搜索
1第12章网络安全技术2主要内容•防火墙技术•漏洞扫描技术•入侵检测技术•虚拟专用网VPN技术3防火墙技术•定义为:“设置在两个或多个网络之间的安全阻隔,用于保证本地网络资源的安全,通常是包含软件部分和硬件部分的一个系统或多个系统的组合”。•基本工作原理是在可信任网络的边界(即常说的在内部网络和外部网络之间,我们认为内部网络是可信任的,而外部网络是不可信的)建立起网络控制系统,隔离内部和外部网络,执行访问控制策略,防止外部的未授权节点访问内部网络和非法向外传递内部信息,同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。•基本思想不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏蔽被保护网络的信息和结构。4防火墙在网络中的位置5防火墙的基本需求•保证内部网的安全性。•保证内部网同外部网间的连通性。•设计实现的重点为:–安全性能;–处理速度。6防火墙的功能•实施网间访问控制,强化安全策略。•有效地纪录因特网上的活动。•隔离网段,限制安全问题扩散。•防火墙自身有一定的抗攻击能力。•综合运用各种安全措施,使用先进健壮的信息安全技术。•人机界面良好,用户配置方便,易管理。7防火墙的不足•它能保护网络系统的可用性和系统安全,但由于无法理解数据内容,不能提供数据安全。•对用户不透明,可能带来传输延迟、瓶颈和单点失效等问题。•不能防范不经过它的连接。•当使用端到端加密时,其作用会受到很大限制。•过于依赖于拓扑结构。•防火墙不能防范病毒。•是一种静态防御技术。8防火墙的分类•按网络体系结构分类–工作在OSI参考模型中的不同位置。•按应用技术分类–包过滤防火墙;–代理服务器;–电路级网关。。•按拓扑结构分类–双宿主主机防火墙;–屏蔽主机防火墙;–屏蔽子网防火墙。9网络防火墙位置模型10包过滤防火墙•工作在网络层(IP层)–根据过滤规则,逐个检查IP包,确定是否允许通过。•对应用透明,合法建立的连接不被中断。•速度快、效率高。•安全性级别低:不能识别高层信息、容易受到欺骗。11包过滤防火墙的工作原理12代理服务器型防火墙•工作在应用层,将客户与服务的连接隔离成两段。–根据规则为客户请求建立新的服务连接。•从网络层切断了内外网络之间的连通性,安全性大大提高。•能够识别高层协议信息,进行高层协议过滤。•对应用不透明,客户端需要重新配置。•速度较慢、效率低。13代理服务器防火墙的工作原理14电路级网关•工作在传输层。•它在两个主机首次建立TCP连接时创立一个电子屏障,建立两个TCP连接。•一旦两个连接建立起来,网关从一个连接向另一个连接转发数据包,而不检查内容。•也称为通用代理,统一的代理应用程序,各协议可透明地通过通用代理防火墙。•电路级网关实现的典型例子是SOCKS软件包,是DavidKoblas在1990年开发的。15SOCKS系统16三种防火墙技术安全功能比较源地址目的地址用户身份数据内容包过滤YYNN应用代理YYYP电路级网关YYYN17规则•一般包含以下各项:源地址、源端口、目的地址、目的端口、协议类型、协议标志、服务类型、动作。规则原则–按地址过滤;–按服务过滤。18防火墙的规则动作有以下几种类型:•通过(accept)允许IP包通过防火墙传输。•放弃(deny)不允许IP包通过防火墙传输,但仅仅丢弃,不做任何响应。•拒绝(reject)不允许IP包通过防火墙传输,并向源端发送目的主机不可达的ICMP报文。•返回(return)没有发现匹配的规则,省缺动作。19规则举例(包过滤)•只允许Telet出站的服务规则号方向源地址目的地址协议源端口目的端口ACK设置动作1出内部任意TCP〉102323任意通过2入任意内部TCP23〉1023是通过3双向任意任意任意任意任意任意拒绝20双宿主主机结构防火墙•核心是具有双宿主功能的主机。–至少有两个网络接口,充当路由器。•不允许两网之间的直接发送功能。