第8部分 防火墙与入侵检测解析.ppt

可以查看主机入侵的信息，选择属性页“Intruders”，如图9-32所示。 入侵检测工具：冰之眼 “冰之眼”网络入侵检测系统是NSFOCUS系列安全软件中一款专门针对网络遭受黑客攻击行为而研制的网络安全产品，该产品可最大限度地、全天候地监控企业级的安全。由于用户自身网络系统的缺陷、网络软件的漏洞以及网络管理员的疏忽等等，都可能使网络入侵者有机可乘，而系统遭受了攻击，就可能造成重要的数据、资料丢失，关键的服务器丢失控制权等。 使用“冰之眼”，系统管理人员可以自动地监控网络的数据流、主机的日志等，对可疑的事件给予检测和响应,在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为，主界面如图9-33所示。 管理员可以添加主机探测器来检测系统是否被入侵，选择菜单栏“网络”下的菜单项“添加探测器”，可以添加相关的探测器，如图9-34所示。 总结 介绍了防御技术中的防火墙技术与入侵检测技术。 重点理解防火墙的概念、分类、常见防火墙的系统模型以及创建防火墙的基本步骤。 掌握使用Winroute创建简单的防火墙规则。 重点理解入侵检测系统的基本概念、检测的方法以及入侵检测的步骤。 掌握编写简单入侵检测的程序，掌握一种入侵检测工具。 设置完毕，该主机就不再响应外界的“Ping”指令了，使用指令“Ping”来探测主机，将收不到回应，如图9-13所示。 虽然主机没有响应，但是已经将事件记录到安全日志了。选择菜单栏“View”下的菜单项“LogsSecurity Logs”，察看日志纪录如图9-14所示。 案例9-2 用WinRoute禁用FTP访问 FTP服务用TCP协议， FTP占用TCP的21端口，主机的IP地址是“09”，首先创建规则如表9-2所示。 组序号 动作 源IP 目的IP 源端口 目的端口 协议类型 1 禁止 * 09 * 21 TCP 利用WinRoute建立访问规则，如图9-15所示。 设置访问规则以后，再访问主机“09”的FTP服务，将遭到拒绝，如图9-16所示。 访问违反了访问规则，会在主机的安全日志中记录下来，如图9-17所示。 案例9-3 用WinRoute禁用HTTP访问 HTTP服务用TCP协议，占用TCP协议的80端口，主机的IP地址是“09”，首先创建规则如表9-3所示。 组序号 动作 源IP 目的IP 源端口 目的端口 协议类型 1 禁止 * 09 * 80 TCP 利用WinRoute建立访问规则，如图9-18所示。 打开本地的IE连接远程主机的HTTP服务，将遭到拒绝，如图9-19所示。 访问违反了访问规则，所以在主机的安全日志中记录下来，如图9-20所示。 应用代理防火墙 应用代理（Application Proxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此又被称为“应用网关”。 常见防火墙系统模型 常见防火墙系统一般按照四种模型构建： 筛选路由器模型、单宿主堡垒主机（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。 筛选路由器模型 筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求，如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。典型的筛选路由器模型如图9-23所示。 单宿主堡垒主机模型 单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。单宿主堡垒主机的模型如图9-24所示。 双宿主堡垒主机模型 双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。双宿主堡垒主机模型如图9-25所示。 屏蔽子网模型 屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立区”(DMZ，Demilitarized Zone)网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备，模型如图9-26所示。 创建防火墙的步骤 成功的创建一个防