第四章網(wǎng)絡(luò)安全技術(shù)課件

2023/1/34.2.1防火墻體系結(jié)構(gòu)基于網(wǎng)絡(luò)防火墻的部件類型屏蔽路由器（Screeningrouter）實(shí)施分組過(guò)濾能夠阻斷網(wǎng)絡(luò)與某一臺(tái)主機(jī)的IP層的通信堡壘主機(jī)（Bastionhost）一個(gè)網(wǎng)絡(luò)系統(tǒng)中安全性最強(qiáng)的計(jì)算機(jī)系統(tǒng)安全性受到最嚴(yán)密的監(jiān)視沒(méi)有保護(hù)的信息不能作為跳板實(shí)施分組代理2022/12/114.2.1防火墻體系結(jié)構(gòu)基于網(wǎng)絡(luò)防火墻2023/1/3網(wǎng)絡(luò)防火墻體系結(jié)構(gòu)雙重宿主機(jī)體系結(jié)構(gòu)基于堡壘主機(jī)屏蔽主機(jī)體系結(jié)構(gòu)基于堡壘主機(jī)和屏蔽路由器被屏蔽子網(wǎng)體系結(jié)構(gòu)雙重屏蔽路由器2022/12/11網(wǎng)絡(luò)防火墻體系結(jié)構(gòu)雙重宿主機(jī)體系結(jié)構(gòu)2023/1/3雙重宿主主機(jī)(dual-homedhost)連接因特網(wǎng)和局域網(wǎng)過(guò)濾和代理2022/12/11雙重宿主主機(jī)(dual-homedho2023/1/3屏蔽主機(jī)(ScreenedHost)用包過(guò)濾和應(yīng)用代理的雙重安全保護(hù)包過(guò)濾器連接因特網(wǎng)代理服務(wù)器為局域網(wǎng)上的客戶機(jī)提供服務(wù)2022/12/11屏蔽主機(jī)(ScreenedHost)用2023/1/3屏蔽子網(wǎng)(ScreenedSubnet)添加額外的安全層進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開(kāi)DMZ2022/12/11屏蔽子網(wǎng)(ScreenedSubnet2023/1/34.2.2防火墻的安全策略安全策略的兩個(gè)層次網(wǎng)絡(luò)服務(wù)訪問(wèn)策略防火墻設(shè)計(jì)策略設(shè)計(jì)策略用戶賬號(hào)策略用戶權(quán)限策略信任關(guān)系策略分組過(guò)濾策略認(rèn)證、簽名和數(shù)據(jù)加密策略密鑰管理策略審計(jì)策略2022/12/114.2.2防火墻的安全策略安全策略的兩2023/1/3用戶賬號(hào)策略口令最小長(zhǎng)度口令最長(zhǎng)有效期口令歷史口令存儲(chǔ)方式用戶賬號(hào)鎖定方式在若干次口令錯(cuò)誤之后2022/12/11用戶賬號(hào)策略口令最小長(zhǎng)度2023/1/3用戶權(quán)限策略備份文件權(quán)限遠(yuǎn)程/本地登錄訪問(wèn)權(quán)限遠(yuǎn)程/本地關(guān)機(jī)權(quán)限更改系統(tǒng)時(shí)間權(quán)限管理日志權(quán)限刪除/還原文件權(quán)限設(shè)置信任關(guān)系權(quán)限卷管理權(quán)限安裝/卸載設(shè)備驅(qū)動(dòng)程序權(quán)限2022/12/11用戶權(quán)限策略備份文件權(quán)限2023/1/3審計(jì)策略成功或者不成功的登錄事件成功或者不成功的對(duì)象訪問(wèn)成功或者不成功的目錄服務(wù)訪問(wèn)成功或者不成功的特權(quán)使用成功或者不成功的系統(tǒng)事件成功或者不成功的賬戶管理事件2022/12/11審計(jì)策略成功或者不成功的登錄事件2023/1/34.2.3防火墻技術(shù)分組過(guò)濾技術(shù)依據(jù)IP分組的源地址和目的地址源端口號(hào)和目的端口號(hào)傳送協(xié)議優(yōu)點(diǎn)可以實(shí)現(xiàn)粗顆粒的網(wǎng)絡(luò)安全策略容易實(shí)現(xiàn)配置成本低速度快局限性配置分組過(guò)濾規(guī)則比較困難不能識(shí)別分組中的用戶信息不能抵御IP地址欺騙2022/12/114.2.3防火墻技術(shù)分組過(guò)濾技術(shù)2023/1/3例4-1某一個(gè)具有B類網(wǎng)絡(luò)123.45的公司的網(wǎng)絡(luò)管理員希望阻止來(lái)自因特網(wǎng)上的訪問(wèn)(123.45/16)。該網(wǎng)絡(luò)中有一個(gè)特殊子網(wǎng)(/24)是一個(gè)與某大學(xué)合作的，該大學(xué)的網(wǎng)址是135.79。他希望這個(gè)特殊的子網(wǎng)能夠被該大學(xué)的所有子網(wǎng)訪問(wèn)。此外還希望阻止公司的網(wǎng)絡(luò)被大學(xué)中某一個(gè)特殊子網(wǎng)(/24)訪問(wèn)。試設(shè)計(jì)制訂過(guò)濾規(guī)則。2022/12/11例4-1某一個(gè)具有B類網(wǎng)絡(luò)123.45的2023/1/3解某一個(gè)具有B類網(wǎng)絡(luò)123.45的公司的網(wǎng)絡(luò)管理員希望阻止來(lái)自因特網(wǎng)上的訪問(wèn)(123.45/16)。該網(wǎng)絡(luò)中有一個(gè)特殊子網(wǎng)(/24)是一個(gè)與某大學(xué)合作的，該大學(xué)的網(wǎng)址是135.79。他希望這個(gè)特殊的子網(wǎng)能夠被該大學(xué)的所有子網(wǎng)訪問(wèn)。此外還希望阻止公司的網(wǎng)絡(luò)被大學(xué)中某一個(gè)特殊子網(wǎng)(/24)訪問(wèn)。試設(shè)計(jì)制訂過(guò)濾規(guī)則。制訂過(guò)濾規(guī)則如下2022/12/11解某一個(gè)具有B類網(wǎng)絡(luò)123.45的公司的2023/1/3例4-2處于一個(gè)C類網(wǎng)絡(luò)的防火墻，第一，希望阻止網(wǎng)絡(luò)中的用戶訪問(wèn)主機(jī)；假設(shè)需要阻止這個(gè)主機(jī)的Telnet服務(wù)，對(duì)于Internet的其他站點(diǎn)，允許網(wǎng)絡(luò)內(nèi)部用戶通過(guò)Telnet方式訪問(wèn)，但不允許網(wǎng)絡(luò)外部其他站點(diǎn)以Telnet方式訪問(wèn)網(wǎng)絡(luò)。第二，為了收發(fā)電子郵件，允許SMTP出站入站服務(wù)，郵件服務(wù)器的IP地址為。第三，對(duì)于WWW服務(wù)，允許內(nèi)部網(wǎng)用戶訪問(wèn)Internet上任何網(wǎng)絡(luò)和站點(diǎn)，但只允許一個(gè)公司的網(wǎng)絡(luò)訪問(wèn)內(nèi)部WWW服務(wù)器，內(nèi)部WWW服務(wù)器的IP地址是。試根據(jù)以上要求設(shè)計(jì)過(guò)濾規(guī)則。2022/12/11例4-2處于一個(gè)C類網(wǎng)絡(luò)116.111.2023/1/3解23：telnet25：SMTP80:web>1023:非系統(tǒng)進(jìn)程2022/12/11解23：telnet80:web2023/1/3地址過(guò)濾配置實(shí)例2022/12/11地址過(guò)濾配置實(shí)例2023/1/3配置結(jié)果2022/12/11配置結(jié)果2023/1/3

