第10章防火墙与入侵检测剖析.pptVIP

第十章 防火墙与入侵检测 * 内容提要 本章介绍两部分的内容： 防火墙和入侵检测技术。 介绍防火墙的基本概念，常见防火墙类型、防火墙的体系结构。 介绍入侵检测系统的基本概念以及入侵检测的常用方法。 9.1 防火墙的概念 防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如图所示。 什么是防火墙 什么是防火墙 什么是防火墙 防火墙可在链路层、网络层和应用层上实现； 其功能的本质特征是隔离内外网络和对进出信息流实施访问控制。隔离方法可以是基于物理的，也可以是基于逻辑的； 从网络防御体系上看，防火墙是一种被动防御的保护装置。 防火墙的必要性 随着世界各国信息基础设施的逐渐形成，国与国之间变得“近在咫尺”。Internet已经成为信息化社会发展的重要保证。已深入到国家的政治、军事、经济、文教等诸多领域。 许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此，难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。 因此，网络安全已经成为迫在眉睫的重要问题，没有网络安全就没有社会信息化 防火墙的分类 1.个人防火墙 是在操作系统上运行的软件，可为个人计算机提供简单的防火墙功能； 大家常用的个人防火墙有：Norton Personal Firewall、天网个人防火墙、瑞星个人防火墙等； 安装在个人PC上，而不是放置在网络边界，因此，个人防火墙关心的不是一个网络到另外一个网络的安全，而是单个主机和与之相连接的主机或网络之间的安全。 防火墙的分类 2.软件防火墙 个人防火墙也是一种纯软件防火墙，但其应用范围较小，且只支持Windows系统，功能相对来说要弱很多，并且安全性和并发连接处理能力较差； 作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。不仅支持Windows系统，并且多数都支持Unix或Linux系统。如十分著名的Check Point FireWall-1，Microsoft ISA Server 2000等。 防火墙的分类 3.一般硬件防火墙 不等同于采用专用芯片的纯硬件防火墙，但和纯软件防火墙有很大差异； 一般由小型的防火墙厂商开发，或者是大型厂商开发的中低端产品，应用于中小型企业，功能比较全，但性能一般； 一般都采用PC架构（就是一台嵌入式主机），但使用的各个配件都量身定制。 防火墙的分类 4.纯硬件防火墙 采用专用芯片（非X86芯片）来处理防火墙核心策略的一种硬件防火墙，也称为芯片级防火墙。（专用集成电路（ASIC）芯片或者网络处理器（NP）芯片）； 最大的亮点：高性能，非常高的并发连接数和吞吐量； 采用ASIC芯片的方法在国外比较流行，技术也比较成熟，如美国NetScreen公司的高端防火墙产品；国内芯片级防火墙大多还处于开发发展的阶段，采用的是NP技术。 防火墙的分类 5.分布式防火墙 前面提到的几种防火墙都属于边界防火墙（Perimeter Firewall），它无法对内部网络实现有效地保护； 随着人们对网络安全防护要求的提高，产生了一种新型的防火墙体系结构——分布式防火墙。近几年，分布式防火墙技术已逐渐兴起，并在国外一些大的网络设备开发商中得到实现，由于其优越的安全防护体系，符合未来的发展趋势，这一技术一出现就得到了许多用户的认可和接受。 防火墙的局限性 网络的安全性通常是以网络服务的开放性和灵活性为代价的。 防火墙的使用也会削弱网络的功能： ① 由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍； ② 由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，还减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。 防火墙的局限性 防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失： ① 只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力； ② 不能解决来自内部网络的攻击和安全问题； ③ 不能防止受病毒感染的文件的传输； ④ 不能防止策略配置不当或错误配置引起的安全威胁； ⑤ 不能防止自然或人为的故意破坏；不能防止本身安全漏洞的威胁。 常见防火墙的系统模型 分组过滤路由器(筛选路由器) 分组过滤路由器 作为内外网连接的唯一通道，要求所有的报文都必须在此通过检查。 通过在分组过滤路由器上安装基于IP层的报文过滤软件，就可利用过滤规则实现报文过滤功能。 缺点： 在单机上实现，是网络中的“单失效点”。 不支持有效的用户认证、不提供有用的日志，安全性低。 双宿主机 双宿主机 在被保护网络和I