第八章 防火墙
- 防火墙概念
(1)高级网络访问控制设备
(2)位置:位于不同网络安全域之间
(3)功能:唯一通道,执行访问控制策略
(4)目的:防止外部网络用户以非法手段进入内部网络访问内部网络资源,保护内部网络操作环境 - 防火墙功能:防火墙不能作为网络防范的一切,也不应该把它作为所有安全问题的一个最终解决方案。
(1)创建一个阻塞点
(2)实现安全策略
(3)记录网络活动
(4)限制网络暴露
(5)安全功能实现平台 - 防火墙局限性
(1)可能被绕开,例如,在防火墙内部通过拨号出去
(2)不能防范内部攻击
(3)无法禁止内部人员将敏感数据拷贝到U盘上。
(4)不能防范没有安全意识的管理员授予其些入侵者临时网络访问权限
(5)不能防止传送被病毒感染的程序或者文件、邮件等
(6)不对扫描文件
(7)性能瓶颈、单点失效
(8)不能防备新的网络安全问题。 - 防火墙技术
(1)包过滤(网络层):检查每一个包头部信息,依据一套规则决定丢弃或者放行该数据包。根据访问控制列表进行过滤
(2)电路级网关
(3)应用代理防火墙:完全阻隔网络通信流,接收、分析服务请求,若允许则代理用户去取得网络信息,内外网间不直接通信;对每种应用服务编制专门的代理程序。主要功能:充当防火墙;节省IP开销;提高访问速度。
(4)状态监测包过滤防火墙:采用基于连接的状态监测机制(在包过滤的同时,检察数据包之间的关联性,将属于同一连接的所有包作为一个整体的数据流看待,视每个连接发起到结束的全过程,构成连接状态表。检查包括链路层、网络层、传输层、应用层的各种信息,结合规则表和状态表决定是否允许包通过。);动态连接状态表;支持多种协议和应用,可方便地实现应用和服务扩充。
代理服务器的主要功能:
(1)充当防火墙
(2)节省IP开销
(3)提高访问速度 - 防火墙体系结构
(1)屏蔽路由器结构、
(2)双重宿主主机体系结构
(3)屏蔽主机体系结构
(4)屏蔽子网体系结构 - 局限性:
(1)可能被绕开
(2)不能防范内部攻击
(3)不能防范没有安全意识的管理员授予某些入侵者临时网络访问权限
(4)不能防止传送被病毒感染的程序或者文件、邮件等
(5)性能瓶颈、单点失效
(6) 不能防备新的网络安全问题。
第九章 入侵检测
- IDS的引入原因
(1)IDS是防火墙之后第二道防线;
(2)防火墙存在很多不足,如自身可以被攻破,对某些攻击保护很弱,仅能拒绝非法的连接请求,但是对于入侵者的攻击行为仍一无所知;
(3)入侵很容易
(4)预防是理想的,但检测是必须的. - 入侵检测:从网络或系统关键点收集信息并进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象;对系统运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。
- IDS基本结构
三个功能部件:
(1)信息收集:来源为系统或网络的日志文件、网络流量、系统目录和文件的异常变化、程序执行中的异常行为
(2)信息分析:包括模式匹配、统计分析和完整性分析(用于事后分析)。模式匹配指将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为;统计分析指给系统对象统计正常使用时的一些测量属性,然后用来与网络、系统行为进行比较,任何观察值在正常范围之外时,就认为有入侵发生。完整性分析主要关注某个文件或对象是否被更改,在发现被更改的、被安装木马的应用程序方面特别有用
(3)结果处理 - 入侵检测的分类:按照分析方法分为异常检测模型和误用检测模型;按照数据来源分为基于主机、基于网络和混合型
- 响应策略:弹出窗口报警、E-mail通知、切断TCP连接、执行自定义程序、与其他安全产品交互
- 响应方式:被动响应、温和主动响应、严厉主动响应
- 入侵检测的发展方向:
(1)更有效集成各种入侵检测数据源,包括从不同系统和不同传感器上采集的数据,提高报警准确率;
(2)在事件诊断中结合人工分析,提高判断准确性;
(3)提高对恶意代码的检测能力,包括email攻击,Java,ActiveX等;
(4)采用一定的方法和策略来增强异种系统的互操作性和数据一致性;
(5)研制可靠的测试和评估标准;
(6)提供科学的漏洞分类方法,尤其注重从攻击客体而不是攻击主体的观点出发;
(7)提供对更高级的攻击行为如分布式攻击、拒绝服务攻击等的检测手段;