防火墙与入侵检测-课程设计

-1-防火墙与入侵检测课程设计-2-课程设计要求：构建企业内部网络，该企业网络基本要求(1)具有私有编制方案；(2)接入Internet（2-3个出口点）；(3)网络内部具有敏感数据；(4)同时为Internet提供多网络服务；(5)具有比较严格的安全体系。设计该企业内部网络，并设计防火墙及入侵检测系统部署方案。（1）描述你的企业内部网络方案并画出网络拓扑图；（2）对企业内部划分不同级别的安全区域，并设置不同的安全级别的用户（说明访问控制的资源），同时对用户的权限和作用区域进行相应说明；（3）详细描述防火墙部署方案（类型，部署方式，部署策略，工作原理），简述防火墙的核心技术，并说明在你的网络中防火墙所采用何种核心技术并分析其原因；（4）详细描述入侵检测系统部署方案（类型，部署方式，部署策略，工作原理），简述入侵检测系统的种类，并说明该网络中所采取的入侵检测系统类型，并分析该入侵检测系统工作原理（数据获取，入侵分析，响应等）；（5）针对3-5种典型入侵方案，分析其入侵原理，并说明在你的网络安全体系中如何防范该种入侵（针对防火墙或入侵检测的策略进行详细设计和针对性说明）。设计背景：随着INTERNET的高速发展，企业管理的数字化程度也越来越高，企业各个名管理部门之间越来越多的依靠网络传递信息，如何拥有一个简单效率高而且安全的网络成为各个企业关注的问题。因为电脑病毒、各种木马的猖獗，网络安全问题是各大企业用户最关心的问题。从定义来上说，网络安全包括防火墙、数据加密、入侵检测和数据恢复四类技术。其中防火墙和入侵检测技术是网络安全中及其重要的一部分。拥有一个高效率的入侵检测系统在网络安全预防中会起到非常重要的作用。在企业网中它可以及时发现、阻拦入侵行为、保护来自各个黑客和竞争对手的恶意攻击，保证企业信息平台的安全，保障企业的正常运行。网络拓扑图：-3-企业的网络方案：企业按部门划分vlan企业的部门分为经理部、销售部、人力资源部、财政部、行政部，每个部门为一个vlan相互之间互不影响，经理部可以查看其他各部门的计算机，其他部门只能查看除了经理部和财政部以外的部门计算机。各部门的计算机通过接入层交换机连接到汇聚层交换机，然后介入核心交换机。刀片服务器、虚拟化服务器、安全服务器、内网应用器与核心交换机相连，核心交换机通过防火墙与路由器相连，路由器介入Internet。其中在汇聚层交换机的节点核心层交换机的节点处设置入侵检测系统。分层设计将一个规模较大的网络系统分为几个较小的层次，这些层次之间既相对独立又相对关联，他们之间可以看做是一个层次叠加的关系。每一层都有自己特定的作用。核心层主要高速处理数据流，提供节点之间的高速数据转发，优化传输链路，并实现安全通信。从网络设计来看，它的结构相对简单，但是对核心层的设备性能的十分严格。一般采用高性能的多层模块化交换机，并要尽量减少核心层的路由器配置的复杂程度，并且核心层设备应该具有足够的路由信息，将数据包发往网络中的任意目的主机。汇聚层主要提供基于策略的网络连接，负责路由聚合，收敛数据流量，将网络服务连接到接入层。汇聚层是核心层与接入层的分界面，接入层经常处于变化之中，为了避免接入层的变化对核心层的影响，可以利用汇聚层隔离接入层拓扑结构的变化，是核心层的交换机处于稳定，不受外界的干扰。接入层为用户提供网络访问功能，并负责将网络流量馈入到汇聚层，执行用户认证-4-和访问控制，并提供相关的网络服务。接入层一般采用星型的拓扑结构，而且一般不提供路由功能，也不进行路由信息的交换。通过这样三层的网络设计，可以将网络分解程序多的小单元，降低了网络的整体复杂性；可以使网络更容易的处理广播风暴、信号循环问题；而且分层的设计模型降低了设备配置的复杂性，网络故障也会更容易的排除，是网络更容易的管理，使企业的网络更安全、稳定。防火墙的部署方案：防火墙是一个或一组系统,隔离堡垒主机通过运行在其上面的防火墙软件，控制应用程序的转发以及提供其他服务，它在网络之间执行访问控制策略，同时也是一种综合性的技术，涉及计算机网络技术、密码技术安全技术、软件技术、安全协议、网络标准化组织的服务。防火墙的主要实现功能：1.防止外部的IP地址欺骗IP地址欺骗是一种常见的对企业内部服务器的攻击手段.外部网的攻击者将其数据包的源地址伪装成内部网合法的IP地址或Loopback地址，以绕过防火墙，实现非法访问。可以在防火墙的全局和接口配置中，通过命令来实现防止外部IP地址的欺骗。2.控制内部网的非法IP地址进入外部网通过设置访问列表，可以控制内部网的哪些机器可以进入外部网，哪些机器不可以进入外部网，保障内部网的安全和可靠。3.对内部网资源主机的访问控制企业内部网的服务器是非法访问者的重点攻击对象，同时它又必须为外部用户提供一定的服务.对于特定的服务器，可以只允许访问特定的服务.也就是说，对于Web服务器只允许访问Web服务；而对FTP服务器，只允许访问FTP服务。4．防止外部的ICMP重定向欺骗5．防止外部的资源路由选择欺骗6．对拨号上网用户的访问控制7．防止内部用户盗用IP方法8．防止对路由器的攻击9．内部网络流量的控制防火墙的核心技术：包过滤防火墙包过滤防火墙是用一个软件查看所流经的数据包的包头，由此决定整个包的命运。它可能会决定丢弃这个包，可能会接受这个包，也可能执行其它更复杂的动作。包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。