第7章 網絡防御

7.1概述 7.2防火墻7.3入侵檢測系統(tǒng) 7.4網絡防御的新技術 第7章網絡防御7.1概述 防御需要解決多層面的問題，除了安全技術之外，安全管理也十分重要，實際上提高用戶群的安全防范意識、加強安全管理所能起到效果遠遠高于應用幾個網絡安全產品。網絡安全防御體系第一道防線，部署在網絡出入口處或者不同安全等級區(qū)域的連接路徑上，依據安全規(guī)則檢查每一個通過的數據包。將局域網中的節(jié)點從邏輯上劃分成多個網段，每個網段都包含一組有相同需求的工作站。（控制流量、簡化網絡管理、提高安全性）IPS：部署像防火墻，工作機制接近入侵檢測系統(tǒng)，將檢測方法細分到攻擊檢測防御的每個階段中。7.2防火墻防火墻指的是一個由軟件和硬件設備組合而成、在內部網絡和外部網絡之間構造的安全保護屏障，從而保護內部網絡免受外部非法用戶的侵入。目標：有效地控制內外網之間的網絡數據流量。滿足條件：內網和外網之間的所有網絡數據流必須經過防火墻；只有符合安全政策的數據流才能通過防火墻。防火墻自身具有高可靠性，應對滲透具有免疫力。防火墻不只用于INTERNET，也可用于內部網各部門網絡之間（內部防火墻）

