基本工作原理是在可信任网络的边界(即常说的在内部网络和外部网络之间,我们认为内部网络是可信任的,而外部网络是不可信的)建立起网络控制系统,隔离内部和外部网络,执行访问控制策略,防止外部的未授权节点访问内部网络和非法向外传递内部信息,同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。
三种防火墙技术安全功能比较
规则
一般包含以下各项:
源地址、源端口 、目的地址、目的端口、协议类型、协议标志、服务类型、动作。
规则原则
按地址过滤;
按服务过滤。
防火墙的规则动作
有以下几种类型:
通过(accept)
允许IP包通过防火墙传输。
放弃(deny)
不允许IP包通过防火墙传输,但仅仅丢弃,不做任何响应。
拒绝(reject)
不允许IP包通过防火墙传输,并向源端发送目的主机不可达的ICMP报文。
返回(return)
没有发现匹配的规则,省缺动作。
规则举例(包过滤)
只允许Telet出站的服务
双宿主主机结构防火墙
核心是具有双宿主功能的主机。
至少有两个网络接口,充当路由器。
不允许两网之间的直接发送功能。
仅仅能通过代理,或让用户直接登陆到双宿主主机来提供服务。
提供高级别的安全控制。
问题:
用户账号本身会带来明显的安全问题,会允许某种不安全的服务;通过登陆来使用因特网太麻烦。
双宿主主机结构防火墙
屏蔽主机防火墙
主要的安全机制由屏蔽路由器来提供。
堡垒主机位于内部网络上,是外部能访问的惟一的内部网络主机。
堡垒主机需要保持更高的安全等级。
问题:
如果路由器被破坏,整个网络对侵袭者是开放的。如堡垒主机被侵,内部网络的主机失去任何的安全保护。
屏蔽主机防火墙
堡垒主机
设计与构筑堡垒主机的原则:
使堡垒主机尽量简单;
随时做好堡垒主机可能被损害的准备。
堡垒主机提供的服务:
同因特网相关的一些服务;
删除所有不需要的服务;
不要在堡垒主机上保留用户账号。
屏蔽子网防火墙
添加额外的安全层:周边网,将内部网与因特网进一 步隔开。
周边网即:非军事化区,提供附加的保护层,入侵者如侵入周边网,可防止监听(sniffer)内部网的通信(窃取密码),不会损伤内部网的完整性。周边网上的主机主要通过主机安全来保证其安全性。
屏蔽子网防火墙使用了两个屏蔽路由器,消除了内部网络的单一侵入点,增强了安全性。
两个屏蔽路由器的规则设置的侧重点不同。
外部路由器只允许外部流量进入,内部路由器只允许内部流量进入。
高性能过滤算法
规则库的规模很大 ,对规则的处理速度决定了防火墙的速度。
对高性能过滤算法的要求:
过滤算法的速度应当足够快;
理想的过滤算法应当能够对任意的数据域进行匹配,包括链路层,网络层,传输层,甚至应用层的头部;
过滤算法应当能够支持待匹配规则具有各种表示方法;
过滤算法应当具有实时性,能够对规则表的改变做出实时响应。
网络地址转换(NAT)
目的:
解决IP地址空间不够问题;
向外界隐藏内部网结构。
方式:
M-1:端口NAT,多个内部网地址翻译到一个IP地址;
1-1:静态NAT,简单的地址翻译;
M-N:NAT池 ,M个内部地址翻译到N个IP地址池。
网络地址转换原理
利用NAT实现负载均衡
隐患扫描技术
基本原理:采用模拟黑客攻击的形式对目标可能存在的已知安全漏洞和弱点进行逐项扫描和检查 ,根据扫描结果向系统管理员提供周密可靠的安全性分析报告。
目标可以是工作站、服务器、交换机、数据库应用等各种对象。
能自动发现网络系统的弱点。
系统的安全弱点就是它安全防护最弱的部分,容易被入侵者利用。
隐患扫描技术的基本实现方法
基于单机系统的安全评估系统。
基于客户的安全评估系统。
采用网络探测(Network probe)方式的安全评估系统。
采用管理者/代理(Manager/Agent)方式的安全评估系统。
隐患扫描系统的组成(1)
安全漏洞数据库
安全性漏洞原理描述、及危害程度、所在的系统和环境等信息;
采用的入侵方式、入侵的攻击过程、漏洞的检测方式;
发现漏洞后建议采用的防范措施。
安全漏洞扫描引擎
与安全漏洞数据库相对独立,可对数据库中记录的各种漏洞进行扫描;
支持多种OS,以代理性试运行于系统中不同探测点,受到管理器的控制;
实现多个扫描过程的调度,保证迅速准确地完成扫描检测,减少资源占用;
有准确、清晰的扫描结果输出,便于分析和后续处理。
隐患扫描系统的组成(2)
结果分析和报表生成
目标网络中存在的安全性弱点的总结;
对目的网络系统的安全性进行详细描述,为用户确保网络安全提供依据;
向用户提供修补这些弱点的建议和可选择的措施;
能就用户系统安全策略的制定提供建议,以最大限度地帮助用户实现信息系统的安全。
安全扫描工具管理器
提供良好的用户界面,实现扫描管理和配置。
为什么要需要入侵检测系统
