第11讲 防火墙与入侵检测.pptVIP

1 第11讲　防火墙与入侵检测 主讲：谢昕 内容提要 本章介绍两部分的内容： 防火墙和入侵检测技术。 介绍防火墙的基本概念，常见防火墙类型以及如何使用规则集实现防火墙。 介绍入侵检测系统的基本概念以及入侵检测的常用方法 如何编写入侵检测工具以及如何使用工具实现入侵检测。 防火墙发展 第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。所以称为包过滤防火墙。 缺点： 配置困难,因为包过滤防火墙的配置很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞。 为特定服务开放的端口存在着危险，可能会被用于其他传输。 可能还有其他方法绕过防火墙进入网络，例如拨入连接。 应用代理防火墙 　　　应用程序代理防火墙接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。 应用代理防火墙 优点： 　　 指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问。 　　 通过限制某些协议的传出请求，来减少网络中不必要的服务。 　　 大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。 缺点： 　　 必须在一定范围内定制用户的系统，这取决于所用的应用程序。 一些应用程序可能根本不支持代理连接。 状态/动态检测防火墙 状态检测技术：在包过滤的同时，检察数据包之间的关联性，数据包中动态变化的状态码。跟踪通过防火墙的网络连接和包，使用一组附加的标准，以确定是否允许和拒绝通信。 监测引擎技术：采用一个或若干个在网关上执行网络安全策略的软件模块，抽取有关数据的方法对网络通信的各层实施监测，获得状态信息，并动态地保存起来作为以后执行安全策略的参考。 当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。可以实现 拒绝携带某些数据的网络通信，如带有附加可执行程序的传入电子消息，或包含ActiveX程序的Web页面。 优点： 检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则。 识别带有欺骗性源IP地址包的能力。 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通 过防火墙，绕过是困难的。 基于应用程序信息验证一个包的状态的能力， 例如基于一个已经建立的FTP连接，允许返回的FTP包通过。 基于应用程序信息验证一个包状态的能力，例如允许一个先前认证过的连接继续与被授予的服务通信。 记录有关通过的每个包的详细信息的能力。基本上，防火墙用来确定包状态的所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等。 状态/动态检测防火墙的缺点 状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。 解决办法就是将特定信息通过硬件进行处理，硬件速度越快，这个问题就越不易察觉，而且防火墙的制造商一直致力于提高他们产品的速度。 市场发展需要的新技术 底层内容过滤原理图 防火墙产品功能特性组 操作模式: NAT/Route/Transparent 双向NAT 透明模式的支持 基于时间的策略控制 IP/MAC绑定 HA功能 病毒检测 蠕虫保护 内容安全控制 入侵检测 虚拟专用网（VPN） VPN 解决方案 企业VPN解决方案(一) 企业VPN解决方案(二) 基于PPTP/L2TP的拨号VPN 基于ipsec的拨号VPN 基于浏览器界面配置管理 基于字符和命令行界面配置管理 防火墙的定义 防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如图9-1所示。 防火墙的定义 这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。 在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如图9-2所示。 防火墙的功能 根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。 可以限制未授权的用户进入内部网络，过滤掉不安全的服务