1、第5章 边界安全中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证主要内容概述物理边界控制防火墙技术入侵检测隔离攻击及其防范5.1 概述基本概念、范畴、常见的安全问题中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本概念物理的边界物理安全区域的边界建筑物的进入通道、停车场的入口、实验室的大门逻辑的边界网络边界处内部网络访问的安全123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证范畴123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证常见的安全问题常见
2、问题安全属性真实性完整性机密性可用性物理边界非法闯入 非授权地拷贝设备数据 未授权的用户远程访问内部网络 未授权的用户篡改内部设备数据 利用内部服务器漏洞进行远程攻击 对设备进行拒绝服务攻击 123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证威胁与脆弱性管理上的欠缺身份假冒软件的缺陷协议栈的缺陷组织网络内部攻击1234565.2 物理边界控制中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证物理边界控制的概念对于计算机网络信息系统,物理边界控制的作用就是保护位于边界内部区域的进行信息处理和信息存储的物理基础设施的安全。物理
3、边界控制必须防止对物理基础设施的损害。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证门禁技术门禁是对进出物理边界的人员进行控制的技术设备。感应卡式门禁系统指纹门禁系统虹膜门禁系统面部识别门禁系统123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证现代门禁系统传感与告警身份识别处理与控制开关控制线路与通信管理设置123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证门禁系统123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证巡更系统1
4、23456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证红外防护系统123456对射式主动红外入侵探测器反射式主动红外入侵探测器中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证视频监控系统123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用实例某事业单位属于涉密性质,在内部网络中部署了大量的设备,如:数据存储服务器、路由器、交换机、防火墙、入侵检测等,在存储载体上存储了大量涉密数据及单位核心资料,如:技术开发文档、档案资料、财务资料等。这些设备和数据存放在单位的机房、资料室和档案室中,
5、在单位及关键房间的出入口处,有必要部署门禁系统进行物理边界控制。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证技术部署 采用分布式网络结构,在各个关键位置(机房、资料室和档案室)出入口安装部署门禁设备,由系统控制服务器进行远程管理和控制门禁系统的部署与运行 采用了入侵检测系统、传感和报警系统和闭路电视监视系统,对重点区域进行摄像、安防等操作监视系统123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证人员管理制度外来人员管理工作人员管理保卫人员管理1234565.3 防火墙技术中国信息安全认证中心中国信息安全认
6、证中心信息安全保障人员认证信息安全保障人员认证防火墙的定义在网络中,防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软件,目的是保护网络不被可疑人侵扰。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证防火墙的发展史第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。第二代防火墙 1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即应用层防火墙(代理防火墙)。第三代防火墙 1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dyna
7、mic packet filter)技术的第三代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品 123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证防火墙适用的环境由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet等种类相对集中的网络。Internet上的Web网站中,超过三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都应该放在防火墙之后123456中国信息安全认证中心中国信息安全认证中心信息安
8、全保障人员认证信息安全保障人员认证防火墙的功能根据不同的需要,防火墙的功能有比较大的差异,但是一般都包含以下基本功能:对外 可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户;防止入侵者接近网络防御设施;对内 限制内部用户访问特殊站点123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证防火墙应该满足的条件所有进出网络的通信流都应该通过防火墙。所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证防火墙的局限性防火墙不能防范网络内部的攻击。比如:防火墙
