防火墙、IDS\IPS、漏洞扫描的基础知识主要内容防火墙IDSIPS漏洞扫描防火墙的基本概念(一)防火墙是位于两个(或多个)网络间,实施网络间访问控制的一组组件的集合。防火墙的英文名为“FireWall”,它是最重要的网络防护设备之一。通常意义上的防火墙:◆不同安全级别的网络或安全域之间的唯一通道◆只有被防火墙策略明确授权的通信才可以通过◆系统自身具有高安全性和高可靠性防火墙的基本概念(二)网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和因特网之间连接、和其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。(1)不同安全级别的网络或安全域之间的唯一通道防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。防火墙的基本概念(三)(2)只有被防火墙策略明确授权的通信才可以通过应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层允许外部报文报文允许通过防火墙的基本概念(四)(3)系统自身具有高安全性和高可靠性防火墙自身应具有非常强的抗攻击免疫力。防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其他应用程序在防火墙上运行。一般采用Linux、UNIX或FreeBSD系统作为支撑其工作的操作系统。防火墙在网络中的位置安装防火墙以前的网络POWERFAULTDATAALARMPOWERFAULTDATAALARM交换机交换机服务器用户用户内网Internet路由器安装防火墙后的网络POWERFAULTDATAALARMPOWERFAULTDATAALARM交换机交换机服务器用户用户Internet路由器防火墙服务器内网DMZ区防火墙在网络中的位置DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。这样,不管是外部还是内部与对外服务器交换信息数据也要通过防火墙,实现了真正意义上的保护。DMZ区(demilitarizedzone,也称非军事区)防火墙的功能防火墙并不能为网络防范一切,也不应该把它作为对所有安全问题的一个最终解决方案,所以懂得哪些工作是防火墙能做的非常重要:(1)实现安全策略(2)创建一个阻塞点(3)记录网络活动(4)限制网络暴露1.实现安全策略安全策略对哪些人和哪些行为被允许做出规定。如一个常见的安全策略是允许任何人访问公司服务器上的Web站点,但是不允许telnet登陆到服务器上。允许浏览网站不允许远程登录防火墙可以使用的两种基本的安全策略:规则规定拒绝哪些访问,允许其余没规定的访问规则规定允许哪些访问,拒绝其余没规定的访问为了得到较高的安全性,一般采用第2个策略。2.创建一个阻塞点防火墙在一个公司私有网络和分网间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。在该检查点防火墙设备就可以监视,过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。没有防火墙,分散管理,效率低下使用防火墙,集中管理,高效率3.记录网络活动例如,通过查看安全日志,管理员可以找到非法入侵的相关纪录,从而可以做出相应的措施。防火墙还能够监视并记录网络活动,并且提供警报功能。通过防火墙记录的数据,管理员可以发现网络中的各种问题。4.限制网络暴露防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。例如,防火墙的NAT功能可以隐藏内部的IP地址;代理服务器防火墙可以隐藏内部主机信息。防火墙不能保护什么除了懂得防火墙能保护什么非常重要外,懂得防火墙不能保护什么也是同等重要:1.病毒与特洛伊木马2.社会工程3.物理故障4.不当配置和内部攻击防火墙不能保护什么总体来说,除了不能防止物理故障等错误外,防火墙本身并不能防范经过授权的东西,如内部员工的破坏等。例如,员工接收了一封包含木马的邮件,木马是以普通程序的形式放在了附件里,防火墙不能避免该情况的发生。防火墙的分类按工作方式分类:防火墙的工作方式主要分包过滤型和应用代理型两种。1.包过滤防火墙简述:包过滤防火墙检查每一个通过的网络包,决定或者丢弃,或者放行,取决于所建立的一套规则。地位:是第一代防火墙和最基本形式防火墙,是目前建立防火墙系统首先要使用的部件,和其他技术配合使用能得到较好的效果。产品:通常使用路由器或双网卡的主机来完成包过滤防火墙功能,当然,许多防火墙硬件产品也都提供了包过滤功能。routerdualhomed-hostfirewall1.包过滤防火墙1.包过滤防火墙简单规则例子——只允许访问外网WEB站点目前,路由器都有建立访问列表(ACL)的功能,使用相关的命令就可以建立如上表所示的规则。1.包过滤防火墙简单规则例子——只允许访问外网WEB站点前面的规则只允许内网主机访问外网的Web网站,此外不允许任何其他的数据交换。请求浏览满足规则1允许通过包过滤防火墙包过滤防火墙优缺点包过滤防火墙优点:•包过滤是“免费的”,大多数路由器具有该功能;•无需修改客户端和服务器端程序;•非常容易创建阻塞点;包过滤防火墙缺点:•配置困难,特别是需要设置复杂规则时;•只能检测有限的信息,不能检测应用层的内容;•安全性较低,发生故障或配置错误时容易让数据直接通过;2.应用代理防火墙简述:应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。