搜索
Copyright©McGraw-HillEducation.Allrightsreserved.NoreproductionordistributionwithoutthepriorwrittenconsentofMcGraw-HillEducation.本章内容防火墙设备的基础知识防火墙的设备实践操作技能入侵检测设备的基础知识入侵检测系统实践技术统一安全网关基础知识防火墙的基本概念防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入。防火墙的基本功能(1)增强的保密性(2)保护脆弱的服务(3)控制对系统的访问(4)集中的安全管理防火墙的工作原理通过检查每个数据包的IP地址采用的通信协议和端口号来判断是否允许放行。防火墙将内部状态信息和连接状态进行比较,如果符合其中的某一条规则,就允许数据包通过,如果不符合就丢弃。因此只要定义想要禁止应用程序的TCP和UDP端口号,就能阻挡该应用程序和网络服务,不允许建立特定的链接。防火墙的分类根据防火墙所采用的技术不同,我们可以将它分为三种基本类型:包过滤型、代理型和监测型。1、包过滤防火墙又分为:静态包过滤和动态包过滤2、代理防火墙分为:代理防火墙和自适应代理防火墙防火墙硬件参数防火墙硬件参数是指设备使用的处理器类型或芯片及主频,内存容量,闪存容量,网络接口,存储容量类型等数据。防火墙初始化配置防火墙使用安全的登录方式,只有通过严格的身份认证后才能对防火墙进行管理。登录防火墙后,初始化向导可以帮助用户在防火墙第一次上线前进行基本功能的配置。使用防火墙实现安全的访问控制包过滤防火墙规则中应该阻止如下几种IP包进入内部网。源地址是内部地址的外来数据包。指定中转路由器的数据包。有效载荷很小的数据包。还应阻止某些类型的内部网数据包进入外部网,特别是那些用于建立局域网和提供内部网通信服务的各种协议数据包使用防火墙实现安全NAT网络地址转换(NetworkAddressTranslation,NAT),也称IP地址伪装技术(IPMasquerading)。最初设计NAT的目的是允许将私有IP地址映射到公网(合法的因特网IP地址),以减少IP地址短缺的问题。正是因为这个原因,我们至今还能使用IPv4,否则早就已经升级到IPv6了。此外,NAT还具有的功能。内部主机地址隐藏。网络负载均衡。网络地址交迭处理。配置防火墙地址绑定原理:如果防火墙某网口配置了IP/MAC地址绑定功能,并设置了默认策略(允许或禁止)后,当该网口接收数据包时,防火墙将根据数据包中的源IP地址与源MAC地址,检查管理员设置好的IP/MAC地址绑定表。如果地址绑定表中查找成功,匹配则允许数据包通过,不匹配则禁止数据包通过。如果查找失败,则按缺省策略(允许或禁止)执行。使用防火墙实现URL过滤URL过滤器的判断依据是基于最终目的地址或者被请求的网址,URL过滤有三种主要额方法:客户端,代理服务器和网络,并且每一种方法都不熟一个禁止访问站点的黑名单或一个仅由能被访问站点组成的白名单。1、客户端过滤器作为一个软件楔子进行部署,软件楔子被插入网络协议栈,监控所有的web流量2、基于代理服务器的过滤器使用web代理服务器,它负责处理来自浏览器的web请求,并从互联网或本地告诉缓存检索文档。3、基于网络的URL过滤器部署在网络的出口点兵检查通过网络的流量。使用防火墙保护服务资源原理:服务保护是防火墙的一种安全功能,可以限制从某个区域到达另外一个区域中主机或服务器的连接数。配置客户端认证原理:RG-WALL防火墙的访问控制功能可以对客户端的身份进行验证,只有客户端通过验证后,才允许通过安全策略访问网络资源。配置防火墙链路负载原理:防火墙的策略路由功能可以实现路由的负载均衡,即到达同一目的地的报文可以指定多个下一跳地址。使用防火墙限制连接带宽原理:RG-WALL防火墙集成了QoS(服务质量)功能,利用防火墙的带宽控制功能,可以限制每个IP地址或者每个子网访问外部网络所占用的带宽使用防火墙限制P2P流量原理:P2P技术是一种具备客户端和服务器双重特性,可以同时作为服务使用者和服务提供者。由于P2P技术的飞速发展,现在Internet上70%的流量都是P2P的流量。由于P2P技术在下载的同时,也需要上传,导致个人用户的下行流量和上行流量都很大。P2P流量造成了网络的极度拥塞。RG-WALL防火墙对P2P软件采用深度检测的方法,可以精确的识别P2P流量,以达到对P2P流量进行控制的目的。使用防火墙防止DOS攻击原理:SYNFlood是一种常见的DoS攻击,这种攻击通过使用伪造的源IP地址,向目标主机(被攻击端)发送大量的TCPSYN报文。目标主机接收到SYN报文后,会向伪造的源地址回应TCPSYN_ACK报文以等待发送端的ACK报文来建立连接。但是由于发送端的地址是伪造的,所以被攻击端永远不会收到合法的ACK报文,这将造成被攻击端建立大量的半开放连接,消耗大量的系统资源,导致不能提供正常的服务。防火墙的抗攻击功能可以对SYNFlood攻击进行检测,阻止大量的TCPSYN报文到达被攻击端,保护内部主机的资源。防火墙中VPN的配置与使用防火墙对象定义及策略路由设置过滤规则应用入侵检测系统定义入侵检测(intrusiondetection)简单地说就是通过实时地分析数据来检测、记录和终止非法的活动或入侵的能力。在实际应用中,入侵检测比以上简单的定义要复杂得多,一般是通过各种入侵检测系统(IntrusionDetectionSystem—IDS)来实现各种入侵检测的功能。