–仅仅能通过代理,或让用户直接登陆到双宿主主机来提供服务。•提供高级别的安全控制。•问题:–用户账号本身会带来明显的安全问题,会允许某种不安全的服务;通过登陆来使用因特网太麻烦。21双宿主主机结构防火墙22屏蔽主机防火墙•主要的安全机制由屏蔽路由器来提供。•堡垒主机位于内部网络上,是外部能访问的惟一的内部网络主机。–堡垒主机需要保持更高的安全等级。•问题:–如果路由器被破坏,整个网络对侵袭者是开放的。如堡垒主机被侵,内部网络的主机失去任何的安全保护。23屏蔽主机防火墙24堡垒主机•设计与构筑堡垒主机的原则:–使堡垒主机尽量简单;–随时做好堡垒主机可能被损害的准备。•堡垒主机提供的服务:–同因特网相关的一些服务;–删除所有不需要的服务;•不要在堡垒主机上保留用户账号。25屏蔽子网防火墙•添加额外的安全层:周边网,将内部网与因特网进一步隔开。•周边网即:非军事化区,提供附加的保护层,入侵者如侵入周边网,可防止监听(sniffer)内部网的通信(窃取密码),不会损伤内部网的完整性。周边网上的主机主要通过主机安全来保证其安全性。•屏蔽子网防火墙使用了两个屏蔽路由器,消除了内部网络的单一侵入点,增强了安全性。•两个屏蔽路由器的规则设置的侧重点不同。–外部路由器只允许外部流量进入,内部路由器只允许内部流量进入。26屏蔽子网防火墙27高性能过滤算法•规则库的规模很大,对规则的处理速度决定了防火墙的速度。•对高性能过滤算法的要求:–过滤算法的速度应当足够快;–理想的过滤算法应当能够对任意的数据域进行匹配,包括链路层,网络层,传输层,甚至应用层的头部;–过滤算法应当能够支持待匹配规则具有各种表示方法;–过滤算法应当具有实时性,能够对规则表的改变做出实时响应。28网络地址转换(NAT)•目的:–解决IP地址空间不够问题;–向外界隐藏内部网结构。•方式:–M-1:端口NAT,多个内部网地址翻译到一个IP地址;–1-1:静态NAT,简单的地址翻译;–M-N:NAT池,M个内部地址翻译到N个IP地址池。29网络地址转换原理30利用NAT实现负载均衡31隐患扫描技术•基本原理:采用模拟黑客攻击的形式对目标可能存在的已知安全漏洞和弱点进行逐项扫描和检查,根据扫描结果向系统管理员提供周密可靠的安全性分析报告。•目标可以是工作站、服务器、交换机、数据库应用等各种对象。•能自动发现网络系统的弱点。–系统的安全弱点就是它安全防护最弱的部分,容易被入侵者利用。32隐患扫描技术的基本实现方法•基于单机系统的安全评估系统。•基于客户的安全评估系统。•采用网络探测(Networkprobe)方式的安全评估系统。•采用管理者/代理(Manager/Agent)方式的安全评估系统。33隐患扫描系统的组成(1)•安全漏洞数据库–安全性漏洞原理描述、及危害程度、所在的系统和环境等信息;–采用的入侵方式、入侵的攻击过程、漏洞的检测方式;–发现漏洞后建议采用的防范措施。•安全漏洞扫描引擎–与安全漏洞数据库相对独立,可对数据库中记录的各种漏洞进行扫描;–支持多种OS,以代理性试运行于系统中不同探测点,受到管理器的控制;–实现多个扫描过程的调度,保证迅速准确地完成扫描检测,减少资源占用;–有准确、清晰的扫描结果输出,便于分析和后续处理。34隐患扫描系统的组成(2)•结果分析和报表生成–目标网络中存在的安全性弱点的总结;–对目的网络系统的安全性进行详细描述,为用户确保网络安全提供依据;–向用户提供修补这些弱点的建议和可选择的措施;–能就用户系统安全策略的制定提供建议,以最大限度地帮助用户实现信息系统的安全。•安全扫描工具管理器–提供良好的用户界面,实现扫描管理和配置。35为什么要需要入侵检测系统•防火墙和操作系统加固技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的响应,不能提供足够的安全性。•入侵检测系统能使系统对入侵事件和过程做出实时响应。•入侵检测是防火墙的合理补充。•入侵检测是系统动态安全的核心技术之一。