苏州大学《计算机网络》附录2：(漫谈)计算机网络安全.pptVIP

一种常用的S-B1-S防火墙系统结构 因特网 外部 路由器 信息服务器 堡垒主机 内部网 调制解调器 内部 路由器 DMZ区 防火墙 外网 内网 DMZ区 WWW/FTP/Email 防火墙 该防火墙配置的说明 特征： ◆ 使用了两个包过滤路由器，一个在堡垒主机和因特网之间， 另一个在堡垒主机和内部网之间。 ◆ 创建了一个被隔离的过滤子网，称为非军事区DMZ。 ◆ 因特网、内部网上的计算机都可访问DMZ子网上的主机，但 是直接穿越DMZ子网的通信量将被阻断。 ◆ 堡垒主机完成鉴别和代理功能。 优点： ◆ 有三级防卫措施来抵抗入侵者。 ◆ 外部的包过滤路由器只对因特网通告存在被隔离的子网DMZ， 因此，内部网对于因特网是不可见的。 ◆ 内部包过滤路由器只对内部网络通告存在非军事区DMZ，因此， 内部网络中的系统不能构造到因特网的直接通信，须经堡垒主 机鉴别和代理。 防火墙的局限性和选购产品时的注意 防火墙的主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过防火墙的数据包，一方面对外部用户屏蔽内部网络的拓扑结构，限制外部非法用户访问内部；另一方面限制内部用户访问外部危险站点。但是它也有其明显的局限性，表现在： (1) 防火墙系统对内部的防护能力较弱； (2) 防火墙系统难以配置和管理，容易造成安全漏洞； (3) 防火墙系统难以为不同用户提供不同的安全控制策略。 选择防火墙产品应注意的问题： (1) 防火墙自身的安全性。取决于它是否是基于安全的、可信赖的甚至是专用的操作系统与硬件平台，及它自身抵御攻击的能力； (2) 防火墙自身的可靠性。是否通过权威组织认证、推荐和具有入网资格，自身部件的强健性，及符合工业标准，具有电源与系统的热备份； (3) 防火墙自身的工作效率。一般包过滤路由器加载100条过滤规则时效率下降不能大于5%，堡垒主机也要控制多个会话连接时效率下降指标； (4) 防火墙功能与配置的灵活性。要对普通用户、内部有不同安全等级的子网、不同的内部用户、外部用户满足不同安全控制需求。 网络防攻击与入侵检测技术 网络攻击方法分析 目前黑客攻击大致可以分为8种基本的类型： 系统类入侵攻击 缓冲区溢出攻击 欺骗类攻击 拒绝服务攻击 对防火墙的攻击 利用病毒攻击 木马程序攻击 后门攻击 入侵检测的基本概念 入侵检测系统 IDS (Intrusion Detection System) — 识别对计算机和网络资源恶意使用行为的系统 防火墙是进入内部网络时看门的门卫，而IDS 是这个内部网络里面各处的探头和实时监视系统。 监测和发现可能存在的攻击行为： — 来自系统外部的入侵行为 — 来自内部用户的非授权行为 — 相应的防护手段 入侵检测系统框架结构 图中的说明： (1)事件产生器 – 其产生的事件是经过协议解析的数据包，或者是从日志文件中提取的相关部分； (2)事件分析器 – 它根据事件数据库的入侵特征描述、用户历史行为模型等，解析事件产生器产生的事件，得到格式化的描述，判断什么是合法的，什么是非法的； (3)响应单元 – 是对分析结果做出反应的功能单元，如切断连接、改变文件属性或报警等响应； (4)事件数据库—存放攻击类型数据或检测规则，可以是复杂的数据库，也可以是简单的文本文件，存有入侵特征描述、用户历史行为等模型和专家经验。 入侵检测系统IDS的基本功能 监控、分析用户和系统的行为 检查系统的配置和漏洞 评估重要的系统和数据文件的完整性 对异常行为的统计分析，识别攻击类型，并向网络管理人员报警 对操作系统进行审计、跟踪管理，识别违反授权的用户活动 入侵检测的基本方法 对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能； 入侵检测系统按照所采用的检测技术可以分为： ?异常检测（已知网络的正常活动状态，如果当前网络状态不符合正常的状态，则认为有攻击发生） ?误用检测（根据入侵者在入侵时的某些行为过程的特征，建立一种入侵行为模型，如果用户的行为或者行为过程与入侵方案模型一致，则判定入侵发生） ?两种方式的结合 入侵检测系统分类 按照检测的对象和基本方法： 基于主机的入侵检测系统 主要任务是保护所在的计算机系统，它一般是以系统日志、应用程序日志为数据源