应用代理型防火墙(ApplicationProxy)是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。如果不为特定的应用程序安装代理程序代码,这种服务是不会被支持的,不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接,从而提供了额外的安全性和控制性。代理服务器工作原理应用代理型防火墙(ApplicationProxy)是工作在OSI的最高层,即应用层。应用代理防火墙优缺点应用代理防火墙的优点:理解应用的具体内容;防止对外网暴露内网;安全性比包过滤防火墙高;应用代理防火墙的缺点:相对而言,速度较低;每一种应用都需要特定的代理;主要内容防火墙IDSIPS漏洞扫描IDS定义美国国际计算机安全协会ICSA对入侵检测的定义是:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。功能:1.监测并分析用户和系统的活动;2.核查系统配置和漏洞3.评估系统关键资源和数据文件的完整性4.识别已知的攻击行为5.统计分析异常行为6.对操作系统进行日志管理,并识别违反安全策略的用户活动IDS工作过程(1)信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。(2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。续3)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。其绝大多数响应机制分为:•TCP拦截---通过发带RST置位的TCP数据包给源目IP,马上终止连接;•IP拦阻---在特定时间内,通过和其它设备的联动,产生ACL阻止来自攻击主机的数据包,产生的ACL会应用到联动设备上;如防火墙、路由器、交换机等;•记录---捕获与攻击相关的数据包;•访问限制---对访问的内容进行限制;IDS分类①根据系统所监测的对象分类基于主机的IDS(HIDS):主要用于保护运行关键应用的服务器。一般通过监视与分析系统的事件、安全日志以及syslog文件。一旦发现这些文件发生任何变化,IDS将比较新的日志记录与攻击特征以发现它们是否匹配。如果匹配的话,检测系统就向管理员发出入侵报警并且发出采取相应的行动。基于主机的IDS的主要优势有:非常适用于加密和交换环境。实时的检测和应答,不需要额外的硬件。缺点:它可针对不同系统的特点判断应用层的入侵事件,但占用主机资源,给服务器产生额外的负载,而且缺乏跨平台支持,可移值性差,因而应用范围受到限制。续基于网络的IDS(NIDS):基于网络的IDS使用原始的网络分组数据包】(IP包、TCP段)作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,IDS应答模块通过通知、报警以及中断连接等方式来对攻击作出反应。基于网络的入侵检测系统的主要优点有:•成本低。攻击者转移证据很困难。实时检测和应答。一旦发生恶意访问或攻击,基于网络的IDS检测可以随时发现它们,因此能够更快地作出反应。从而将入侵活动对系统的破坏减到最低。能够检测未成功的攻击企图。操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能发挥作用。缺点:只能监控经过本网段的活动,精确度不高,在交换环境下难以配置。IDS模型主要内容防火墙IDSIPS漏洞扫描IPS定义侵入保护(阻止)系统(IPS)是新一代的侵入检测系统(IDS),可弥补IDS存在于前摄及假阳性/阴性等性质方面的弱点。IPS能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。IPS工作原理IPS与IDS在检测方面的原理相同,它首先由信息采集模块从入侵源实施信息收集,内容包括系统、网络、数据以及用户活动的状态和行为。入侵检测利用的信息一般来自系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息等4个方面;然后入侵防护系统利用模式匹配、协议分析、统计分析和完整性分析等技术手段,由信号分析模块对收集到的有关系统、网络、数据以及用户活动的状态和行为等信息进行分析;最后由反应模块对采集、分析后的结果作为相应的反应。真正的IPS与传统的IDS有两点关键区别:自动阻挡拦截和在线运行,两者缺一不可IPS分类网络型入侵防护系统(NIPS)采用在线方式模式,在网络中起到一道关卡作用,实现实时防御,但是它仍然无法检测出具有特定类型的攻击,误报率较高。主机型入侵防护系统(HIPS)预防黑客对关键资源的入侵,通常由代理和数据管理器组成,采用类似IDS异常检测的方法。这种基于主机环境的防御有效,容易发现新的攻击方式,但配置非常困难。应用型入侵防护系统(AIPS)它是基于主机的入侵防护系统扩展成为位于应用服务器之前的网络设备,用来保护特定应用服务的网络设备。防止基于应用协议漏洞和设计缺陷的恶意攻击。项目IDSIPS部署方式旁路部署在线部署对网络设备要求依赖于网络设备的流量镜像不依赖网络设备响应方式主要是告警主要是阻断加告警,也可设置为仅告警实现思路粗放检测、粗放告警精确检测、实时阻断硬件架构X86架构多核架构,配合专有ASIC芯片检测引擎单一检测机制多重检测机制可靠性机制低,旁路部署,可靠性要求低很高由于IDS与生俱来的缺陷,IPS必将全面取代IDS。D