分類從應用對象上劃分企業(yè)防火墻：使企業(yè)內部局域網與internet之間互相隔離、限制網絡互訪，保護企業(yè)網絡內網。個人防火墻：一種軟件服務，為個人計算機提供簡單的防火墻功能，可以隨操作系統(tǒng)附帶，價格較低。從存在形式上劃分硬件防火墻：采用特殊的硬件設備，有較高性能，可做為獨立的設備部署，企業(yè)防火墻多數是硬件防火墻；軟件防火墻：是一套安裝在某臺計算機系統(tǒng)上來執(zhí)行防護任務的安全軟件，個人防火墻都是軟件防火墻。防火墻主要作用網絡流量過濾：通過在防火墻上進行安全規(guī)則配置，可以對流經防火墻的網絡流量進行過濾。網絡監(jiān)控審計：防火墻記錄訪問并生成網絡訪問日志，提供網絡使用情況的統(tǒng)計數據。支持NAT部署：NAT（網絡地址翻譯）是用來緩解地址空間短缺的主要技術之一。支持DMZ：DMZ是英文“DemilitarizedZone”的縮寫,它是設立在非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。支持VPN：通過VPN，企業(yè)可以將分布在各地的局域網有機地連成一個整體。典型企業(yè)防火墻應用局限性防火墻無法檢測不經過防火墻的流量，如通過內部提供撥號服務接入公網的流量；防火墻不能防范來自內部人員惡意的攻擊；防火墻不能阻止被病毒感染的和有害的程序或文件的傳遞，如木馬；防火墻不能防止數據驅動式攻擊，如一些緩沖區(qū)溢出攻擊。7.2.2防火墻的主要技術包過濾防火墻面向網絡底層數據流進行審計和控管其安全策略主要根據數據包頭的源地址、目的地址、端口號和協(xié)議類型等標志來制定，可見其主要工作在網絡層和傳輸層。代理防火墻基于代理（Proxy）技術，使防火墻參與到每一個內外網絡之間的連接過程防火墻需要理解用戶使用的協(xié)議，對內部節(jié)點向外部節(jié)點的請求進行還原審查后，轉發(fā)給外部服務器；外部節(jié)點發(fā)送來的數據也需要進行還原審查，然后封裝轉發(fā)給內部節(jié)點。個人防火墻目前普通用戶最常使用的一種，常見如天網個人防火墻。個人防火墻是一種能夠保護個人計算機系統(tǒng)安全的軟件直接在用戶的計算機上運行，幫助普通用戶對系統(tǒng)進行監(jiān)控及管理，使個人計算機免受各種攻擊包過濾防火墻工作原理訪問控制列表ACLAccessControlList是允許和拒絕匹配規(guī)則的集合。規(guī)則告訴防火墻哪些數據包允許通過、哪些被拒絕。順序方向源地址目的地址協(xié)議源端口目的端口是否通過Rule1out1*.*.*.*TCPany80denyRule2out*.*.*.*6TCPany80accept訪問控制列表靜態(tài)包過濾靜態(tài)包過濾是指防火墻根據定義好的包過濾規(guī)則審查每個數據包，確定其是否與某一條包過濾規(guī)則匹配。此類防火墻遵循“最小特權”原則，即明確允許那些管理員希望通過的數據包，禁止其它的數據包。靜態(tài)包過濾原理圖動態(tài)包過濾是指防火墻采用動態(tài)配置包過濾規(guī)則的方法采用了一個在網關上執(zhí)行安全策略的軟件引擎，即檢測模塊檢測模塊抽取相關數據對通信的各層實施監(jiān)測分析，提取相關的通信狀態(tài)信息，并對動態(tài)連接表進行信息存儲和更新，為下一個通信檢查提供積累數據。這些監(jiān)測分析數據可以作為制定安全策略的參考。一旦某個訪問違反安全規(guī)定，安全報警器會拒絕該訪問并記錄報告。狀態(tài)監(jiān)測原理圖動態(tài)包過濾包過濾防火墻的分析優(yōu)點邏輯簡單，價格便宜，對網絡性能影響較小，透明性強與應用層無關，無需改動客戶機和主機上的應用程序缺點配置包過濾防火墻，需要對IP、TCP等協(xié)議深入了解，否則容易出現因配置不當帶來的問題由于過濾判斷的只有網絡層和傳輸層的有限信息，各種安全要求難以充分滿足由于數據包地址和端口號都在包頭部，因此不能徹底防止地址欺騙代理服務器型防火墻通過在主機上運行代理的服務程序(核心)，直接對特定的應用層進行服務，也稱應用型防火墻。針對不同的應用程序，需要不同的代理模塊。代理服務可以實現用戶認證、詳細日志、數據加密、應用過濾等功能。應用代理防火墻徹底隔斷內網與外網的直接通信，所有通信必須經過代理軟件轉發(fā)。對于客戶來說它像一臺服務器，對于外界服務器來說，它又是一臺客戶機。代理服務器通常有個高速緩存，存放著用戶經常訪問的站點內容，當下個用戶要訪問同一站點時，直接發(fā)出緩存內容，節(jié)約了網絡資源。從外網只能看到代理服務器，無法獲知內部資源，更可靠代理服務器接收到用戶訪問某站點的請求后，檢查該請求是否符合規(guī)定，如果規(guī)則允許訪問，代理服務器就會像一個客戶一樣去那個站點取回所需信息轉發(fā)給客戶。