网络安全教程 教学课件 田园 第5章 反入侵技术（II）：基于.pptVIP

第5章 反入侵技术（II）：基于网络的机制;5.1 较简单的机制; 除了以上方面，携带病毒代码的IP分组本身也具有明显的数据特征，如Linux/Slapper病毒利用Open SSL的漏洞进行溢出攻击，在HTTPS（TCP 443端口）建立起加密信道之前就入侵了目标系统，并且以明文（而非密文）传输其数据，在其消息中含有以下典型的特征信息。 rm -vf /tmp/.bugtraq.c; cat /tmp.uub ugtraq__eof__; .begin 655 .bugtraq.c ; 熟悉UNIX/Linux的读者立刻能看出来以上序列在前面包含两条带参数的shell命令。 这一序列中独一无二（该病毒特有）的字节序列用十六进制表达出来就是 36 35 35 20 2E 62 75 67 74 72 61 2E 63 再以病毒W32/Slammer为例，它在UDP 1434端口上的消息总包含以下特征字节序列，用十六进制表示就是 68 2E 64 6C 68 65 6C 33 32 68 6B 65 72 6E 从以上这些事实不难归纳出检测网络病毒的一种方法：如果IP分组的数据部分被观测到携带以上字节序列，这可以判定该IP分组源自对应的病毒。 ; 实际上，当代的许多病毒都有利用加密技术进行自我隐形的能力，结果使得同源病毒也可以有很不相同的表观特征。 如此一来，上面那种直接的检测方法就不能总是有效识别出这类病毒了。 但另一方面，细致的分析表明大量病毒仍然具有特定的数据或指令特征，即独一无二的特征字节序列。 ;5.2 信息流控制：防火墙 ;图5-1 一个企业网及其边界防火墙; 防火墙实施IP分组过滤的方式是依照所谓访问控制列表（Access Control List，ACL）。 ACL是一组表项的有序集合，每个表项表达一个规则，称为IP分组过滤策略，内容包含被监测的IP分组的特征、对该类型的IP分组所实施的动作（放行、废弃等）。 每当一个IP分组经过防火墙的接口，防火墙都要顺序检索对应的ACL，找到特征匹配的表项，然后根据该表项指示的动作处理该IP分组。 ; 但防火墙的配置有普遍的原则。 （1）如果防火墙的默认行为是阻塞一切IP分组，则仅当显式指定过滤规则时，防火墙按照指定的过滤规则对满足特征匹配的IP分组实施规定的处理动作；所有不匹配的IP分组一概默认为实施阻塞。 （2）防火墙对每个接口、每个方向（到达和离出）单独建立一组过滤规则，单独实施匹配和处理，因此每个接口一般具有分别针对两个传输方向的两组过滤规则。 （3）每组过滤规则是有特定顺序的规则表，对IP分组，防火墙永远（按照排列顺序）实施匹配的第一个规则；最后一条规则是本表的默认规则。; 对更复杂的企业网络，即使企业网内部的不同网段也可能具有不同的安全访问策略，因此这类网络具有更复杂的安全策略，这时需要实施多防火墙配置。; 表5-2概要总结了当代各种防火墙系统的类型。 ;5.3* 防火墙的实现 ; 图5-3 防火墙设备的逻辑结构 ; 所谓分类，是指按照某种规则将IP分组归结为逻辑范畴——流（flow），有共同特征的分组归结为同一个流，然后进一步做基于流的处理。 以图5-4所示为例，其中网关G是具有负载均衡能力的防火墙系统，作为服务器集群的网络前端。所有服务器对外共用一个IP地址（例如高吞吐量的Web集群）。 假如服务器事务是基于TCP的（如Web），网关G可以将每个TCP连接对应一个流，针对每个流实施安全策略，同时在所有服务器上均匀分配当前存在的流。; 图5-4 保护服务器集群的防火墙系统; 分类是一个计算量较大的操作，特别是软件实现，虽然非常灵活，但因为这种分类计算需要大量的条件判定、程序分支，使软件分类的计算速度不高，成为实现高性能网络系统的瓶颈之一。 如何综合软/硬件功能，优化分类处理，是实现高性能网络系统的关键技术之一。 高性能网络系统的硬件体系结构与软件体系结构是相互影响的，两方协同才有可能构造出真正满足高性能、同时成本合理的系统。 图5-5所示是高性能防火墙系统几种典型的逻辑体系结构。;图5-5 高性能防火墙系统几种典型的逻辑体系结构; 图5-5（a）所示是低性能系统的构成方案，图5-5（b）所示是低性能系统的构成方案的演化，图5-5（c）所示是方案（b）的改进。 在防火墙软件方面，除了实施基本的上下文无关检测功能（如上一节的ACL所表达的那类功能），高级的软件也能实现上下文有关的检测。 这时防火墙不是仅针对每个孤立的IP分组单独识别、过滤和