第7章-网络防御要点

《信息系统安全》7.1概述7.2防火墙7.3入侵检测系统7.4网络防御的新技术第7章网络防御《信息系统安全》7.1概述防御需要解决多层面的问题，除了安全技术之外，安全管理也十分重要，实际上提高用户群的安全防范意识、加强安全管理所能起到效果远远高于应用几个网络安全产品。网络安全防御体系第一道防线，部署在网络出入口处或者不同安全等级区域的连接路径上，依据安全规则检查每一个通过的数据包。将局域网中的节点从逻辑上划分成多个网段，每个网段都包含一组有相同需求的工作站。（控制流量、简化网络管理、提高安全性）IPS：部署像防火墙，工作机制接近入侵检测系统，将检测方法细分到攻击检测防御的每个阶段中。《信息系统安全》7.2防火墙•防火墙指的是一个由软件和硬件设备组合而成、在内部网络和外部网络之间构造的安全保护屏障，从而保护内部网络免受外部非法用户的侵入。•目标：有效地控制内外网之间的网络数据流量。•满足条件：①内网和外网之间的所有网络数据流必须经过防火墙；②只有符合安全政策的数据流才能通过防火墙。③防火墙自身具有高可靠性，应对渗透具有免疫力。《信息系统安全》《信息系统安全》防火墙不只用于INTERNET，也可用于内部网各部门网络之间（内部防火墙）《信息系统安全》分类•从应用对象上划分企业防火墙：使企业内部局域网与internet之间互相隔离、限制网络互访，保护企业网络内网。个人防火墙：一种软件服务，为个人计算机提供简单的防火墙功能，可以随操作系统附带，价格较低。•从存在形式上划分硬件防火墙：采用特殊的硬件设备，有较高性能，可做为独立的设备部署，企业防火墙多数是硬件防火墙；软件防火墙：是一套安装在某台计算机系统上来执行防护任务的安全软件，个人防火墙都是软件防火墙。《信息系统安全》防火墙主要作用•网络流量过滤：通过在防火墙上进行安全规则配置，可以对流经防火墙的网络流量进行过滤。•网络监控审计：防火墙记录访问并生成网络访问日志，提供网络使用情况的统计数据。•支持NAT部署：NAT（网络地址翻译）是用来缓解地址空间短缺的主要技术之一。•支持DMZ：DMZ是英文“DemilitarizedZone”的缩写,它是设立在非安全系统与安全系统之间的缓冲区。•支持VPN：通过VPN，企业可以将分布在各地的局域网有机地连成一个整体。《信息系统安全》典型企业防火墙应用《信息系统安全》局限性•防火墙无法检测不经过防火墙的流量，如通过内部提供拨号服务接入公网的流量；•防火墙不能防范来自内部人员恶意的攻击；•防火墙不能阻止被病毒感染的和有害的程序或文件的传递，如木马；•防火墙不能防止数据驱动式攻击，如一些缓冲区溢出攻击。《信息系统安全》7.2.2防火墙的主要技术•包过滤防火墙面向网络底层数据流进行审计和控管其安全策略主要根据数据包头的源地址、目的地址、端口号和协议类型等标志来制定，可见其主要工作在网络层和传输层。《信息系统安全》代理防火墙•基于代理（Proxy）技术，使防火墙参与到每一个内外网络之间的连接过程•防火墙需要理解用户使用的协议，对内部节点向外部节点的请求进行还原审查后，转发给外部服务器；•外部节点发送来的数据也需要进行还原审查，然后封装转发给内部节点。《信息系统安全》个人防火墙•目前普通用户最常使用的一种，常见如天网个人防火墙。个人防火墙是一种能够保护个人计算机系统安全的软件直接在用户的计算机上运行，帮助普通用户对系统进行监控及管理，使个人计算机免受各种攻击《信息系统安全》包过滤防火墙工作原理《信息系统安全》•访问控制列表ACL–AccessControlList是允许和拒绝匹配规则的集合。–规则告诉防火墙哪些数据包允许通过、哪些被拒绝。顺序方向源地址目的地址协议源端口目的端口是否通过Rule1out192.168.10.11*.*.*.*TCPany80denyRule2out*.*.*.*202.106.85.36TCPany80accept访问控制列表《信息系统安全》静态包过滤•静态包过滤是指防火墙根据定义好的包过滤规则审查每个数据包，确定其是否与某一条包过滤规则匹配。