1、简述防火墙的基本概念和应达到的目标。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网如Internet)分开的方法,它实际上是一种隔离技术 ,在两个网络 通信时执行的一种访问控制尺度,它能允许用户“同意”的人和数据进人该用户的网络,同时将用户“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问用户的网络。防火墙是在两个网络之间执行控制策略的协同(包括硬件和软件),目的是保护网络不被可疑人员人侵。本质上,它遵从的是一种允许组织之间往来的网络通信安全机制,提供可控的过滤网通信,或者只允许授权的通信。通常,防火墙的物理载体可以是位于内部网或Web站点与Internet之间的一个路由器和一台计算机(通常称为堡垒主机,或是它们的组合,其目的如同一个安全门,或工作在门前的安全卫士,控制并检查站点的访问者。
2、简单描述防火墙的双宿主主机体系结构。
双宿主机是一台具备两块NIC的计算机,每一块NIC各有一个IP地址,它采用NAT和代理两种安全机制。对从一块网卡上送来的IP包,经过一个安全检查模块检查后,如果合法,就转发到另一块网卡上,以实现网络正常通信;如果不合法,则阻止通信。两个网络之间的数据流完全由双宿主机控制。
双宿主机防火墙采用主机取代路由器执行安全控制功能,与包过滤防火墙类似。双宿主机防火墙的最大特点是IP层的通信被阻止,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成,不能直接通信。内部网和外部网通过应用层数据共享来实现对外部网的访问。
3、简单描述防火墙的堡垒主机过滤体系结构。
堡垒主机过滤体系结构的防火墙包括堡垒主机和包过滤路由器。堡垒主机是一个中心主机,它是连接及隔离内部网和外部网的唯一通道,它有两个网络接口,分别与内部网络和外部网络相连。包过滤路由器位于内部网络和外部网络之间,过滤规则的配置使得外部主机只能访问堡垒主机,发往内部网的其他业务则全部被阻塞。对于内部主机来说,由于内部主机和堡垒主机同在一个内部网络上,所以机构的安全策略可以决定内部系统允许直接访问外部网,还要求使用配置在堡垒主机上的代理服务。当配置路由器的过滤规则,使其仅仅接收来自堡垒主机的内部业务流时,内部用户就不得不使用代理服务了。主机过滤防火墙具有双重保护,从外网来的访问只能访问到堡垒主机,而不允许访问被保护网络的其他资源,有较高的安全可靠性。并且主机过滤网关能有选择地允许那些可以信赖的应用程序通过路由器,是一种非常灵活的防火墙。
4、简单描述防火墙的过滤子网体系结构。
在某些防火墙配置中,设置一个专门的分离网络,让外部不可信网络和内部网络都可以访问,但网络的流量却不能通过该分离网络在外部网络和内部网络之间流动。这个分网络由内部过滤路由器、外部过滤路由器和堡垒主机构成,该分离网络称为过滤子网。
5、简述入侵检测的概念。
人侵检测技术是安全设计中的核心技术之一,是网络安全防护的重要组成部分。它是一种主动保护网络和系统免遭非法攻击的网络安全技术。通过对在计算机和网络上收集到的数据进行分析,检测到对系统的闯人或闯入的企图,检测计算机网络中违反安全策略的行为。
人侵(Intrusion)是指潜在的、有预谋的、违背授权的用户试图“接入信息、操纵信息、致使系统不可靠或不可用”的企图或可能性。美国国际计算机安全协会(ICAS)对人侵检测定义的描述为:通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。违反安全策略的行为有:入侵——非法用户的违规行为;滥用——用户的违规行为。进行入侵检测的软件与硬件的组合称为人侵检测系统(Intrusion Detection System,IDS),它能够主动保护计算机信息网络系统免受攻击,是防火墙、虚拟专用网的进一步深化。它构成一个主动的、智能的网络安全检测体系,在保护网络安全运行的同时,简化了系统的管理。
6、简述入侵检测系统IDS的功能。
人侵检测系统(IDS)一般都具有以下功能:
(1)监测并分析用户和系统的行为。
(2)检查系统和网络的漏洞。
(3)评估系统关键资源和数据文件的完整性。
(4)识别已知的攻击。
(5)分析统计异常行为。
(6)进行日志管理分析,识别违反安全策略的行为。
7、基于主机的IDS有哪些优势和不足。
基于主机的IDS具有以下的优点:
(1)针对某种特定的操作系统设计,有更详细的特征数据。基于主机的IDS可以设计为专门运行在特定的操作系统上.保护特定的应用程序.由于自标集中,使开发着再考虑影响要保护的特定系统环境的因索,设计出更加具体的特征,以便准确地识别恶意通信流。
