第5章網(wǎng)絡(luò)安全技術(shù)(2)

1、第5章網(wǎng)絡(luò)安全技術(shù) 5.6 ARP欺騙欺騙 網(wǎng)絡(luò)竊聽是指截獲和復(fù)制系統(tǒng)、服務(wù)器、路由器、防火墻網(wǎng)絡(luò)竊聽是指截獲和復(fù)制系統(tǒng)、服務(wù)器、路由器、防火墻等設(shè)備中所有的網(wǎng)絡(luò)通信信息，不僅可以用于安全監(jiān)控，等設(shè)備中所有的網(wǎng)絡(luò)通信信息，不僅可以用于安全監(jiān)控，也是攻擊者用來截獲網(wǎng)絡(luò)信息的重要方式。也是攻擊者用來截獲網(wǎng)絡(luò)信息的重要方式。ARP欺騙是黑客常用的攻擊手段之一，欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二欺騙分為二種，一種是對路由器種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。的網(wǎng)關(guān)欺騙。對路由器對路由器ARP表的欺騙表的欺騙截獲網(wǎng)關(guān)數(shù)據(jù)。即通過路由器一系列

2、錯誤的內(nèi)網(wǎng)截獲網(wǎng)關(guān)數(shù)據(jù)。即通過路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)給錯誤的數(shù)據(jù)只能發(fā)給錯誤的MAC地址，造成正常地址，造成正常PC無法收到無法收到信息。信息。對內(nèi)網(wǎng)對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙的網(wǎng)關(guān)欺騙偽造網(wǎng)關(guān)。建立假網(wǎng)關(guān)，讓被它欺騙的偽造網(wǎng)關(guān)。建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來看來，就是上不了網(wǎng)了。，就是上不了網(wǎng)了。

3、5.6 ARP欺騙欺騙5.6 ARP欺騙欺騙例：本網(wǎng)絡(luò)內(nèi)，所有向外發(fā)送的數(shù)據(jù)包，都會被例：本網(wǎng)絡(luò)內(nèi)，所有向外發(fā)送的數(shù)據(jù)包，都會被轉(zhuǎn)發(fā)到攻擊者的主機(jī)（轉(zhuǎn)發(fā)到攻擊者的主機(jī)（A）上，從而獲得敏感信）上，從而獲得敏感信息。息。實(shí)驗(yàn)五實(shí)驗(yàn)五 arp欺騙欺騙【實(shí)驗(yàn)?zāi)康膶?shí)驗(yàn)?zāi)康摹考由顚由顚RP高速緩存的理解高速緩存的理解掌握掌握ARP欺騙在網(wǎng)絡(luò)攻擊中的應(yīng)用欺騙在網(wǎng)絡(luò)攻擊中的應(yīng)用【實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容】被欺騙者可以被欺騙者可以ping通欺騙者。通欺騙者。 進(jìn)行進(jìn)行arp欺騙。欺騙。 被欺騙者不可以被欺騙者不可以ping通欺騙者。通欺騙者。5.7 防火墻技術(shù)防火墻技術(shù) 什么是防火墻什么是防火墻防火墻的功能防火墻

4、的功能防火墻的局限性防火墻的局限性防火墻的體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)防火墻的實(shí)現(xiàn)技術(shù)防火墻的實(shí)現(xiàn)技術(shù)防火墻示意圖防火墻示意圖什么是防火墻什么是防火墻什么是防火墻什么是防火墻定義：防火墻（定義：防火墻（Firewall）是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控）是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)互連設(shè)備，是一種非常有效的網(wǎng)絡(luò)安全模型。制的特殊網(wǎng)絡(luò)互連設(shè)備，是一種非常有效的網(wǎng)絡(luò)安全模型。核心思想：在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個相對安全的子核心思想：在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。網(wǎng)環(huán)境。目的：都是為了在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之目的：都是為了在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)

