防火墙及入侵检测技术课件.ppt

1、防火墙及入侵检测技术简介 网络通信安全管理员培训班网络通信安全管理员培训班网络安全概述防火墙技术入侵检测技术系统安全审计与评估讲座提纲2022-10-62网络通信安全管理员培训班概述-网络安全现状网络网络内部、外部泄内部、外部泄密密拒绝服务攻拒绝服务攻击击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒后门、隐蔽通后门、隐蔽通道道蠕虫蠕虫2022-10-63网络通信安全管理员培训班概述-网络安全现状（续）我国网络安全形势非常严峻，仅2010年上半年：59.2%的网民遭遇病毒或木马攻击 30.9%的网民账号或密码被盗过 2.5亿人遇到网络不安全事件 4780次网络安全事件

2、报告（CNCERT）124万个IP地址对应的主机被木马程序控制 23.3万个IP地址对应主机被僵尸程序控制 14907个网站被篡改 2022-10-64网络通信安全管理员培训班概述-主要安全技术 数据传输加密 数据存储加密加密和数字签名技术 基于密码的认证 基于地址的认证身份认证与访问控制技术 数据包过滤技术 代理技术防火墙技术入侵检测技术数据完整性的鉴别密钥管理技术基于密码认证协议的认证动态身份认证生物特征认证状态检测技术地址翻译技术虚拟专用网 误用检测 异常检测混合检测2022-10-65网络通信安全管理员培训班网络安全概述防火墙技术入侵检测技术系统安全审计与评估讲座提纲2022-10-6

3、6网络通信安全管理员培训班 防火墙是在网络之间执行安全控制策略的系统，防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件；它包括硬件和软件；设置防火墙的目的是保护内部网络资源不被外部设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的非授权用户使用，防止内部受到外部非法用户的攻击。攻击。防火墙 1-基本概念2022-10-67网络通信安全管理员培训班网络流量过滤资料内容过滤网络地址翻译安全策略防火墙 2 功能2022-10-68网络通信安全管理员培训班防外不防内不能防范绕过防火墙的攻击配置复杂，易出现安全漏洞控制粒度较粗不能防范病毒不能防止数据驱动式攻击

4、防火墙 3 局限性2022-10-69网络通信安全管理员培训班防火墙 4 技术分类包过滤防火墙 静态包过滤、动态包过滤代理防火墙ApplicationApplication FilterFilterTCP/UDPTCP/UDPIPIPTCP/UDPTCP/UDPIPIP2022-10-610网络通信安全管理员培训班 Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头，不理会包内的正文信息)。如果找到一个匹配，且规则允许这包，这个包则根据路由表中的信息前行；如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃；如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被

5、舍弃。防火墙 4 包过滤技术原理2022-10-611网络通信安全管理员培训班防火墙 4 包过滤技术原理版本号Version(4bit)报头长IHL(4bit)服务类型 ServiceType(8bit)分组总长度Total Length(16bit)标识Identification(16bit)标志Flags(3bit)片偏移Fragment Offset(13bit)生存时间Time to Live(8bit)传输层协议Protocol(8bit)头部校验和 Header Checksum(16bit)源 IP 地址Source Address(32bit)宿 IP 地址Destinati

6、on Address(32bit)可选项Option有效负载Payload（0或多个字节）20 bytes0 4 8 16 19 31填充域padding2022-10-612网络通信安全管理员培训班防火墙 4 包过滤技术原理ICMP报文的一般格式：Data差错信息出错IP数据报的头+64个字节数据类型Type(8bit)代码Code (8bit)检验和Checksum(16bit)不同类型和代码有不同的内容Data0 8 16 31ICMP header ICMP data IP header I P data 封装2022-10-613网络通信安全管理员培训班防火墙 4 包过滤技术原理源端

7、口Source Port(16bit)宿端口Destination Port(16bit)序列号Sequence Number(32bit)确认号Acknowledgment Number(32bit)DataOffset(4bit)Reserved(6bit)URGACKPSHRSTSYNFIN窗口大小Window size(16bit)校验和 Checksum(16bit)紧急指针Urgent Pointer(16bit)选项 Options(0或多个32 bit字)数据Data(可选)2022-10-614网络通信安全管理员培训班防火墙 4 包过滤技术原理UDP源端口UDP宿端口UDP长