•此类防火墙遵循“最小特权”原则，即明确允许那些管理员希望通过的数据包，禁止其它的数据包。•静态包过滤原理图《信息系统安全》•动态包过滤是指防火墙采用动态配置包过滤规则的方法•采用了一个在网关上执行安全策略的软件引擎，即检测模块•检测模块抽取相关数据对通信的各层实施监测分析，提取相关的通信状态信息，并对动态连接表进行信息存储和更新，为下一个通信检查提供积累数据。•这些监测分析数据可以作为制定安全策略的参考。一旦某个访问违反安全规定，安全报警器会拒绝该访问并记录报告。•状态监测原理图动态包过滤《信息系统安全》包过滤防火墙的分析•优点逻辑简单，价格便宜，对网络性能影响较小，透明性强与应用层无关，无需改动客户机和主机上的应用程序•缺点配置包过滤防火墙，需要对IP、TCP等协议深入了解，否则容易出现因配置不当带来的问题由于过滤判断的只有网络层和传输层的有限信息，各种安全要求难以充分满足由于数据包地址和端口号都在包头部，因此不能彻底防止地址欺骗《信息系统安全》代理服务器型防火墙•通过在主机上运行代理的服务程序(核心)，直接对特定的应用层进行服务，也称应用型防火墙。•针对不同的应用程序，需要不同的代理模块。•代理服务可以实现用户认证、详细日志、数据加密、应用过滤等功能。•应用代理防火墙彻底隔断内网与外网的直接通信，所有通信必须经过代理软件转发。对于客户来说它像一台服务器，对于外界服务器来说，它又是一台客户机。•代理服务器通常有个高速缓存，存放着用户经常访问的站点内容，当下个用户要访问同一站点时，直接发出缓存内容，节约了网络资源。•从外网只能看到代理服务器，无法获知内部资源，更可靠代理服务器接收到用户访问某站点的请求后，检查该请求是否符合规定，如果规则允许访问，代理服务器就会像一个客户一样去那个站点取回所需信息转发给客户。《信息系统安全》应用代理防火墙原理图《信息系统安全》代理防火墙的分析•优点不允许内外网主机的直接连接，隐藏内部用户IP地址记录的日志更详细，包含应用程序文件名、URL等信息可以与认证、授权、加密等安全手段方便的集成•缺点代理速度比包过滤慢代理对用户不透明，给用户带来不便代理技术需要针对每种协议设置一个不同的代理服务器《信息系统安全》电路级网关•工作原理与应用代理网关基本相同，代理的协议以传输层为主，在传输层上实施访问控制策略，是在内外网络之间建立一个虚拟电路，进行通信。•电路级网关监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，在握手过程中，检查双方的SYN、ACK和序列数据是否为合理逻辑，来判断会话是否合法。•一旦网关认为会话合法，就为双方建立连接，进而复制、传递数据，但不进行过滤。•网关转发的数据包被提交给用户的应用层处理，通过网关的数据似乎起源于防火墙，隐藏了被保护网络内的信息。《信息系统安全》网络地址转换NAT•是一种用于把内部IP地址转换成临时的、外部的、注册的IP地址的标准。•私有地址：内部网络的主机地址，不会在因特网上被分配，各个企业可以根据需要选择，不同内部网的网络地址可以相同。•RFC1918为私有地址保留了A、B、C类地址范围各一个。A类：10.0.0.0—10.255.255.255B类：172.16.0.0—172.31.255.255C类：192.168.0.0—192.168.255.255•公有地址：局域网的外部地址(在因特网上唯一的IP地址)《信息系统安全》•私有地址与公有地址间的转换使用私有地址的主机不能直接访问InternetInternet也不可能访问到使用私有地址的主机IP地址资源有限，许多局域网内的计算机不得不采用私有地址，访问Internet时就需要NAT•目的解决IP地址空间不足问题向外界隐藏内部网结构网络地址转换NAT《信息系统安全》NAT技术的工作原理•内部网络访问外部网络时，系统将发出数据包的源地址转换为Internet上的合法地址，以这个合法地址与外网连接•NAT应用在防火墙技术中，用伪装的地址对外连接，隐藏了真实的内部地址。