5、之間設(shè)立唯一的通道，以按照事先制定的策略控制信息的流入間設(shè)立唯一的通道，以按照事先制定的策略控制信息的流入和流出，監(jiān)督和控制使用者的操作。和流出，監(jiān)督和控制使用者的操作。從網(wǎng)絡(luò)防御體系上看，防火墻是一種被動防御的保護(hù)裝置。從網(wǎng)絡(luò)防御體系上看，防火墻是一種被動防御的保護(hù)裝置。防火墻是根據(jù)過濾規(guī)則來判斷是否允許某個訪問請求。防火墻是根據(jù)過濾規(guī)則來判斷是否允許某個訪問請求。防火墻的功能防火墻的功能網(wǎng)絡(luò)安全的屏障（隔離內(nèi)外網(wǎng)絡(luò)）；網(wǎng)絡(luò)安全的屏障（隔離內(nèi)外網(wǎng)絡(luò)）；過濾不安全的服務(wù)（兩層含義）過濾不安全的服務(wù)（兩層含義） ； 內(nèi)部提供的不安全服務(wù)和內(nèi)部訪問外部的不安全服務(wù)（雙向）內(nèi)部提供的不安全服務(wù)和內(nèi)部

6、訪問外部的不安全服務(wù)（雙向）阻斷特定的網(wǎng)絡(luò)攻擊（聯(lián)動技術(shù)的產(chǎn)生）阻斷特定的網(wǎng)絡(luò)攻擊（聯(lián)動技術(shù)的產(chǎn)生） ；部署部署NAT機(jī)制；機(jī)制；是提供了監(jiān)視局域網(wǎng)安全和預(yù)警的方便端點(diǎn)。是提供了監(jiān)視局域網(wǎng)安全和預(yù)警的方便端點(diǎn)。 提供包括安全和統(tǒng)計(jì)數(shù)據(jù)在內(nèi)的審計(jì)數(shù)據(jù)，好的防火墻還能靈提供包括安全和統(tǒng)計(jì)數(shù)據(jù)在內(nèi)的審計(jì)數(shù)據(jù)，好的防火墻還能靈活設(shè)置各種報(bào)警方式?；钤O(shè)置各種報(bào)警方式。防火墻的局限性防火墻的局限性只能防范經(jīng)過其本身的非法訪問和攻擊，對繞過防火墻的只能防范經(jīng)過其本身的非法訪問和攻擊，對繞過防火墻的訪問和攻擊無能為力。訪問和攻擊無能為力。不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問

7、題。不能防止受病毒感染的文件的傳輸。不能防止受病毒感染的文件的傳輸。不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅。不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅。不能防止自然或人為的故意破壞，不能防止本身安全漏洞不能防止自然或人為的故意破壞，不能防止本身安全漏洞的威脅。的威脅。防火墻的體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)分組過濾路由器分組過濾路由器雙宿主機(jī)雙宿主機(jī)屏蔽主機(jī)屏蔽主機(jī)屏蔽子網(wǎng)屏蔽子網(wǎng)防火墻的體系結(jié)構(gòu)：防火墻系統(tǒng)實(shí)現(xiàn)所采用的架構(gòu)及其實(shí)現(xiàn)所采用的方法，它決定著防火墻的功能、性能以及使用范圍。分組過濾路由器分組過濾路由器分組過濾路由器分組過濾路由器作為內(nèi)外網(wǎng)連接的唯一通道，要求所有的數(shù)據(jù)包都必須在作為

8、內(nèi)外網(wǎng)連接的唯一通道，要求所有的數(shù)據(jù)包都必須在此通過檢查。此通過檢查。通過在分組過濾路由器上安裝基于通過在分組過濾路由器上安裝基于IP層的報(bào)文過濾軟件，層的報(bào)文過濾軟件，就可利用過濾規(guī)則實(shí)現(xiàn)報(bào)文過濾功能。就可利用過濾規(guī)則實(shí)現(xiàn)報(bào)文過濾功能。在單機(jī)上實(shí)現(xiàn)，是網(wǎng)絡(luò)中的在單機(jī)上實(shí)現(xiàn)，是網(wǎng)絡(luò)中的“單失效點(diǎn)單失效點(diǎn)”。不支持有效的用戶認(rèn)證、不提供有用的日志，安全性低。不支持有效的用戶認(rèn)證、不提供有用的日志，安全性低。雙宿主機(jī)雙宿主機(jī)雙宿主機(jī)雙宿主機(jī)雙宿主機(jī)雙宿主機(jī)在被保護(hù)網(wǎng)絡(luò)和在被保護(hù)網(wǎng)絡(luò)和Internet之間設(shè)置一個具有雙網(wǎng)卡的堡壘之間設(shè)置一個具有雙網(wǎng)卡的堡壘主機(jī)，主機(jī)，IP層的通信完全被阻止，兩個網(wǎng)絡(luò)