問(wèn)題1DMZ某屏蔽子網(wǎng)的應(yīng)用代理服務(wù)器中，對(duì)外接口的IP地址是，對(duì)內(nèi)接口的IP地址為。問(wèn)如何配置包過(guò)濾器規(guī)則，使得所有的內(nèi)網(wǎng)與外網(wǎng)的通信都經(jīng)過(guò)代理服務(wù)器的檢查和傳遞。2022/12/11問(wèn)題1DMZ某屏蔽子網(wǎng)的應(yīng)用代理服務(wù)器2023/1/3解答某屏蔽子網(wǎng)的應(yīng)用代理服務(wù)器中，對(duì)外接口的IP地址是，對(duì)內(nèi)接口的IP地址為。問(wèn)如何配置包過(guò)濾器規(guī)則，使得所有的內(nèi)網(wǎng)與外網(wǎng)的通信都經(jīng)過(guò)代理服務(wù)器的檢查和傳遞。規(guī)則方向協(xié)議源地址目地址源端口目端口動(dòng)作AIn----允許Bout----允許C------禁止規(guī)則方向協(xié)議源地址目地址源端口目端口動(dòng)作Ain----允許Bout----允許C------禁止包過(guò)濾器B包過(guò)濾器A2022/12/11解答某屏蔽子網(wǎng)的應(yīng)用代理服務(wù)器中，對(duì)外接2023/1/3問(wèn)題2主機(jī)防火墻如何對(duì)UDP進(jìn)行過(guò)濾UDP請(qǐng)求可能來(lái)自打印機(jī)或掃描儀2022/12/11問(wèn)題2主機(jī)防火墻如何對(duì)UDP進(jìn)行過(guò)濾2023/1/3防火墻安全策略的例子AllowallinboundandoutboundICMPAllowinboundTCP445fromhosts–55BlockallinboundTCPBlockallinboundUDPAllowalloutboundTCPAllowalloutboundUDP2022/12/11防火墻安全策略的例子Allowall2023/1/3代理服務(wù)技術(shù)代理客戶機(jī)與服務(wù)器之間的一個(gè)應(yīng)用層中介在兩者之間傳遞應(yīng)用程序的信息可以根據(jù)數(shù)據(jù)包的內(nèi)容進(jìn)行檢測(cè)應(yīng)用代理的原理隔斷通信雙方的直接聯(lián)系將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)從網(wǎng)絡(luò)層起分開(kāi)所有通信都必須經(jīng)應(yīng)用層的代理進(jìn)行轉(zhuǎn)發(fā)用另外的連接和封裝轉(zhuǎn)發(fā)應(yīng)用層信息2022/12/11代理服務(wù)技術(shù)代理2023/1/3代理服務(wù)技術(shù)特點(diǎn)安全性較高能夠識(shí)別應(yīng)用層信息數(shù)據(jù)重新封裝應(yīng)用滯后不支持沒(méi)有開(kāi)發(fā)代理的網(wǎng)絡(luò)應(yīng)用客戶端配置較復(fù)雜需要在客戶端進(jìn)行代理設(shè)置要求應(yīng)用層數(shù)據(jù)中不包含加密、壓縮數(shù)據(jù)Email中做不到代理的實(shí)例網(wǎng)絡(luò)地址轉(zhuǎn)換器（NAT）URL過(guò)濾器（Web應(yīng)用層）2022/12/11代理服務(wù)技術(shù)特點(diǎn)2023/1/3NAT網(wǎng)絡(luò)層/傳輸層代理提供外網(wǎng)IP地址與內(nèi)網(wǎng)地址之間的轉(zhuǎn)換方便路由匯聚與IPv6網(wǎng)絡(luò)連通使得外網(wǎng)地址重用分類靜態(tài)NAT將內(nèi)部地址與外部地址固定地一一對(duì)應(yīng)動(dòng)態(tài)NAT將多個(gè)內(nèi)部地址與同一個(gè)外部地址對(duì)應(yīng)（分時(shí)使用）通過(guò)TCP/UDP端口號(hào)區(qū)分（NAPT）IPv4/IPv4NAT