9、无法禁止内部人员将敏感数据拷贝到软盘上防火墙也不能防范没有防范心理的管理员授予其些入侵者临时的网络访问权限防火墙不能防止传送己感染病毒的软件或文件,不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证防火墙的分类从采用的技术上分,常见的防火墙有三种类型:包过滤防火墙;应用代理防火墙;状态检测防火墙。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证包过滤路由器包过滤器在包对包的基础上进行网络流量的处理。它们只在OSI参考模型的网络层工作,因此,它们能够准许或阻止
10、IP地址和端口,并且能够在标准的路由器上以及专门的防火墙设备上执行。一个纯包过滤器只关注下列信息:源IP地址、目标IP地址、源端口、目标端口、包类型包过滤器的一个基本例子就是位于Internet和内部网络之间的路由器,它根据数据包的来源、目的地址和端口来过滤。这样的路由器被称为筛分路由器(Screening Router)123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证常见的包过滤规则包过滤系统只能让我们进行类似以下情况的操作:(1)允许或不允许用户从外部网用Telnet登录;(2)允许或不允许用户使用SMTP往内部网发电子邮件;包过滤不能允许我们进
11、行如下的操作:(1)允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作(2)允许用户传送一些文件而不允许用户传送其它文件123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证包过滤操作流程图123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证包过滤防火墙的配置与实现数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃数据包。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证ftp协议ftp协议使用两协议使用两个端口,一个个端口,一个是控制端口是控制
12、端口21(服务器端),(服务器端),另一个是数据另一个是数据端口端口20(客户(客户端)端)123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证规则设置举例怎样设置防火墙从而开放10.1.1.1的对外的ftp访问?组序号动作源IP目的IP源端口目的端口协 议 类型1允许10.1.1.1*21TCP2允许*10.1.1.121*TCP3禁止*10.1.1.1201024TCP4允许*10.1.1.120*TCP5允许10.1.1.1*20TCP123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证规则设置举例(续)规则
13、1和2允许主机10.1.1.1向外发起FTP连接;规则3禁止外部的ftp服务器的20端口向主机10.1.1.1小于1024的端口发起连接。规则4允许外部的ftp服务器的20端口向主机10.1.1.1大于1024的端口发起数据连接。规则5允许主机10.1.1.1与外网FTP服务器在建立起的数据连接上传输数据123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证问题包过滤规则的匹配是按顺序进行的,如果匹配过程中出现了一条匹配规则,则包过滤结果就按照该规则的目标动作执行,位于该规则后的其它规则则不会再进行匹配服务器的发起数据连接的不一定是20端口,这和FTP的应
14、用模式有关,如果是主动模式,应该为20,如果为被动模式,由服务器端和客户端协商而定123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证包过滤配置原理包过滤防火墙的配置在配置包过滤防火墙时,我们首先要确定哪些服务允许通过而哪些服务应被拒绝,并将这些规定翻译成有关的包过滤规则。下面给出将有关服务翻译成包过滤规则时非常重要的几个概念。(1)协议的双向性。协议总是双向的,协议包括一方发送一个请求而另一方返回一个应答。在制定包过滤规则时,要注意包是从两个方向来到防火墙的。(2)“往内”与“往外”的含义。在我们制定包过滤规则时,必须准确理解“往内”与“往外”的包和“
15、往内”与“往外”的服务这几个词的语义。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证包过滤配置原理(续)(3)“默认允许”与“默认拒绝”。网络的安全策略中的有两种方法:默认拒绝(没有明确地被允许就应被拒绝)与默认允许(没有明确地被拒绝就应被允许)。从安全角度来看,用默认拒绝应该更合适。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证NAT技术NAT(Network Address Translation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP地址的过程NAT的实现方式有三种,即静态
16、转换Static Nat、动态转换Dynamic Nat和端口多路复用123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证包过滤的优点容易实现,费用少,如果被保护网络与外界之间已经有一个独立的路由器,那么只需简单地加一个包过滤软件便可保护整个网络包过滤在网络层实现,不要求改动应用程序,对用户透明,用户感觉不到过滤服务器的存在,因而使用方便123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证包过滤的缺点 规则表随着应用的深化会很快变得很大而且复杂,这样不仅规则难以测试,而且规则结构出现漏洞的可能性也会增加另一个重要的