9、之間的通信可以層的通信完全被阻止，兩個網(wǎng)絡(luò)之間的通信可以通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成。通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成。通常采用代理服務(wù)方式。通常采用代理服務(wù)方式。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序和提供堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序和提供服務(wù)等。服務(wù)等。堡壘主機(jī)的系統(tǒng)軟件可用于身份認(rèn)證和維護(hù)系統(tǒng)日志，有堡壘主機(jī)的系統(tǒng)軟件可用于身份認(rèn)證和維護(hù)系統(tǒng)日志，有利于進(jìn)行安全審計(jì)。利于進(jìn)行安全審計(jì)。防火墻仍是網(wǎng)絡(luò)的防火墻仍是網(wǎng)絡(luò)的“單失效點(diǎn)單失效點(diǎn)”。隔離了一切內(nèi)部網(wǎng)與隔離了一切內(nèi)部網(wǎng)與Internet的直接連接，不適合于一些的直接連接，不適合于一些高靈活性要

10、求的場合。高靈活性要求的場合。屏蔽主機(jī)屏蔽主機(jī)堡壘主機(jī)堡壘主機(jī)分組過濾路由器分組過濾路由器屏蔽主機(jī)屏蔽主機(jī)一個分組過濾路由器連接外部網(wǎng)絡(luò)，同時一個運(yùn)行網(wǎng)關(guān)軟一個分組過濾路由器連接外部網(wǎng)絡(luò)，同時一個運(yùn)行網(wǎng)關(guān)軟件的堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)。通常在路由器上設(shè)立過濾件的堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)。通常在路由器上設(shè)立過濾規(guī)則，使這個堡壘主機(jī)成為從外部唯一可直接到達(dá)的主機(jī)規(guī)則，使這個堡壘主機(jī)成為從外部唯一可直接到達(dá)的主機(jī)。提供的安全等級較高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾提供的安全等級較高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。）和應(yīng)用層安全（代理服務(wù)）。過濾路由器是否正確配置是這種防火墻安

11、全與否的關(guān)鍵。過濾路由器是否正確配置是這種防火墻安全與否的關(guān)鍵。屏蔽子網(wǎng)屏蔽子網(wǎng)堡壘主機(jī)堡壘主機(jī)外部路由器外部路由器內(nèi)部路由器內(nèi)部路由器屏蔽子網(wǎng)屏蔽子網(wǎng)是最安全的防火墻系統(tǒng)，它在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建是最安全的防火墻系統(tǒng)，它在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)（非軍事區(qū)，立一個被隔離的子網(wǎng)（非軍事區(qū)，DMZ，專門提供服務(wù)，專門提供服務(wù)的場所）的場所）在很多實(shí)現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，內(nèi)在很多實(shí)現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)通信被屏蔽子網(wǎng)通信通常將堡壘

12、主機(jī)、各種信息服務(wù)器等公用服務(wù)器放于通常將堡壘主機(jī)、各種信息服務(wù)器等公用服務(wù)器放于DMZ中中堡壘主機(jī)通常是黑客集中攻擊的目標(biāo)，如果沒有堡壘主機(jī)通常是黑客集中攻擊的目標(biāo)，如果沒有DMZ，入侵者控制堡壘主機(jī)后就可以監(jiān)聽整個內(nèi)部網(wǎng)絡(luò)的會話入侵者控制堡壘主機(jī)后就可以監(jiān)聽整個內(nèi)部網(wǎng)絡(luò)的會話防火墻的實(shí)現(xiàn)技術(shù)防火墻的實(shí)現(xiàn)技術(shù) 數(shù)據(jù)包過濾（數(shù)據(jù)包過濾（Packet Filtering）代理服務(wù)（代理服務(wù)（Proxy Service）狀態(tài)檢測（狀態(tài)檢測（Stateful Inspection）網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換NAT （Network AddressTranslation ）數(shù)據(jù)包過濾數(shù)據(jù)包過濾數(shù)據(jù)包過濾

