵防护系统利用模式匹配、协议分析、统计分析和完整性分析等技术手段，由信号分析模块对收集到的有关系统、网络、数据以及用户活动的状态和行为等信息进行分析；最后由反应模块对采集、分析后的结果作为相应的反应。真正的IPS与传统的IDS有两点关键区别：自动阻挡拦截和在线运行，两者缺一不可,IPS分类,网络型入侵防护系统（NIPS）采用在线方式模式，在网络中起到一道关卡作用，实现实时防御，但是它仍然无法检测出具有特定类型的攻击，误报率较高。主机型入侵防护系

16、统（HIPS）预防黑客对关键资源的入侵，通常由代理和数据管理器组成，采用类似IDS异常检测的方法。这种基于主机环境的防御有效，容易发现新的攻击方式，但配置非常困难。应用型入侵防护系统（AIPS）它是基于主机的入侵防护系统扩展成为位于应用服务器之前的网络设备，用来保护特定应用服务的网络设备。防止基于应用协议漏洞和设计缺陷的恶意攻击。,由于IDS与生俱来的缺陷，IPS必将全面取代IDS。DPtech IPS2000可以同时支持IPS/IDS。,IPS与IDS的比较,Cisco 的IDS/IPS产品,Cisco IDS 4200系列网络sensorsCisco IDSM-2 module for c

17、atalyst6500Cisco IDS Network Moudule for access routerRouter集成sensorFirewall集成sensor,Cisco IDS 4200系列网络sensors,IDS 4215IDS 4235IDS 4240IDS 4250IDS 4250XLIDS 4255,IDS 4215,蓝狐网络技术培训学校,IDS 4235,IDS 4240,Cisco sensor 通信协议,主要内容,防火墙IDSIPS漏洞扫描,漏洞（Vulnerability）,漏洞任何可能会给系统和网络安全带来隐患的因素任何系统和网络都有漏洞漏洞分类系统或应用本身存

18、在的漏洞配置不当所造成的漏洞,漏洞扫描,漏洞扫描是一种基于网络远程检测目标网络或本地主机安全性脆弱点的技术可以被用来进行模拟攻击实验和安全审计漏洞扫描就是一种主动的防范措施，可以有效避免黑客攻击行为,漏洞扫描漏洞扫描的步骤,漏洞扫描漏洞扫描的基本技术,端口扫描全连接扫描SYN（半连接）扫描间接扫描秘密扫描系统漏洞扫描漏洞库匹配方法 模拟黑客攻击手法,漏洞扫描软件,漏洞扫描软件的选择底层技术漏洞库扫描报告分析和建议易用性安全性性能,Nmap简介,Nmap是一个网络探测和漏洞扫描程序安全管理人员可以使用Nmap软件对系统和网络进行扫描，获取网络中正在运行的主机以及主机提供的服务等信息,X-Scan

19、简介,X-Scan是由安全焦点开发的完全免费的漏洞扫描软件，采用多线程方式对指定IP地址或IP地址范围进行漏洞扫描扫描内容包括：远程服务类型操作系统类型及版本各种弱口令漏洞后门应用服务漏洞网络设备漏洞拒绝服务漏洞等二十几个大类,流光简介,流光（Fluxay）提供了全面的扫描功能流光同时也是一个功能强大的渗透测试工具，可以模拟攻击者对目标网络和系统进行攻击测试，以评估目标网络和主机的抗攻击能力,流光的主要功能漏洞扫描暴力破解网络嗅探渗透工具字典工具,漏洞修复的必要性,攻击者在实施攻击时，首先会利用漏洞扫描软件对要攻击的目标网络和主机进行扫描，然后根据发现的漏洞选择合适的方法进行攻击为了尽量减少因

20、漏洞而带来的不安全因素，必须要及时进行漏洞修复,漏洞修复的方法,及时升级操作系统关闭不需要的端口和服务加强用户账户和口令的安全管理清除所有不必要的用户账户使用安全的口令将系统管理员或超级用户账户改名,漏洞扫描实例,漏洞扫描工作模式漏洞扫描工作模式有两种：一种是把漏洞扫描器安装在被扫描的系统中，这种情形适合于单机漏洞扫描；另一种则是把漏洞扫描器安装在一台专用的计算机中，然后通过该计算机来扫描其他系统的漏洞，这种模式适合于扫描网络系统。,Windows系统漏洞扫描实例,假设管理员想远程检查某台Windows服务器是否存在RPC漏洞，以防止蠕虫攻击。该服务器的IP地址是192.168.0.100，则漏洞扫描解决方案如下：第一步，网络管理员从网络下载具有RPC漏洞扫描功能的软件retinarpcdcom.exe；第二步，网络管理员把retinarpcdcom.exe安装到管理机上；第三步，网络管理员运行retinarpcdcom.exe；第四步，网络管理员输入Windows服务器的IP地址；第五步，网络管理员查看扫描结果，如图7所示。,RPC漏洞扫描信息,Windows系统漏洞扫描实例,