信息安全概论防火墙技术.ppt

《信息安全概论防火墙技术.ppt》由会员分享，可在线阅读，更多相关《信息安全概论防火墙技术.ppt（66页珍藏版）》请在课桌文档上搜索。

1、信息安全概论,-防火墙技术,内容提要,本章介绍三部分的内容：防火墙、VPN与反病毒技术。介绍防火墙的基本概念，常见防火墙类型以及如何使用规则集实现防火墙。介绍VPN技术的概念与特点介绍病毒的原理与概念与反病毒的方法。,防火墙的定义,防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如图5-1所示。,防火墙的定义,这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对

2、风险区域的访问，网络防火墙结构如图5-2所示。,防火墙定义,防火墙是一种装置，它是由软件或硬件设备组合成，通常处于企业的内部网与internet之间，限制internet用户对内部网络的访问以及管理内部用户访问外界的权限。从实现山看，防火墙实际上是一个独立的进程或一组紧密联系的进程，运行于路由器服务器上，控制经过它的网络应用服务与数据。,防火墙,防止易受攻击的服务控制访问网点系统集中安全性增强保密，强化私有权有利于对网络使用、滥用的纪录统计,防火墙的功能,根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户防止

3、入侵者接近网络防御设施限制内部用户访问特殊站点,实施防火墙的基本方针,由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。实施防火墙的基本方针只允许访问特定的服务只拒绝访问特定的服务,防火墙的必要性,随着世界各国信息基础设施的逐渐形成，国与国之间变得“近在咫尺”。Internet已经成为信息化社会发展的重要保证。已深入到国家的政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资

4、源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此，难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。网络安全已经成为迫在眉睫的重要问题，没有网络安全就没有社会信息化 网络有攻击就需要有防御，防火墙是很主要的网络防御手段。,防火墙特征,网络通信必须通过防火墙合法数据可以通过防火墙防火墙本身不受攻击的影响使用最新安全技术人机界面良好，易于配置管理,防火墙的局限性,没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限：防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。防火墙也不能防范那些伪装成超级用

5、户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。另外对于未知的威胁，防火墙很难防护。,防火墙体系结构,双宿主主机防火墙被屏蔽主机防火墙被屏蔽子网防火墙其它形式防火墙防火墙体系中的堡垒主机,双宿主主机防火墙,双宿主主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。双宿主主机模型如图所示。,双宿主主机,双宿主主机特性双宿主主机的安全至关

6、重要。双宿主主机的性能很重要。双宿主主机的缺陷账号问题,双宿网关防火墙,存储转发特定服务适合于代理转发拒绝所有的网络服务,Telnet双宿主机实例,建立监听端口，等待客户端连接收到连接请求，建立连接。进行身份验证如果用户合法，系统与服务器建立连接，开始通讯，并纪录用户的信息。系统进行数据转接。,被屏蔽主机防火墙,单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。单宿主堡垒主机的模型如图5-24所示。,被

7、屏蔽主机防火墙优缺点,相比双宿主主机具有更好的安全性和可用性如果堡垒主机被入侵，则系统就不具有任何保密设施。路由器也是同样。,屏蔽子网模型,屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立区”(DMZ，Demilitarized Zone)网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备，模型如图5-26所示。,其它形式的防火墙体系结构,将被屏蔽子网结构中的内部路由器和外部路由器合并屏蔽子网结构中堡垒主机与外部路由器合并使用

8、多台堡垒主机使用多台外部路由器使用多个周边网络,堡垒主机,堡垒主机是一种被强化的、可以防御的、可进攻的服务器。它被暴漏在因特网之上，作为进入内部网络的检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而达到省时省力，而不用考虑其它主机的安全。,堡垒主机设计构筑原则,最简化原则随时做好堡垒主机被损坏的准备,堡垒主机主要结构,无路由双宿主机牺牲主机内部堡垒主机,堡垒主机,堡垒主机的选择堡垒主机的建立,防火墙的实现,数据包过滤应用层防火墙代理服务,数据包过滤,在路由器上加入IP Filtering 功能。Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头，不理会包内

9、的正文信息)。如果找到一个匹配，且规则允许这包，这个包则根据路由表中的信息前行；如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃；如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。,数据包过滤优缺点,优点速度快代价小对用户透明缺点维护困难不能阻止IP欺骗无法防止数据驱动式攻击用户认证没有有效日志性能下降上下文无关,过滤规则制定,按照地址制定按照端口制定综合过滤,应用层防火墙,代理与代管服务地址扩充与地址保护邮件技术,代理与代管服务,应用代理服务器回路级代理服务器套接字服务器代管服务器,地址扩充与地址转换器,网络地址转换器隔离域名服务器基于防火墙的虚拟专用网（VPN）,代理服

10、务技术,代理服务,该技术它能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。此外，代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。,虚拟专用网（VPN）技术,VPN定义与分类VPN的作用与特点VPN技术,VPN定义,VPN为通过一公共隧道建立临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道，它是对企业内部网的扩展。,VPN的作用与特点,功能数据加密信息认证与身份认证访问权限控制特

11、点使用VPN专用网的构建将使用费大幅降低VPN灵活性大VPN易于管理,VPN技术,隧道协议隧道服务器认证加密,入侵检测系统的概念,入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。静态安全措施不足以保护对象安全。通过对访问行为进行动态分析发现访问中出现的异常情况，从而检测出网络的入侵行为。,IDES入侵检测模型,入侵检测系统的原理,确定入侵行为的类型分析定义这些行为的统计学特征或行为特征。收集需要确认这些的特征的数据。根据这些特征数据确定入侵行为。做出反应。,入侵检测系统的原理,规则