13、數(shù)據(jù)包過濾數(shù)據(jù)包過濾技術(shù)是一種簡單、高效的安全控制技術(shù)，是防數(shù)據(jù)包過濾技術(shù)是一種簡單、高效的安全控制技術(shù)，是防火墻發(fā)展初期普遍采用的技術(shù)?；饓Πl(fā)展初期普遍采用的技術(shù)。工作原理：工作原理： 系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)，因此它不系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)，因此它不能控制傳輸數(shù)據(jù)的內(nèi)容。能控制傳輸數(shù)據(jù)的內(nèi)容。 依據(jù)在系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則（通常稱為訪問控制表依據(jù)在系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則（通常稱為訪問控制表Access Control List）對數(shù)據(jù)流中每個數(shù)據(jù)包）對數(shù)據(jù)流中每個數(shù)據(jù)包包包頭頭中的參數(shù)或它們的組合進(jìn)行檢查，以確定是否允許中的參數(shù)或它們的組合進(jìn)行檢查，以確定是否允許該數(shù)

14、據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。該數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。數(shù)據(jù)包過濾數(shù)據(jù)包過濾包過濾一般要檢查（網(wǎng)絡(luò)層的包過濾一般要檢查（網(wǎng)絡(luò)層的IP頭和傳輸層的頭）：頭和傳輸層的頭）：IP源地址源地址IP目的地址目的地址協(xié)議類型（協(xié)議類型（TCP包包/UDP包包/ICMP包）包）TCP或或UDP的源端口的源端口TCP或或UDP的目的端口的目的端口ICMP消息類型消息類型TCP報(bào)頭中的報(bào)頭中的ACK位位數(shù)據(jù)包過濾數(shù)據(jù)包過濾舉例：舉例： 某條過濾規(guī)則為：禁止地址某條過濾規(guī)則為：禁止地址1的任意端口到地址的任意端口到地址2的的80端端口的口的TCP包。包。 含義？含義？ 表示禁止地址1的計(jì)算機(jī)連接地址2的計(jì)算機(jī)的WWW服務(wù)。數(shù)據(jù)包

15、過濾數(shù)據(jù)包過濾優(yōu)點(diǎn)： 邏輯簡單，價(jià)格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好。主要缺點(diǎn)： 安全控制的力度只限于源地址、目的地址和端口號等，不能保存與傳輸或與應(yīng)用相關(guān)的狀態(tài)信息，因而只能進(jìn)行較為初步的安全控制，安全性較低； 數(shù)據(jù)包的源地址、目的地址以及端口號等都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。代理服務(wù)代理服務(wù)代理服務(wù)代理服務(wù)是運(yùn)行于連接內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的主機(jī)（堡壘主機(jī)）上是運(yùn)行于連接內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的主機(jī)（堡壘主機(jī)）上的一種應(yīng)用，是一種比較高級的防火墻技術(shù)。的一種應(yīng)用，是一種比較高級的防火墻技術(shù)。 工作過程：工作過程： 當(dāng)用戶需要訪問代理服務(wù)器另一側(cè)的主機(jī)時，對符合安當(dāng)用戶需要訪問代理

16、服務(wù)器另一側(cè)的主機(jī)時，對符合安全規(guī)則的連接，代理服務(wù)器會代替主機(jī)響應(yīng)，并重新向主全規(guī)則的連接，代理服務(wù)器會代替主機(jī)響應(yīng)，并重新向主機(jī)發(fā)出一個相同的請求。當(dāng)此連接請求得到回應(yīng)并建立起機(jī)發(fā)出一個相同的請求。當(dāng)此連接請求得到回應(yīng)并建立起連接之后，內(nèi)部主機(jī)同外部主機(jī)之間的通信將通過代理程連接之后，內(nèi)部主機(jī)同外部主機(jī)之間的通信將通過代理程序把相應(yīng)連接進(jìn)行映射來實(shí)現(xiàn)。對于用戶而言，似乎是直序把相應(yīng)連接進(jìn)行映射來實(shí)現(xiàn)。對于用戶而言，似乎是直接與外部網(wǎng)絡(luò)相連。接與外部網(wǎng)絡(luò)相連。代理服務(wù)代理服務(wù)主要優(yōu)點(diǎn)：主要優(yōu)點(diǎn)： 內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等重要信息不易外泄，從而減少了黑內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等重要信息不易外泄，從而減少了黑