應用代理防火墻原理圖代理防火墻的分析優(yōu)點不允許內外網主機的直接連接，隱藏內部用戶IP地址記錄的日志更詳細，包含應用程序文件名、URL等信息可以與認證、授權、加密等安全手段方便的集成缺點代理速度比包過濾慢代理對用戶不透明，給用戶帶來不便代理技術需要針對每種協(xié)議設置一個不同的代理服務器電路級網關工作原理與應用代理網關基本相同，代理的協(xié)議以傳輸層為主，在傳輸層上實施訪問控制策略，是在內外網絡之間建立一個虛擬電路，進行通信。電路級網關監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息，在握手過程中，檢查雙方的SYN、ACK和序列數據是否為合理邏輯，來判斷會話是否合法。一旦網關認為會話合法，就為雙方建立連接，進而復制、傳遞數據，但不進行過濾。網關轉發(fā)的數據包被提交給用戶的應用層處理，通過網關的數據似乎起源于防火墻，隱藏了被保護網絡內的信息。網絡地址轉換NAT是一種用于把內部IP地址轉換成臨時的、外部的、注冊的IP地址的標準。私有地址：內部網絡的主機地址，不會在因特網上被分配，各個企業(yè)可以根據需要選擇，不同內部網的網絡地址可以相同。RFC1918為私有地址保留了A、B、C類地址范圍各一個。A類：—55B類：—55C類：—55公有地址：局域網的外部地址(在因特網上唯一的IP地址)私有地址與公有地址間的轉換使用私有地址的主機不能直接訪問InternetInternet也不可能訪問到使用私有地址的主機IP地址資源有限，許多局域網內的計算機不得不采用私有地址，訪問Internet時就需要NAT目的解決IP地址空間不足問題向外界隱藏內部網結構網絡地址轉換NATNAT技術的工作原理內部網絡訪問外部網絡時，系統(tǒng)將發(fā)出數據包的源地址轉換為Internet上的合法地址，以這個合法地址與外網連接NAT應用在防火墻技術中，用偽裝的地址對外連接，隱藏了真實的內部地址。反之外網訪問內網時，并不清楚內網的連接情況，只是通過一個開放的IP地址來請求訪問。防火墻根據預先定義好的映射規(guī)則判斷訪問是否安全內部網絡中的每個主機都被永久映射成外部網絡中的某個合法地址，進行一對一的轉換。內部網絡中有E-MAIL服務器、WWW服務器、FTP服務器等，必須采用靜態(tài)地址轉換。特點：為每一個需要地址轉換的報文分配一個公有網絡IP地址。不能解決IP地址缺乏問題，只能隱藏內部主機的真實身份。從系統(tǒng)IP地址池中動態(tài)選擇一個未使用的地址對內部地址進行一對一轉換，當數據傳輸完畢，路由器將使用完的IP地址放回到地址池中。適用于：IP地址數量少，同時上網的用戶少例如：內部網中有100臺主機，分配了30個IP地址，可供任意30臺主機同時通信。端口復用：路由器記錄地址、應用程序端口等標識進行轉換，可以使多個內部地址同時轉換為同一個IP地址對外網訪問。適用于：申請到少量的IP地址，卻經常有很多用戶同時上網。VPN：虛擬的企業(yè)內部專線，也稱虛擬私有網。依靠ISP和其他NSP，在公用網絡中建立專用的數據通信網絡的技術虛擬：任意兩個節(jié)點之間沒有傳統(tǒng)專網所需的點到點的物理鏈路，是利用Internet公眾數據網絡線路。專用：用戶可以為自己制定一個最符合自己需求的網絡VPN產生的背景企業(yè)內部和企業(yè)之間數據通信的數量不斷增加。在企業(yè)分支機構和中心網絡連接上架設專用線路，經濟費用高。隨著互聯網主干網速越來越快，企業(yè)租用廣域網數據專線實現連接，租用成本高，且互聯網存在不安全因素（泄密、篡改、假冒等）。VPN技術的出現，可以使租用線路成本下降40%-60%。VPN（VirtualPrivateNetwork）VPN的意義VPN是企業(yè)網在因特網等公共網絡上的延伸。VPN通過一個私有的通道來創(chuàng)建一個安全的私有連接，將遠程用戶、公司分支機構、業(yè)務伙伴等跟企業(yè)網連接起來，形成一個擴展的公司企業(yè)網。提供高安全性能、低價位的因特網接入解決方案。隧道技術VPN可以理解為一條穿過公用網絡的安全、穩(wěn)定的隧道。隧道技術可以模仿點對點連接技術，依靠ISP和NSP在公用網中建立自己的專用“隧道”傳輸數據利用公網設施，在一個網絡之中的“網絡”上傳輸數據的方法，被傳輸的數據執(zhí)行隧道協(xié)議。隧道協(xié)議利用附加的報頭封裝數據包，附加報頭提供了路由信息，封裝后的數據包能通過公用網中的一些路徑，這些路徑即為隧道。隧道示意圖源局域網與公網的接口處封裝數據包目的局域網與公網的接口處解封數據包VPN典型應用幫助遠程用戶同公司內網之間，通過公網遠程撥號的方式建立安全連接。為公司總部和分支機構提供一個整個企業(yè)網絡的訪問權限將客戶、供應商、合作伙伴等連接到企業(yè)內網，支持外部用戶執(zhí)行相應訪問權限7.3入侵檢測系統(tǒng)入侵檢測：對入侵行為的發(fā)覺，通過對計算機系統(tǒng)、計算機網絡中的若干關鍵部位收集信息并對其進行分析，從中發(fā)現網絡或系統(tǒng)中是否有違反安全策略的行為。