第9章網(wǎng)絡(luò)安全技術(shù)

第9章網(wǎng)絡(luò)安全技術(shù)2023/2/1學(xué)習(xí)目標(biāo)本章主要講解網(wǎng)絡(luò)環(huán)境下安全防范技術(shù)：網(wǎng)絡(luò)安全包括哪些常用技術(shù)和手段網(wǎng)絡(luò)掃描技術(shù)作用和實(shí)施網(wǎng)絡(luò)防火墻的作用和工作機(jī)理入侵檢測(cè)系統(tǒng)的作用和工作機(jī)理使用蜜罐技術(shù)有效發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為3/492023/2/14如何保護(hù)網(wǎng)絡(luò)免遭入侵？42023/2/1本章目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)5/492023/2/19.1網(wǎng)絡(luò)安全技術(shù)概述網(wǎng)絡(luò)為攻擊者提供了更多方便由于網(wǎng)絡(luò)的存在，攻擊者更容易通過(guò)網(wǎng)絡(luò)非法入侵他人網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)系統(tǒng)，非法訪問(wèn)網(wǎng)絡(luò)上的資源，非法竊取終端系統(tǒng)中的數(shù)據(jù)。內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)與安全邊界網(wǎng)絡(luò)通常分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)(也稱公共網(wǎng)絡(luò)，如Internet)，內(nèi)外網(wǎng)絡(luò)之間的連接設(shè)備(路由器)成為安全邊界，對(duì)安全邊界的監(jiān)控是網(wǎng)絡(luò)安全的重要內(nèi)容。網(wǎng)絡(luò)安全防御體系主動(dòng)防御模型6/492023/2/19.1網(wǎng)絡(luò)安全技術(shù)概述網(wǎng)絡(luò)安全技術(shù)構(gòu)建網(wǎng)絡(luò)安全防御體系，除了必要的人、制度、機(jī)制、管理等方面保障，還要依賴于各種網(wǎng)絡(luò)安全技術(shù)。掃描技術(shù)：發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)安全薄弱環(huán)節(jié)，進(jìn)行完善保護(hù)。防火墻技術(shù)：在內(nèi)部與外部網(wǎng)絡(luò)銜接處，阻止外部對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，限制內(nèi)部對(duì)外部網(wǎng)絡(luò)的訪問(wèn)等。入侵檢測(cè)系統(tǒng)：發(fā)現(xiàn)非正常的外部對(duì)內(nèi)部網(wǎng)絡(luò)的入侵行為，報(bào)警并阻止入侵行為和影響的進(jìn)一步擴(kuò)大。隔離網(wǎng)閘技術(shù)：在物理隔離的兩個(gè)網(wǎng)絡(luò)之間進(jìn)行安全數(shù)據(jù)交換。7/492023/2/1本章目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)8/492023/2/1如何探測(cè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及網(wǎng)絡(luò)中系統(tǒng)存在的安全弱點(diǎn)？992023/2/19.2網(wǎng)絡(luò)掃描技術(shù)目的是發(fā)現(xiàn)網(wǎng)絡(luò)中的設(shè)備及系統(tǒng)是否存在安全漏洞。典型的網(wǎng)絡(luò)掃描包括主機(jī)掃描和端口掃描。主機(jī)掃描目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，常用的掃描手段如ICMPEcho掃描、BroadcastICMP掃描等。防火墻和網(wǎng)絡(luò)過(guò)濾設(shè)備常常導(dǎo)致傳統(tǒng)的探測(cè)手段變得無(wú)效。為了突破這種限制，攻擊者通常利用ICMP協(xié)議提供的錯(cuò)誤消息機(jī)制，例如發(fā)送異常的IP包頭、在IP頭中設(shè)置無(wú)效的字段值、錯(cuò)誤的數(shù)據(jù)分片，以及通過(guò)超長(zhǎng)包探測(cè)內(nèi)部路由器和反向映射探測(cè)等。10/492023/2/19.2網(wǎng)絡(luò)掃描技術(shù)端口掃描目的是發(fā)現(xiàn)目標(biāo)主機(jī)的開(kāi)放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽(tīng)的端口。端口掃描技術(shù)包括開(kāi)放掃描、隱蔽掃描和半開(kāi)放掃描等。典型的端口掃描方法TCPConnect掃描和TCP反向ident掃描。TCPXmas和TCPNull掃描是FIN掃描的兩個(gè)變種。TCPFTP代理掃描。分段掃描，將數(shù)據(jù)包分為兩個(gè)較小的IP段。TCPSYN掃描和TCP間接掃描，兩種半開(kāi)放掃描。11/492023/2/1本章目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)12/492023/2/1如何隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)？13132023/2/19.3.1防火墻概念、功能網(wǎng)絡(luò)防火墻是建立在內(nèi)部網(wǎng)絡(luò)(Intranet)與外部網(wǎng)絡(luò)(Extranet)之間的安全網(wǎng)關(guān)(Gateway)。網(wǎng)絡(luò)防火墻的部署示意圖14/492023/2/19.3.1防火墻概念、功能1．防火墻的特性內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間所有的網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻。只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻。防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。15/492023/2/19.3.1防火墻概念、功能2．防火墻的功能防火墻是網(wǎng)絡(luò)安全的屏障防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略對(duì)網(wǎng)絡(luò)接入和訪問(wèn)進(jìn)行監(jiān)控審計(jì)防止內(nèi)部信息的外泄集成其它網(wǎng)絡(luò)應(yīng)用功能，如VPN、NAT等16/492023/2/19.3.2防火墻工作原理1．包過(guò)濾技術(shù)