17、客攻擊時所必需的必要信息；客攻擊時所必需的必要信息；可以實(shí)施用戶認(rèn)證、詳細(xì)日志、審計(jì)跟蹤和數(shù)據(jù)加密等功可以實(shí)施用戶認(rèn)證、詳細(xì)日志、審計(jì)跟蹤和數(shù)據(jù)加密等功能和對具體協(xié)議及應(yīng)用的過濾，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時能和對具體協(xié)議及應(yīng)用的過濾，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡，安全性較高會向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡，安全性較高。代理服務(wù)代理服務(wù)主要缺點(diǎn)：主要缺點(diǎn)：針對不同的應(yīng)用層協(xié)議必須有單獨(dú)的應(yīng)用代理，也不能自針對不同的應(yīng)用層協(xié)議必須有單獨(dú)的應(yīng)用代理，也不能自動支持新的網(wǎng)絡(luò)應(yīng)用；動支持新的網(wǎng)絡(luò)應(yīng)用；有些代理還需要相應(yīng)的支持代理的客戶和服務(wù)器軟件；用有些代理還需要相應(yīng)的

18、支持代理的客戶和服務(wù)器軟件；用戶可能還需要專門學(xué)習(xí)程序的使用方法才能通過代理訪問戶可能還需要專門學(xué)習(xí)程序的使用方法才能通過代理訪問Internet，大大增加了系統(tǒng)管理的復(fù)雜性。，大大增加了系統(tǒng)管理的復(fù)雜性。工作在高層，信息處理效率低，性能下降。工作在高層，信息處理效率低，性能下降。狀態(tài)檢測狀態(tài)檢測狀態(tài)檢測狀態(tài)檢測狀態(tài)檢測防火墻是在動態(tài)包過濾的基礎(chǔ)上，增加了狀態(tài)檢狀態(tài)檢測防火墻是在動態(tài)包過濾的基礎(chǔ)上，增加了狀態(tài)檢測機(jī)制而形成的；測機(jī)制而形成的；動態(tài)包過濾與普通包過濾相比，需要多做一項(xiàng)工作：對外動態(tài)包過濾與普通包過濾相比，需要多做一項(xiàng)工作：對外出數(shù)據(jù)包的出數(shù)據(jù)包的“身份身份”做一個標(biāo)記，允許相同連

19、接的進(jìn)入數(shù)做一個標(biāo)記，允許相同連接的進(jìn)入數(shù)據(jù)包通過。據(jù)包通過。利用狀態(tài)表跟蹤每一個網(wǎng)絡(luò)會話的狀態(tài)，對每一個數(shù)據(jù)包利用狀態(tài)表跟蹤每一個網(wǎng)絡(luò)會話的狀態(tài)，對每一個數(shù)據(jù)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)；處的狀態(tài)；狀態(tài)檢測防火墻采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的狀態(tài)檢測防火墻采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測，并動態(tài)

20、地保存起來作為以后制定安全決策的層實(shí)施監(jiān)測，并動態(tài)地保存起來作為以后制定安全決策的參考。參考。狀態(tài)檢測狀態(tài)檢測既能夠提供代理服務(wù)的控制靈活性，又能夠提供包過濾的既能夠提供代理服務(wù)的控制靈活性，又能夠提供包過濾的高效性，是二者的結(jié)合；高效性，是二者的結(jié)合；工作過程：工作過程： 對新建的應(yīng)用連接，狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則，對新建的應(yīng)用連接，狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接；請求數(shù)據(jù)包通過，并記錄下該連接允許符合規(guī)則的連接；請求數(shù)據(jù)包通過，并記錄下該連接的相關(guān)信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要的相關(guān)信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。

21、符合狀態(tài)表，就可以通過。狀態(tài)檢測狀態(tài)檢測主要優(yōu)點(diǎn)：主要優(yōu)點(diǎn)： 高安全性（工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間）高安全性（工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間） 高效性（對連接的后續(xù)數(shù)據(jù)包直接進(jìn)行狀態(tài)檢查）高效性（對連接的后續(xù)數(shù)據(jù)包直接進(jìn)行狀態(tài)檢查） 應(yīng)用范圍廣（除支持應(yīng)用范圍廣（除支持TCP外還支持基于無連接協(xié)議的外還支持基于無連接協(xié)議的應(yīng)用）應(yīng)用）主要缺點(diǎn)：主要缺點(diǎn)： 狀態(tài)檢測防火墻在阻止?fàn)顟B(tài)檢測防火墻在阻止DDoS攻擊、病毒傳播問題以及高攻擊、病毒傳播問題以及高級應(yīng)用入侵問題（如實(shí)現(xiàn)應(yīng)用層內(nèi)容過濾）等方面顯得力級應(yīng)用入侵問題（如實(shí)現(xiàn)應(yīng)用層內(nèi)容過濾）等方面顯得力不從心。它僅僅是一個單一的設(shè)備。不從心。它僅僅