36系统动态安全模型37什么是入侵检测•定义通过从计算机网络和系统的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定的措施。•三部分内容:–信息收集;–信息分析;–响应。38通用入侵检测系统模型39信息收集技术分类•根据收集的信息来源,IDS可分为:–基于网络的实时入侵检测系统;–基于主机的实时入侵检测系统;–分布式的综合入侵检测技术。40信息收集技术比较•基于网络的实时入侵检测系统:–原始数据来源丰富,实时性、适应性、可扩展性方面具有其独特的优势;–容易受到基于网络的拒绝服务等恶意攻击,在高层信息的获取上更为困难。•基于主机的实时入侵检测系统:–能获取高层信息,理解动作的含义;–环境适应性、可移植性方面问题较多。•通过分析应用的日志文件检测攻击–通过分析应用的日志文件检测攻击。41信息分析技术•可分为两大类–基于误用(Anomaly-based)的分析方法•试图在网络或主机的数据流中发现已知的攻击模式(pattern);•可以直接识别攻击过程,误报率低;•只能检测已知的攻击,对新的攻击模式无能为力,需要不断地更新模式库(PatternDatabase);•状态分析、模式匹配、一致性分析。–基于异常(Misuse-based)的分析方法•首先统计和规范网络和用户的正常行为模式(ActivityProfile),当网络和用户的行为模式偏离了其正常行为模式时,就认为是异常;•行为异常通常意味着某种攻击行为的发生;•能够检测出新出现的攻击模式;•对正常行为模式的描述比较困难、误报率高;•统计分析。42主要信息分析技术•模式匹配–是当前应用中最基本、最有效的检测方法;–以攻击行为数据流中的特征字符串作为检测的关键字,其攻击行为模式数据库中记录各种攻击行为的特征串;–检查数据流中是否有与模式数据库中特征串相匹配的内容,的每种攻击行为产生中,一般都有特定的;–不需保存状态信息,速度快,但只能检测过程较简单的攻击。•状态分析–将攻击行为的过程以状态转移图的形式记录在模式数据库中,状态转移的条件是网络或系统中的一些特征事件;–检测软件记录所有可能攻击行为的状态,并从数据流中提取特征事件进行状态转移,当转移到达某个特定状态时,就被认为是检测到了一次攻击行为;–用于检测过程较复杂的攻击过程(如分布式攻击)。43主要信息分析技术•统计分析–基于异常的检测方式;–通过统计方式总结系统的正常行为模式;–利用若干统计变量来刻画当前系统的状态,通过统计变量与正常行为模式的偏差来检测可能的入侵行为。•应用数据挖掘技术–使用一定的数据挖掘算法进行挖掘,推导出系统的正常行为模式和入侵的行为模式;–需要提出一种真正自适应的、无须预标识的数据挖掘的方式。44主要信息分析技术•预测模式生成技术–试图基于已经发生的事件来预测未来事件,如果一个与预测统计概率偏差较大的事件发生,则被标志为攻击。比如规则:E1—E2—(E3=80%,E4=15%,E5=5%),即假定事件E1和E2已经发生,E3随后发生的概率是80%,E4随后发生的概率是15%,E5随后发生的概率是5%,若E1、E2发生了,接着E3发生,则为正常的概率很大,若E5发生,则为异常的概率很大,若E3、E4、E5都没有发生,而是发生了模式中没有描述到的E5,则可以认为发生了攻击。预测模式生成技术的问题在于未被这些规则描述的入侵脚本将不会被标志为入侵。此类系统较容易发现在系统学习期间试图训练系统的用户。45主要信息分析技术•分布式入侵检测–针对分布式攻击的入侵检测技术。–入侵检测系统采用分布式计算技术。–主要难点:•各部件间的协作;•安全攻击的相关性分析。46公共入侵检测框架CIDF•由DARPA(美国国防部高级研究计划局)于1997年3月提出的。•目的:–IDS构件共享;–数据共享;–完善互用性标准并建立一套开发接口和支持工具。•主要是通过定义数据格式和数据交换接口来实现其目标的。47CIDF的框架48入侵监测系统的设计要求•健壮性。•