第十五章网络安全应用.docVIP

第十五章 一、防火墙的基本术语 1）网关：在两个以上设备之间提供转发服务的系统。 2）电路级网关：用来监控受信任的用户或服务器与不受信任的主机间的TCP握手信息，是在OSI模型中会话层上过滤数据包。它作为服务器接受外来的请求并转发请求，在tcp握手中，检查双方的syn、ack和序列数是否合理逻辑，来判断该请求的会话是否合法。缺点是不能很好的区分好包与坏包、易受IP欺骗这类的攻击机复杂性，需要修改应用程序和执行程序。要求终端用户通过网关的认证。 3）应用级网关：可以工作在OSI的任一层，能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册。优点是易于记录并控制进出通信，并对internet的访问做到内容级的过滤，控制灵活而全面，安全性高，具有登记、日志、统计和报告功能，有很好的审计功能，还可以具有严格的用户认证功能。缺点是需要为每种应用写不同的代码，维护比较困难，详细的检查也导致速度比较慢。 4）包过滤：配置困难、为特定服务开放的端口有可能用于其它传输、不支持用户鉴别。 5）代理服务器：代表内部客户端与外部的服务器通信。 二、IDS（intrusion detection system）：是一种主动保护自己免受攻击的安全技术。 1）IDS功能 IDS构成至少包括：数据提取，入侵分析，响应处理三部分。还可以结合安全知识库、数据存储等功能模块，提供更为完善的安全检测技术分析功能。IDS模块结构如下： 响应处理 数据库 入侵分析 数据存储 数据提取 数据提取模块居于基础地位，负责提取反映受保护系统运行状态的运行数据，并完成数据的过滤及其他处理工作，为入侵分析模块和数据存储模块提供原始的安全审计数据，是IDS的数据采集器。 入侵分析模块是IDS的核心模块，对原始数据进行同步、整理、组织、分类、特征提取及各种细致分析。 响应处理模块反映了发现入侵者的攻击行为之后该采取什么措施。措施包括自动响应和被动响应，前者阻断攻击过程，后者对发生的时间进行报告和记录。 优点： 实时检测网络系统发生的非法行为； 网络IDS不占用系统的任何资源； 网络IDS是独立设备，自身安全性高； 网络IDS即时监测系统，也是记录审计系统，可以做到实时保护和事后取证分析。 主机IDS运行于保护系统之上，可以直接保护和恢复系统。 与防火墙联动，可以有效阻止非法入侵和破坏。 2）IDS分类 基于数据源分类：分为基于主机和基于网络IDS。 基于主机的IDS分为基于应用（从应用层服务中收集数据）和基于操作系统。 基于主机的IDS从单个主机上提取系统数据（如审计记录）作为入侵分析的数据源；基于网络的IDS从网络上提取数据（如网络链路层的数据帧）作为入侵分析的数据源。 基于主机的IDS的检测目标是主机系统和本地用户，原理是根据主机的审计数据和系统日志发现可疑事件。利用主机操作系统及应用程序的审核踪迹作为输入的主要数据源来检测入侵。 基于主机的IDS检测效率高、分析代价小、分析速度快，能迅速定位入侵者。 不足之处：一定程度上依赖于操作系统的可靠性。 基于网络IDS：适配器可以工作在正常模式和混杂模式。位于客户端和服务器的通信链路中央，可以访问通信链路的所有层次。如果网络数据被加密，IDS不能扫描协议或内容。 基于检测方法分类： 异常检测（anormaly detection）：根据使用者的行为或资源使用情况的正常程度来判断是否入侵，而不依赖于具体行为是否出现来检测。与系统相对无关，可以检测出以前未出现的攻击方法。由于用户行为经常改变，误检率高。 误用检测（misuse detection）：根据定义好的入侵模式，通过判断在实际的安全审计数据中是否出现这些入侵模式来完成检测功能。无法检测位置的攻击类型。 3）入侵检测方法 静态配置分析：通过检查系统的当前配置，如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到攻击。静态是指检查系统的静态特征。而不是系统中的活动。 异常性检测方法：不需要操作系统及其防范安全性缺陷专门知识就可以检测入侵者的方法，同时也是检测冒充合法用户的入侵者的有效方法。 基于行为的检测方法：通过检测用户行为中那些与已知入侵行为模式类似的行为、利用系统中缺陷或间接违背系统安全规则的行为，来判断系统中的入侵活动。不能检测新的入侵攻击行为及未知的、潜在的系统缺陷。 三、入侵防御系统（IPS） 防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。入侵检测技术通过监视网络系统或系统资源，寻找违反安全策略的行为或攻击迹象，并发出警报。 IP是主动的、积极地入侵防范及组织系统，部署在网络的进出口处。 IP