具体地讲，它针对每一个数据报的报头，按照包过滤规则进行判定，与规则相匹配的包依据路由信息继续转发，否则就丢弃。包过滤是在IP层实现的，包过滤根据数据包的源IP地址、目的IP地址、协议类型（TCP包、UDP包、ICMP包）、源端口、目的端口等报头信息及数据包传输方向等信息来判断是否允许数据包通过。包过滤也包括与服务相关的过滤，这是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP/UDP端口，因此，为阻断所有进入特定-5-服务的链接，防火墙只需将所有包含特定TCP/UDP目的端口的包丢弃即可。包过滤的原则：（1）包过滤规则必须被包过滤设备端口存储起来。（2）当包到达端口时，对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。（3）包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。（4）若一条规则阻止包传输或接收，则此包便不被允许。（5）若一条规则允许包传输或接收，则此包便可以被继续处理。（6）若包不满足任何一条规则，则此包便被阻塞。优点：对于一个小型的、不太复杂的站点，包过滤比较容易实现。因为过滤路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快。过滤路由器为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。所以，过滤路由器有时也被称为“包过滤网关”或“透明网关”，之所被称为网关，是因为包过滤路由器和传统路由器不同，它涉及到了传输层。过滤路由器在价格上一般比代理服务器便宜。缺点：一些包过滤网关不支持有效的用户认证。规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能性也会增加。这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题，会使得网络大门敞开，而用户甚至可能还不知道。在一般情况下，如果外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。包过滤防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS欺骗。入侵检测：入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测通过执行以下任务来实现：1.监视、分析用户及系统活动；2.系统构造和弱点的审计；-6-3.识别反映已知进攻的活动模式并向相关人士报警；4.异常行为模式的统计分析；5.评估重要系统和数据文件的完整性；6.操作系统的审计跟踪管理，并识别用户违反安全策略的行为。入侵检测系统：入侵检测系统（Intrusion-detectionsystem）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。IDS分为四部分：事件产生器，从计算环境中获得事件，并向系统的其他部分提供此事件；事件分析器，分析数据；响应单元，发出警报或采取主动反应措施；事件数据库，存放各种数据入侵检测系统的部署：入侵检测系统有不同的部署方式和特点。根据所掌握的网络检测和安全需求，选取各种类型的入侵检测系统。将多种入侵检测系统按照预定的计划进行部署，确保每个入侵检测系统都能够在相应部署点上发挥作用，共同防护，保障网络的安全运行。部署工作包括对网络入侵检测和主机入侵检测等不同类型入侵检测系统的部署规划。同时，根据主动防御网络的需求，还需要对入侵检测系统的报警方式进行部署和规划。基于网络的入侵检测系统可以在网络的多个位置进行部署。根据检测器部署位置的不同，入侵检测系统具有不同的工作特点。入侵检测系统的种类：根据其采用的技术可以分为异常检测和特征检测。（1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成（2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，然后将观察对象与之进行比较，判别是否符合这些模式。（3）协议分析：利用网络协议的高度规则性快速探测攻击的存在。根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。（1）基于主机的入侵检测系统：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。（2）基于网络的入侵检测系统：基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。（3）-7-分布式入侵检测系统：目前这种技术在ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。根据工作方式分为离线检测系统与在线检测系统。（1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性。（2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