包過(guò)濾防火墻工作在OSI體系結(jié)構(gòu)的網(wǎng)絡(luò)層。對(duì)通過(guò)防火墻的每個(gè)IP數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行檢查，與預(yù)先設(shè)定好的防火墻過(guò)濾規(guī)則進(jìn)行匹配，一旦發(fā)現(xiàn)某個(gè)數(shù)據(jù)包的某個(gè)或多個(gè)部分與過(guò)濾規(guī)則匹配并且條件為“阻止”的時(shí)候，這個(gè)數(shù)據(jù)包就會(huì)被丟棄。從“靜態(tài)包過(guò)濾”到

“動(dòng)態(tài)包過(guò)濾”17/492023/2/19.3.2防火墻工作原理1．包過(guò)濾技術(shù)

包過(guò)濾規(guī)則舉例18/492023/2/19.3.2防火墻工作原理包過(guò)濾防火墻通常要對(duì)經(jīng)過(guò)的數(shù)據(jù)包檢查下列字段：源IP地址和目的IP地址；TCP、UDP和ICMP等協(xié)議類型；源TCP端口和目的TCP端口；源UDP端口和目的UDP端口；ICMP消息類型；輸出分組的網(wǎng)絡(luò)接口。19/492023/2/19.3.2防火墻工作原理包過(guò)濾規(guī)則的匹配結(jié)果分為三種情況：如果一個(gè)分組與一個(gè)拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則該分組將被禁止通過(guò)；如果一個(gè)分組與一個(gè)允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則該分組將被允許通過(guò)；如果一個(gè)分組沒(méi)有與任何的規(guī)則相匹配，則該分組將被禁止通過(guò)。這里遵循了“一切未被允許的皆禁止”的原則。20/492023/2/19.3.2防火墻工作原理2．應(yīng)用代理技術(shù)具有應(yīng)用協(xié)議分析(ApplicationProtocolAnalysis)能力的防火墻?！皯?yīng)用協(xié)議分析”技術(shù)工作在OSI模型的最高層——應(yīng)用層上，在這一層防火墻能“看到”應(yīng)用數(shù)據(jù)最終形式，因而可以實(shí)現(xiàn)更高級(jí)、更全面的數(shù)據(jù)檢測(cè)。采取代理機(jī)制進(jìn)行工作，即內(nèi)外部網(wǎng)絡(luò)之間的通信都需要先經(jīng)過(guò)代理服務(wù)器審核，內(nèi)外部網(wǎng)絡(luò)的計(jì)算機(jī)不能直接連接會(huì)話，這樣就可以避免攻擊者使用“數(shù)據(jù)驅(qū)動(dòng)”網(wǎng)絡(luò)攻擊。代理機(jī)制使防火墻的性能受到一定的限制。21/492023/2/19.3.2防火墻工作原理3、狀態(tài)監(jiān)視(StatefulInspection)技術(shù)

