第9章网络安全技术

第9章网络安全技术学习目标网络安全包括哪些常用技术和手段网络扫描技术作用和实施网络防火墙的作用和工作机理入侵检测系统的作用和工作机理使用蜜罐技术有效发现网络入侵行为本章主要讲解网络环境下安全防范技术：2如何保护网络免遭入侵？3目录9.1网络安全技术概述9.2网络扫描技术9.3网络防火墙技术9.4入侵检测技术9.5蜜罐技术49.1网络安全技术概述•由于网络的存在，攻击者更容易通过网络非法入侵他人网络系统、计算机系统，非法访问网络上的资源，非法窃取终端系统中的数据。•网络通常分为内部网络和外部网络（也称公共网络，如Internet），对安全边界的监控是网络安全的重要内容。•构建网络安全防御体系，除了必要的人、制度、机制、管理等方面保障，还要依赖于各种网络安全技术。59.1网络安全技术概述•扫描技术：发现内部网络安全薄弱环节，进行完善保护。•防火墙技术：在内部与外部网络衔接处，阻止外部对内部网络的访问，限制内部对外部网络的访问等。•入侵检测系统：发现非正常的外部对内部网络的入侵行为，报警并阻止入侵行为和影响的进一步扩大。•隔离网闸技术：在物理隔离的两个网络之间进行安全数据交换。6如何探测网络拓扑结构及网络中系统存在的安全弱点？7目录9.1网络安全技术概述9.2网络扫描技术9.3网络防火墙技术9.4入侵检测技术9.5蜜罐技术89.2网络扫描技术•发现网络中设备及系统是否存在漏洞。•主机扫描：–确定在目标网络上的主机是否可达，常用的扫描手段如ICMPEcho扫描、BroadcastICMP扫描等。–防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，攻击者通常利用ICMP协议提供的错误消息机制，例如发送异常的IP包头、在IP头中设置无效的字段值、错误的数据分片，以及通过超长包探测内部路由器和反向映射探测等。99.2网络扫描技术•端口扫描–发现目标主机的开放端口，包括网络协议和各种应用监听的端口。–TCPConnect扫描和TCP反向ident扫描口。–TCPXmas和TCPNull扫描是FIN扫描的两个变种。–TCPFTP代理扫描。–分段扫描，将数据包分为两个较小的IP段。–TCPSYN扫描和TCP间接扫描，两种半开放扫描。109.2网络扫描技术•发现网络中设备及系统是否存在漏洞。•主机扫描：–确定在目标网络上的主机是否可达，常用的扫描手段如ICMPEcho扫描、BroadcastICMP扫描等。–防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，攻击者通常利用ICMP协议提供的错误消息机制，例如发送异常的IP包头、在IP头中设置无效的字段值、错误的数据分片，以及通过超长包探测内部路由器和反向映射探测等。119.2网络扫描技术•端口扫描–发现目标主机的开放端口，包括网络协议和各种应用监听的端口。–TCPConnect扫描和TCP反向ident扫描口。–TCPXmas和TCPNull扫描是FIN扫描的两个变种。–TCPFTP代理扫描。–分段扫描，将数据包分为两个较小的IP段。–TCPSYN扫描和TCP间接扫描，两种半开放扫描。12如何隔离内部网络与外部网络？13目录9.1网络安全技术概述9.2网络扫描技术9.3网络防火墙技术9.4入侵检测技术9.5蜜罐技术149.3.1防火墙概念、功能15Internet内部网络防火墙可信网络9.3.1防火墙概念、功能1．防火墙的特性（1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙。（2）只有符合安全策略的数据流才能通过防火墙。（3）防火墙自身应具有非常强的抗攻击免疫力。169.3.1防火墙概念、功能2．防火墙的功能（1）防火墙是网络安全的屏障（2）防火墙可以强化网络安全策略（3）对网络存取和访问进行监控审计（4）防止内部信息的外泄179.3.2防火墙工作原理•1．