防火墙和操作系统加固技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的响应,不能提供足够的安全性。
入侵检测系统能使系统对入侵事件和过程做出实时响应。
入侵检测是防火墙的合理补充。
入侵检测是系统动态安全的核心技术之一。
系统动态安全模型
什么是入侵检测
定义
通过从计算机网络和系统的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定的措施。
三部分内容:
信息收集;
信息分析;
响应。
通用入侵检测系统模型
信息收集技术分类
根据收集的信息来源,IDS 可分为:
基于网络的实时入侵检测系统;
基于主机的实时入侵检测系统;
分布式的综合入侵检测技术。
信息收集技术比较
基于网络的实时入侵检测系统:
原始数据来源丰富,实时性、适应性、可扩展性方面具有其独特的优势;
容易受到基于网络的拒绝服务等恶意攻击,在高层信息的获取上更为困难。
基于主机的实时入侵检测系统:
能获取高层信息,理解动作的含义;
环境适应性、可移植性方面问题较多。
通过分析应用的日志文件检测攻击
通过分析应用的日志文件检测攻击。
信息分析技术
可分为两大类
基于误用 (Anomaly-based) 的分析方法
试图在网络或主机的数据流中发现已知的攻击模式(pattern);
可以直接识别攻击过程,误报率低;
只能检测已知的攻击,对新的攻击模式无能为力,需要不断地更新模式库(Pattern Database);
状态分析、模式匹配、一致性分析。
基于异常 (Misuse-based) 的分析方法
首先统计和规范网络和用户的正常行为模式 (Activity Profile),当网络和用户的行为模式偏离了其正常行为模式时,就认为是异常;
行为异常通常意味着某种攻击行为的发生;
能够检测出新出现的攻击模式;
对正常行为模式的描述比较困难、误报率高;
统计分析。
主要信息分析技术
模式匹配
是当前应用中最基本、最有效的检测方法;
以攻击行为数据流中的特征字符串作为检测的关键字,其攻击行为模式数据库中记录各种攻击行为的特征串;
检查数据流中是否有与模式数据库中特征串相匹配的内容,的每种攻击行为产生中,一般都有特定的;
不需保存状态信息,速度快,但只能检测过程较简单的攻击。
状态分析
将攻击行为的过程以状态转移图的形式记录在模式数据库中,状态转移的条件是网络或系统中的一些特征事件;
检测软件记录所有可能攻击行为的状态,并从数据流中提取特征事件进行状态转移,当转移到达某个特定状态时,就被认为是检测到了一次攻击行为;
用于检测过程较复杂的攻击过程(如分布式攻击)。
主要信息分析技术
统计分析
基于异常的检测方式;
通过统计方式总结系统的正常行为模式;
利用若干统计变量来刻画当前系统的状态,通过统计变量与正常行为模式的偏差来检测可能的入侵行为。
应用数据挖掘技术
使用一定的数据挖掘算法进行挖掘,推导出系统的正常行为模式和入侵的行为模式;
需要提出一种真正自适应的、无须预标识的数据挖掘的方式。
主要信息分析技术
预测模式生成技术
试图基于已经发生的事件来预测未来事件,如果一个与预测统计概率偏差较大的事件发生,则被标志为攻击。比如规则:E1—>E2—>(E3=80%,E4=15%,E5=5%),即假定事件E1和E2已经发生,E3随后发生的概率是80%,E4随后发生的概率是15%,E5随后发生的概率是5%,若E1、E2发生了,接着E3发生,则为正常的概率很大,若E5发生,则为异常的概率很大,若E3、E4、E5都没有发生,而是发生了模式中没有描述到的E5,则可以认为发生了攻击。预测模式生成技术的问题在于未被这些规则描述的入侵脚本将不会被标志为入侵。此类系统较容易发现在系统学习期间试图训练系统的用户。
分布式入侵检测
针对分布式攻击的入侵检测技术。
入侵检测系统采用分布式计算技术。
主要难点:
各部件间的协作;
安全攻击的相关性分析。
公共入侵检测框架CIDF
由DARPA(美国国防部高级研究计划局)于1997年3月提出的。
目的:
IDS构件共享;
数据共享;
完善互用性标准并建立一套开发接口和支持工具。
主要是通过定义数据格式和数据交换接口来实现其目标的。
CIDF的框架
入侵监测系统的设计要求
健壮性。
可配置性。
可扩展性。
可升级性。
自适应性。
全局分析。
有效性。
虚拟专用网VPN
采用加密和认证技术,利用公共通信网络设施的一部分来发送专用信息,为相互通信的节点建立起的一个相对封闭的、逻辑上的专用网络。
通常用于大型组织跨地域的各个机构之间的联网信息交换,或是流动工作人员与总部之间的通信。
只允许特定利益集团内可以建立对等连接,保证在网络中传输的数据的保密性和安全性。
目标是在不安全的公共网络上建立一个安全的专用通信网络。
虚拟专用网VPN的好处