(RFC1631,RFC2663,RFC3022,RFC3235)IPv4/IPv6NAT

(RFC2766,RFC2765,RFC3027)2022/12/11NAT網(wǎng)絡(luò)層/傳輸層代理2023/1/3例4-3NATSA=DA=SA=DA=SA=DA=SA=DA=2022/12/11例4-3NATSA=023/1/3例4-4NAPT2022/12/11例4-4NAPT2023/1/3NAPT將地址轉(zhuǎn)換擴(kuò)展到端口號(hào)全轉(zhuǎn)換FullCone外網(wǎng)隨時(shí)可以利用映射后的地址給內(nèi)網(wǎng)發(fā)送UDP報(bào)文受限轉(zhuǎn)換RestrictedCone當(dāng)內(nèi)網(wǎng)主機(jī)向外網(wǎng)發(fā)送數(shù)據(jù)分組后，外網(wǎng)才可以利用映射后的地址給內(nèi)網(wǎng)發(fā)送UDP報(bào)文端口受限轉(zhuǎn)換PortRestrictedCone當(dāng)內(nèi)網(wǎng)主機(jī)向外網(wǎng)發(fā)送數(shù)據(jù)分組后，外網(wǎng)才可以利用映射后相同的地址和端口號(hào)給內(nèi)網(wǎng)發(fā)送UDP報(bào)文對(duì)稱NATSymmetricNAT多個(gè)內(nèi)網(wǎng)地址和端口號(hào)映射到同一個(gè)外網(wǎng)地址當(dāng)內(nèi)網(wǎng)主機(jī)向外網(wǎng)發(fā)送數(shù)據(jù)分組后，外網(wǎng)才可以利用映射后相同的地址和端口號(hào)給內(nèi)網(wǎng)發(fā)送UDP報(bào)文2022/12/11NAPT將地址轉(zhuǎn)換擴(kuò)展到端口號(hào)2023/1/3NAT-PT地址轉(zhuǎn)換靜態(tài)地將每個(gè)IPv6地址轉(zhuǎn)換成IPv4地址(NAT-PT)動(dòng)態(tài)地將一個(gè)IPv6地址轉(zhuǎn)換成一定期限的IPv4地址動(dòng)態(tài)地將一個(gè)IPv6地址轉(zhuǎn)換成IPv4地址和TCP/UDP端口號(hào)(NAPT-PT)協(xié)議轉(zhuǎn)換在IPv4與對(duì)應(yīng)的IPv6分組之間相互轉(zhuǎn)換IPv4頭與對(duì)應(yīng)的IPv6頭之間的相互轉(zhuǎn)換TCP/UDP/ICMP校驗(yàn)和更新ICMPv4頭與ICMPv6頭之間的相互轉(zhuǎn)換ICMPv4錯(cuò)誤消息與ICMPv6錯(cuò)誤消息的相互轉(zhuǎn)換IPv4senderdoesnotperformpathMTUdiscovery

RFC27652022/12/11NAT-PT地址轉(zhuǎn)換2023/1/3ProblemsofNAT

AndrewS.TanenbaumViolatesarchitecturemodelofIPChangestheInternetfromaconnectionlesstoconnection-orientedViolatestheroleofprotocollayeringDoesnotsupportothertransportprotocolDoesnotsupportIPaddressesinthebodyFTPandH.323worksthiswaybreaksmanyIPapplicationsRFC30272022/12/11ProblemsofNAT

And2023/1/3NAT穿透與語(yǔ)音通信H.323與SIP的共同點(diǎn)傳輸中需要建立兩種通道控制通道媒體通道RTP/RTCP連接使用的UDP端口需要通過(guò)協(xié)商確定因?yàn)橐慌_(tái)主機(jī)可能建立多條媒體通道（多個(gè)媒體流）要求防火墻打開(kāi)所有的端口號(hào)發(fā)起呼叫方的IP地址在分組的載荷中根據(jù)這個(gè)IP地址發(fā)回的分組將被防火墻阻擋防火墻的穿透問(wèn)題NAT-FriendlyApplicationDesignGuidelines在分組中不包含IP地址和端口號(hào)許多協(xié)議無(wú)法根據(jù)這個(gè)指導(dǎo)原則構(gòu)建RFC32352022/12/11NAT穿透與語(yǔ)音通信H.323與SIP的2023/1/3NAT穿透與語(yǔ)音通信解決方案應(yīng)用級(jí)網(wǎng)關(guān)ALG

(ApplicationLayerGateways)存放應(yīng)用層信息并用于NAT修改應(yīng)用層信息中的IP地址需要更新已有的NAT擴(kuò)展性問(wèn)題、可靠性問(wèn)題和新應(yīng)用布署問(wèn)題FullProxy由專門的應(yīng)用層代理對(duì)業(yè)務(wù)流進(jìn)行轉(zhuǎn)發(fā)代理在防火墻的外部對(duì)載荷中的IP地址進(jìn)行處理對(duì)應(yīng)答分組中的IP地址進(jìn)行轉(zhuǎn)換NAT2022/12/11NAT穿透與語(yǔ)音通信解決方案NAT2023/1/3TraverseaFirewallMIDCOM

MiddleboxCommunicationsprotocol采用應(yīng)用代理與NAT通信允許一個(gè)應(yīng)用實(shí)體控制NAT需要更新當(dāng)前的NAT和防火墻

RFC3303STUNSimpletraversalofUDPthroughNAT使得應(yīng)用程序能發(fā)現(xiàn)NAT和防火墻的存在通過(guò)發(fā)送綁定請(qǐng)求給STUN服務(wù)器并比較應(yīng)答中的IP地址和端口號(hào)使得應(yīng)用程序發(fā)現(xiàn)映射的地址和端口號(hào)確定NAT的地址映像把映射后的地址放在分組載荷中RFC34892022/12/11TraverseaFirewallM2023/1/3TraverseaFirewall

