windows系统安全14防火墙与入侵检测系统2.ppt

防火墙与入侵检测 本章介绍两部分的内容： 防火墙和入侵检测技术。 介绍防火墙的基本概念，常见防火墙类型以及如何使用规则集实现防火墙。 介绍入侵检测系统的基本概念以及入侵检测的常用方法 防火墙技术 1. 防火墙基本概念 2. 防火墙的分类 3 .防火墙的体系结构 4. 防火墙的实施 防火墙 防火墙是位于可信网络与不可信网络之间，并对二者之间流动的数据包进行检查的一台、多台计算机或路由器。 防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。 防火墙实现的层次 防火墙的安全规则 由匹配条件和处理方式两部分组成。匹配条件是指用于对通信流量是否合法作出判断的一些逻辑表达式。若信息是匹配条件值为真，那么就进行处理。处理方式有以下几种。 接受：允许信息通过 拒绝：拒绝信息通过，通知发送信息的信息源 丢弃：直接丢弃信息，不通知信息源。 防火墙的基本功能 （1）网络监控（包过滤功能，状态检查，网关级代理） （2）用户身份验证：可以限制未授权的用户进入内部网 络，过滤掉不安全的服务和非法用户 （3）限制内部用户访问特殊站点 防火墙的不足之处 （1）不能防范恶意的知情者 （2）防火墙不能防范不通过它的连接 （3）防火墙不能防范病毒 防火墙技术 1. 防火墙基本概念 2 防火墙分类（按实现技术） 3 .防火墙的体系结构 4. 防火墙的实施 防火墙分类（按实现技术） 数据包过滤 防火墙（20世纪80年代） 应用级网关防火墙 状态检测防火墙（20世纪90年代） 包过滤（分组过滤）： 作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。 应用代理（Application Proxy）： 也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 状态检测（Status Detection）： 直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。 包过滤防火墙 数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。 通常情况下，如果规则中没有明确允许指定数据包的出入，那么缺省参数将决定此包是前行还是被舍弃。 包过滤技术 包过滤要检查的内容 数据包过滤一般要检查网络层的IP头和传输层的头 IP源地址 IP目标地址 协议类型（TCP包，UDP包和ICMP包） TCP或UDP包的目的端口 TCP或UDP包的原端口 ICMP消息类型 TCP包头的ACK位 TCP包的序列号，IP校验和等 一个可靠的分组过滤防火墙依赖于规则集，表列出了几条典型的规则集。 第一条规则：主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。 第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。 第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过。 包过滤防火墙的优缺点 优点： 实现比较简单，产品比较便宜。 对系统要求不是很高，便于在各种系统上运行 很容易实现网络流量的监控与管理 缺点： 安全规则的配置比较复杂，稍不注意就会发生一些逻辑错误 允许外部网络与内部主机直接通信，存在一定的隐患 不能彻底防止地址欺骗 源IP地址欺骗攻击 入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。 用WinRoute创建包过滤规则 WinRoute目前应用比较广泛，既可以作为一个服务器的防火墙系统，也可以作为一个代理服务器软件。目前比较常用的是WinRoute4， 举例 利用WinRoute创建包过滤规则，创建的规则内容是：防止主机被别的计算机使用“Ping”指令探测。选择菜单项“Packet Filter”，如图所示。 在包过滤对话框中可以看出目前主机还没有任何的包规则，如图所示。 选中图中网卡图标，单击按钮“添加”。出现过滤规则添加对话框，所有的过滤规则都在此处添加，如图所示。 因为“Ping”指令用的协议是ICMP，所以这里要对ICMP协议设置过滤规则。在协议下拉列表中选择“ICMP”，如图所示。 在“ICMP Type”栏目中，将复选框全部选中。在“A