实现了网络安全。
简化网络设计和管理。
降低成本。
容易扩展,适应性强。
可随意与合作伙伴联网。
完全控制主动权。
支持新兴应用。
IP VPN 的基本信息处理过程
内部网主机发送明文信息到连接公共网络的 VPN 设备。
VPN设备根据网络管理员设置的规则,确定是否需要对数据进行加密或让数据直接通过。
对需要加密的数据,VPN设备在网络IP层对整个IP数据包进行加密和附上数字签名。
VPN设备重新封装加密后数据(加上新的数据报头,包括目的地VPN设备所需的安全信息和一些初始化参数),然后将其通过虚拟通道在公共网络上传输。
当数据包到达目标VPN设备时,数据包被解除封装,数字签名被核对无误后数据包被解密还原。
IP VPN 的基本信息处理过程
VPN的主要技术
隧道技术(Tunneling)。
加解密技术(Encryption & Decryption)。
密钥管理技术(Key Management)。
使用者与设备身份鉴别技术(Authentication)
隧道技术
利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。
涉及了三种网络协议:
网络隧道协议;
隧道协议下面的承载协议;
隧道协议所承载的被承载协议。
有两种类型的隧道协议:
二层隧道协议:如L2F、PPTP、L2TP等;
三层隧道协议:如GRE协议、IPsec协议等。
隧道的基本组成
一个隧道的基本组成:
(1)一个路由网络(Internet);
(2)一个隧道终结器;
(3)一个隧道启动器。
点到点隧道协议(PPTP)
是由Microsoft和Ascend在PPP协议的基础上开发的。
隧道的加密认证协议使用专用验证协议PAP或通用交接验证协议CHAP(RFC1994)。
通过拨号连接的PPTP协议栈
PPTP协议的优越性
通过PPTP,远程用户可经由因特网访问企业的网络和应用,而不再需要直接拨号至企业的网络。
PPTP在IP网络中支持非IP协议,PPTP隧道将IP、IPX、AppleTalk等协议封装在IP包中,使用户能够运行基于特定网络协议的应用程序。
其隧道机制采用现有的安全检测和鉴别策络,还允许管理员和用户对现有数据进行加密,使数据更安全。
提供了灵活的地址管理。
第二层隧道协议(L2TP)
综合了PPTP和L2F两者的特点:
隧道控制沿用了PPTP的协议;
认证过程沿袭了L2F协议;
模块化采用了独立的L2TP报头。
L2TP利用控制报文进行隧道维护,使用UDP/PPP通过隧道来传输数据报文。
PPTP与L2TP的比较
PPTP是主动隧道模式
拨号用户有权在初始PPP协商之后选择PPTP隧道的目的端。其隧道对于ISP来说是透明的,ISP不需保留PPTP服务器地址,只需象传送其他IP数据一样传送PPTP数据。
PPTP的模型是一个单独的端用户,所建立的VPN结构是端到端隧道(由客户端到PPTP服务器)。
L2TP是被动隧道模式
ISP控制PPP会话的终节点。这在用户需要通过ISP拨入到ICP时很有作用。
L2TP的模型是有大量已配置的用户,使得VPN很像普通的拨号访问系统。其隧道始于NAS,止于L2TP服务器。
通用路由封装GRE协议
GRE隧道建立于源路由器和目的路由器之间。
封装形式(IP环境)。
隧道必须手工配置,每次隧道终点改变,都需要重新配置。
GRE 只提供了数据包的封装,它并没有加密功能 ,在实际环境中它常和IPsec在一起使用。
PPTP与IPSec的比较
在安全性方面
PPTP工作在第二层,可以发送IP之外的数据包,比如IPX或NetBEUI数据包;
IPSec在第三层运行 ,只能提供IP包的隧道传输;
从加密强度和数据集成方面来说,IPSec一般被认为要优于PPTP;
PPTP 无鉴别功能。
安装和维护方面
从简单性的角度看,PPTP在安装部署和维护上要容易些。
密钥管理技术
SKIP(Simple Key Management for IP)
SKIP是由SUN公司开发的一种技术,主要是利用Diffie-Hellmail算法。
IPsec中的ISAKMP/Oakley
密钥管理系统同鉴别和安全功能是松散耦合。
身份鉴别技术
使用者身份鉴别
通常采用远程身份验证拨入用户服务 RADIUS。
设备身份鉴别
证书(Certificate)。
VPN业务分类
拨号VPN(Access VPN )
企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。
专线VPN
内部网VPN(Intranet VPN)
连接企业总部、远程办事处和分支机构。
外联网VPN(Extranet VPN)
将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。