【计算机系统和网络安全技术】第九章：防火墙与入侵防御系统

第九章：防火墙与入侵防御系统

1.防火墙的必要性

与Internet的连接性的非常重要的

• 会对机构产生威胁

• 保护局域网的一种有效方式

• 防火墙设置在驻地网和 Internet 之间,以建立二者间的可控

链路

• 防火墙可以是单机系统，也可以是协作完成防火墙功能的两个或者更多系统。

• 纵深防御

• 提供一个能加强安全和审计的遏制点

• 将内部系统和外部网络隔离开来

2.防火墙的特征和访问策略

设计目标：所有从内部到外部的流量都必须通过防火墙，反之亦然。 只有经过授权的网络流量，例如符合本地安全策略定义的流量，防火墙才允许其通过，防火墙本身不能被渗透

防火墙访问策略特征：

指定合适的访问策略是防火墙的规划和实施过程的关键部分。 该策略应由企业的信息安全风险评估和策略部门进行制定。访问策略先是根据一个较为广义的规范来进行制定，即公司需要

IP 地址和协议

• 这种类型的过滤器被滤包器和状态检测防 火墙使用。

• 限制对特定服务的访问。 

应用层协议

• 此类过滤器通 常被应用层网 关所使用且网关主要用于转发和监控特定应用层协议的信息交换

用户身份

• 通常用于那些 需要确认自己 正在使用某种 形式的安全认 证技术的内部用户

网络活动

• 这是基于时间 或请求等注意 事项的访问控 制。例如限定 在工作时间、请求频率或其他行为模式

具备的功能:

• 防火墙定义一个遏制点

• .防火墙提供了监视安全相关事件的场所

• 防火墙可以为多种与安全不相关的Internet 功

能的实现提供一个便利的平台

• 防火墙可以作为IPSec的平台

限制:

• 防火墙不能阻止那些绕开防火墙的攻击。

• 防火墙不能完全防止内部威胁

• 一个安全设置不当的无线局域网有可能允许来自公

司外部的访问

• 笔记本电脑、PDA或便携式存储设备可能在企业网

以外的地方使用时被感染了，之后被连接到内部网

络使用。

3.防火墙类型

包过滤防火墙：

根据一组规则来检查每个接收和发送的IP包

有两种可能的默认策略:

• 默认 - 丢弃: 没有明确准许的将被阻止。

• 一种更加保守的策略，户更容易感觉到防火墙的存在，也更有可能把防

火墙视为一种阻碍

• 默认 - 转发: 没有明确阻止的将被准许。

• 提高了终端用户的方便性，但是提供的安全性也降低了。

• 优点

• 简单

• 对用户是透明的，具有很快的处理速度

• 缺点

• 防火墙不能阻止利用了特定应用的漏洞或功能所进行的攻击。

• 包过滤防火墙的日志记录功能有限

• 大多数包过滤防火墙不支持高级的用户认证机制

• 包过滤防火墙对利用TCP/IP规范和协议栈存在的问题进行的攻击没有很 好的应对措施

• 由于包过滤防火墙根据几个变量进行访问控制决策，因此不恰当的设置会引起包过滤防火墙的安全性收到威胁

状态检测防火墙：

通过创建一个出站TCP连接目录来收紧TCP通信规则

• 每个当前建立的连接都有一个条目

• 包过滤器只允许进入高编号端口的数据包符合此目录中某个条目的配置文件

• 查看包信息，同时记录TCP连接信息

• 跟踪TCP序列号，防止依赖序列号的攻击

• 对FTP、IM和sip命令等协议进行数据检查

应用级网关：

应用级网关也称为应用代理

• 起到应用级流量中继器的作用

• 用户使用TCP/IP应用程序(如Telnet或 FTP)连接到网关

• 认证用户

• 网关会联系远程主机并在两个端点之间中继包含应用应用程序数据的TCP分段。

• 网关必须为特定应用程序实现代理代码

• 可以拒绝所有其他的应用程序特性

• 应用级网关往往比包过滤器更安全

• 应用级网关的最大缺点是带来了对每条连接的额外处理开销。

电路级网关：

电路级代理

• 建立两条TCP连接，一条在自身和内部主机TCP用户之间，另一条在自身

和外部主机TCP用户之间。

• 一旦建立了这两条连接，网关就在这两条连接之间中继TCP分段，不检查

其内容。

• 安全功能包括判断哪些连接是允许的。

典型的应用是系统管理员信任系统内部用户的情况。

• 电路级网关可以被设置为支持两种连接，一种是应用级服务或代理服务的

入站连接，另一种是电路级功能的出站连接。

• 电路级网关对于出站的数据不会有额外的开销

4.防火墙的布置

堡垒主机：

被防火墙管理员称为网络安全中极强的端系统。

• 可以作为应用级或电路级网关平台

• 堡垒主机的共同特征如下

• 堡垒主机的硬件平台上运行操作系统的安全版本，只有那些被网络管理员认为是基本的服务才可以安装在堡垒主机上

• 在用户被允许访问代理服务之前，堡垒主机可能需要对其进行附加认证

• 每个代理被配置为只允许对指定系统进行访问。这意味着有限的命令/特征集只应用于受保护网络的部分系统

• 每个代理模块是专门为网络安全设计的非常小的软件包。由于它相对简单，检查这样的模块的安全缺陷比较容易。

• 在堡垒主机中每一个代理都独立于其他的代理

• 除了读自己的初始配置文件以外，代理通常不进行磁盘读取操作。

基于主机的防火墙：

• 用于保障个人主机安全的软件模块

• 这个模块在许多操作系统中是自带的，或者以附件的形式提供

• 过滤和限制数据包流

• 这样的防火墙位于服务器上

优点 :

• 过滤规则可以根据主机环境定制

• 保护功能独立于网络的拓扑结构。

• 应用于单机防火墙之间的联合处，基于主机的防火墙 提供了一个额外的保护层。

个人防火墙：

控制个人电脑或者工作站与Internet或企业网络之间的网络流量

• 可以用于家庭环境或公司的内网中

• 个人防火墙是个人电脑上的一个软件模块

• 在一个有多台计算机连接到Internet的家庭环境中，防火墙功能也可以集成到连接着所有家用电脑和 DSL、电缆调制解调器或其他Internet接入设备的路由器上。

• 通常的个人防火墙要比基于服务器的防火墙或单机防火墙简单得多

• 个人防火墙的首要功能是拒绝对本机的非法远程访问。

• 防火墙也能够通过监控出站活动，来试图检测和阻断蠕虫和其他的恶意软件的

行为

5.入侵检测系统

入侵防御系统 (IPS)

3 防火墙的类型

也称为入侵检测防御系统 (IDPS)

• 它是IDS 的扩展，能够尝试阻止或预防检测到的恶意活动。

• 分为基于主机、基于网络、基于分布式或混合式这几种类别。

• 同样，它也用异常检测来识别非法用户的行为,或者用特征和启

发式检测来识别已知的恶意行为。

基于主机的IPS (HIPS)：

能够使用特征/启发式检测或异常检测来识别攻击。

• 特征/启发式检测：重点在于从应用程序网络流量的内容或系统调用的顺序之中，

查找可被认为是恶意行为的特征。

• 异常检测： IPS主要寻找能够表明某软件为恶意的行为模式。

• HIPS 中所涉及的恶意行为类型的例子主要有以下几种:

• 对系统资源的修改

• 提权攻击

• 缓冲区溢出攻击

• 访问电子邮件通信录

• 目录遍历

基于主机的入侵防御系统（HIPS）

HIPS能够为特定的平台进行适当的定制

• 可以在台式系统或者服务器系统中使用一套通用的工具

• 一些HIPS 套装被设计用来保护特定种类的服务器，如 Web服务器和数据库服

务器。

• 在这种情形下，HIPS搜寻特殊的应用攻击。

• HIPS还可以使用沙箱方法

• 沙箱方法特别适用于移动代码，比如，Java小程序和脚本语言。

• HIPS将这些代码隔离在一个独立的系统区域内，然后运行它并监视其行为。

• 以下列出了以下典型的HIPS提供的桌面系统保护的范围：

• 系统调用

• 文件系统访问

• 系统注册表设置

• 主机输入/输出

HIPS的角色

许多行业观察员注意到企业终端，包括桌面系统和便携式电脑系统，已经成为黑客活动和犯罪的主要目标

HIPS方法是试图由单一产品提供集成的功能组的一种尝试

更为谨慎的做法是将HIPS作为涉及网络层设备（例如，防火墙或者基于网络的

IPS)的一整套策略中的一个组件使用

太多了写不动了先这样叭