在動(dòng)態(tài)包過(guò)濾技術(shù)基礎(chǔ)上發(fā)展而來(lái)的防火墻技術(shù)，能夠?qū)W(wǎng)絡(luò)通信的各個(gè)層次實(shí)施監(jiān)測(cè)，并根據(jù)各種過(guò)濾規(guī)則進(jìn)行決策。狀態(tài)監(jiān)視技術(shù)在支持對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行分析的基礎(chǔ)上，進(jìn)一步發(fā)展了“會(huì)話過(guò)濾”（SessionFiltering）功能，在每個(gè)連接建立時(shí)，防火墻會(huì)為該連接構(gòu)造一個(gè)會(huì)話狀態(tài)，包含了該連接數(shù)據(jù)包的所有信息，之后基于連接狀態(tài)信息對(duì)每個(gè)數(shù)據(jù)包的內(nèi)容進(jìn)行分析和監(jiān)視。狀態(tài)監(jiān)視技術(shù)結(jié)合了包過(guò)濾技術(shù)和應(yīng)用代理技術(shù)，實(shí)現(xiàn)上更復(fù)雜，也會(huì)占用更多的資源。22/499.3.3基于DMZ的防火墻部署基于DMZ的防火墻部署方式9.3.3基于DMZ的防火墻部署關(guān)于DMZ(DeMilitarizedZone)DMZ稱為“隔離區(qū)”，也稱“非軍事化區(qū)”，它是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一個(gè)屏蔽子網(wǎng)，在安全系統(tǒng)與非安全系統(tǒng)之間建立一個(gè)緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，放置一些必須公開(kāi)的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。支持DMZ部署方式防火墻產(chǎn)品提供至少3個(gè)網(wǎng)路接口，一個(gè)用于連接外部網(wǎng)絡(luò)——通常是Internet，一個(gè)用于連接內(nèi)部網(wǎng)絡(luò)，一個(gè)用于連接提供對(duì)外服務(wù)的屏蔽子網(wǎng)。2023/2/1本章目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)25/492023/2/1如何檢測(cè)非法入侵網(wǎng)絡(luò)行為？26262023/2/19.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)：通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。實(shí)現(xiàn)這一功能的軟件與硬件組合即構(gòu)成入侵檢測(cè)系統(tǒng)IDS(IntrusionDetectionSystem)。IDS與IPS(IntrusionPreventionSystem)入侵檢測(cè)系統(tǒng)分類主機(jī)型IDS是安裝在服務(wù)器或PC機(jī)上軟件，監(jiān)測(cè)到達(dá)主機(jī)的網(wǎng)絡(luò)信息流；網(wǎng)絡(luò)型IDS一般配置在網(wǎng)絡(luò)入口處（路由器）、或網(wǎng)絡(luò)核心交換處（核心交換路由）通過(guò)旁路技術(shù)監(jiān)測(cè)網(wǎng)絡(luò)上的信息流。27/492023/2/19.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)的主要功能監(jiān)測(cè)、記錄并分析用戶和系統(tǒng)的活動(dòng)；核查系統(tǒng)配置和漏洞；評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識(shí)別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；管理操作系統(tǒng)日志，識(shí)別違反安全策略的用戶活動(dòng)。28/492023/2/19.4.1入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)的組成IDS需要分析的數(shù)據(jù)稱為事件(Event)，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其它途徑得到的信息。IDS一般包括以下組件

事件產(chǎn)生器(Eventgenerators)事件分析器(Eventanalyzers)響應(yīng)單元(Responseunits)事件數(shù)據(jù)庫(kù)(Eventdatabases)29/499.4.2IDS類型與部署

1.網(wǎng)絡(luò)IDS網(wǎng)絡(luò)IDS是網(wǎng)絡(luò)上的一個(gè)監(jiān)聽(tīng)設(shè)備，通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)上傳遞的報(bào)文，按照協(xié)議對(duì)報(bào)文進(jìn)行分析，并報(bào)告網(wǎng)絡(luò)中可能存在的入侵或非法使用者信息，還能對(duì)入侵行為自動(dòng)地反擊。網(wǎng)絡(luò)IDS的部署9.4.2IDS類型與部署