(2) 非常适用于被加密的和交换的环境。根据加密程序在协议栈中的位置,它可能让基于网络的IDS无法检测到某些攻击。基于主机的IDS并不具有这个限制。因为当操作(因而也包括了基于主机的IDS)接收到来的数据包时,数据序列已经被解密了)。
(3)可以针对某种应用程序。在主机的层次上,IDS可以经过设计、修改或者调整有针对性地在主机特定版本的服务器、FTP服务器邮件服务器以及任何其他应用程序上建立特征数据,而不需分析甚至保存那些不运行在本系统中的其他应用程序的特征数据。
(4)可以判断某种报警是否真的会影响系统。判定某种活动或者模式是否真正影响被保护系统的能力,极大地减少报警的次数。由于IDS驻留在系统上,它可以在分析数据流量的同时验证诸如系统补丁级别、特定文件是否存在以及系统状态等信息。根据系统状态,IDS可以更加准确地判定某种行为是否对系统构成潜在的威胁。
基于主机的IDS具有以下的缺点:
(1)基于主机的IDS必须在每 个被监控的系统中运行一个IDS进程或者 IDS应用程
序,对人侵行为的分析工作量将随着主机数目的增加而增加。
(2) IDS使用本地系统的资源。基于主机的IDS的运行会消耗主机系统的CPU时间和存储空间,必然会影响服务器性能。
(3) IDS的关注范围较窄,不关心固围的行为。基于主机的IDS只能报告它所保护的主机是否被攻击,根本不监测网络上的情况。
(4) IDS本身容易受到攻击。如果基于主机的IDS在本地系统中记录了报警的信息,闯人系统的攻击者就可能有权限更改和盟途这些信息。使得安全人员难以发现人侵者以及进行事后处理。
8、基于网络的IDS有哪些优势和不足。
基于网络的IDS具有以下的优点:
(1)成本低,它们的部署对现有网络的影响很小。基于网络的IDS允许部署在一个或多个点来检查所有经过的网络通信。不需要在各种主机上装载并管理软件,大大减少了安全管理的复杂性。
(2)实时检测和响应。基于网络的IDS可以在发生恶意访问或攻击的同时将其检测出来,并很快做出通知和响应。
(3)检测基于主机系统漏洞的攻击。它可以看到整个网络的流量,能够把多个系统受到的攻击关联起来。检测所有流经网络的包的头部,发现恶意的和可疑的行动迹象。
(4)能够检测未成功的攻击和不良企图。置于防火墙外面的基于网络的IDS可以检测到利用防火墙后面资源的攻击,尽管防火墙本身可能会拒绝这些攻击企图。基于主机的系
统并不能发现未能到达受防火墙保护的主机的攻击企图,而这些信息对于评估和改进安全策略是十分有意义的。
(5)操作系统无关性。基于网络的IDS不依赖主机的操作系统作为检测资源,而基于主机的系统需要特定的、没有遭到破坏的操作系统才能正常工作,发挥作用。
基于网络的IDS具有以下的缺点:
(1)对加密通信流量无效。当应用程序之间或者系统之间的网络通信被加密时,基于网络的IDS就不能检查这些流量了。随着对通信流的加密越来越广泛,这个问题正在成为IDS有效操作的一个突出问题。
(2)对于不通过它的流量无能为力。
(3)必须处理很大数量的数据。随着网络速度的不断提高,网络传感器必须能够跟上网络速度增长的步伐。
(4)对自身主机的情况一无所知。基于网络的IDS把注意力集中于网络通信流,而忽视了发生在主机内部的事件。
9、简述网络诱骗的概念和作用。
网络诱骗,顾名思义,就是通过诱导和欺骗的方式对网络人侵行为进行牵制、转移甚至控制。其目的是用特有的特征吸引人侵者,使人侵者相信系统存在有价值的、可利用的安全弱点,而且具有一些可攻击窃取的资源(当然这些资源是伪造的或不重要的),并将人侵者引向这些错误的资源,同时对入侵者的各种攻击行为进行监控、分析并找到有效的对付方法。相对于传统的防御方法,网络诱骗是种主动的防御手段,能够对攻击者造成威胁和损害,它可以:
●消耗攻击者所拥有的资源、加重攻击者的工作量和迷惑攻击者;
●掌握攻击者的行为,跟踪攻击者;
●有效地制止攻击者的破坏行为。
10、简述网络诱骗系统的体系结构和工作原理。
网络诱骗系统由决策、诱导、欺骗分析等模块组成。决策模块实时地监听各种事件,包括人侵检测系统的报警信号,如某地址收到端口扫描;某地址被攻击等。普通的网络访问事件,如收到某地址的ICMP echo request报文,某地址某端口的发起连接报文等。当决策模块监听到某事件后,将其与欺骗、诱导信息库中的记录进行比较,先判断目的地址是否在被保护的范围内,若是,则根据欺骗、诱导策略决定进行诱导或欺骗。诱导将攻击者的连接转向蜜罐系统;欺骗则由欺骗主机生成虚假信息,发送给攻击者,使攻击者得不到正确的网络资料。系统所作的欺骗和诱导事件都记录到日志文件中,由分析模块进行分析,调整欺骗诱导策略。