22、是一個單一的設(shè)備。網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換/翻譯（翻譯（NAT，Network Address Translation）就是將一個）就是將一個IP地址用另一個地址用另一個IP地址代替。地址代替。NAT的主要作用：的主要作用： 隱藏內(nèi)部網(wǎng)絡(luò)的隱藏內(nèi)部網(wǎng)絡(luò)的IP地址；地址； 解決地址緊缺問題。解決地址緊缺問題。注意：注意：NAT本身并不是一種有安全保證的方案，它僅僅在本身并不是一種有安全保證的方案，它僅僅在包的最外層改變包的最外層改變IP地址。所以通常要把地址。所以通常要把NAT集成在防火墻集成在防火墻系統(tǒng)中。系統(tǒng)中。防火墻實(shí)例防火墻實(shí)例Windows中防火墻配置中防火墻

23、配置Linux防火墻配置防火墻配置5.8 入侵檢測技術(shù)入侵檢測技術(shù)IDS存在與發(fā)展的必然性存在與發(fā)展的必然性網(wǎng)絡(luò)安全本身的復(fù)雜性，被動式的防御方式顯得力不從網(wǎng)絡(luò)安全本身的復(fù)雜性，被動式的防御方式顯得力不從心。心。有關(guān)防火墻：網(wǎng)絡(luò)邊界的設(shè)備；自身可以被攻破；對某有關(guān)防火墻：網(wǎng)絡(luò)邊界的設(shè)備；自身可以被攻破；對某些攻擊保護(hù)很弱；并非所有威脅均來自防火墻外部。些攻擊保護(hù)很弱；并非所有威脅均來自防火墻外部。入侵很容易：入侵教程隨處可見；各種工具唾手可得入侵很容易：入侵教程隨處可見；各種工具唾手可得5.8 入侵檢測技術(shù)入侵檢測技術(shù)入侵檢測（入侵檢測（Intrusion Detection）的定義：通過從計(jì)

24、算）的定義：通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。和遭到襲擊的跡象的一種安全技術(shù)。入侵檢測系統(tǒng)（入侵檢測系統(tǒng)（IDS）：進(jìn)行入侵檢測的軟件與硬件的組）：進(jìn)行入侵檢測的軟件與硬件的組合。合。IDS被認(rèn)為是防火墻之后的第二道安全技術(shù)。被認(rèn)為是防火墻之后的第二道安全技術(shù)。IDS基本結(jié)構(gòu)基本結(jié)構(gòu)IDS通常包括以下功能部件通常包括以下功能部件：事件產(chǎn)生器事件產(chǎn)生器事件分析器事件分析器事件數(shù)據(jù)庫事件數(shù)據(jù)庫

25、響應(yīng)單元響應(yīng)單元事件產(chǎn)生器事件產(chǎn)生器負(fù)責(zé)原始數(shù)據(jù)采集，并將收集到的原始數(shù)據(jù)轉(zhuǎn)換為事件，負(fù)責(zé)原始數(shù)據(jù)采集，并將收集到的原始數(shù)據(jù)轉(zhuǎn)換為事件，向系統(tǒng)的其他部分提供此事件。向系統(tǒng)的其他部分提供此事件。收集內(nèi)容：系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及用戶活動的狀態(tài)和行為。收集內(nèi)容：系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及用戶活動的狀態(tài)和行為。需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息不同主機(jī)）收集信息 系統(tǒng)或網(wǎng)絡(luò)的日志文件系統(tǒng)或網(wǎng)絡(luò)的日志文件 網(wǎng)絡(luò)流量網(wǎng)絡(luò)流量 系統(tǒng)目錄和文件的異常變化系統(tǒng)目錄和文件的異常變化 程序執(zhí)行中的異常行為程序執(zhí)行中的異常行為入侵檢測很大程度上依賴于

