第6章Intranet(new)

第六章Intranet1.Intranet的定义2.安全措施3.防火墙(firewall)4.应用代理（proxy)5.入侵检测系统(IDS)Intranet的定义Intranet译为内部网或内联网。其定义为：基于TCP/IP协议，使用工具，采用防止外界入侵的安全措施，具有连接Internet功能的局域网。Intranet是LAN，但是它使用的协议是TCP/IP。可以与外界相连(有人称为Extranet)。Intranet具有安全性。Intranet使用工具，可以使期用户方便地浏览内部信息资源，及Internet上的丰富信息资源。安全措施防止伪造(fabrication)，截获(interception)，中断(interruption)，篡改(modification)。“进不来，拿不走，看不懂”防止非授权用户访问外部网。防火墙(firewall)定义：一种用来进行网络访问控制、防止外网用户以非法手段进入内网、访问内网资源，保护内网操作环境的特殊网络互联设备。与防火墙有关的概念-中立区中立区又称为非军事化区域（DemilitarizedZone:DMZ）它是存在于内网和外网之间的一个小型网络。它由筛选路由器建立或阻塞路由器建立。DMZ用来作为外网和内网的缓冲区以进一步隔离外网和内部私有网络。DMZ中可以放置一些必须公开的服务器。防火墙模型-包过滤路由器模型包过滤路由器是防火墙最基本的构件。它按照一定的安全策略，对进出内网的包进行分析和限制，实现包过滤功能。对进入的包进行过滤(基于源IP地址)对出去的包进行过滤(基于源IP地址、基于源IP地址及MAC地址的捆绑、基于目的IP地址)优点：速度快、实现方便。缺点：不能够隐藏内网的信息、不具备监视和日志记录功能。路由器内网外网进行包过滤防火墙模型-双宿主堡垒主机模型用一台装有两块网卡的堡垒机构成防火墙。堡垒机上运行着防火墙软件，可以转发应用程序，提供服务等。双宿主堡垒主机两个网络接口之间直接转发信息的功能被关掉了。用堡垒机取代路由器执行安全控制功能。在物理结构上强行将所有去往内网的信息经过堡垒主机。堡垒主机可基于端口进行过滤，如危险应用finger(119),telnet(23)等防火墙模型-屏蔽主机网关结构该结构中堡垒主机与内网相连，包过滤路由器连接到外部网上。包过滤路由器作为第一道防线，堡垒机作为第二道防线。这确保了内网络不受未被授权的外部用户的攻击。该防火墙系统提供的安全等级比前面两种防火墙系统要高，主要用于企业小型或中型网络。防火墙模型-屏蔽子网结构由两个包过滤路由器和一个堡垒主机组成。定义了中立DMZ(子网)，堡垒主机、Web服务器、以及其它公用服务器放在DMZ网络。内网和外网均可访问屏蔽子网，但禁止它们穿过屏蔽子网进行通信，从而进一步实现屏蔽主机的安全性。包过滤技术包过滤技术是基于IP地址来监视并过滤网络上流入和流出的IP包，它只允许与指定的IP地址通信。它的作用是在可信任网络和不可信任网络之间有选择地安排包的去向。包过滤规则是以其所收到的包的包头信息为基础，包头信息中包括IP源地址，IP目标端地址、封装协议类型等。当一个包满足过滤规则，则允许此包通过，否则拒绝此包通过，起到了保护内部网络的作用。包过滤技术-过滤规则过滤规则序号FRNO(FilterruleNumber)，它决定过滤算法执行时过滤规则排列的顺序。过滤方式(Action)包括允许(Allow)和阻止(Block)。源IP地址SIP(SourceIPaddress)。源端口SP(SourcePort)。目的IP地址DIP(DestinationIPaddress)。目的端口DP(DestinationPort)。源IP地址及MAC地址的捆绑。包过滤技术-包过滤操作过程包过滤规则必须被存储作为包过滤设备的端口上。当包在端口到达时，包头被提取。同时包过滤设备检查IP，TCP，UDP等头部中的域。包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包。如果一条规则阻止传输，包就被弃掉。如果一条规则允许传输，包就被通过。如果一个包不满足任意规则，它就被弃掉。代理服务器(Proxy)所有的请求都通过Proxy。可以客户端用户的身份进行验证。可以在Proxy中开辟缓存。可以在Proxy中记录访问目志。代理服务器外部网络路由器响应响应内部网络响应请求请求请求请求响应应用服务器应用代理(Proxy)当内网的用户希望访问外网某个应用服务器时，实际上是向运行在防火墙上的代理服务软件提出请求，建立连接。由代理服务器代表它向要访问的应用系统提出请求，建立连接。应用系统给予代理服务器响应，代理服务器给予内网用户以响应。代理服务器外部网络路由器响应响应内部网络响应请求请求请求请求响应应用服务器代理分类HTTP代理、FTP代理、SOCKS代理。HTTP代理、FTP代理是应用层代理与具体协议有关，速度较慢。SOCKS代理是传输层代理，只关心传输的数据报文，与具体的应用协议无关，因此速度快。SOCKS代理分为SOCKS4代理和SOCKS5代理。SOCKS4只支持TCP，而SOCKS5既支持TCP又支持UDP。NAT网关NAT(NetworkAddressTranslation)，是一个IETF标准，允许一个组织以一个公用IP地址出现在Internet上。它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。NAT网关内部私有地址:在内部网上分配给主机的IP地址。这个地址通常不是一个由NIC或ISP所分配的合法IP地址，而是采用保留地址。NAT网关保留的IP地址：A类10.0.0.0－10.255.255.255一个A类地址B类172.16.0.0－172.31.255.25516个连续的B类地址C类192.168.0.0－192.168.255.255256个连续的C类地址这些IP地址不会在互联网上使用，因此与广域网相连的路由器在处理保留IP地址时，只是将该包做丢弃处理，从而将使用保留IP地址的数据隔离在局域网内部。