防火牆
防火牆的安全規則:
防火牆的規則處理方式
Accept:允許數據包或信息通過
Reject:拒絕數據包或信息通過,並且通知信息源該信息被禁止
Drop:直接將數據包或信息丟棄,並且不通知信息源
防火牆預設規則:
默認拒絕:指一切未被允許的就是禁止的;其安全規則處理方式一般為Accept;
默認允許:指一切未被禁止的就是允許的;其安全規則的處理方式一般為Rejectak Drop。
防火牆的功能:
防火牆的訪問控制內容
服務控制:決定哪些內部或外部的服務可以被訪問
方向控制:決定內部或外部的服務請求哪個可以被發起並通過防火牆
用戶控制:決定哪些用戶可以訪問特定服務
行為控制:決定哪些具體的服務內容是否符合安全策略
防火牆的功能:
防火牆設立了單一阻塞點,可以使未授權用戶無法進入網絡
防火牆提供了一個監控安全事件的地點
防火牆可以提供地址轉換及網絡管理功能
防火牆可以作為IPSec的平台,可以用來實現虛擬專用網絡
防火牆的局限性
防火牆不能防禦繞過它的攻擊
防火牆不能消除來自內部的威脅
防火牆不能防止病毒感染過和程序和文件進出網絡
防火牆的分類
包過濾防火牆
當防火牆在網絡層實現信息過濾與控制時,主要針對TCP/IP協議中的IP數據包頭部制定規則的匹配條件實施過濾。
IP源地址:IP數據包的發送主機地址
IP目的地址:IP數據包的接收主機地址
協議:IP數據包封裝的協議類型,包括TCP、UDP或ICMP包等
當防火牆工作在傳輸層,則可以處理傳輸層協議,如TCP或UDP。
源埠:發送TCP或UDP數據包應用程式的綁定埠
目的埠:接收TCP或UDP數據包應用程式的綁定埠
ACK碼字:TCP協議的狀態標誌位,標記IP數據報是第一個還是後續的
對埠運算包括「=」「>」「<」等。如:目的埠=21
應用層防火牆:也稱之為代理伺服器。
將所有跨越防火牆的網絡通信鏈路分為兩段
內外網用戶的訪問都是通過代理伺服器上的「連結」來實現
優點:在應用層對數據進行檢查,比較安全
缺點:增加防火牆的負載
現實生產環境中所使用的防火牆一般都是二者合體,即先檢查網絡數據,通過之後再送到應用層去檢查
電路層網關防火牆
防火牆的體系結構
雙重宿主主機體系結構
以一台雙重宿主主機作為防火牆系統的主體,執行分離外部網絡與內部網絡的任務。
特點:該計算機至少有兩個網絡接口,這樣的主機可以充當與這些接口相連的網絡之間的路由器
它能夠從一個網絡到另一個網絡發送IP數據包,實現雙重宿主主機的防火牆體系結構禁止這種發送功能。
IP數據包從一個網絡(例如外部網)並不是直接發送到其它網絡(例如內部的被保護的網絡)。
防火牆內部的系統能與雙重宿主主機通信,同時防火牆外部的系統能與雙重宿主主機通信,但是這些系統不能直接互相通信,它們之間的IP通信被完全阻止。
屏蔽主機體系結構
由包過濾路由器和堡壘主機構成防火牆。
在這種體系結構中,主要的安全由數據包過濾提供(例如,數據包過濾用於防止人們繞過代理伺服器直接相連)。
在屏蔽的路由器上的數據包過濾是按這樣一種方法設置的:即堡壘主機是數據包過濾也允許堡壘主機開放可允許的連接(什麼是「可允許」將由用戶的站點的安全策略決定)到外部世界。
堡壘主機需要擁有高等級的安全:
1)允許其它的內部主機為了某些服務與Internet上的主機連接(即允許那些已經由數據包過濾的服務)。
2)不允許來自內部主機的所有連接(強迫那些主機經由堡壘主機使用代理服務)。
多數情況下,被屏蔽的主機體系結構提供比雙重宿主主機體系結構具有更好的安全性和可用性。
堡壘主機(BastionHost):堡壘主機是指可能直接睦對外部用戶攻擊的主板系統。在防火牆體系結構中,特指那些處於內部網絡的邊緣,並且暴露於外部網絡用戶面前的主機系統。一般來說,堡壘主機上提供的服務越少越好,因為每增加一種服務就增加了被攻擊的可能性。
屏蔽子網體系結構
採用了兩個包過濾路由器和一個堡壘主機,在內外網絡之間建立一個被隔離的子網。
這種結構安全性高,但結構複雜,成本也相對較高
(1)周邊網絡(DMZ非軍事區)