26、收集信息的可靠性和正確性入侵檢測很大程度上依賴于收集信息的可靠性和正確性事件分析器事件分析器接收事件信息，對其進(jìn)行接收事件信息，對其進(jìn)行分析分析，判斷是否為入侵行為或異，判斷是否為入侵行為或異?，F(xiàn)象，最后將判斷的結(jié)果轉(zhuǎn)變?yōu)楦婢畔?。常現(xiàn)象，最后將判斷的結(jié)果轉(zhuǎn)變?yōu)楦婢畔ⅰ７治龇椒ǎ悍治龇椒ǎ耗Ｊ狡ヅ洌簩⑹占降男畔⑴c已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)模式匹配：將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為統(tǒng)計(jì)分析：首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)統(tǒng)計(jì)分析：首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一

27、個統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時的一些測量屬性（如訪問次數(shù)建一個統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）；測量屬性的平均值和偏差將被用來、操作失敗次數(shù)和延時等）；測量屬性的平均值和偏差將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生，就認(rèn)為有入侵發(fā)生完整性分析（往往用于事后分析）：主要關(guān)注某個文件或?qū)ο笫峭暾苑治觯ㄍ糜谑潞蠓治觯褐饕P(guān)注某個文件或?qū)ο笫欠癖桓姆癖桓氖录?shù)據(jù)庫事件數(shù)據(jù)庫 存放各種中間和最終數(shù)據(jù)的地方。存放各種中間和最終數(shù)據(jù)的地方。 從事件產(chǎn)生器或事件分

28、析器接收數(shù)據(jù)，一般會將從事件產(chǎn)生器或事件分析器接收數(shù)據(jù)，一般會將數(shù)據(jù)進(jìn)行較長時間的保存。數(shù)據(jù)進(jìn)行較長時間的保存。響應(yīng)單元響應(yīng)單元根據(jù)告警信息做出反應(yīng)，是根據(jù)告警信息做出反應(yīng)，是IDS中的主動武器。中的主動武器?？勺龀觯嚎勺龀觯簭?qiáng)烈反應(yīng)：切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)：切斷連接、改變文件屬性等簡單的報(bào)警簡單的報(bào)警IDS的工作原理的工作原理每個子網(wǎng)有一臺入侵檢測主機(jī)，以監(jiān)視所有網(wǎng)絡(luò)活動，一每個子網(wǎng)有一臺入侵檢測主機(jī)，以監(jiān)視所有網(wǎng)絡(luò)活動，一旦發(fā)現(xiàn)入侵則立即報(bào)警，同時記錄入侵信息。旦發(fā)現(xiàn)入侵則立即報(bào)警，同時記錄入侵信息。一般通過這些手段：特征庫匹配一般通過這些手段：特征庫匹配(模式匹配模式匹配)、基

29、于統(tǒng)計(jì)的、基于統(tǒng)計(jì)的分析和完整性分析。其中前兩種方法用于實(shí)時的入侵檢測分析和完整性分析。其中前兩種方法用于實(shí)時的入侵檢測，而完整性分析則用于事后分析。，而完整性分析則用于事后分析。IDS的主要功能的主要功能識別黑客常用入侵與攻擊手段。識別黑客常用入侵與攻擊手段。監(jiān)控網(wǎng)絡(luò)異常通信。監(jiān)控網(wǎng)絡(luò)異常通信。鑒別對系統(tǒng)漏洞及后門的利用。鑒別對系統(tǒng)漏洞及后門的利用。完善網(wǎng)絡(luò)安全管理。完善網(wǎng)絡(luò)安全管理。 IDS的分類的分類 根據(jù)原始數(shù)據(jù)的來源根據(jù)原始數(shù)據(jù)的來源IDS可以分為：基于主機(jī)的入侵檢測可以分為：基于主機(jī)的入侵檢測和基于網(wǎng)絡(luò)的入侵檢測。和基于網(wǎng)絡(luò)的入侵檢測?；谥鳈C(jī)的入侵檢測（基于主機(jī)的入侵檢測（HID

30、S）系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)目標(biāo)也是所在系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)目標(biāo)也是所在的主機(jī)。的主機(jī)。安裝在單個主機(jī)或服務(wù)器系統(tǒng)上，對針對主機(jī)或服務(wù)器系統(tǒng)入侵安裝在單個主機(jī)或服務(wù)器系統(tǒng)上，對針對主機(jī)或服務(wù)器系統(tǒng)入侵行為進(jìn)行檢測或響應(yīng)，對主機(jī)系統(tǒng)進(jìn)行全面保護(hù)的系統(tǒng)。行為進(jìn)行檢測或響應(yīng)，對主機(jī)系統(tǒng)進(jìn)行全面保護(hù)的系統(tǒng)。IDS的分類的分類基于網(wǎng)絡(luò)的入侵檢測（基于網(wǎng)絡(luò)的入侵檢測（NIDS）。）。系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的正常運(yùn)行。系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的正常運(yùn)行。使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為攻擊分析的數(shù)據(jù)源，通常利用在混使用原始