8、度UDP校验和16bit16bit最小值为8全“0”：不选；全“1”：校验和为0。2022-10-615网络通信安全管理员培训班 IP 源地址 IP目的地址 封装协议(TCP、UDP、或IP Tunnel)TCP/UDP源端口 TCP/UDP目的端口 ICMP包类型 TCP报头的ACK位 包输入接口和包输出接口防火墙 4 包过滤的依据2022-10-616网络通信安全管理员培训班多数服务对应特定的端口，例：Telnet、SMTP、POP3分别为23、25、110。如要封锁输入Telnet、SMTP的连接，则Router丢弃端口值为23和25的所有数据包。典型的过滤规则有以下几种：.只允许进来的

9、Telnet会话连接到指定的一些内部主机 .只允许进来的FTP会话连接到指定的一些内部主机 .允许所有出去的Telnet 会话 .允许所有出去的FTP 会话 .拒绝从某些指定的外部网络进来的所有信息防火墙 4 依赖于服务的过滤2022-10-617网络通信安全管理员培训班 源IP地址欺骗攻击 源路由攻击 残片攻击防火墙 4 独立于服务的过滤2022-10-618网络通信安全管理员培训班结构防火墙 4.1 包过滤防火墙2022-10-619网络通信安全管理员培训班防火墙 4.1 包过滤防火墙IPIP封包封包目的目的IP地址地址源源IP地址地址目的端目的端口号口号源端源端口号口号数据数据TCP/U

10、DPTCP/UDP封包封包包过滤防火墙包过滤防火墙 原理2022-10-620网络通信安全管理员培训班规则表防火墙 4.1 包过滤防火墙规则过滤号规则过滤号方向方向动作动作源主机地址源主机地址TESTHOST源端口号源端口号目的主机地址目的主机地址目的端口号目的端口号协议协议描述描述阻塞来自TESTHOST的所有数据包阻塞所有到TESTHOST的数据包允许外部用户传送到内部网络电子邮件服务器的数据包允许内部邮件服务器传送到外部网络的电子邮件数据包*TCPTCP*251023*TESTHOST192.1.6.2*102325*192.1.6.2阻塞阻塞允许允许进入进入输出输出12342022-1

11、0-621网络通信安全管理员培训班原理 通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。防火墙 4.2 代理防火墙2022-10-622网络通信安全管理员培训班防火墙 4.2 应用代理2022-10-623网络通信安全管理员培训班防火墙 4.3 技术对比2022-10-624网络通信安全管理员培训班 堡垒主机式架构(Bastion Host Firewall)双闸式架构（Dual-Homed Firewall）屏障单机式架构(Screened Host Firewall

12、)屏障子网域式架构（Screened Subnet Firewall）防火墙 5 防火墙的系统结构2022-10-625网络通信安全管理员培训班防火墙 5.1 堡垒主机式防火墙 属于包过滤器 有两块网卡 进出的包都要经过该防火墙检查 内部网络与外部网络无法直接相连 数据包均需透过该堡垒主机转发Internet网卡网卡堡垒主机式防火墙外部网络内部网络2022-10-626网络通信安全管理员培训班 属于代理服务器型防火墙的一种 有两块网卡 需安装应用服务器转换器 所有网络应用服务数据包都需经过该应用服务转换器的检查 应用服务转换器将过滤掉不被系统允许的服务防火墙 5.2 双闸式防火墙Interne

13、t网卡网卡应用服务转换器双闸式防火墙內部网络服务器客戶端2022-10-627网络通信安全管理员培训班 属于结合包过滤器及代理服务器功能的一种架构 硬件设备除了主机还需要路由器路由器：必须有包过滤功能主机：负责过滤及处理网络服务要求的数据包防火墙 5.3 屏障单机式架构Internet屏障子网域路由器防火墙主机内部网络2022-10-628网络通信安全管理员培训班 结合许多主机及两个路由器 对外公开的应用服务器均需假设在屏障子网域内 用外部路由器隔离外部网络与屏障子网域 内部路由器隔离内部网络与屏障子网域 将内部网络的架构、各主机IP及名称完全隐藏起来 多次过滤检查防火墙 5.4 屏障子网域式

14、架构Internet路由器路由器内部网络屏障子网域外部路由器內部路由器堡垒式主机Mail ServerMail ServerWWW ServerWWW ServerFTP ServerFTP Server2022-10-629网络通信安全管理员培训班防火墙 6 防火墙系统的构建了解需求了解需求选择选择适适当当的的防火防火墙产墙产品品决决定定网络网络架架构构安装防火安装防火墙墙设设定防火定防火墙墙测试测试防火防火墙墙2022-10-630网络通信安全管理员培训班 防火墙的安全性 防火墙的高效性 防火墙的适用性 防火墙的可管理性 完善及时的售后服务体系防火墙 6.1 防火墙产品选购策略2022-1