1.網(wǎng)絡(luò)IDS網(wǎng)絡(luò)IDS通過(guò)旁路技術(shù)實(shí)時(shí)采集網(wǎng)絡(luò)通信流量采用總線式的連接方式交換機(jī)的調(diào)試端口(SpanPort)連接IDS采用分接器并聯(lián)IDS網(wǎng)絡(luò)IDS承擔(dān)兩種職責(zé)實(shí)時(shí)監(jiān)測(cè)安全審計(jì)9.4.2IDS類型與部署

1.網(wǎng)絡(luò)IDS網(wǎng)絡(luò)IDS的工作原理：按事件分析方法分類基于知識(shí)的數(shù)據(jù)模式判斷方法：分析建立網(wǎng)絡(luò)中非法使用者(入侵者)的工作方法——數(shù)據(jù)模型，在實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)流量時(shí)，將網(wǎng)絡(luò)中讀取的數(shù)據(jù)與數(shù)據(jù)模型比對(duì)，匹配成功則報(bào)告事件。9.4.2IDS類型與部署

1.網(wǎng)絡(luò)IDS網(wǎng)絡(luò)IDS的工作原理：按事件分析方法分類基于知識(shí)的數(shù)據(jù)模式判斷方法原理邏輯圖2023/2/19.4.2IDS類型與部署1.網(wǎng)絡(luò)IDS網(wǎng)絡(luò)IDS的工作原理：按事件分析方法分類基于行為的行為模式判斷方法統(tǒng)計(jì)行為判斷：根據(jù)上面模式匹配的事件，在進(jìn)行事后統(tǒng)計(jì)分析時(shí)，根據(jù)已知非法行為的規(guī)則判斷出非法行為。異常行為判斷：根據(jù)平時(shí)統(tǒng)計(jì)的各種信息，得出正常網(wǎng)絡(luò)行為準(zhǔn)則，當(dāng)遇到違背這種準(zhǔn)則的事件發(fā)生時(shí)，報(bào)告非法行為事件。34/492023/2/19.4.2IDS類型與部署2．主機(jī)IDS基本原理以主機(jī)系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，也可以包括其他資源（如網(wǎng)絡(luò)、文件、進(jìn)程），從所在的主機(jī)上收集信息并進(jìn)行分析，通過(guò)查詢、監(jiān)聽(tīng)當(dāng)前系統(tǒng)的各種資源的使用、運(yùn)行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用或修改的事件，并進(jìn)行上報(bào)和處理。35/492023/2/19.4.2IDS類型與部署2．主機(jī)IDS主機(jī)IDS可以完成以下工作截獲本地主機(jī)系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)，查找出針對(duì)本地系統(tǒng)的非法行為。掃描、監(jiān)聽(tīng)本地磁盤文件操作，檢查文件的操作狀態(tài)和內(nèi)容，對(duì)文件進(jìn)行保護(hù)、恢復(fù)等。通過(guò)輪詢等方式監(jiān)聽(tīng)系統(tǒng)的進(jìn)程及其參數(shù)，檢查出非法進(jìn)程。查詢系統(tǒng)各種日志文件，報(bào)告非法的入侵者。36/499.4.3IDS工作原理

從工作原理上，IDS包含兩大部分：引擎：讀取原始數(shù)據(jù)和產(chǎn)生事件控制中心：顯示和分析事件以及策略制定9.4.3IDS工作原理

IDS引擎的主要功能和工作流程通過(guò)讀取和分析原始數(shù)據(jù)比對(duì)事件規(guī)則庫(kù)對(duì)異常數(shù)據(jù)產(chǎn)生事件，根據(jù)定義的安全策略規(guī)則庫(kù)匹配響應(yīng)策略，按照策略處理相應(yīng)事件，并與控制中心以及聯(lián)動(dòng)設(shè)備進(jìn)行通信。9.4.3IDS工作原理