反之外网访问内网时，并不清楚内网的连接情况，只是通过一个开放的IP地址来请求访问。•防火墙根据预先定义好的映射规则判断访问是否安全《信息系统安全》内部网络中的每个主机都被永久映射成外部网络中的某个合法地址，进行一对一的转换。内部网络中有E-MAIL服务器、服务器、FTP服务器等，必须采用静态地址转换。特点：为每一个需要地址转换的报文分配一个公有网络IP地址。不能解决IP地址缺乏问题，只能隐藏内部主机的真实身份。从系统IP地址池中动态选择一个未使用的地址对内部地址进行一对一转换，当数据传输完毕，路由器将使用完的IP地址放回到地址池中。适用于：IP地址数量少，同时上网的用户少例如：内部网中有100台主机，分配了30个IP地址，可供任意30台主机同时通信。端口复用：路由器记录地址、应用程序端口等标识进行转换，可以使多个内部地址同时转换为同一个IP地址对外网访问。适用于：申请到少量的IP地址，却经常有很多用户同时上网。《信息系统安全》•VPN：虚拟的企业内部专线，也称虚拟私有网。依靠ISP和其他NSP，在公用网络中建立专用的数据通信网络的技术虚拟：任意两个节点之间没有传统专网所需的点到点的物理链路，是利用Internet公众数据网络线路。专用：用户可以为自己制定一个最符合自己需求的网络•VPN产生的背景企业内部和企业之间数据通信的数量不断增加。在企业分支机构和中心网络连接上架设专用线路，经济费用高。随着互联网主干网速越来越快，企业租用广域网数据专线实现连接，租用成本高，且互联网存在不安全因素（泄密、篡改、假冒等）。VPN技术的出现，可以使租用线路成本下降40%-60%。VPN（VirtualPrivateNetwork）《信息系统安全》VPN的意义•VPN是企业网在因特网等公共网络上的延伸。•VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户、公司分支机构、业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网。•提供高安全性能、低价位的因特网接入解决方案。《信息系统安全》隧道技术•VPN可以理解为一条穿过公用网络的安全、稳定的隧道。•隧道技术可以模仿点对点连接技术，依靠ISP和NSP在公用网中建立自己的专用“隧道”传输数据•利用公网设施，在一个网络之中的“网络”上传输数据的方法，被传输的数据执行隧道协议。•隧道协议利用附加的报头封装数据包，附加报头提供了路由信息，封装后的数据包能通过公用网中的一些路径，这些路径即为隧道。《信息系统安全》隧道示意图Internet原始报文原始报文VPN--封装VPN--解封隧道被封装报文源局域网与公网的接口处封装数据包目的局域网与公网的接口处解封数据包《信息系统安全》VPN典型应用帮助远程用户同公司内网之间，通过公网远程拨号的方式建立安全连接。为公司总部和分支机构提供一个整个企业网络的访问权限将客户、供应商、合作伙伴等连接到企业内网，支持外部用户执行相应访问权限《信息系统安全》7.3入侵检测系统•入侵检测：对入侵行为的发觉，通过对计算机系统、计算机网络中的若干关键部位收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为。•IDS（IntrusionDetectionSystem）进行入侵检测的软件和硬件的组合，一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全系统。一般认为防火墙属于静态防范措施，而入侵检测系统为动态防范措施，是对防火墙的有效补充。假如防火墙是一幢大楼的门禁，那么IDS就是这幢大楼里的监视系统。《信息系统安全》入侵检测专家系统IDES模型的组成•主体（Subjects）：启动在目标系统上活动的实体，如用户•对象（Objects）：系统资源，如文件、设备、命令等。•审计记录（Auditrecords）：由构