网络安全技术(三)

   八，防火墙的安装与配置
     (1)硬件防火墙的网络接口

    1内网

    内网一般包括企业的内部网络或是内部网络的一部分。

    2外网

    外网指的是非企业内部的网络或是Internet，内网与外网之间进行通信，要通过防火墙来实现访问限制。

    3DMZ（非军事化区）

    DMZ是一个隔离的网络，可以在这个网络中放置Web服务器或是E-mail服务器等，外网的用户可以访问DMZ。

    (2)防火墙的安装与初始配置

    1给防火墙加电令它启动

    2将防火墙的Console口连接到计算机的串口上，并通过Windows操作系统的超级终端，进入防火墙的特权模式。

    3配置Ethernet的参数。

    4配置内外网卡的IP地址、指定外部地址范围和要进行转换的内部地址。

    5设置指向内网与外肉的缺省路由。

    6配置静态IP地址映射。

    7设置需要控制的地址、所作用的端口和连接协议等控制选项并设置允许telnet远程登录防火墙的IP地址。

    8保存配置。

    (3)基本配置方法(以cisco PIX525为例)

    1访问模式

    1)非特权模式

    PIX防火墙开机自检后，就是处于这种模式。系统显示为 pixfirewall

    2)特权模式

    输入enable进入特权模式，可以改变当前配置。显示为 pixfirewall#

    3)配置模式

    输入configure termina进入此模式，绝大部分的系统设置都在这里进行。显示为 pixfirewall(config)#

    4)监视模式

    PIX防火墙在开机或重启过程中，按住Escape键或发送一个“Break”字符，进入监视模式。这里可以更新操作系统映像和口令回复。显示为 monitor>

   (4)基本配置命令

   1nameif：配置防火墙接口的名字，并指定安全级别

   PIX525(config)#nameif ethernet0 outside security 0

   //设置以太网口1为外网接口，安全级别为0，安全系数最低

   PIX525(config)#nameif ethernet1 inside security 1000

   //设置以太网口2为外网接口，安全级别为100，安全系数最高

   PIX525(config)#nameif ethernet2 dmz security 50

   //设置DMZ接口为防火区，安全级别为50，安全系数居中

   在缺省配置中，以太网口0被命名为外部接口(outside)，安全级别是0；以太网口1被命名为内部接口(inside)，安全级别是100；安全级别取值范围为1到99，数字越大安全级别越高。

   2interface：配置以太网口参数

   Pix525(config)#interface ethernet0 auto

   //配置以太网口0为AUTO模式，

   auto选项表明系统网卡速度工作模式等为自动适应，这样该接口会自在10M/100M，单工/半双工/全双工之间切换。

   Pix525(config)#interface ethernet1 100 full

   //强制设置以太网口1为100Mbit/s全双工通信

   3ip address：配置内外网卡的IP地址

   Pix525(config)#ip address outside 61.144.51.42 255.255.255.248

   Pix525(config)#ip address inside 192.168.0.1 255.255.255.0

   4nat：指定要进行转换的内部地址

   nat命令配置语法：

   nat(if_name)nat_id local_ip [netmark]

   其中(if_name)表示内网接口名字，例如inside

    nat_id用来标识全局地址池，使它与其相应的global命令相匹配

    local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。

    [netmark]表示内网IP地址的子网掩码。

    例：Pix525(config)#nat (inside)

    1 192.168.1.0 255.255.255.0

    设置只有192.168.1.0这个网段内的主机可以访问外网。

    5Global

    指定一个外网的ip地址或一段地址范围。Global命令的配置语法：

    Global(if_name) nat_id ip_address-ip_address [netmark global_marsk]

    其中(if_name)表示外网接口名字，例如outside

    Nat_id用来标识全局地址池，使它与其相应的nat命令相匹配

    ip_address-ip_address表示翻译后的单个IP地址或一段IP地址范围

    netmark global_marsk表示全局IP地址的网络掩码

    Global(config) #global (outside) 1 61.144.51.42-61.144.51.48

    6route：设置指定内网和外网的静态路由

    Route命令配置语法：

    Route(if_name) 0 0 gateway_ip [metric]

    其中(if_name)表示接口名字，例如inside，outside

    Gateway_ip表示网关路由器的Ip地址

    [metric]表示到gateway_ip的跳数。通常缺省是1.

    Pix525(config)#route outside 0 0 61.144.51.168 1

    设置一条指向边界路由器(IP地址61.144.51.168)的缺省路由。

    7static：实现内部和外部地址固定映射的配置

   配置静态NAT，如果从外网发起一个会话，会话的目的地址是一个内网的IP地址，static就把内部地址翻译成一个指定的全局地质，允许这个会话建立。语法：

   Static (internal_if_name,external_if_name)outside_ip_address inside_ip_address

   其中internal_if_name为外网网络接口，安全级别较低，如outside等。

    outside_ip_address为正在访问的较低安全级别的接口上的IP地址。

    inside_ip_address为内部网络的本地IP地址。

    Pix525(config)#static (inside,outside)202.113.79.4 192.168.0.4

    8Conduit(管道命令)