IDS控制中心與引擎通信，讀取引擎事件，并存入控制中心事件數(shù)據(jù)庫(kù)，也可以把接收到的事件以各種形式實(shí)時(shí)顯示在屏幕上；通過(guò)控制中心可以修改事件規(guī)則庫(kù)和響應(yīng)策略規(guī)則庫(kù)并下發(fā)給IDS引擎；控制中心具有日志分析功能，通過(guò)讀取事件數(shù)據(jù)庫(kù)中的事件數(shù)據(jù)，按照用戶要求生成各種圖形和表格，便于用戶事后對(duì)過(guò)去一段時(shí)間內(nèi)的工作狀態(tài)進(jìn)行分析和瀏覽。2023/2/19.4.4典型入侵檢測(cè)系統(tǒng)規(guī)劃與配置40/492023/2/1本章目錄9.1網(wǎng)絡(luò)安全技術(shù)概述9.2網(wǎng)絡(luò)掃描技術(shù)9.3網(wǎng)絡(luò)防火墻技術(shù)9.4入侵檢測(cè)技術(shù)9.5蜜罐技術(shù)41/492023/2/1如何更有效地檢測(cè)非法入侵網(wǎng)絡(luò)行為？42422023/2/19.5蜜罐技術(shù)蜜罐(Honeypot)技術(shù)可以看成是一種誘導(dǎo)技術(shù)，目的是發(fā)現(xiàn)惡意攻擊和入侵。通過(guò)設(shè)置一個(gè)“希望被探測(cè)、攻擊甚至攻陷”系統(tǒng)，模擬正常的計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)環(huán)境，引誘攻擊者入侵蜜罐系統(tǒng)，從而發(fā)現(xiàn)甚至定位入侵者，發(fā)現(xiàn)攻擊模式、手段和方法，進(jìn)而發(fā)現(xiàn)配置系統(tǒng)的缺陷和漏洞，以便完善安全配置管理消除安全隱患。蜜罐可以分為高交互蜜罐（High-interactionhoneypots）低交互蜜罐（Low-interactionhoneypots）43/492023/2/19.5蜜罐技術(shù)1.高交互蜜罐一個(gè)高交互蜜罐是一個(gè)常規(guī)的計(jì)算機(jī)系統(tǒng)，如使用一臺(tái)標(biāo)準(zhǔn)計(jì)算機(jī)、路由器等。即高交互蜜罐實(shí)際上是一個(gè)配置了真實(shí)操作系統(tǒng)和服務(wù)的系統(tǒng)，為攻擊者提供一個(gè)可以交互的真實(shí)系統(tǒng)。這一系統(tǒng)在網(wǎng)絡(luò)中沒(méi)有常規(guī)任務(wù)，也沒(méi)有固定的活動(dòng)用戶。系統(tǒng)上只運(yùn)行正常守護(hù)進(jìn)程或服務(wù)，不應(yīng)該有任何不正常的進(jìn)程，也不產(chǎn)生任何網(wǎng)絡(luò)流量。44/492023/2/19.5蜜罐技術(shù)1.高交互蜜罐高交互蜜罐可以完全被攻陷，它們運(yùn)行真實(shí)操作系統(tǒng)，可能帶有所有已知和未知的安全漏洞，攻擊者與真實(shí)的系統(tǒng)和真實(shí)的服務(wù)交互，使得我們能夠捕獲大量的威脅信息。當(dāng)攻擊者獲得對(duì)蜜罐非授權(quán)訪問(wèn)時(shí)，可以捕捉他們對(duì)漏洞的利用，監(jiān)視他們的按鍵，找到他們的工具，搞清他們的動(dòng)機(jī)。即使攻擊者使用了我們尚不知道的未知漏洞，通過(guò)分析其入侵過(guò)程和行為，可以發(fā)現(xiàn)其使用的方法和手段，即所謂發(fā)現(xiàn)“零日攻擊”。45/492023/2/19.5蜜罐技術(shù)2.低交互蜜罐低交互蜜罐則是使用特定軟件工具模擬操作系統(tǒng)、網(wǎng)絡(luò)堆?；蚰承┨厥鈶?yīng)用程序的一部分功能，例如具有網(wǎng)絡(luò)堆棧、提供TCP連接、提供HTTP模擬服務(wù)等。低交互蜜罐允許攻擊者與目標(biāo)系統(tǒng)有限交互，允許管理員了解關(guān)于攻擊的主要的定量信息。優(yōu)點(diǎn)是簡(jiǎn)單、易安裝和