15、0-631网络通信安全管理员培训班 防火墙的系统环境 设置防火墙的要素 服务访问策略 防火墙设计策略防火墙 6.2 防火墙设计策略2022-10-632网络通信安全管理员培训班路由(Routing)防火墙 6.3 防火墙设定实例（1）192.168.0.0192.168.0.0255.255.255.0255.255.255.0202.132.10.160202.132.10.160|202.132.10.191202.132.10.191255.255.255.224255.255.255.224202.132.10.160202.132.10.160|202.132.10.175202.1

16、32.10.175255.255.255.240255.255.255.240202.132.10.176202.132.10.176|202.132.10.191202.132.10.191255.255.255.240255.255.255.2402022-10-633网络通信安全管理员培训班过滤策略防火墙 6.3 防火墙设定实例（2）ICMPICMPHTTPHTTPFTPFTPSMTPSMTP來源端位址來源端埠號目的端位址目的端埠號通訊協定允許或拒絕AnyAnyAny25TCP允許AnyAnyAny21TCP拒絕AnyAnyAny80TCP拒絕AnyAnyAny-ICMP拒絕AnyAny

17、AnyAnyAny拒絕2022-10-634网络通信安全管理员培训班地址翻译防火墙 6.3 防火墙设定实例（3）23232323Web ServerWeb ServerIP=131.107.50.1远端IP地址远端端口外部IP地址外部端口內部IP地址內部端口131.107.50.180202.132.10.102355192.168.0.52355168.95.1.180202.132.10.102355192.168.0.42355NATNATInternal IP=192.168.0.1External IP=202.132.10.10IP=192.168.0.3IP=192.168.0.

18、4IP=192.168.0.52022-10-635网络通信安全管理员培训班防火墙 6.4 存取控制原则决决定定需求需求定定义规则义规则测试设测试设定定修正修正设设定定套用生效套用生效2022-10-636网络通信安全管理员培训班优良的性能 速度瓶颈易扩展 支持NAT VPN等过滤深度加强，URL(页面)过滤、关键字过滤、ActiveX过滤、病毒扫描等主动检测与报警日志分析工具防火墙 7 发展趋势2022-10-637网络通信安全管理员培训班网络安全概述防火墙技术入侵检测技术系统安全审计与评估讲座提纲2022-10-638网络通信安全管理员培训班 网络攻击的破坏性、损失的严重性 日益增长的网络

19、安全威胁 入侵很容易 入侵教程随处可见 各种工具唾手可得 单纯的防火墙无法防范复杂多变的攻击 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部概述-入侵检测的目的和意义2022-10-639网络通信安全管理员培训班 入侵系统类攻击；入侵系统类攻击；缓冲区溢出攻击；缓冲区溢出攻击；欺骗类攻击；欺骗类攻击；拒绝服务攻击；拒绝服务攻击；对防火墙的攻击；对防火墙的攻击；利用病毒攻击；利用病毒攻击；木马程序攻击；木马程序攻击；后门攻击。后门攻击。概述-网络攻击方法2022-10-640网络通信安全管理员培训班 入侵检测系统（入侵检测系统（intrusion detection syste

20、mintrusion detection system，IDSIDS）是对计算机和网络资源的恶意使用行为进行是对计算机和网络资源的恶意使用行为进行识别的系统；识别的系统；它的目的是监测和发现可能存在的攻击行为，包它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非括来自系统外部的入侵行为和来自内部用户的非授权行为，并且采取相应的防护手段。授权行为，并且采取相应的防护手段。概述-入侵检测的基本概念2022-10-641网络通信安全管理员培训班 监控、分析用户和系统的行为；监控、分析用户和系统的行为；检查系统的配置和漏洞；检查系统的配置和漏洞；评估重要的系统和数据文

21、件的完整性；评估重要的系统和数据文件的完整性；对异常行为的统计分析，识别攻击类型，并向网对异常行为的统计分析，识别攻击类型，并向网络管理人员报警；络管理人员报警；对操作系统进行审计、跟踪管理，识别违反授权对操作系统进行审计、跟踪管理，识别违反授权的用户活动。的用户活动。概述-IDS的基本功能2022-10-642网络通信安全管理员培训班技术分析-入侵检测技术发展 1980年 Anderson提出：入侵检测概念，分类方法 1987年 Denning提出了一种通用的入侵检测模型 独立性 ：系统、环境、脆弱性、入侵种类 系统框架：异常检测器，专家系统 90年初 CMDS、NetProwler、Net

22、Ranger ISS RealSecure2022-10-643网络通信安全管理员培训班技术分析-入侵检测技术发展 19801980年年4 4月，月，James P.Anderson James P.Anderson Computer Security Threat Monitoring and Computer Security Threat Monitoring and SurveillanceSurveillance（计算机安全威胁监控与监视）（计算机安全威胁监控与监视）第一次详细阐述了入侵检测的概念计算机系统威胁分类:外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想