31、的網(wǎng)絡(luò)分組數(shù)據(jù)包作為攻擊分析的數(shù)據(jù)源，通常利用在混雜模式下的網(wǎng)段上的通信業(yè)務(wù)，通過實(shí)時捕獲網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析雜模式下的網(wǎng)段上的通信業(yè)務(wù)，通過實(shí)時捕獲網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析，能夠檢測該網(wǎng)段上發(fā)生的入侵行為。，能夠檢測該網(wǎng)段上發(fā)生的入侵行為。IDS的分類的分類根據(jù)檢測原理根據(jù)檢測原理IDS可以分為：異常入侵檢測和誤用入侵檢測可以分為：異常入侵檢測和誤用入侵檢測。（1）異常入侵檢測：根據(jù)異常行為和使用計(jì)算機(jī)資源的情）異常入侵檢測：根據(jù)異常行為和使用計(jì)算機(jī)資源的情況檢測出來的入侵。況檢測出來的入侵。（2）誤用入侵檢測：利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊）誤用入侵檢測：利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來檢

32、測入侵。模式來檢測入侵。根據(jù)工作方式根據(jù)工作方式IDS可以分為：離線檢測和在線檢測?？梢苑譃椋弘x線檢測和在線檢測。入侵檢測目前所存在的問題入侵檢測目前所存在的問題誤誤/漏報(bào)率高漏報(bào)率高 比如異常檢測通常采用統(tǒng)計(jì)方法來進(jìn)行檢測，而統(tǒng)計(jì)方法比如異常檢測通常采用統(tǒng)計(jì)方法來進(jìn)行檢測，而統(tǒng)計(jì)方法中的閾值難以有效確定，太小的值會產(chǎn)生大量的誤報(bào)，太中的閾值難以有效確定，太小的值會產(chǎn)生大量的誤報(bào)，太大的值又會產(chǎn)生大量的漏報(bào)。大的值又會產(chǎn)生大量的漏報(bào)。沒有主動防御能力沒有主動防御能力 IDS技術(shù)采用預(yù)設(shè)置、特征分析的工作原理，所以檢測規(guī)技術(shù)采用預(yù)設(shè)置、特征分析的工作原理，所以檢測規(guī)則的更新總是落后于攻擊手段的更

33、新。則的更新總是落后于攻擊手段的更新。5.9 入侵防御技術(shù)入侵防御技術(shù)IPS是一種主動的、積極入侵防范、阻止系統(tǒng)，它部署在是一種主動的、積極入侵防范、阻止系統(tǒng)，它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測到攻擊企圖后，它會自動地將網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。攻擊包丟掉或采取措施將攻擊源阻斷。入侵防御技術(shù)是在入侵檢測技術(shù)的基礎(chǔ)上增加了主動響應(yīng)入侵防御技術(shù)是在入侵檢測技術(shù)的基礎(chǔ)上增加了主動響應(yīng)的功能，一旦發(fā)現(xiàn)有攻擊行為，則立即響應(yīng)，并且主動切的功能，一旦發(fā)現(xiàn)有攻擊行為，則立即響應(yīng)，并且主動切斷連接。斷連接。5.9 入侵防御技術(shù)入侵防御技術(shù)IPS能夠?qū)崟r檢測入侵、阻止入侵的原理在于能夠?qū)崟r檢測入侵、阻止入侵的原理在于IPS擁有大擁有大量的過濾器，針對不同的攻擊行為，量的過濾器，針對不同的攻擊行為，IPS需要不同的過濾需要不同的過濾器，每種過濾器都設(shè)有相應(yīng)的過濾規(guī)則。當(dāng)新的攻擊手段器，每種過濾器都設(shè)有相應(yīng)的過濾規(guī)則。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，被發(fā)現(xiàn)之后，IPS就會創(chuàng)建一個新的過濾器。通過檢查的就會創(chuàng)建一個新的過濾器。通過檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)，包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄數(shù)據(jù)包可以