17、局限是它不能分辨好的和坏的用户,只能区分好的数据包和坏的数据包。包过滤只能工作在有黑白分明安全策略的网络环境中123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用代理型防火墙应用代理型防火墙(application gateway,又称双宿主网关)的物理位置与包过滤路由器一样,但它的逻辑位置在OSI 7层协议的应用层上,所以主要采用协议代理服务(proxy services)123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证代理服务器何为Proxy Server?功能就是代理网络用户去取得网络信息。代理服务器
18、位于网络和Internet之间,接收、分析服务请求,并在允许的情况下对其进行转发。代理服务提供服务的替代连接,比如,网络内部的一个用户想要远程登录到Internet 上的一台主机,代理服务器会接收用户请求,决定是否准许其到远程的连接,之后建立自身与远程目标主机之间及自身与用户之间的Telnet 会话123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证代理的实现过程123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用代理防火墙的分类应用代理防火墙可以分为以下两类:应用级网关防火墙应用级网关防火墙工作于OSI模型或
19、者TCP/IP模型的应用层,用来控制应用层服务,起到外网向内网或内网向外网的应用层通信的转接作用链路中继网关防火墙适用于多个应用协议,主要用于提供网络地址翻译123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证运行示意图外部的外部的ftp服务器服务器123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证代理服务器的适用环境代理服务器适用于特定的Internet服务,如HTTP、FTP等。比如http代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器
20、发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用型防火墙的配置与实现123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证代理服务器的优点网关将受保护网络与外界完全隔离代理服务器提供日志,有助于发现入侵由于它本身是一台主机,可以用于诸如身份验证服务器及代理服务器,使其具有多种功能123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证使用代理的不足每项服务必须使用专门设计的
21、代理服务器,即使较新的代理服务器(如Alta Vista Firewall)虽然能处理几种服务,也不能同时服务应用代理防火墙工作在OSI模型的最高层,因此开销较大;配置的方便性需要用户配置自己的IE,从而指向代理服务器123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证透明代理普通代理需要用户配置IE,从而指向代理服务器。用户的访问数据包的目的地址变为了代理服务器的地址透明代理,不需要用户进行手工设置,用户的访问数据包的目的地址仍是提供服务的主机IP地址。代理服务器负责自动的转换。当然,这需要代理服务器在用户数据包的必经之路上123456中国信息安全认证
22、中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证状态检测状态检测技术是防火墙近几年才应用的新技术状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证状态检测这里动态连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息与传统包过滤防火墙的静态过滤规则表相比,状态检测技术具有更好的灵活性和安全性123456中国信息安全认证中心中国信息安全认证中心信息安全
23、保障人员认证信息安全保障人员认证状态检测TCP数据包的状态SYN:初始化ACK:确认RST 连接复位FIN:关闭连接123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证状态检测状态数据包过滤规则在TCP连接建立之前,仍然使用普通的包过滤但是在使用普通包过滤的同时,建立起连接状态表对一个已建立的连接使用连接状态表去匹配123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证状态检测状态表示例:源地址目的地址协议源端口目的端口 超时(秒)10.1.1.1100.34.12.11TCP2341806010.1.1.1100.
24、22.11.45TCP32141211.5100.22.11.4510.1.1.1TCP202333320123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证构造连接状态表状态检测能从应用程序中收集状态信息存入状态表中,以供其他应用或协议做检测策略。例如,被动模式的ftp数据连接由服务器端和客户端协商而定在ftp连接之前,根本不可能知道将要打开的端口号,则无法为之制定规则ftp数据连接的端口是在ftp控制连接中协商的,因此状态检测可以分析应用层数据,从而获得响应的端口号,并更新连接状态表123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员
25、认证信息安全保障人员认证状态检测对于无连接的UDP协议同样可以使用状态检测。超时检测是否有以前的UDP数据包123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证状态监测优点配置灵活:无需为双向数据分别配置规则;安全强度高:与传统包过滤防火墙比较,状态检测防火墙能根据协议状态对数据报文进行过滤,提升了安全强度缺点仍只是检测数据包的第三层信息,对于应用层数据无法进行深度过滤123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证单宿主堡垒主机模型单宿主堡垒主机模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包