包过滤技术•“静态包过滤”“动态包过滤”•对通过防火墙的每个IP数据报文（简称数据包）的头部、协议、地址、端口、类型等信息进行检查，与预先设定好的防火墙过滤规则进行匹配，一旦发现某个数据包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个数据包就会被丢弃。189.3.2防火墙工作原理•1．包过滤技术19规则方向源IP地址目的IP地址协议类型源端口目的端口操作1出119.100.79.0202.100.50.7TCP102323拒绝2入202.100.50.7119.100.79.0TCP231023拒绝3出119.100.79.2任意TCP102325允许4入任意119.100.79.2TCP251023允许5出192.100.50.0119.100.79.4TCP102380允许6入119.100.79.4192.100.50.0TCP801023允许7双向任意任意任意任意任意拒绝9.3.2防火墙工作原理•通常需要检查下列分组字段：–源IP地址和目的IP地址；–TCP、UDP和ICMP等协议类型；–源TCP端口和目的TCP端口；–源UDP端口和目的UDP端口；–ICMP消息类型；–输出分组的网络接口。209.3.2防火墙工作原理•匹配结果分为三种情况：–如果一个分组与一个拒绝转发的规则相匹配，则该分组将被禁止通过；–如果一个分组与一个允许转发的规则相匹配，则该分组将被允许通过；–如果一个分组没有与任何的规则相匹配，则该分组将被禁止通过。这里遵循了“一切未被允许的都是禁止的”的原则。219.3.2防火墙工作原理•2．应用代理技术•“应用协议分析”技术工作在OSI模型的最高层——应用层上，在这一层防火墙能“看到”应用数据最终形式，因而可以实现更高级、更全面的数据检测。•采取代理机制进行工作，即内外部网络之间的通信都需要先经过代理服务器审核，内外部网络的计算机不能直接连接会话，这样就可以避免攻击者使用“数据驱动”网络攻击。229.3.2防火墙工作原理•3、状态监视技术•状态监视技术在支持对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上，进一步发展了“会话过滤”（SessionFiltering）功能，在每个连接建立时，防火墙会为这个连接构造一个会话状态，包含了这个连接数据包的所有信息，之后基于连接状态信息对每个数据包的内容进行分析和监视。239.3.3基于DMZ的防火墙部署24Internet外部防火墙屏蔽子网Web服务器FTP服务器Email服务器内部防火墙内部网络服务器DMZ部署方式，提供至少3个网路接口，一个用于连接外部网络——通常是Internet，一个用于连接内部网络，一个用于连接提供对外服务的屏蔽子网。DMZ称为“隔离区”，也称“非军事化区”，它是一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间，放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。如何检测非法入侵网络行为？25目录9.1网络安全技术概述9.2网络扫描技术9.3网络防火墙技术9.4入侵检测技术9.5蜜罐技术269.4.1入侵检测系统概述•入侵检测（IntrusionDetection），通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。•实现这一功能的软件与硬件组合即构成入侵检测系统IDS（IntrusionDetectionSystem）。•入侵检测系统分类：–主机型IDS是安装在服务器或PC机上软件，监测到达主机的网络信息流；–网络型IDS一般配置在网络入口处（路由器）、或网络核心交换处（核心交换路由）通过旁路技术监测网络上的信息流。279.4.1入侵检测系统概述入侵检测系统应包括以下主要功能：–监测、记录并分析用户和系统的活动；–核查系统配置和漏洞；–评估系统关键资源和数据文件的完整性；–识别已知的攻击行为；–统计分析异常行为；–管理操作系统日志，识别违反安全策略的用户活动。