建立高層隧道FirewallEnhancementProtocol(FEP)allowsANYapplicationtotraverseaFirewall可以使用固定的端口號(hào)TCP/IPpacketencodedintoHTTPcommandRFC3093AppTCPIPFEPTCPIPIPTCPFEPIPTCPAppfirewall局限性？2022/12/11TraverseaFirewall2023/1/3TraverseaFirewallIPsecFirewalltraversal為IPsec穿越NAT而建立的UDP隧道theinitiatorisbehindNA(P)TandtheresponderhasafixedstaticIPaddressPortno=4500TheremotehostdetectthepresenceofNATanddeterminetheNATtraversalcapabilitydetectwhethertheIPaddressortheportchangesalongthepathbysendingthehashesoftheIPaddressesandportsUDPEncapsulationofIPsecESPPacketsRFC3948NegotiationofNAT-TraversalintheIKERFC39472022/12/11TraverseaFirewallI2023/1/3狀態(tài)檢測(cè)技術(shù)會(huì)話層代理基于入侵檢測(cè)能夠根據(jù)上層協(xié)議的狀態(tài)進(jìn)行過(guò)濾對(duì)網(wǎng)絡(luò)通信的各個(gè)協(xié)議層次實(shí)施監(jiān)測(cè)不僅檢查數(shù)據(jù)分組的TCP/IP頭利用狀態(tài)表跟蹤每一個(gè)會(huì)話的狀態(tài)記錄會(huì)話的序列透明性較好不修改應(yīng)用程序的執(zhí)行過(guò)程和處理步驟2022/12/11狀態(tài)檢測(cè)技術(shù)會(huì)話層代理2023/1/3基于網(wǎng)絡(luò)防火墻的不足之處基于分組網(wǎng)絡(luò)頭信息容易被篡改無(wú)雙向的身份驗(yàn)證粗顆粒的訪問(wèn)控制防外不防內(nèi)不能防止旁路不能預(yù)防新的攻擊手段不能防范病毒和后門2022/12/11基于網(wǎng)絡(luò)防火墻的不足之處基于分組網(wǎng)絡(luò)頭信2023/1/3新型防火墻技術(shù)可信信息系統(tǒng)技術(shù)加強(qiáng)認(rèn)證計(jì)算機(jī)病毒檢測(cè)防護(hù)技術(shù)和密碼技術(shù)加強(qiáng)應(yīng)用層數(shù)據(jù)檢查自適應(yīng)代理適應(yīng)新的應(yīng)用新功能spam過(guò)濾Web站點(diǎn)過(guò)濾2022/12/11新型防火墻技術(shù)可信信息系統(tǒng)技術(shù)2023/1/34.3入侵檢測(cè)識(shí)別越權(quán)使用計(jì)算機(jī)系統(tǒng)的人員及其活動(dòng)網(wǎng)絡(luò)活動(dòng)監(jiān)視器基本假設(shè)入侵者的行為方式與合法用戶是不同的目標(biāo)發(fā)現(xiàn)新的入侵行為對(duì)入侵事件的可說(shuō)明性能夠?qū)θ肭质录龀龇磻?yīng)2022/12/114.3入侵檢測(cè)識(shí)別越權(quán)使用計(jì)算機(jī)系統(tǒng)的人2023/1/3入侵檢測(cè)方法記錄有關(guān)證據(jù)實(shí)時(shí)地檢測(cè)網(wǎng)絡(luò)中的所有分組或檢測(cè)主機(jī)的狀態(tài)及日志或?qū)徲?jì)信息識(shí)別攻擊的類型評(píng)估攻擊的威脅程度發(fā)出告警信息或主動(dòng)采取措施阻止攻擊入侵防御2022/12/11入侵檢測(cè)方法2023/1/34.3.1入侵分類攻擊的方式本地攻擊遠(yuǎn)程攻擊偽遠(yuǎn)程攻擊網(wǎng)絡(luò)上的安全弱點(diǎn)管理漏洞軟件漏洞結(jié)構(gòu)漏洞信任漏洞跳板（Zombie）

2022/12/114.3.1入侵分類攻擊的方式跳板（Zom2023/1/3常見(jiàn)網(wǎng)絡(luò)入侵類型拒絕服務(wù)攻擊網(wǎng)絡(luò)流量攻擊阻斷協(xié)議攻擊基于網(wǎng)絡(luò)竊取、偽造、篡改、阻斷用戶賬號(hào)攻擊基于主機(jī)竊取、偽造、篡改2022/12/11常見(jiàn)網(wǎng)絡(luò)入侵類型拒絕服務(wù)攻擊2023/1/3網(wǎng)絡(luò)入侵的方式端口掃描（portscanning）IP哄騙（IPsmurfing）洪泛攻擊（flooding）緩存溢出（bufferoverrun）腳本攻擊（scriptattack）口令探測(cè)（passwordsniffing）會(huì)話劫持（sessionhijacking）2022/12/11網(wǎng)絡(luò)入侵的方式端口掃描（portsca2023/1/3網(wǎng)絡(luò)入侵的例子Land攻擊（landattack）SYN分組中IP源地址和目標(biāo)地址相同造成死機(jī)淚滴攻擊（teardropping）一些操作系統(tǒng)在收到含有重疊偏移的偽造分段時(shí)將崩潰ICMP洪泛攻擊（ICMPflooding）廣播ICMP應(yīng)答請(qǐng)求（ping）加上假冒的返回地址使得應(yīng)答包返回到某一臺(tái)被攻擊的主機(jī)錯(cuò)誤長(zhǎng)度攻擊（lengtherror）未知協(xié)議類型攻擊（unknownprotocol）2022/12/11網(wǎng)絡(luò)入侵的例子Land攻擊（landa2023/1/3網(wǎng)絡(luò)入侵的例子UDP炸彈攻擊（UDPbomb）偽造UDP長(zhǎng)度字段使它的值大于實(shí)際的UDP報(bào)文長(zhǎng)度UDP端口掃描（UDPscanning）TCP端口掃描（TCPscanning）SYN洪泛攻擊（SYNflooding）UDP洪泛（UDPflooding）發(fā)送大量帶有假返回地址的UDP包PHF攻擊（PHFattack）apacheweb服務(wù)器早期版本中的PHF腳本網(wǎng)蟲（Worm)