23、这份报告被公认为是入侵检测的开山之作2022-10-644网络通信安全管理员培训班技术分析-入侵检测技术发展从1984年到1986年乔治敦大学的Dorothy DenningSRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型IDES（入侵检测专家系统）2022-10-645网络通信安全管理员培训班技术分析-入侵检测模型2022-10-646网络通信安全管理员培训班技术分析-入侵检测技术发展1990，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（Network Security Monitor）该系统第一次直接将网络流作为审计数据来源，因而可以在不将审

24、计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS 2022-10-647网络通信安全管理员培训班 入侵检测的思想源于传统的系统审计，但拓宽了传统审计的概念，它以近乎不间断的方式进行安全检测，从而可形成一个连续的检测过程。这通常是通过执行下列任务来实现的：监视、分析用户及系统活动；系统构造和弱点的审计；识别分析知名攻击的行为特征并告警；异常行为特征的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。技术分析-入侵检测技术2022-10-648网络通信安全管理员培训班技术分析

25、-入侵检测系统结构入侵检测系统包括三个功能部件（1）信息收集(数据源)（2）信息分析(分析引擎)（3）结果处理(响应)2022-10-649网络通信安全管理员培训班技术分析-入侵检测分类2022-10-650网络通信安全管理员培训班误用入侵检测（Misuse Detection）利用已知系统和应用软件的弱点攻击模式来检测入侵。异常入侵检测（Anomaly Detection）根据异常行为和使用计算机资源的情况检测出来的入侵。技术分析-入侵检测技术2022-10-651网络通信安全管理员培训班 误用检测是按照预定模式搜寻事件数据的，最适用于对已知模式的可靠检测。执行误用检测，主要依赖于可靠的用户

26、活动记录和分析事件的方法。检测模型：技术分析-误用入侵检测技术2022-10-652网络通信安全管理员培训班 异常检测基于一个假定：用户的行为是可预测的、遵循一致性模式的，且随着用户事件的增加异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由度量（measure）集来描述，度量是特定网络行为的定量表示，通常与某个检测阀值或某个域相联系。异常检测可发现未知的攻击方法，体现了强健的保护机制，但对于给定的度量集能否完备到表示所有的异常行为仍需要深入研究。检测模型：技术分析-异常入侵检测技术2022-10-653网络通信安全管理员培训班统计方法神经网络专家系统模型推理免疫系统方法 遗传算

27、法 基于代理检测 数据挖掘等技术分析-入侵检测技术2022-10-654网络通信安全管理员培训班 1专家系统 用专家系统对入侵进行检测，主要是检测基于特征的入侵行为。所谓规则，即是知识，专家系统的建立依赖于知识库的完备性，而知识库的完备性又取决于审计记录的完备性与实时性。产生式/专家系统是误用检测早期的方案之一，在MIDAS、IDES、NIDES、DIDS和CMDS中都使用了这种方法。技术分析-入侵检测技术2022-10-655网络通信安全管理员培训班 2状态转换方法 状态转换方法使用系统状态和状态转换表达式来描述和检测入侵，采用最优模式匹配技巧来结构化误用检测，增强了检测的速度和灵活性。目前

28、，主要有三种实现方法：状态转换分析、有色Petri-Net和语言/应用编程接口（API）。技术分析-入侵检测技术2022-10-656网络通信安全管理员培训班3统计度量 统计度量方法是产品化的入侵检测系统中常用的方法，常见于异常检测。运用统计方法，有效地解决了四个问题：（1）选取有效的统计数据测量点，生成能够反映主体特征的会话向量；（2）根据主体活动产生的审计记录，不断更新当前主体活动的会话向量；（3）采用统计方法分析数据，判断当前活动是否符合主体的历史行为特征；（4）随着时间推移，学习主体的行为特征，更新历史记录。技术分析-入侵检测技术2022-10-657网络通信安全管理员培训班 4神经网

29、络（Neural Network）作为人工智能（AI）的一个重要分支，神经网络（Neural Network）在入侵检测领域得到了很好的应用，它使用自适应学习技术来提取异常行为的特征，需要对训练数据集进行学习以得出正常的行为模式。这种方法要求保证用于学习正常模式的训练数据的纯洁性，即不包含任何入侵或异常的用户行为。技术分析-入侵检测技术2022-10-658网络通信安全管理员培训班5免疫学方法 New Mexico大学的Stephanie Forrest提出了将生物免疫机制引入计算机系统的安全保护框架中。免疫系统中最基本也是最重要的能力是识别“自我/非自我”（self/nonself），换句话

