001 网络安全讲义2.docVIP

第一单元 Firewall及NAT理论与应用 一、Firewall的功能： 过滤不必要的封包。 限制网络存取能力。 增强网络存取能力。(VPN、Transparence Proxy、Flow Control) Firewall的作用方式： 封包过滤(Packet Filter ) – 使用port number及IP位置等信息来过滤，但Firewall本身须具备Keep State能力，才能分辨出进出的封包。(特点：可阻挡hping之类的穿透性扫瞄) 使用范例：阻檔TCP联机时以阻档进入的SYN封包来完成。 应用程序代理(Application Proxy) –代理client端对外联机，可完全监控联机过程。(http,e-mail,DNS都有Application Proxy) FIN Scan(穿透性扫瞄)： 原理: 不传送SYN封包，而是传送FIN封包来等待后端server 送回RST封包响应。 进阶封包过滤 具有重组封包能力，并能对封包内容进行辨识与处理，达成所谓的Content Security。 应用：配合网页内容过滤(不当信息)、e-mail病毒过滤、网络入侵侦测系统。 混合式防火墙 皆具备封包过滤及应用程序代理等功能，或具备入侵侦测功能，但是价格较高。 应用：过滤有毒e-mail、过滤网页内容、强制通过proxy(节省频宽)。 Firewall运作模式 Routing mode 以防火墙兼扮演Router的角色，利用Router的ACL来过滤封包。如：Cisco Router。 NAT mode 防火墙兼具NAT Server，内部网络使用Private IP，透过转址对外联机。(目前最常用) Bridge mode 防火墙以Bridge方式运作，本身不需要IP，又称为Transparence Firewall，优点为对原本架构不影响，如:Netscreen。 建议 : 但需考虑传输速率，以免造成网络瓶颈。 单机(个人)防火墙 以防护个人PC为目的，如：BlackICE等。 系统内建封包过滤种类 Win2000 – TCP/IP筛选、IP安全性。只能当单机防火墙 Linux – ipchain(kernel 2.2之前) 、iptable(kernel 2.4之后)。可当单机防火墙、NAT主机 BSDSolaris – IP Filter。以Router、NAT、Bridge mode运作，直接编辑防火墙规则。 （ipf.rules） 防火墙的安全认证 Common Criteria Assurance Levels 等级 – EAL0(无认证) ~ EAL7(最高级) 建议至少要用EAL 4的防火墙 NAT (Network Address Translation)原理 NAT – 来源与目的网络位置的转写。 NPAT – 来源与目的网络位置的转写、port number转写及对应。 Port Mapping – 将来自不同IP的联机需求改写为相同IP的不同埠号。 十、整合型防火墙的特殊用途 与网络设备整合 提供VPN使用者认证 Load Balance 通透式快取 十一、NAT与防火墙实作 以FreeBSD 4.5为例： 1.NAT+FireWall 2. ipfw Firewall设定教学 第二单元 入侵侦测系统IDS (Intrusion Detection System) 一、何谓入侵(intrusion)： 某人未经授权企图进入及使用你的系统 任何违反安全政策的行为 二、什么会有入侵的行为： 目前不论是任何系统或是网络设备或多或少都有弱点存在，只要有人针对弱点写成程序，就容易在网络上散布，并且成为入侵者的工具。 三、谓入侵侦测Intrusion Detection: 由一台主机负责收集资料及分析资料，并且藉由比对已知入侵的行为特征(Intrusion Signature)，来判别是否为一个入侵的行为或是正常的行为。 四、入侵侦测系统： 结合软件及硬件的一套系统，监控并收集系统及网络上的信息，来分析是否有入侵的事件发生，并且回报给管理者或是作出防御机制。 五、入侵侦测系统的必备功能： 资料收集 过滤出可疑的资料 分析可疑的资料内容 回报及应变的机制 六、资料收集的来源 网络上的封包 主机的log System call的追踪 Router上的packets 七、过滤可疑的资料 Data Reduction(资料的缩减) 筛选掉不必要的封包或是无可疑的封包，减少主机所需要分析的封包数，避免造成分析引擎的负担。 Data abstraction(撷取封包) 进行初步分析，找出有异常行为的封包。 Feature Selection(特征选择) 根据已