消耗網(wǎng)絡(luò)帶寬和緩存資源CodeRed,SQLSlammer2022/12/11網(wǎng)絡(luò)入侵的例子UDP炸彈攻擊（UDP2023/1/3SYN洪泛攻擊主機(jī)A主機(jī)BSyn,Seq=xSyn,Seq=y,ACK=x+1ACK=y+12022/12/11SYN洪泛攻擊主機(jī)A主機(jī)BSyn,S2023/1/3從網(wǎng)絡(luò)對(duì)主機(jī)進(jìn)行入侵的階段搜集資料探測(cè)目標(biāo)機(jī)IP地址掃描端口口令猜測(cè)用戶名猜測(cè)進(jìn)入系統(tǒng)利用猜測(cè)的口令利用緩存溢出利用后門駐留建立新文件修改系統(tǒng)文件啟動(dòng)黑客進(jìn)程啟動(dòng)陷阱進(jìn)程傳播發(fā)email發(fā)web連接請(qǐng)求通過(guò)FTP感染局域網(wǎng)內(nèi)共享文件攻擊破壞刪除文件修改文件拒絕服務(wù)竊取信息狀態(tài)分析2022/12/11從網(wǎng)絡(luò)對(duì)主機(jī)進(jìn)行入侵的階段搜集資料傳播狀2023/1/3IPv6的可信性Reliability自動(dòng)配置Security巨大的稀疏地址空間可抵御惡意的自動(dòng)端口掃描和自動(dòng)傳播的蠕蟲IPv4/v6雙地址機(jī)制可以進(jìn)一步增加掃描的難度自動(dòng)配置的地址可動(dòng)態(tài)改變以抵御重復(fù)入侵通過(guò)IPsec支持網(wǎng)絡(luò)數(shù)據(jù)安全2022/12/11IPv6的可信性Reliability2023/1/34.3.2入侵檢測(cè)系統(tǒng)要求可用性連續(xù)高效運(yùn)行而不需要人工干預(yù)具有較低的系統(tǒng)運(yùn)行開(kāi)銷可靠性能夠從系統(tǒng)崩潰中恢復(fù)過(guò)來(lái)能夠防止自身被篡改可管理性能夠精確地實(shí)現(xiàn)安全策略自適應(yīng)性能夠適應(yīng)用戶行為的改變例如在安裝了新的軟件之后用戶的行為會(huì)發(fā)生變化可擴(kuò)展性適應(yīng)系統(tǒng)規(guī)模的擴(kuò)張2022/12/114.3.2入侵檢測(cè)系統(tǒng)要求2023/1/3系統(tǒng)構(gòu)成活動(dòng)(activity)數(shù)據(jù)源的事例被探測(cè)器（sensor）或者分析器識(shí)別管理員制訂安全策略的人員部署和配置ID系統(tǒng)探測(cè)器從數(shù)據(jù)源收集信息如網(wǎng)卡的“混雜”（promiscuous）模式數(shù)據(jù)源原始數(shù)據(jù)如網(wǎng)絡(luò)上的數(shù)據(jù)包、監(jiān)控日志事件數(shù)據(jù)源中發(fā)生的需要檢測(cè)的情況分析器分析探測(cè)器收集的數(shù)據(jù)2022/12/11系統(tǒng)構(gòu)成活動(dòng)(activity)2023/1/3系統(tǒng)構(gòu)成警告分析器給管理器的消息表示檢測(cè)到一個(gè)入侵事件提示（notification）在屏幕上顯示、發(fā)Email或短消息管理器探測(cè)器的配置分析器的配置事件提示管理數(shù)據(jù)匯總和報(bào)告安全策略預(yù)定義的文檔定義允許和禁止的服務(wù)2022/12/11系統(tǒng)構(gòu)成警告2023/1/34.3.3入侵檢測(cè)技術(shù)1.入侵檢測(cè)方法分類分類一集中式入侵檢測(cè)方法基于主機(jī)基于網(wǎng)絡(luò)分布式入侵檢測(cè)方法2022/12/114.3.3入侵檢測(cè)技術(shù)2023/1/34.2.1防火墻體系結(jié)構(gòu)基于網(wǎng)絡(luò)防火墻的部件類型屏蔽路由器（Screeningrouter）實(shí)施分組過(guò)濾能夠阻斷網(wǎng)絡(luò)與某一臺(tái)主機(jī)的IP層的通信堡壘主機(jī)（Bastionhost）一個(gè)網(wǎng)絡(luò)系統(tǒng)中安全性最強(qiáng)的計(jì)算機(jī)系統(tǒng)安全性受到最嚴(yán)密的監(jiān)視沒(méi)有保護(hù)的信息不能作為跳板實(shí)施分組代理2022/12/114.2.1防火墻體系結(jié)構(gòu)基于網(wǎng)絡(luò)防火墻2023/1/3網(wǎng)絡(luò)防火墻體系結(jié)構(gòu)雙重宿主機(jī)體系結(jié)構(gòu)基于堡壘主機(jī)屏蔽主機(jī)體系結(jié)構(gòu)基于堡壘主機(jī)和屏蔽路由器被屏蔽子網(wǎng)體系結(jié)構(gòu)雙重屏蔽路由器2022/12/11網(wǎng)絡(luò)防火墻體系結(jié)構(gòu)雙重宿主機(jī)體系結(jié)構(gòu)2023/1/3雙重宿主主機(jī)(dual-homedhost)連接因特網(wǎng)和局域網(wǎng)過(guò)濾和代理2022/12/11雙重宿主主機(jī)(dual-homedho2023/1/3屏蔽主機(jī)(ScreenedHost)用包過(guò)濾和應(yīng)用代理的雙重安全保護(hù)包過(guò)濾器連接因特網(wǎng)代理服務(wù)器為局域網(wǎng)上的客戶機(jī)提供服務(wù)2022/12/11屏蔽主機(jī)(ScreenedHost)用2023/1/3屏蔽子網(wǎng)(ScreenedSubnet)添加額外的安全層進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開(kāi)DMZ2022/12/11屏蔽子網(wǎng)(ScreenedSubnet2023/1/34.2.2防火墻的安全策略安全策略的兩個(gè)層次網(wǎng)絡(luò)服務(wù)訪問(wèn)策略防火墻設(shè)計(jì)策略設(shè)計(jì)策略用戶賬號(hào)策略用戶權(quán)限策略信任關(guān)系策略分組過(guò)濾策略認(rèn)證、簽名和數(shù)據(jù)加密策略密鑰管理策略審計(jì)策略2022/12/114.2.2防火墻的安全策略安全策略的兩2023/1/3用戶賬號(hào)策略口令最小長(zhǎng)度口令最長(zhǎng)有效期口令歷史口令存儲(chǔ)方式用戶賬號(hào)鎖定方式在若干次口令錯(cuò)誤之后2022/12/11用戶賬號(hào)策略口令最小長(zhǎng)度2023/1/3用戶權(quán)限策略備份文件權(quán)限遠(yuǎn)程/本地登錄訪問(wèn)權(quán)限遠(yuǎn)程/本地關(guān)機(jī)權(quán)限更改系統(tǒng)時(shí)間權(quán)限管理日志權(quán)限刪除/還原文件權(quán)限設(shè)置信任關(guān)系權(quán)限卷管理權(quán)限安裝/卸載設(shè)備驅(qū)動(dòng)程序權(quán)限2022/12/11用戶權(quán)限策略備份文件權(quán)限2023/1/3審計(jì)策略成功或者不成功的登錄事件成功或者不成功的對(duì)象訪問(wèn)成功或者不成功的目錄服務(wù)訪問(wèn)成功或者不成功的特權(quán)使用成功或者不成功的系統(tǒng)事件成功或者不成功的賬戶管理事件2022/12/11審計(jì)策略成功或者不成功的登錄事件2023/1/34.2.3防火墻技術(shù)分組過(guò)濾技術(shù)依據(jù)IP分組的源地址和目的地址源端口號(hào)和目的端口號(hào)傳送協(xié)議優(yōu)點(diǎn)可以實(shí)現(xiàn)粗顆粒的網(wǎng)絡(luò)安全策略容易實(shí)現(xiàn)配置成本低速度快局限性配置分組過(guò)濾規(guī)則比較困難不能識(shí)別分組中的用戶信息不能抵御IP地址欺騙2022/12/114.2.3防火墻技術(shù)分組過(guò)濾技術(shù)2023/1/3例4-1某一個(gè)具有B類網(wǎng)絡(luò)123.45的公司的網(wǎng)絡(luò)管理員希望阻止來(lái)自因特網(wǎng)上的訪問(wèn)(123.45/16)。該網(wǎng)絡(luò)中有一個(gè)特殊子網(wǎng)(/24)是一個(gè)與某大學(xué)合作的，該大學(xué)的網(wǎng)址是135.79。他希望這個(gè)特殊的子網(wǎng)能夠被該大學(xué)的所有子網(wǎng)訪問(wèn)。此外還希望阻止公司的網(wǎng)絡(luò)被大學(xué)中某一個(gè)特殊子網(wǎng)(/24)訪問(wèn)。試設(shè)計(jì)制訂過(guò)濾規(guī)則。2022/12/11例4-1某一個(gè)具有B類網(wǎng)絡(luò)123.45的2023/1/3解某一個(gè)具有B類網(wǎng)絡(luò)123.45的公司的網(wǎng)絡(luò)管理員希望阻止來(lái)自因特網(wǎng)上的訪問(wèn)(123.45/16)。該網(wǎng)絡(luò)中有一個(gè)特殊子網(wǎng)(/24)是一個(gè)與某大學(xué)合作的，該大學(xué)的網(wǎng)址是135.79。他希望這個(gè)特殊的子網(wǎng)能夠被該大學(xué)的所有子網(wǎng)訪問(wèn)。此外還希望阻止公司的網(wǎng)絡(luò)被大學(xué)中某一個(gè)特殊子網(wǎng)(/24)訪問(wèn)。試設(shè)計(jì)制訂過(guò)濾規(guī)則。制訂過(guò)濾規(guī)則如下2022/12/11解某一個(gè)具有B類網(wǎng)絡(luò)123.45的公司的2023/1/3例4-2處于一個(gè)C類網(wǎng)絡(luò)的防火墻，第一，希望阻止網(wǎng)絡(luò)中的用戶訪問(wèn)主機(jī)；假設(shè)需要阻止這個(gè)主機(jī)的Telnet服務(wù)，對(duì)于Internet的其他站點(diǎn)，允許網(wǎng)絡(luò)內(nèi)部用戶通過(guò)Telnet方式訪問(wèn)，但不允許網(wǎng)絡(luò)外部其他站點(diǎn)以Telnet方式訪問(wèn)網(wǎng)絡(luò)。第二，為了收發(fā)電子郵件，允許SMTP出站入站服務(wù)，郵件服務(wù)器的IP地址為。第三，對(duì)于WWW服務(wù)，允許內(nèi)部網(wǎng)用戶訪問(wèn)Internet上任何網(wǎng)絡(luò)和站點(diǎn)，但只允許一個(gè)公司的網(wǎng)絡(luò)訪問(wèn)內(nèi)部WWW服務(wù)器，內(nèi)部WWW服務(wù)器的IP地址是。試根據(jù)以上要求設(shè)計(jì)過(guò)濾規(guī)則。2022/12/11例4-2處于一個(gè)C類網(wǎng)絡(luò)116.111.2023/1/3解23：telnet25：SMTP80:web>1023:非系統(tǒng)進(jìn)程2022/12/11解23：telnet80:web2023/1/3地址過(guò)濾配置實(shí)例2022/12/11地址過(guò)濾配置實(shí)例2023/1/3配置結(jié)果2022/12/11配置結(jié)果2023/1/3