入侵检测系统通过对入侵行为的过程与特征进行研究,使安全系统对入侵事件和入侵过程作出实时响应,包括切断网络连接、记录事件和报警等。入侵检测系统功能入侵检测系统主要执行如下任务:监视、分析用户及系统活动。系统构造和弱点的审计。识别反映已知进攻的活动模式并向相关人士报警。异常行为模式的统计分析。评估重要系统和数据文件的完整性。操作系统的审计跟踪管理,并识别用户违反安全策略的行为。入侵检测系统工作原理实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。入侵检测系统类型1、基于主机的入侵检测系统:主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件:来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。2、基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。入侵检测系统设备深信服下一代防火墙通过提出“融合安全,简单有效”价值主张,为用户业务提供全生命周期保护,真正实现全程可视和全程保护。事前:深信服NGAF帮助用户在事前自动发现新增资产、评估漏洞及是否有保护策略。事中:构建L2-7层纵深防御体系,屏蔽防护短板且具备联动和关联分析能力。事后:持续检测绕过防御的威胁,并通过云端安全服务提供7*24小时快速响应的技术服务。在IT业务运维全过程内向用户提供对风险的认知、对保护过程的认知和对结果的认知,帮助IT系统更简单、更安全、更有价值。入侵检测系统设备性能指标1.每秒数据流量(Mbps或Gbps)2.每秒抓包数(pps)3.每秒能监控的网络连接数4.每秒能够处理的事件数入侵检测产品选择要点要考虑的要点有:1.系统的价格2.特征库升级与维护的费用3.对于网络入侵检测系统,最大可处理流量(包/秒PPS)是多少4.该产品容易被躲避吗5.产品的可伸缩性6.运行与维护系统的开销7.产品支持的入侵特征数8.产品有哪些响应方法9.是否通过了国家权威机构的评测RG-IDS账户管理用户管理承担着系统认证中心的角色。用户登录时认证中心对用户名、密码做认证,如果有绑定设置则根据其绑定方式(静态绑定、动态绑定)对用户做绑定处理。此外,在认证登录用户时,如果某个用户从相同的IP(隐含的动态绑定)重复多次登录尝试,则将该用户视为可疑用户,认证中心会将该用户锁定,同时发送审计事件通知用户管理员(触发锁定的登录尝试次数可以用户管理员在创建时指定)。RG-IDS组件管理通过控制台可以管理的组件包括EC、LogServer和Sensor。EC:EventCollector(事件收集器):一个大型分布式应用中,用户希望能够通过单个控制台完全管理多个传感器,允许从一个中央点分发安全策略,或者把多个传感器上的数据合并到一个报告中去。用户可以通过安装一个事件收集器来实现集中管理传感器及其数据。事件收集器还可以控制传感器的启动和停止,收集传感器日志信息,并且把相应的策略发送传感器,以及管理用户权限、提供对用户操作的审计功能LogServer:(数据服务器)LogServer是RG-IDS的数据处理模块。LogServer需要集成DB(数据库)一起协同工作。DB(数据库)是一个第三方数据库软件。RG-IDS7.1.2支持微软MSDE、SQLServer,并即将支持MySQL和Oracle数据库,根据部署规模和需求您可以选择其中之一作为您的数据库。Sensor(传感器)部署在需要保护的网段上,对网段上流过的数据流进行检测,识别攻击特征,报告可疑事件,阻止攻击事件的进一步发生或给予其它相应的响应。RG-IDS策略管理传感器使用策略来控制其所监测的内容,并对监测到的事件作出响应。您可以使用系统管理平台所附带的预定义策略,也可以从预定义策略派生新的策略。预定义策略分别侧重于用户所关心的各种层面,用户可选择适合自己的预定义策略直接应用。考虑到用户的不同需求,系统管理平台提供了用户自定义策略的功能。用户可以从预定义策略派生新的策略并且对新策略进行编辑,用户还可对其关心的部分攻击签名进行微调,以便更符合用户的需要。策略是一个文件,其中包含称为“签名”的一列项目,这些项目确定了传感器所能监测的内容。策略控制传感器的以下行为:传感器检测的安全事件的种类。每一事件的优先权。传感器对安全事件的响应方式。签名是网络传感器用来检测一个事件或一系列事件的内部代码,这些事件有可能表明网络受到了攻击,也可能提供安全方面的信息。配置交换机端口镜像把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。端口镜像(PortMirroring)可以让用户将所有的流量从一个特定的端口复制到一个镜像端口。端口镜像选取的设备原则为网络中连接重要服务器群的交换机或路由器,或是连接到网通的出口路由器。为什么需要端口镜像?通常为了部署流量分析、IDS等产品需要监听网络流量,但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据包来监视本地主机的运行情况,它仅能对接收到的数据进行分析,帮助我们发现目标主机的某些内在的弱点,而不会提供进入一个系统的详细步骤。端口扫描技术行为作为恶意攻击的前奏,严重威胁用户的网络,RG-IDS通过扫描的行为特征准确的识别出恶意的扫描行为,并及时通知管理员。端口扫描攻击检测DoS攻