    使用static命令可以在一个本地IP地址和一个全局IP地址之间穿件一个静态映射，但从外部到内部接口的连接仍然会被Pix防火墙的自适应安全算法(ASA，阻挡，conduit命令)用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口。例如允许从外部到DMZ或内部接口的入方向的会话。

   对于内部接口的连接，static和conduit命令将一起使用，来指定会话的建立，说得通俗一点管道命令(conduit)就相当于遗忘CISCO设备的访问控制列表(ACL)。

   Conduit命令配置语法：

   Conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask]

   其中permit|deny指的是先前由global或static命令定义的全局IP地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。

    Port指的是服务所用的端口，例如www使用80，smtp使用25等等，我们可以通过服务名称或端口数来指定端口。

    Protocol指的是连接协议，比如：TCP，UDP，ICMP等。

    foreign_ip表示可以访问global_ip的外部IP地址。对于任意主机可以用any表示，如果foreign_ip是一台主机，就用host命令参数。

    Pix525(config)#conduit permit tcp host 192.168.0.4 eq www any

    9fixup

    Fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。

    Pix525(config)#fixup protocol ftp 21

    //启用ftp协议，并指定ftp的端口号为21

    PIx525(config)#fixup protocol http 80

    PIx525(config)#fixup protocol http 1080

    //为http协议指定的80和1080两个端口。

    Pix525(config)#no fixup protocol smtp 80

    //禁用ssmtp协议。

    九，入侵检测技术

    入侵检测系统(IDS)是对计算机和网络资源的恶意使用行为检测的系统。

    (1)入侵检测系统的功能

    1监控和分析系统、用户的行为。

    2评估系统文件与数据文件的完整性。

    3检查系统漏洞。

    4对系统的异常行为进行分析和识别，及时向网络管理人员报警。

    5跟踪管理操作系统，识别无授仅用户活动。

    (2)入侵检测系统的结构

    1事件发生器

    2事件分析器

    3响应单元

    4事件数据库

    (3)入侵检测系统的分类

    1基于主机的入侵检测系统



    2基于网络的入侵检测系统



    (4)入侵检测技术的分类

    分为异常检测和误用检测两种。

    (5)入侵检测系统分类

    按照检测的数据来源，入侵检测系统可以分为：基于主机的入侵检测系统(系统日志和应用程序日志为数据来源)和基于网络的入侵检测系统(网卡设置为混杂模式，原始的数据帧是其数据来源)。

    (6)分布式入侵检测系统

    分布式入侵检测系统的三种类型为层次型(存在单点失效)，协作型(存在单点失效)和对等性(不存在单点失效)

    (7)入侵保护系统

   1入侵防护系统的基本概念

   入侵防护系统（IntrusionPreventionSystem，IPS）是将防火墙技术和入侵检测技术进行整合的系统，该系统倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失。入侵防护系统整合了防火墙技术和入侵检测技术，采用In-Line工作模式。

   2．入侵防护系统的基本结构

  入侵防护系统是要包括：嗅探器、检测分析组件、策略执行组件、状态开关、日志系统和控制台6个部分。

   3入侵防护系统的基本分类

   1)基于主机的入侵防护系统（Host-basedIntrusionPreventionSystem，HIPS）

   安装在受保护的主机系统中，检测并阻拦正对本机的威胁和供给。

   2)基于网络的入侵防护系统（Network-basedIntrusionPreventionSystem，NIPS）

   布置于网络出口处，一般串联与防火墙与路由器之间，网络进出的数据流都必须通过它，从而保护整个网络的安全。如果检测到一个恶意的数据包时，系统不但发出警报，还将采取响应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。NIPS对攻击的误报会导致合法的通信被阻断。

    3)应用入侵防护系统（ApplicationIntrusionPreventionSystem，AIPS）

    一般部署于应用服务器前端，从而将基于主机的入侵防护系统功能延伸到服务器之前的高性能网络设备上，进而保证了应用服务器的安全性，防止的入侵包括cookie篡改，SQL注入等漏洞。

   十，网络入侵检测系统的部署

   (1)网络入侵检测系统的组成结构

   1控制台

   2探测器

   (2)网络入侵检测系统常用的部署方法

   1网络接口卡与交换设备的监控端口连接，通过减缓设备的Span/Mirror功能将流向各个端口的数据包复制一份给监控端口。

   2在网络中增加一台集线器改变网络拓扑结构，通过集线器(共享式监听方式)获取数据包。

   3入侵检测传感器通过一个TAP(分路器)设备对交换式网络中的数据包进行分析和处理。

   TAP是一种容错方案，它提供全双工或半双工10/100/1000M网段上观察数据流量的手段，其优点为：

   TAP是容错的，如果发生电源故障，原先监控的网段上的通信部分受影响。

   TAP不会影响数据流。

   TAP阻止建立于入侵检测系统的直接连接，从而保护它不受攻击。

   4入侵检测系统与防火墙联合部署

   十一，网络安全评估

   网络安全风险评估系统是一种集网络安全监测，风险评估，修复，统计分析和网络安全风险集中控制管理功能于一体的网络安全设备。

    (1)网络安全评估分析技术

   1基于应用的技术(被动)

    2基于网络的技术(主动)

    网络安全分析按评估技术通常用来穿透实验和安全审计。

    (2)网络安全评估分析系统结构
        通常采用控制台和代理相结合的结构