26、过滤防火墙系统要高,它实现了网络层安全(包过滤)和应用层安全(代理服务)体系结构中提供安全保护的壁垒主机仅仅与内部网相连。另外,主机过滤结构还有一台单独的路由器(过滤路由器)。在这种体系结构中,主要的安全由数据包过滤提供堡垒主机可以用来隐藏内部网络的配置123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证单宿主堡垒主机模型 单宿主堡垒主机的模型如图所示123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证双宿主堡垒主机模型双宿堡垒主机型与单宿堡垒主机型的区别是,堡垒主机有两块网卡,一块连接内部网络,一块连接包过滤路由
27、器。双宿堡垒主机在应用层提供代理服务,与单宿型相比更加安全。双宿主堡垒主机模型(屏蔽防火墙系统)可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证双宿主堡垒主机模型双宿主堡垒主机模型如图所示123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证子网屏蔽防火墙屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一,因为在定义了“中立区”(
28、DMZ,Demilitarized Zone)网络后,它支持网络层和应用层安全功能网络管理员将堡垒主机、信息服务器、Modem组,以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证子网屏蔽防火墙的配置与实现 屏蔽子网模型图所示123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证防火墙拓扑结构多层模型The InternetDNSWWWMailTransaction123456中国信息安全认证中心中国信息安全认证中心信息安全保障
29、人员认证信息安全保障人员认证防火墙的安全标准RSA数据安全公司与一些防火墙生产厂商(如Sun Microsystem公司、Checkpoint公司、TIS公司等)以及一些TCPIP协议开发商(如FTP公司等)提出了SecureWAN(SWAN)标准。美国国家计算机安全协会NCSA(national computer security association)成立的防火墙开发商(FWPD,firewall product developer)联盟制订的防火墙测试标准。公安部计算机信息系统安全产品质量监督检验中心报请公安部批准,于2000年9月1日起,包括三个新标准,即GB/T 17900-199
30、9(网络代理服务器安全技术要求)、GB/T 18019-1999(包过滤防火墙安全技术要求)、GB/T 18020-1999(应用级防火墙安全技术要求)。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证选择防火墙的原则1防火墙自身的安全性大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上,但往往忽略一点,防火墙也是网络上的主机设备,也可能存在安全问题。防火墙如果不能确保自身安全,则防火墙的控制功能再强,也终究不能完全保护内部网络2考虑特殊的需求(1)IP地址转换(IP Address Translation)进行IP地址
31、转换有两个好处:其一是隐藏内部网络真正的IP,这可以使黑客无法直接攻击内部网络,也是要强调防火墙自身安全性问题的主要原因;另一个好处是可以让内部用户使用保留的IP,这对许多IP不足的企业是有益的123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证选择防火墙的原则(2)双重 DNS当内部网络使用没有注册的IP地址,或是防火墙进行IP转换时,DNS也必须经过转换。因为,同样的一个主机在内部的IP与给予外界的IP将会不同,有的防火墙会提供双重DNS有的则必须在不同主机上各安装一个DNS。(3)虚拟企业网络(VPN)VPN可以在防火墙与防火墙或移动的Client
32、间对所有网络传输的内容加密,建立一个虚拟通道,让两者间感觉是在同一个网络上,可以安全且不受拘束地互相存取。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证选择防火墙的原则(4)病毒扫描功能大部分防火墙都可以与防病毒防火墙搭配实现病毒扫描功能。有的防火墙则可以直接集成病毒扫描功能,差别只是病毒扫描工作是由防火墙完成,或是由另一台专用的计算机完成。(5)特殊控制需求有时候企业会有特别的控制需求,如限制特定使用者才能发送E-mail,FTP只能得到档案不能上传档案,限制同时上网人数、使用时间等,依需求不同而定。123456中国信息安全认证中心中国信息安全认
33、证中心信息安全保障人员认证信息安全保障人员认证防火墙需求的变化易于管理性;应用透明性;鉴别功能;操作环境和硬件要求;VPN的功能;接口的数量;成本。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证防火墙的发展趋势过滤深度不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤,关键字过滤和对Active X、Java等的过滤,并逐渐有病毒扫除功能。利用防火墙建立专用网(VPN将在较长一段时间内,仍然是用户使用的主流)。IP加密需求越来越强,安全协议的开发是一大热点。对网络攻击的检测和各地告警将成为防火墙的重要功能。安全管理工具不断完善,特别是可疑活