12、1：通常情况下，主体访问客体进行135端口的密度很小（3/S）。尝试口令攻击：连续对135端口进行连接，一般大于3/S。当判断到对135端口的连接大于3/s后可以确认为攻击行为。禁止该主体对系统的网络访问一定时间。,检测方法,统计异常检测方法基于特征选择检测异常方法基于贝叶斯推理异常检测方法基于贝叶斯网络异常检测方法基于模式预测异常检测方法基于神经网络异常检测方法基于贝叶斯聚类异常检测方法基于机器学习异常检测方法基于数据挖掘异常检测方法,统计异常检测方法,根据异常检测器观察主体的活动，产生描述这些活动行为的参数。每个参数保存记录主体当前某种行为，并定时将当前参数与保存参数与存储参数进行合并。通

13、过比较发现参数的异常，从而检测出入侵行为。,入侵检测系统面临的挑战,一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉。,误报,没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有四个方面。1、缺乏共享数据的机制 2、缺乏集中协调的机制3、缺乏揣摩数据在一段时间内变化的能力4、缺乏有效的跟踪分析,入侵检测系统的类型和性能比较,根据入侵检测的信息来源不同，

14、可以将入侵检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。1、基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。2、基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。,入侵检测的方法,目前入侵检测方法有三种分类依据：1、根据物理位置进行分类。2、根据建模方法进行分类。3、根据时间分析

15、进行分类。常用的方法有三种：静态配置分析、异常性检测方法和基于行为的检测方法。,响应,数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。1、将分析结果记录在日志文件中，并产生相应的报告。2、触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。3、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。,案例 入侵检测工具：BlackICE,BlackICE是一个小型的入侵检测工具，在计算机上安全完毕后，会在操作系统的状态栏显示一个图标，当有异常网络情况的时候

16、，图标就会跳动。主界面如图5-31所示。,可以查看主机入侵的信息，选择属性页“Intruders”，如图5-32所示。,入侵检测工具：冰之眼,“冰之眼”网络入侵检测系统是NSFOCUS系列安全软件中一款专门针对网络遭受黑客攻击行为而研制的网络安全产品，该产品可最大限度地、全天候地监控企业级的安全。由于用户自身网络系统的缺陷、网络软件的漏洞以及网络管理员的疏忽等等，都可能使网络入侵者有机可乘，而系统遭受了攻击，就可能造成重要的数据、资料丢失，关键的服务器丢失控制权等。,使用“冰之眼”，系统管理人员可以自动地监控网络的数据流、主机的日志等，对可疑的事件给予检测和响应,在内联网和外联网的主机和网络遭

17、受破坏之前阻止非法的入侵行为，主界面如图5-33所示。,管理员可以添加主机探测器来检测系统是否被入侵，选择菜单栏“网络”下的菜单项“添加探测器”，可以添加相关的探测器，如图5-34所示。,内外网物理隔离技术,再先进的网络安全技术也无法保证100%的安全。理论上，最安全的安全手段就是在物理上断开连接。目标在物理传导上隔离物理辐射上隔离物理存储上隔离两个网络环境,用户级物理隔离技术,第一阶段，双机隔离。第二阶段，双硬盘隔离。第三阶段，单硬盘物理隔离。,单硬盘物理隔离系统,在一块硬盘上，将硬盘分割为两个独立分区，同时通过对硬盘读写地址的监视与控制，使两个分区的内容完全独立，不能相互访问。硬盘与主板的

18、连接通过隔离卡连接，通过隔离卡的逻辑控制芯片监视硬盘地址的访问，从而实现对不同分区的访问控制。特点就是计算机被分成外网与内网两个隔离的状态。,网络级物理隔离,隔离集线器因特网信息转播服务器隔离服务器,反病毒技术,病毒的概念病毒的特征病毒的分类反病毒技术邮件病毒及其防范,病毒的概念,一种人为编制的特殊程序代码，可将自己附着在其他程序代码上以便传播，可自我复制、隐藏和潜伏，并带有破坏数据、文件或系统的特殊功能。特洛依木马的特例。具有宿主。,“细菌”(Bacteria)一种简单的可自身复制的程序，一旦进入系统，该程序就连续不停地运行，尽可能地占据处理器时间和存储空间，造成系统因缺乏可用资源而不能工作

19、。无宿主。,“蠕虫”(Worm)一种独立运行的程序代码，在网络环境下主动传播和复制，利用系统资源侵入网络，从而阻塞和拒绝网络服务。无宿主、不驻留、仅存在于内存，可经网络传播。,病毒的特征,传染性未经授权执行隐蔽性潜伏性破坏性不可预见性,病毒的分类,按照传染方式分引导型文件型混合型按照连接方式分源码型入侵型操作系统型外壳型按照破坏性分良性病毒恶性病毒,反病毒技术的发展,病毒特征码分析静态广谱特征扫描静态扫描与动态仿真跟踪技术结合。,病毒检测方法,病毒特征码校验和法软件模拟法VICE先知扫描法,病毒的防范,不轻易上一些不正规的网站注意电子邮件病毒的防范防止病从口入注意病毒公告做好备份思想重视,邮件病毒,邮件病毒特点感染快、扩散面广、传播形式多样、难于彻底清除、破坏性大邮件病毒防范电子邮件炸弹,