30、讲，它能够识别哪些组织是属于正常机体的，不属于正常的就认为是异常，这个概念和入侵检测中异常检测的概念非常相似。技术分析-入侵检测技术2022-10-659网络通信安全管理员培训班6数据挖掘方法 Columbia大学的Wenke Lee在其博士论文中，提出了将数据挖掘（Data Mining,DM）技术应用到入侵检测中，通过对网络数据和主机系统调用数据的分析挖掘，发现误用检测规则或异常检测模型。具体的工作包括利用数据挖掘中的关联算法和序列挖掘算法提取用户的行为模式，利用分类算法对用户行为和特权程序的系统调用进行分类预测。实验结果表明，这种方法在入侵检测领域有很好的应用前景。技术分析-入侵检测技术

31、2022-10-660网络通信安全管理员培训班7基因算法 基因算法是进化算法（evolutionary algorithms）的一种，引入了达尔文在进化论中提出的自然选择的概念（优胜劣汰、适者生存）对系统进行优化。该算法对于处理多维系统的优化是非常有效的。在基因算法的研究人员看来，入侵检测的过程可以抽象为：为审计事件记录定义一种向量表示形式，这种向量或者对应于攻击行为，或者代表正常行为。技术分析-入侵检测技术2022-10-661网络通信安全管理员培训班虚/漏报率高缺乏检测新攻击类型的能力缺乏准确定位和处理机制性能普遍不足缺乏证据提取能力体系结构缺乏可扩展性主动防御能力不足存在问题和发展方向-

32、存在问题2022-10-662网络通信安全管理员培训班针对分布式攻击的分布式入侵检测方面的研究用于大规模高速网络入侵检测系统的研究应用层入侵检测的研究智能入侵检测的研究对入侵检测系统与防病毒工具、防火墙、VPN等其他安全产品协同工作方面的研究入侵检测系统的评估测试方面的研究入侵检测与操作系统集成方面的研究对入侵检测系统自身安全状况的研究存在问题和发展方向-研究方向2022-10-663网络通信安全管理员培训班网络安全概述防火墙技术入侵检测技术系统安全审计与评估讲座提纲2022-10-664网络通信安全管理员培训班安全审计系统（Security Audit System）在特定的网络环境下，为了

33、保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取，而运用各种技术手段实时监控网络环境中的网络行为、通信内容，以便集中收集、分析、报警、处理的一种技术手段安全评估 对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程概述-基本概念2022-10-6网络通信安全管理员培训班65互联网安全风险增大，安全问题复杂性日益加大 76%的网络安全威胁来自内部 威胁绝大部分与内部各种网络访问行为有关防火墙入侵检测等安全手段，可实现对网络异常行为的管理和监测，但不能监控网络内容和已经授权的网络行为难以实现针对内容、行为的监控管理及安全事件的追查取证概述-为什么需要安

34、全审计2022-10-666网络通信安全管理员培训班安全审计-主要功能内容审计 对网页页面内容、邮件、数据库操作、论坛、即时通讯等提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审计追踪。行为审计 根据设定行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、在线视频、P2P 下载、网络游戏等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。流量审计 基于协议识别的流量分析功能，实时统计出当前网络中的各种报文流量，进行综合流量分析，为流量管理策略的制定提供可靠支持。2022-10-667网络通信安全管理员培训班有效掌握网络安全状态

35、，预防敏感涉密信息外泄实现对内部网络信息的整体智能关联分析、评估、调查及安全事件的准确跟踪定位为整体安全策略的制定提供权威可靠的支持安全审计-作用2022-10-6网络通信安全管理员培训班68安全审计-典型部署2022-10-6网络通信安全管理员培训班69日志格式兼容问题日志数据的管理问题日志数据的集中分析问题分析报告及统计报表的自动生成机制安全审计-需要考虑的主要问题2022-10-670网络通信安全管理员培训班一 细粒度的操作内容审计与精准的网络行为实时监控二 全面详细的审计信息，丰富可定制的报表系统三 支持分级部署、集中管理，满足不同规模网络的使用和管理需求四 自身的安全性高，不易遭受攻击安全审计-评价标准2022-10-671网络通信安全管理员培训班网络主机活动扫描操作系统扫描端口扫描服务识别帐户扫描漏洞扫描Web漏洞扫描安全评估-网络漏洞扫描技术2022-10-6网络通信安全管理员培训班72网络安全是一个系统工程，需要大家的共同努力！2022-10-6网络通信安全管理员培训班73可编辑感感谢谢下下载载