网络攻防复习第五章 入侵检测重点.doc

入侵检测 入侵检测：对入侵行为的发觉，并对此做出反应的过程。通过对计算机或者网络系统中的若干关键点收集信息并对其进行分析，从中发现计算机中或网络中是否存在违反安全策略的行为和被攻击的迹象，根据分析和检查的情况，作出相应的反应。 防火墙:网络连接设备，用于强制在网络通信之间执行一种安全策略。 类型：包/会话过滤防火墙、代理网关（应用代理）防火墙、状态检测防火墙 包/会话过滤 ①包过滤：数据包过滤是指在网络层对数据包进行分析、选择和过滤。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。过滤规则基于模式匹配。 检查的内容：IP源地址和目的地址，端口，协议标识符（TCP，UDP，ICMP等）、TCP标志（SYN，ACK，RST，PSH，FIN）、ICMP消息类型 优点：速度快、逻辑简单、成本低、易于安装和使用，网络性能和通明度好，广泛地用于路由器上。 缺点：不能检测上下文，不能阻止针对特定应用的攻击，没有用户的身份验证机制。 ②会话过滤：在包过滤基础上加了会话上下文，难以过滤无状态协议UDP和ICMP。 依赖于可靠链接、针对语法描述、 应用级攻击无效 2、代理网关：所有的流量都进入防火墙，出去的流量看起来来自防火墙 ①应用级网关：每一个应用都有代理，连接和传递信息针对特定的应用程序之间的连接 优点：支持用户网关十分验证，可用日志记录和审计所有活动 缺点：开销大，对每个应用程序都要建立一个代理 ②电路级网关：对应用是透明的，连接和传递信息针对特定的TCP连接 优点：开销小 缺点：不检查TCP段的内容，比应用级网关控制更弱 二、Bastion Host堡垒主机： ①概念：是通过包过滤来实现应用级网关的加固的系统。一种被强化的可以防御进攻的计算机，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。 所有不重要的服务都被关闭；对被支持的服务有特定的应用程序代理；支持用户身份认证；所有流量都经过堡垒主机。 ②分类： ①Single-Homed Bastion Host单宿主堡垒主机 如果数据包过滤器被攻破，流量可以流动到内部网络。 ②Dual-Homed Bastion Host双宿主堡垒主机 内部和外部网络之间没有物理连接 网络过滤器 保护地址和路由 隐藏内部网络上的主机的IP地址：只有当外部访问该服务时，才揭示它们的IP地址；保持其他地址保密，来使欺骗更难 使用NAT（网络地址转换）映射，把数据包头的地址映射到内部地址： 1对1或N对1映射 2、结构 ①Netfilter/iptables包含在Linux 2.4以后的内核中，可以实现包过滤（无状态或有状态）、防火墙、NAT（网络地址翻译）和数据包的分割等功能。 Netfilter：是一组内核钩子，允许内核模块用网络协议栈注册回调（工作在内核内部）， iptables则是让用户定义规则集的表结构。 netfilter的架构： 在IPv4中定义的5个钩子：PRE_ROUTING, LOCAL_IN, FORWARD, LOCAL_OUT, POST_ROUTING. PRE_ROUTING：刚刚进入网络层的数据包通过此点（刚刚进行完版本号，校验 LOCAL_IN：经路由查找后，送往本机的通过此检查点，INPUT包过滤在此点进行 FORWARD：要转发的包通过此检测点，FORWARD包过滤在此点进行 POST_ROUTING：所有马上便要通过网络设备出去的包通过此检测点，内置的源地址转换功能（包括地址伪装）在此点进行 ②SNAT：源地址转换，其作用是将ip数据包的源地址转换成另外一个地址。 如何区分SNAT和DNAT从定义来讲它们一个是源地址转换，一个是目标地址转换。都是地址转换的功能，将私有地址转换为公网地址。 要区分这两个功能可以简单的由连接发起者是谁来区分： 内部地址要访问公网上的服务时（如web访问），内部地址会主动发起连接，由路由器或者防火墙上的网关对内部地址做个地址转换，将内部地址的私有IP转换为公网的公有IP，网关的这个地址转换称为SNAT，主要用于内部共享IP访问外部。 当内部需要提供对外服务时（如对外发布web网站），外部地址发起主动连接，由路由器或者防火墙上的网关接收这个连接，然后将连接转换到内部，此过程是由带有公网IP的网关替代内部服务来接收外部的连接，然后在内部做地址转换，此转换称为DNAT，主要用于内部服务对外发布。 安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发