問(wèn)題1DMZ某屏蔽子網(wǎng)的應(yīng)用代理服務(wù)器中，對(duì)外接口的IP地址是，對(duì)內(nèi)接口的IP地址為。問(wèn)如何配置包過(guò)濾器規(guī)則，使得所有的內(nèi)網(wǎng)與外網(wǎng)的通信都經(jīng)過(guò)代理服務(wù)器的檢查和傳遞。2022/12/11問(wèn)題1DMZ某屏蔽子網(wǎng)的應(yīng)用代理服務(wù)器2023/1/3解答某屏蔽子網(wǎng)的應(yīng)用代理服務(wù)器中，對(duì)外接口的IP地址是，對(duì)內(nèi)接口的IP地址為。問(wèn)如何配置包過(guò)濾器規(guī)則，使得所有的內(nèi)網(wǎng)與外網(wǎng)的通信都經(jīng)過(guò)代理服務(wù)器的檢查和傳遞。規(guī)則方向協(xié)議源地址目地址源端口目端口動(dòng)作AIn----允許Bout----允許C------禁止規(guī)則方向協(xié)議源地址目地址源端口目端口動(dòng)作Ain----允許Bout----允許C------禁止包過(guò)濾器B包過(guò)濾器A2022/12/11解答某屏蔽子網(wǎng)的應(yīng)用代理服務(wù)器中，對(duì)外接2023/1/3問(wèn)題2主機(jī)防火墻如何對(duì)UDP進(jìn)行過(guò)濾UDP請(qǐng)求可能來(lái)自打印機(jī)或掃描儀2022/12/11問(wèn)題2主機(jī)防火墻如何對(duì)UDP進(jìn)行過(guò)濾2023/1/3防火墻安全策略的例子AllowallinboundandoutboundICMPAllowinboundTCP445fromhosts–55BlockallinboundTCPBlockallinboundUDPAllowalloutboundTCPAllowalloutboundUDP2022/12/11防火墻安全策略的例子Allowall2023/1/3代理服務(wù)技術(shù)代理客戶機(jī)與服務(wù)器之間的一個(gè)應(yīng)用層中介在兩者之間傳遞應(yīng)用程序的信息可以根據(jù)數(shù)據(jù)包的內(nèi)容進(jìn)行檢測(cè)應(yīng)用代理的原理隔斷通信雙方的直接聯(lián)系將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)從網(wǎng)絡(luò)層起分開(kāi)所有通信都必須經(jīng)應(yīng)用層的代理進(jìn)行轉(zhuǎn)發(fā)用另外的連接和封裝轉(zhuǎn)發(fā)應(yīng)用層信息2022/12/11代理服務(wù)技術(shù)代理2023/1/3代理服務(wù)技術(shù)特點(diǎn)安全性較高能夠識(shí)別應(yīng)用層信息數(shù)據(jù)重新封裝應(yīng)用滯后不支持沒(méi)有開(kāi)發(fā)代理的網(wǎng)絡(luò)應(yīng)用客戶端配置較復(fù)雜需要在客戶端進(jìn)行代理設(shè)置要求應(yīng)用層數(shù)據(jù)中不包含加密、壓縮數(shù)據(jù)Email中做不到代理的實(shí)例網(wǎng)絡(luò)地址轉(zhuǎn)換器（NAT）URL過(guò)濾器（Web應(yīng)用層）2022/12/11代理服務(wù)技術(shù)特點(diǎn)2023/1/3NAT網(wǎng)絡(luò)層/傳輸層代理提供外網(wǎng)IP地址與內(nèi)網(wǎng)地址之間的轉(zhuǎn)換方便路由匯聚與IPv6網(wǎng)絡(luò)連通使得外網(wǎng)地址重用分類靜態(tài)NAT將內(nèi)部地址與外部地址固定地一一對(duì)應(yīng)動(dòng)態(tài)NAT將多個(gè)內(nèi)部地址與同一個(gè)外部地址對(duì)應(yīng)（分時(shí)使用）通過(guò)TCP/UDP端口號(hào)區(qū)分（NAPT）IPv4/IPv4NAT