IDS（IntrusionDetectionSystem）進行入侵檢測的軟件和硬件的組合，一種對網絡傳輸進行即時監(jiān)視，在發(fā)現可疑傳輸時發(fā)出警報或者采取主動反應措施的網絡安全系統(tǒng)。一般認為防火墻屬于靜態(tài)防范措施，而入侵檢測系統(tǒng)為動態(tài)防范措施，是對防火墻的有效補充。假如防火墻是一幢大樓的門禁，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。入侵檢測專家系統(tǒng)IDES模型的組成主體（Subjects）：啟動在目標系統(tǒng)上活動的實體，如用戶對象（Objects）：系統(tǒng)資源，如文件、設備、命令等。審計記錄（Auditrecords）：由構成的六元組?；顒樱菏侵黧w對目標的操作，對操作系統(tǒng)而言，這些操作包括讀、寫、登錄、退出等；異常條件：是指系統(tǒng)對主體的該活動的異常報告；資源使用狀況：是系統(tǒng)的資源消耗情況，如CPU、內存使用率等；時間戳：是活動發(fā)生時間?；顒虞喞河靡员４嬷黧w正常活動的有關特征信息；異常記錄：由事件、時戳、輪廓組成，用以表示異常事件的發(fā)生情況。活動規(guī)則：組成策略規(guī)則集的具體數據項。1984-1986年，研究出一個實時入侵檢測系統(tǒng)模型，入侵檢測專家系統(tǒng)IDES(IntrusionDetectionExpertSystem)。定義好活動規(guī)則，形成策略規(guī)則集，統(tǒng)計分析主體的活動記錄，形成活動輪廓；將需要檢測的數據傳送給模式匹配器和輪廓特征引擎；模式匹配器依據策略規(guī)則集的內容檢測數據源，如發(fā)現違反規(guī)則的活動則報警；輪廓特征引擎分析抽取數據源中主體活動輪廓，并與異常檢測器一起判斷是否發(fā)生了異?，F象，如發(fā)生則報警。CIDF通用模型IDWG(入侵檢測工作組)和CIDF(通用入侵檢測框架)負責開展對IDS進行標準化和研究工作。入侵檢測系統(tǒng)的通用模型E盒通過傳感器收集事件數據，將信息傳送給A盒和D盒；A盒檢測誤用模式；D盒存儲來自A、E盒的數據，并為額外的分析提供信息；R盒從A、E盒中提取數據R盒啟動適當的響應。入侵檢測幾個重要概念事件：當網絡或主機遭到入侵或出現較重大變化時，稱為發(fā)生安全事件，簡稱事件。報警：當發(fā)生事件時，IDS通過某種方式及時通知管理員事件情況稱為報警。響應：當IDS報警后，網絡管理員對事件及時作出處理稱為響應。誤用：誤用是指不正當使用計算機或網絡，并構成對計算機安全或網絡安全威脅的一類行為。異常：對網絡或主機的正常行為進行采樣、分析，描述出正常的行為輪廓，建立行為模型，當網絡或主機上出現偏離行為模型的事件時，稱為異常。入侵特征：也稱為攻擊簽名（AttackSignature）或攻擊模式（AttackPatterns），一般指對網絡或主機的某種入侵攻擊行為（誤用行為）的事件過程進行分析提煉，形成可以分辨出該入侵攻擊事件的特征關鍵字，這些特征關鍵字被稱為入侵特征。感應器：置在網絡或主機中用于收集網絡信息或用戶行為信息的軟硬件，稱為感應器。感應器應該布置在可以及時取得全面數據的關鍵點上，其性能直接決定IDS檢測的準確率（如企業(yè)的攝像頭監(jiān)控設備）。入侵檢測幾個重要概念入侵檢測系統(tǒng)工作過程信息收集：入侵檢測的第一步是信息收集，收集內容包括系統(tǒng)和網絡的數據及用戶活動的狀態(tài)和行為。信息收集工作一般由由放置在不同網段的感應器來收集網絡中的數據信息和主機內感應器來收集該主機的信息(盡可能擴大檢測范圍；從一個源來的信息有可能看不出疑點)入侵檢測很大程度上依賴于收集信息的可靠性和正確性入侵檢測系統(tǒng)軟件本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。信息收集的來源系統(tǒng)或網絡的日志文件、網絡流量、系統(tǒng)目錄和文件的異常變化、程序執(zhí)行中的異常行為日志文件中記錄了各種行為類型，每種類型包含不同信息（用戶活動）。攻擊者常在系統(tǒng)日志文件中留下蹤跡。網絡中包含重要信息的文件經常是黑客修改和破壞的目標，目錄和文件中不期望的改變是入侵產生的指示。信息分析將收集到的有關系統(tǒng)和網絡的數據及用戶活動的狀態(tài)和行為等信息送到檢測引擎，檢測引擎一般通過三種技術手段進行分析：模式匹配、統(tǒng)計分析和完整性分析。結果處理當控制臺接到發(fā)生安全事件的通知，將產生報警，也可依據預先定義的相應措施進行聯動響應。如可以重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性等。入侵檢測性能關鍵參數IDS主要功能7.3.2入侵檢測系統(tǒng)分類主機型入侵檢測系統(tǒng)工作原理基于主機的檢測威脅主機的數據源主機型入侵檢測系統(tǒng)HIDS優(yōu)點：