34、动的日志分析工具等将成为防火墙产品中的一部分。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用实例某企业有计算机100余台,其中,财务部、员工办公区域的计算机需要严格禁止外部主动访问,在安全策略允许的情况下,允许财务部和员工办公区域的计算机,正常访问外部服务器。企业提供WEB服务器、邮件服务器和域名服务器,在安全策略许可的情况下,允许外网主动访问。企业通过光纤接入外部网络,内部为双绞线连接。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用实例某企业有计算机100余台,其中,财务部、员工办公区域的计算
35、机需要严格禁止外部主动访问,在安全策略允许的情况下,允许财务部和员工办公区域的计算机,正常访问外部服务器。企业提供WEB服务器、邮件服务器和域名服务器,在安全策略许可的情况下,允许外网主动访问。企业通过光纤接入外部网络,内部为双绞线连接。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用实例防火墙产品的选择网络接口的种类、接入速率和数量防火墙自身的安全性考虑特殊的需求IP地址转换双重 DNSVPN病毒扫描功能特殊控制需求某企业有计算机100余台,其中,财务部、员工办公区域的计算机需要严格禁止外部主动访问,在安全策略允许的情况下,允许财务部和员工办公
36、区域的计算机,正常访问外部服务器。企业提供WEB服务器、邮件服务器和域名服务器,在安全策略许可的情况下,允许外网主动访问。企业通过光纤接入外部网络,内部为双绞线连接。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用实例安全策略的设计安全制度防火墙策略的设计某企业有计算机100余台,其中,财务部、员工办公区域的计算机需要严格禁止外部主动访问,在安全策略允许的情况下,允许财务部和员工办公区域的计算机,正常访问外部服务器。企业提供WEB服务器、邮件服务器和域名服务器,在安全策略许可的情况下,允许外网主动访问。企业通过光纤接入外部网络,内部为双绞线连接。
37、123456服务名称协议端口号描述HTTPTCP80万维网SMTPTCP25邮件发送POP3TCP110邮件下载DNSTCP/UDP53域名解析5.4 IDS技术中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证概述入侵检测的任务包括监视、分析用户及系统活动,查找非法用户和合法用户的越权操作;系统构造和弱点的审计,并提示管理员修补漏洞;识别反映已知进攻的活动模式并向相关人士报警,能够实时对检测到的入侵行为进行反应;异常行为模式的统计分析,发现入侵行为的规律;评估重要系统和数据文件的完整性,如计算和比较文件系统的校验和;操作系统的审计跟踪管理,并识别用户违反安全策略
38、的行为。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证概述(续)入侵检测系统的信息获取相当于一个摄像机捕获和记录系统使用情况和网络数据智能地分析上述得到的数据穿透伪装,看透实际的入侵行为还能够对入侵行为进行自动的反击123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证入侵检测步骤入侵检测步骤信息收集信息分析告警与响应123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证入侵检测步骤(续)第一步:信息收集收集的信息包括系统、网络、数据及用户活动的状态和行为。系统和网络日志文
39、件 目录和文件中的不期望的改变程序执行中的不期望行为物理形式的入侵信息需要在系统中的不同关键点(网段和主机)收集信息,因为从一个来源的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证入侵检测步骤(续)第二步:信号分析对收集到的信息,通过三种技术手段进行分析:模式匹配:用于实时的入侵检测统计分析:用于实时的入侵检测完整性分析:用于事后分析123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证入侵检测步骤(续)第三步 告警与响应切断网络连
40、接记录事件和报警主动响应切断连接被动响应告警和通知123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证入侵检测系统的构成一个入侵检测系统的功能结构至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基于网络(network)的入侵检测系统在共享网段上对通信数据的侦听采集数据,分析可疑现象优点(1)拥有成本低(2)攻击者转移证据困难(3)实时检测和响应(4)能够检测未成功的攻击企图(5)操作系统独立缺点 只检查它直接连接网段的通信;为了不影响性能,通常采用简单的
41、特征检测算法,难以实现复杂计算与分析;难以处理加密会话。目前通过加密通道的攻击尚不多,但这个问题会越来越突出123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证管理/配置入侵分析引擎器网络安全数据库嗅探器嗅探器分析结果基于网络的入侵检测系统模型网络入侵检测系统模型系统模型123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证分布式入侵检测系统结合主机系统审计日志和网络数据流的入侵检测系统,一般为分布式结构,克服了单一的HIDS、NIDS的不足集中管理、分布防御的设计思想123456中国信息安全认证中心中国信息安全认证
42、中心信息安全保障人员认证信息安全保障人员认证入侵检测技术入侵检测技术通过对入侵行为过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应入侵检测常用检测策略滥用检测异常检测完整性分析123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证入侵检测常用检测方法滥用检测 滥用检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式当被审计的事件与已知的入侵事件模式相匹配时报警目前常用的是数据包特征模式匹配特点:准确率高,对付已知攻击123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证入侵检测