(RFC1631,RFC2663,RFC3022,RFC3235)IPv4/IPv6NAT

(RFC2766,RFC2765,RFC3027)2022/12/11NAT網(wǎng)絡(luò)層/傳輸層代理2023/1/3例4-3NATSA=DA=SA=DA=SA=DA=SA=DA=2022/12/11例4-3NATSA=023/1/3例4-4NAPT2022/12/11例4-4NAPT2023/1/3NAPT將地址轉(zhuǎn)換擴(kuò)展到端口號(hào)全轉(zhuǎn)換FullCone外網(wǎng)隨時(shí)可以利用映射后的地址給內(nèi)網(wǎng)發(fā)送UDP報(bào)文受限轉(zhuǎn)換RestrictedCone當(dāng)內(nèi)網(wǎng)主機(jī)向外網(wǎng)發(fā)送數(shù)據(jù)分組后，外網(wǎng)才可以利用映射后的地址給內(nèi)網(wǎng)發(fā)送UDP報(bào)文端口受限轉(zhuǎn)換PortRestrictedCone當(dāng)內(nèi)網(wǎng)主機(jī)向外網(wǎng)發(fā)送數(shù)據(jù)分組后，外網(wǎng)才可以利用映射后相同的地址和端口號(hào)給內(nèi)網(wǎng)發(fā)送UDP報(bào)文對(duì)稱NATSymmetricNAT多個(gè)內(nèi)網(wǎng)地址和端口號(hào)映射到同一個(gè)外網(wǎng)地址當(dāng)內(nèi)網(wǎng)主機(jī)向外網(wǎng)發(fā)送數(shù)據(jù)分組后，外網(wǎng)才可以利用映射后相同的地址和端口號(hào)給內(nèi)網(wǎng)發(fā)送UDP報(bào)文2022/12/11NAPT將地址轉(zhuǎn)換擴(kuò)展到端口號(hào)2023/1/3NAT-PT地址轉(zhuǎn)換靜態(tài)地將每個(gè)IPv6地址轉(zhuǎn)換成IPv4地址(NAT-PT)動(dòng)態(tài)地將一個(gè)IPv6地址轉(zhuǎn)換成一定期限的IPv4地址動(dòng)態(tài)地將一個(gè)IPv6地址轉(zhuǎn)換成IPv4地址和TCP/UDP端口號(hào)(NAPT-PT)協(xié)議轉(zhuǎn)換在IPv4與對(duì)應(yīng)的IPv6分組之間相互轉(zhuǎn)換IPv4頭與對(duì)應(yīng)的IPv6頭之間的相互轉(zhuǎn)換TCP/UDP/ICMP校驗(yàn)和更新ICMPv4頭與ICMPv6頭之間的相互轉(zhuǎn)換ICMPv4錯(cuò)誤消息與ICMPv6錯(cuò)誤消息的相互轉(zhuǎn)換IPv4senderdoesnotperformpathMTUdiscovery

RFC27652022/12/11NAT-PT地址轉(zhuǎn)換2023/1/3ProblemsofNAT

AndrewS.TanenbaumViolatesarchitecturemodelofIPChangestheInternetfromaconnectionlesstoconnection-orientedViolatestheroleofprotocollayeringDoesnotsupportothertransportprotocolDoesnotsupportIPaddressesinthebodyFTPandH.323worksthiswaybreaksmanyIPapplicationsRFC30272022/12/11ProblemsofNAT

And2023/1/3NAT穿透與語(yǔ)音通信H.323與SIP的共同點(diǎn)傳輸中需要建立兩種通道控制通道媒體通道RTP/RTCP連接使用的UDP端口需要通過(guò)協(xié)商確定因?yàn)橐慌_(tái)主機(jī)可能建立多條媒體通道（多個(gè)媒體流）要求防火墻打開(kāi)所有的端口號(hào)發(fā)起呼叫方的IP地址在分組的載荷中根據(jù)這個(gè)IP地址發(fā)回的分組將被防火墻阻擋防火墻的穿透問(wèn)題NAT-FriendlyApplicationDesignGuidelines在分組中不包含IP地址和端口號(hào)許多協(xié)議無(wú)法根據(jù)這個(gè)指導(dǎo)原則構(gòu)建RFC32352022/12/11NAT穿透與語(yǔ)音通信H.323與SIP的2023/1/3NAT穿透與語(yǔ)音通信解決方案應(yīng)用級(jí)網(wǎng)關(guān)ALG