289.4.1入侵检测系统概述•入侵检测系统一般包括以下组件：–事件产生器（Eventgenerators）–事件分析器（Eventanalyzers）–响应单元（Responseunits）–事件数据库（Eventdatabases）299.4.2IDS类型与部署301．网络IDSInternet路由器IDS检测引擎交换机IDS管理主机用户计算机服务器9.4.2IDS类型与部署31基于数据模式判断IDS安全配置构造分析引擎网络安全数据库探测器探测器探测器网络接口层9.4.2IDS类型与部署•网络IDS分类：–基于知识的数据模式判断方法：分析建立网络中非法使用者（入侵者）的工作方法——数据模型，在实时检测网络流量时，将网络中读取的数据与数据模型比对，匹配成功则报告事件。–基于行为的行为判断方法：•统计行为判断：根据上面模式匹配的事件，在进行事后统计分析时，根据已知非法行为的规则，判断出非法行为。•异常行为判断：根据平时统计的各种信息，得出正常网络行为准则，当遇到违背这种准则的事件发生时，报告非法行为事件。329.4.2IDS类型与部署•以主机系统日志、应用程序日志等作为数据源，也可以包括其他资源（如网络、文件、进程），从所在当然也的主机上收集信息并进行分析，通过查询、监听当前系统的各种资源的使用、运行状态，发现系统资源被非法使用或修改的事件，并进行上报和处理。–截获本地主机系统的网络数据–扫描、监听本地磁盘文件操作，检查文件的操作状态和内容–轮询等方式监听系统的进程及其参数–查询系统各种日志文件332．主机IDS9.4.3IDS工作原理34IDS引擎IDS控制中心控制和策略下发事件上报原始数据读取原始数据分析事件规则库响应策略匹配事件响应处理通信事件产生策略规则库9.4.4典型入侵检测系统规划与配置35Internet防火墙Web/E-mail/FTP核心交换机办公大楼网络IDS位置主机IDS位置如何更有效地检测非法入侵网络行为？36目录9.1网络安全技术概述9.2网络扫描技术9.3网络防火墙技术9.4入侵检测技术9.5蜜罐技术379.5蜜罐技术•蜜罐（Honeypot）技术可以看成是一种诱导技术，目的是发现恶意攻击和入侵。通过设置一个“希望被探测、攻击甚至攻陷”系统，模拟正常的计算机系统或网络环境，引诱攻击者入侵蜜罐系统，从而发现甚至定位入侵者，发现攻击模式、手段和方法，进而发现配置系统的缺陷和漏洞，以便完善安全配置管理消除安全隐患。•蜜罐可以分为高交互蜜罐（High-interactionhoneypots）和低交互蜜罐（Low-interactionhoneypots）389.5蜜罐技术•一个高交互蜜罐是一个常规的计算机系统，如使用一台标准计算机、路由器等。•即高交互蜜罐实际上是一个配置了真实操作系统和服务的系统，为攻击者提供一个可以交互的真实系统。•这一系统在网络中没有常规任务，也没有固定的活动用户。•系统上只运行正常守护进程或服务，不应该有任何不正常的进程，也不产生任何网络流量。39（1）高交互蜜罐9.5蜜罐技术•高交互蜜罐可以完全被攻陷，它们运行真实操作系统，可能带有所有已知和未知的安全漏洞，攻击者与真实的系统和真实的服务交互，使得我们能够捕获大量的威胁信息。•当攻击者获得对蜜罐的非授权访问时，可以捕捉他们对漏洞的利用，监视他们的按键，找到他们的工具，搞清他们的动机。•即使攻击者使用了我们尚不知道的未知漏洞，通过分析其入侵过程和行为，可以发现其使用的方法和手段，即所谓发现“零日攻击”。40（1）高交互蜜罐9.5蜜罐技术•低交互蜜罐则是使用特定软件工具模拟操作系统、网络堆栈或某些特殊应用程序的一部分功能，例如具有网络堆栈、提供TCP连接、提供HTTP模拟服务等。•低交互蜜罐允许攻击者与目标系统有限交互，允许管理员了解关于攻击的主要的定量信息。•优点是简单、易安装和易维护。只需要安装和配置一个工具软件即可，典型的低交互蜜罐工具软件如TinyHonypot、Honeyd、Nepentbes等，以及用于Web欺骗的Google入侵蜜罐GHH（GoogleHackHoneyp