43、常用检测方法(续)异常检测 测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的统计模型有:操作模型:测量结果与一些固定指标(经验值,统计值)相比较,例:在短时间内的多次登录失败,可能是口令尝试攻击;概率模型:计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常;或者当概率很低的事件发生时,可能发生入侵。用户历史行为:当用户改变他们的行为习惯时,这种异常就会被检测出来。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证完整性分析完整性分析关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被木马、病毒更改
44、的应用程序方面特别有效。检查系统保存有每个文件的数字摘要数据库,通过重新计算文件的数字文摘并与数据库中的值相比较来判断文件是否被修改。优点攻克文件完整性检查系统,无论是时间上还是空间上都是不可能的。配置灵活,可以有选择地监测重要文件。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证完整性分析(续)文件完整性检查的弱点一般以批处理方式实现,不用于实时响应。该方法作为网络安全的必要补充,定期运行。文件完整性检查系统依赖于本地的文摘数据库。这些数据可能被入侵者修改。防范对策:将摘要数据库放在只读介质上。文件完整性检查非常耗时。系统正常的升级会带来大量的文件
45、更新。例如,Windows NT系统中升级MS-Outlook将会带来1800多个文件变化。123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证根据系统的工作方式分类离线检测系统离线检测系统是非实时工作的系统,它在事后分析审计事件,从中检查入侵活动在线检测系统在线检测系统是实时联机的检测系统,它包含对实时网络数据包分析,实时主机审计分析123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证一个攻击检测实例老版本的Sendmail漏洞利用$telnet 25WIZshell或者DEBUG#直接获得rootshell!1
46、23456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证简单的匹配检查每个packet是否包含:“WIZ”|DEBUG”123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证检查端口号缩小匹配范围 Port 25:“WIZ”|“DEBUG”123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证优化的过程只判断客户端发送部分 Port 25:Client-sends:“WIZ”|Client-sends:“DEBUG”123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认
47、证信息安全保障人员认证NIDS关键技术IP碎片重组技术TCP流重组技术TCP状态检测技术协议分析技术HTTP解码技术零复制技术123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证IP碎片重组技术原理攻击者为了躲避入侵检测系统,往往将攻击请求分成若干个IP碎片包发送到目标主机,目标主机接收到碎片包后,进行碎片重组,还原出真正的请求碎片攻击包括碎片覆盖碎片超时针对网络拓扑的碎片技术123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证TCP流重组技术原理 TCP报文段会有失序,重复,丢包。NIDS工作在混杂模式,在进行上
48、层协议分析之前,需要对TCP报文进行重组,分段重组是对TCP数据进行重新排序,丢序重复的数据,并指示数据的丢失123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证TCP状态检测技术原理攻击NIDS最有效的办法是Stick程序,它可以在2s内模拟450次没有经过三次握手的攻击,快速的告警信息产生让IDS反应不过来,甚至死机的现象123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证协议分析技术原理根据现有的协议模式,到固定的位置取值而不是一个个的去比较,然后根据取得的值来判断其协议以及实施下一步分析动作123456中国
49、信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证NIDS数据报解析原理NIDS检测的数据源是被监控网络中的数据包,数据包解析是指根据数据包的封装结构对数据包进行分析处理,使NIDS 能更有效地对数据包进行入侵检测。按照网络协议的层次组织结构,数据包解析将依次分解出各层协议首部,进而确定其上一层协议,直至完成应用层协议的全部解析123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证数据报解析例HTTP报文的解析过程从链路层获得以太网数据帧,解析出以太网首部,检查其中的帧类型为0800,确定上一层为IP协议;进一步解析出IP首部,检
50、查其中的协议值为6,为TCP报文段;再解析出TCP首部,查看目的端口号为80,为HTTP报文;最后解析出HTTP首部和包含的实体数据。所有解析出的各协议首部和数据载荷都用来进行详细的协议分析检测123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证状态协议分析技术原理 在协议分析的基础上,加入状态特性分析,即不仅检测单一的连接请求,而且将一个会话的所有流量作为一个整体来考虑与模式匹配技术相比的优势:性能提高准确性提高基于状态的分析系统资源开销小123456中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证HTTP解码技术主要包