第5课-防火墙与入侵检测.pptVIP

第5章 防火墙与入侵检测 *内容提要 本章介绍两部分的内容： 防火墙 介绍防火墙的基本概念，常见防火墙类型以及如何使用规则集实现防火墙 入侵检测技术 介绍入侵检测系统的基本概念以及入侵检测的常用方法 如何编写入侵检测工具以及如何使用工具实现入侵检测 5.1 防火墙的定义 防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如图所示 5.1.1 防火墙的定义 这里所说的防火墙指隔离在本地网络与外界网络之间的一道防御系统。 在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如图所示 5.1.2 防火墙的功能 根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。 可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务，因此适合于相对独立的网络， 例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。 5.1.3 防火墙的必要性 Internet已经成为信息化社会发展的重要保证,已深入到国家的政治、军事、经济、文教等诸多领域 许多重要信息都通过网络存贮、传输和处理，难免会遭遇各种主动或被动的攻击。 例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。 网络安全已经成为迫在眉睫的重要问题，没有网络安全就没有社会信息化 防火墙是一种网络安全保障技术 5.1.4 防火墙的局限性 防火墙有以下三方面的局限： 防火墙不能防范网络内部的攻击 比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。 5.2 防火墙的分类 常见的放火墙有三种类型： 1、分组过滤防火墙； 2、应用代理防火墙； 3、状态检测防火墙 分组过滤（Packet Filtering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。 5.2 防火墙的分类 应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 状态检测（Status Detection）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。 5.2.1 分组过滤防火墙 数据包过滤可以在网络层截获数据。 使用一些规则来确定是否转发或丢弃所各个数据包 原理图如下： 5.2.1 分组过滤防火墙 一个可靠的分组过滤防火墙依赖于规则集，表列出了几条典型的规则集。 第一条规则：主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。 第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。 第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过。 5.2.1 分组过滤防火墙 优点：不需要修改客户机与主机上的程序 缺点：不能区分数据包的好坏，容易受到攻击 比较流行的包过滤防火墙有： CheckPoint、Cisco PIX、 Winroute 案例5-1用WinRoute创建包过滤规则 WinRoute目前应用比较广泛 既可以作为一个服务器的防火墙系统 也可以作为一个代理服务器软件 目前比较常用的是WinRoute4.1，安装文件如图示 案例5-1用WinRoute创建包过滤规则 以管理员身份安装该软件，安装完毕后，启动“WinRoute Administration”，WinRoute的登录界面如图所示 默认情况下，该密码为空。点击按钮“OK”，进入系统管理 案例5-1用WinRoute创建包过滤规则 当系统安装完毕以后，该主机就将不能上网，需要修改默认设置，点击工具栏图标，出现本地网络设置对话框，然后查看“Ethernet”的属性，将两个复选框全部选中，如图所示。 案例5-