用邊網絡是位於非安全、不可信的外部網絡與安全、可信的內部網絡之間的一個附加網絡。周邊網絡與外部網絡、周邊網絡與內部網絡之間都是通過屏蔽路由器實現邏輯隔離的,因此外部用戶必須穿越兩道屏蔽路由器才能訪問內部網絡。
(2)外部路由器
外部路由器的主要作用在於保護周邊網絡和內部網絡,是屏蔽子網體系結構的第一道屏障。在其上設置了對周邊網絡和內部網絡進行訪問的過濾規則,該規則主要針對外網用戶。例如限制外網用戶僅能訪問周邊網絡而不能訪問內部網絡,或者僅能訪問內部網絡中的部分主機。
(3)內部路由器
內部路由器用於隔離周邊網絡和內部網絡,是屏蔽子網體系結構的第二道屏障。在其上設置了針對內部用戶的訪問過濾規劃,對內部用戶訪問周邊網絡和外部網絡進行限制。例如部分內部網絡用戶只能訪問周邊網絡而不能訪問外部網絡等。
(4)堡壘主機
在被屏蔽子網結構中,堡壘主機位於周邊網絡,可以內外部用戶提供www、FTP等服務,接受來自外部網絡用戶的服務資源訪問請求。同時堡壘主機也可以向內部網絡用戶提供DNS 、電子郵件、www代理、FTP代理等多種服務,提供內部網絡用戶訪問外部資源的接口。
屏蔽子網防火牆能夠幫助建立一個非防護區,這種類型防火牆利用堡壘主機夾在兩個路由器中間是最安全的防火牆系統。
練習:
防火牆作為一種被廣泛使用的網絡安全防禦技術,其自身有一些限制,安不能阻止()。
A. 內部威脅和病毒威脅
B. 外部攻擊
C. 外部攻擊、外部威脅和病毒威脅
D. 外部攻擊和外部威脅
答案:A。
包過濾技術防火牆在過濾數據包時,一般不關心()。
A. 數據包的源地址
B. 數據包的協議類型
C. 數據包的目的地址
D. 數據包的內容
答案:D。檢查數據包頭信息,但不關心內包內容。
以下不屬於防火牆的體系結構的是()。
A. 雙重宿主主機體系結構
B. 被屏蔽主機體系結構
C. 堡壘主機
D. 被屏蔽子網體系結構
答案:C。
關於屏蔽子網防火牆,下列說法錯誤的是()。
A. 屏蔽子網防火牆是幾種防火牆類型中最安全的
B. 屏蔽子網防火牆既支持應用級網關也支持電路級網關
C. 內部網對於Internet來說是不可見的
D. 內部用戶可以不通過DMZ直接訪問Internet
入侵檢測系統IDS與入侵防護系統IPS
入侵檢測與防護技術
入侵檢測系統(IDS),注重的是網絡安全狀況的監管。
入侵防護系統(IPS),傾向於提供主動防護,注重對入侵行為的控制。
入侵檢測P2DR模型
動態安全模型
P2DR模型是在整體的安全策略的控制和指導下,綜全應用防護工具的同時,利用檢測工具了解和評估系統的安全狀態,通過適當的響應將系統調整到「最安全」和「風險最低」的狀態。
|
類型 |
區別 |
|
基於主機型 |
最早期的入侵檢測系統結構,檢測的目標主要是主機系統和系統本地用戶。 檢測原理:根據主機的審計數據和系統的日誌發現可疑事件,檢測系統可以運行在被檢測的主機或單獨的主機上。 弱點:易受攻擊,入侵者可通過使用某些系統特權或調用比審計本身更低級的操作來逃避審計。不能通過分析主機的審計記錄來檢測網絡攻擊(域名欺騙、埠掃描) |
|
基於網絡型 |
一定程度上可以克服基於主機型的弱點。 檢測原理:根據網絡流量、協議分析、簡單網絡管理協議信息等數據檢測系統。 |
|
基於主體型 |
檢測原理:採用相互獨立運行的進程組(稱為自治主體)分別負責檢測,通過訓練這些主體,並觀察系統行為,然後將這些主體認為是異常的行為標記出來,並將檢測結果傳送到檢測中心。 |
入侵檢測原理
入侵檢測系統(IDS)的構成:
信息採集部件,用於採信原始信息的部件。
入侵分析部件,是入侵檢測系統的核心部件。
入侵響應部件,是入侵檢測系統的功能性部件。
練習:
通過分析主機的審計記錄來檢測網絡攻擊的是()。
A.基於主機的入侵檢測系統 B.基於網絡的入侵檢測系統
C.基於主體的入侵檢測系統 D.基於應用的入侵檢測系統
答案:A。
P2DR模型不包括()。
A.防護 B.檢測
C.響應 D.預警
答案:D。
入侵檢測系統放置在防火牆內部所帶來的好處是()。
A. 減少對防火牆的攻擊
B. 降低入侵檢測系統的誤報率
C. 增加對低層次攻擊的檢測
D. 增加檢測能力和檢測範圍
答案:B。