(ApplicationLayerGateways)存放應(yīng)用層信息并用于NAT修改應(yīng)用層信息中的IP地址需要更新已有的NAT擴(kuò)展性問(wèn)題、可靠性問(wèn)題和新應(yīng)用布署問(wèn)題FullProxy由專門的應(yīng)用層代理對(duì)業(yè)務(wù)流進(jìn)行轉(zhuǎn)發(fā)代理在防火墻的外部對(duì)載荷中的IP地址進(jìn)行處理對(duì)應(yīng)答分組中的IP地址進(jìn)行轉(zhuǎn)換NAT2022/12/11NAT穿透與語(yǔ)音通信解決方案NAT2023/1/3TraverseaFirewallMIDCOM

MiddleboxCommunicationsprotocol采用應(yīng)用代理與NAT通信允許一個(gè)應(yīng)用實(shí)體控制NAT需要更新當(dāng)前的NAT和防火墻

RFC3303STUNSimpletraversalofUDPthroughNAT使得應(yīng)用程序能發(fā)現(xiàn)NAT和防火墻的存在通過(guò)發(fā)送綁定請(qǐng)求給STUN服務(wù)器并比較應(yīng)答中的IP地址和端口號(hào)使得應(yīng)用程序發(fā)現(xiàn)映射的地址和端口號(hào)確定NAT的地址映像把映射后的地址放在分組載荷中RFC34892022/12/11TraverseaFirewallM2023/1/3TraverseaFirewall

建立高層隧道FirewallEnhancementProtocol(FEP)allowsANYapplicationtotraverseaFirewall可以使用固定的端口號(hào)TCP/IPpacketencodedintoHTTPcommandRFC3093AppTCPIPFEPTCPIPIPTCPFEPIPTCPAppfirewall局限性？2022/12/11TraverseaFirewall2023/1/3TraverseaFirewallIPsecFirewalltraversal為IPsec穿越NAT而建立的UDP隧道theinitiatorisbehindNA(P)TandtheresponderhasafixedstaticIPaddressPortno=4500TheremotehostdetectthepresenceofNATanddeterminetheNATtraversalcapabilitydetectwhethertheIPaddressortheportchangesalongthepathbysendingthehashesoftheIPaddressesandportsUDPEncapsulationofIPsecESPPacketsRFC3948NegotiationofNAT-TraversalintheIKERFC39472022/12/11TraverseaFirewallI2023/1/3狀態(tài)檢測(cè)技術(shù)會(huì)話層代理基于入侵檢測(cè)能夠根據(jù)上層協(xié)議的狀態(tài)進(jìn)行過(guò)濾對(duì)網(wǎng)絡(luò)通信的各個(gè)協(xié)議層次實(shí)施監(jiān)測(cè)不僅檢查數(shù)據(jù)分組的TCP/IP頭利用狀態(tài)表跟蹤每一個(gè)會(huì)話的狀態(tài)記錄會(huì)話的序列透明性較好不修改應(yīng)用程序的執(zhí)行過(guò)程和處理步驟2022/12/11狀態(tài)檢測(cè)技術(shù)會(huì)話層代理2023/1/3基于網(wǎng)絡(luò)防火墻的不足之處基于分組網(wǎng)絡(luò)頭信息容易被篡改無(wú)雙向的身份驗(yàn)證粗顆粒的訪問(wèn)控制防外不防內(nèi)不能防止旁路不能預(yù)防新的攻擊手段不能防范病毒和后門2022/12/11基于網(wǎng)絡(luò)防火墻的不足之處基于分組網(wǎng)絡(luò)頭信2023/1/3新型防火墻技術(shù)可信信息系統(tǒng)技術(shù)加強(qiáng)認(rèn)證計(jì)算機(jī)病毒檢測(cè)防護(hù)技術(shù)和密碼技術(shù)加強(qiáng)應(yīng)用層數(shù)據(jù)檢查自適應(yīng)代理適應(yīng)新的應(yīng)用新功能spam過(guò)濾Web站點(diǎn)過(guò)濾2022/12/11新型防火墻技術(shù)可信信息系統(tǒng)技術(shù)2023/1/34.3入侵檢測(cè)識(shí)別越權(quán)使用計(jì)算機(jī)系統(tǒng)的人員及其活動(dòng)網(wǎng)絡(luò)活動(dòng)監(jiān)視器基本假設(shè)入侵者的行為方式與合法用戶是不同的目標(biāo)發(fā)現(xiàn)新的入侵行為對(duì)入侵事件的可說(shuō)明性能夠?qū)θ肭质录龀龇磻?yīng)2022/12/114.3入侵檢測(cè)識(shí)別越權(quán)使用計(jì)算機(jī)系統(tǒng)的人2023/1/3入侵檢測(cè)方法記錄有關(guān)證據(jù)實(shí)時(shí)地檢測(cè)網(wǎng)絡(luò)中的所有分組或檢測(cè)主機(jī)的狀態(tài)及日志或?qū)徲?jì)信息識(shí)別攻擊的類型評(píng)估攻擊的威脅程度發(fā)出告警信息或主動(dòng)采取措施阻止攻擊入侵防御2022/12/11入侵檢測(cè)方法2023/1/34.3.1入侵分類攻擊的方式本地攻擊遠(yuǎn)程攻擊偽遠(yuǎn)程攻擊網(wǎng)絡(luò)上的安全弱點(diǎn)管理漏洞軟件漏洞結(jié)構(gòu)漏洞信任漏洞跳板（Zombie）

2022/12/114.3.1入侵分類攻擊的方式跳板（Zom2023/1/3常見(jiàn)網(wǎng)絡(luò)入侵類型拒絕服務(wù)攻擊網(wǎng)絡(luò)流量攻擊阻斷協(xié)議攻擊基于網(wǎng)絡(luò)竊取、偽造、篡改、阻斷用戶賬號(hào)攻擊基于主機(jī)竊取、偽造、篡改2022/12/11常見(jiàn)網(wǎng)絡(luò)入侵類型拒絕服務(wù)攻擊2023/1/3網(wǎng)絡(luò)入侵的方式端口掃描（portscanning）IP哄騙（IPsmurfing）洪泛攻擊（flooding）緩存溢出（bufferoverrun）腳本