NAT网关InternetNAT网关PCPCPCServerIntranet192.168.0.x地址翻译将内部地址变为公网地址NAT分类静态NAT(StaticNAT)：内网中的每个IP地址都被永久映射成外网中的某个合法的地址。SRC192.168.0.11:1234DES202.119.176.45:80NIC_IN192.168.0.1194.112.66.77Out-IP......192.168.0.11In-IP...194.112.66.88192.168.0.12StaticNATTable194.112.66.1SRC194.112.66.77:1234DES202.119.176.45:80194.112.66.250194.112.66.77...........................NAT分类动态地址NAT(PooledNAT)：在外网中定义了一系列的合法地址，采用动态分配的方法映射到内网。SRC192.168.0.12:1234DES202.119.176.45:80NIC_IN192.168.0.1194.112.66.90Out-IP......192.168.0.12In-IP...NATTableSRC194.112.66.90:1234DES202.119.176.45:80...........................IPPool规则动态分配IP填入表项......NAT分类网络地址端口转换NAPT(Port-LevelNAT)：把内部地址(+端口）映射到外部网络的一个IP地址的不同端口上。SRC192.168.0.12:1234DES202.119.176.45:80NIC_IN192.168.0.11234In-Port......192.168.0.12In-IP...NATTableSRC194.112.66.88:32768DES202.119.176.45:80...........................194.112.66.88规则动态分配IP填入表项......Out-Port......32768.........外网对内网服务器的访问InternetNAT网关PCPCPCServer内网口192.168.0.1192.168.1.9:80外网用户如何访问它？PC外网口194.112.66.88外网对内网服务器的访问SRC192.168.0.12:1234DES202.119.176.45:80NIC_IN192.168.0.11234In-Port......192.168.0.12In-IP...NATTableSRC194.112.66.88:32768DES202.119.176.45:80...............192.168.0.9...80...194.112.66.88规则动态分配IP填入表项......Out-Port......32768...80...入侵检测系统(IDS)IDS,IntrusionDetectionSystem防火墙主要是“防”,是被动的在入侵发生之前起到“防护”的作用。IDS主要是主动的“检测”,一般是在入侵发生的时候发现入侵行为,并进行后续的“应对”。好比是“防盗门”和“红外线探测器”之间的关系。IDS分类基于主机型(Host-based):检测的目标为主机系统和系统本地用户；检测原理是根据主机的审计数据和系统的日志发现可疑事件；检测系统运行在被检测的主机或单独的主机上。基于网络型(Network-based):根据网络流量、协议分析、简单网络管理协议信息等数据检测入侵。基于主体型(Agent-based):采用相互独立运行的进程组(自治主体)分别负责检测，将那些主体认为是异常的行为标记出来，并将检测结果传送到检测中心。IDS原理分类异常检测（AbnormalDetection）在异常检测中，观察到的不是已知的入侵行为，而是通信过程中的异常现象，它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前，首先必须建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度上将一个行为标为异常，并如何做出具体决策。异常检测只能识别出那些与正常过程有较大偏差的行为，而无法知道具体的入侵情况。由于对各种网络环境的适应性不强，且缺乏精确的判定准则，异常检测经常会出现虚警情况。IDS原理分类异常检测（AbnormalDetection）异常检测可以通过以下系统实现。自学习系统。自学习系统通过学习事例构建正常行为模型，又可分为时序和非时序两种。编程系统。该类系统需要通过编程学习如何检测确定的异常事件，从而让用户知道什么样的异常行为足以破坏系统的安全。编程系统可以再细分为描述统计和缺省否认两种。IDS原理分类滥用检测滥用检测又称特征检测，它假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法发现。模式发现的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来。模式发现的优点是误报少，局限是它只能发现已知的攻击，对未知的攻击无能为力。IDS原理分类滥用检测滥用检测通过对确知决策规则编程实现，可分为四种：状态建模。它将入侵行为表示成许多个不同的状态。如果在观察某个可疑行为期间，所有状态都存在，则判定为恶意入侵。状态建模从本质上来讲是时间序列模型，可以再细分为状态转换和Petri网，前者将入侵行为的所有状态形成一个简单的遍历链，后者将所有状态构成一个更广义的树形结构的Petri网。专家系统。它可以在给定入侵行为描述规则的情况下，对系统的安全状态进行推理。一般情况下，专家系统的检测能力强大，灵活性也很高，但计算成本较高，通常以降低执行速度为代价。串匹配