性價比較高，不需要增加專門的硬件平臺；

對系統(tǒng)實時的狀態(tài)進行監(jiān)測，準確率高；

不受網絡流量的影響。缺點：

與操作系統(tǒng)平臺相關，可移植性差；

需要在每個被檢測主機上安裝，維護較復雜；

難以檢測針對網絡的攻擊。網絡型入侵檢測系統(tǒng)NIDSNIDS的作用網絡型入侵檢測系統(tǒng)工作原理網絡型入侵檢測系統(tǒng)NIDS以檢測技術為分類標準基于誤用檢測(MisuseDetection)的IDS優(yōu)點：依據具體特征庫進行判斷，檢測準確度高，誤報率低缺點：檢測范圍受局限，無法檢測未知攻擊，漏報率高；

入侵特征庫需要不斷更新維護。如果入侵特征與正常用戶行為能匹配，會發(fā)生誤報如果沒有特征能與某種新的攻擊行為匹配，會發(fā)生漏報前提：所有的入侵行為都有可被檢測到的特征基于異常檢測（AnomalyDetection）的IDS前提：入侵是異?；顒拥淖蛹脩糨喞憾x為各種行為參數的集合，用于描述正常行為范圍正常狀態(tài)下，使用者的行為特征或資源使用狀況的標準特征實際使用者的行為特征與標準特征之間偏差的極限值優(yōu)點：拿用戶輪廓與標準輪廓相比，漏報率低。缺點：由于用戶行為和資源使用情況會因特殊原因發(fā)生較大變化，得到標準輪廓及確定閾值難度較大，誤報率高。IDS部署方式7.3.3入侵檢測技術入侵檢測技術研究具有綜合性、多領域性的特點，技術種類繁多，涉及到許多相關學科。從誤用檢測、異常檢測、誘騙和響應等四個方面分析一下入侵檢測的主要技術方法。誤用檢測技術專家系統(tǒng)特征分析模型推理狀態(tài)轉換分析完整性校驗等總結安全專家關于入侵檢測方面的知識，并以規(guī)則結構的形式表示出來，通過規(guī)則條件判斷來確定入侵后采取的措施。存在的問題：全面性、效率問題將收集到的信息與已知的誤用模式數據庫進行比較，從而發(fā)現違背安全策略的行為。優(yōu)點：檢測準確率較高缺點：需要不斷升級，不能檢測未知類型的攻擊將入侵過程看做一個行為序列，針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導致狀態(tài)轉換的條件，用狀態(tài)轉換圖表示每一個狀態(tài)和特征事件。利用加密機制(消息摘要函數)，能識別特定對象極其微小的變化。異常檢測技術構建用戶正常行為的統(tǒng)計模型，然后將當前行為與正常行為特征相比較來檢測。即通過監(jiān)視系統(tǒng)審計記錄上系統(tǒng)使用的異常情況，可以檢測出違反安全政策的事件。通常異常檢測都與一些數學分析方法相結合，但存在著誤報率較高的問題。異常檢測主要針對用戶行為數據、系統(tǒng)資源使用情況進行分析判斷。常見的異常檢測方法主要包括統(tǒng)計分析、預測模型、系統(tǒng)調用監(jiān)測以及基于人工智能的異常檢測技術等。入侵誘騙技術入侵誘騙是指用通過偽裝成具有吸引力的網絡