网络安全入侵步骤(网络安全---防火墙与入侵防御)

防火墙

防火墙的安全规则:

防火墙的规则处理方式

Accept:允许数据包或信息通过

Reject:拒绝数据包或信息通过,并且通知信息源该信息被禁止

Drop:直接将数据包或信息丢弃,并且不通知信息源

防火墙缺省规则:

默认拒绝:指一切未被允许的就是禁止的;其安全规则处理方式一般为Accept;

默认允许:指一切未被禁止的就是允许的;其安全规则的处理方式一般为Rejectak Drop。

防火墙的功能:

防火墙的访问控制内容

服务控制:决定哪些内部或外部的服务可以被访问

方向控制:决定内部或外部的服务请求哪个可以被发起并通过防火墙

用户控制:决定哪些用户可以访问特定服务

行为控制:决定哪些具体的服务内容是否符合安全策略

防火墙的功能:

防火墙设立了单一阻塞点,可以使未授权用户无法进入网络

防火墙提供了一个监控安全事件的地点

防火墙可以提供地址转换及网络管理功能

防火墙可以作为IPSec的平台,可以用来实现虚拟专用网络

防火墙的局限性

防火墙不能防御绕过它的攻击

防火墙不能消除来自内部的威胁

防火墙不能防止病毒感染过和程序和文件进出网络

防火墙的分类

包过滤防火墙

当防火墙在网络层实现信息过滤与控制时,主要针对TCP/IP协议中的IP数据包头部制定规则的匹配条件实施过滤。

IP源地址:IP数据包的发送主机地址

IP目的地址:IP数据包的接收主机地址

协议:IP数据包封装的协议类型,包括TCP、UDP或ICMP包等

当防火墙工作在传输层,则可以处理传输层协议,如TCP或UDP。

源端口:发送TCP或UDP数据包应用程序的绑定端口

目的端口:接收TCP或UDP数据包应用程序的绑定端口

ACK码字:TCP协议的状态标志位,标记IP数据报是第一个还是后续的

对端口运算包括“=”“>”“<”等。如:目的端口=21

应用层防火墙:也称之为代理服务器。

网络安全入侵步骤(网络安全---防火墙与入侵防御)(1)

将所有跨越防火墙的网络通信链路分为两段

内外网用户的访问都是通过代理服务器上的“链接”来实现

优点:在应用层对数据进行检查,比较安全

缺点:增加防火墙的负载

现实生产环境中所使用的防火墙一般都是二者合体,即先检查网络数据,通过之后再送到应用层去检查

电路层网关防火墙

网络安全入侵步骤(网络安全---防火墙与入侵防御)(2)

防火墙的体系结构

双重宿主主机体系结构

以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。

网络安全入侵步骤(网络安全---防火墙与入侵防御)(3)

特点:该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器

它能够从一个网络到另一个网络发送IP数据包,实现双重宿主主机的防火墙体系结构禁止这种发送功能。

IP数据包从一个网络(例如外部网)并不是直接发送到其它网络(例如内部的被保护的网络)。

防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统能与双重宿主主机通信,但是这些系统不能直接互相通信,它们之间的IP通信被完全阻止。

屏蔽主机体系结构

由包过滤路由器和堡垒主机构成防火墙。

网络安全入侵步骤(网络安全---防火墙与入侵防御)(4)

在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。

在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:即堡垒主机是数据包过滤也允许堡垒主机开放可允许的连接(什么是“可允许”将由用户的站点的安全策略决定)到外部世界。

堡垒主机需要拥有高等级的安全:

1)允许其它的内部主机为了某些服务与Internet上的主机连接(即允许那些已经由数据包过滤的服务)。

2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。

多数情况下,被屏蔽的主机体系结构提供比双重宿主主机体系结构具有更好的安全性和可用性。

堡垒主机(BastionHost):堡垒主机是指可能直接睦对外部用户攻击的主板系统。在防火墙体系结构中,特指那些处于内部网络的边缘,并且暴露于外部网络用户面前的主机系统。一般来说,堡垒主机上提供的服务越少越好,因为每增加一种服务就增加了被攻击的可能性。

屏蔽子网体系结构

采用了两个包过滤路由器和一个堡垒主机,在内外网络之间建立一个被隔离的子网。

这种结构安全性高,但结构复杂,成本也相对较高

网络安全入侵步骤(网络安全---防火墙与入侵防御)(5)

(1)周边网络(DMZ非军事区)

用边网络是位于非安全、不可信的外部网络与安全、可信的内部网络之间的一个附加网络。周边网络与外部网络、周边网络与内部网络之间都是通过屏蔽路由器实现逻辑隔离的,因此外部用户必须穿越两道屏蔽路由器才能访问内部网络。

(2)外部路由器

外部路由器的主要作用在于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则,该规则主要针对外网用户。例如限制外网用户仅能访问周边网络而不能访问内部网络,或者仅能访问内部网络中的部分主机。

(3)内部路由器

内部路由器用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规划,对内部用户访问周边网络和外部网络进行限制。例如部分内部网络用户只能访问周边网络而不能访问外部网络等。

(4)堡垒主机

在被屏蔽子网结构中,堡垒主机位于周边网络,可以内外部用户提供www、FTP等服务,接受来自外部网络用户的服务资源访问请求。同时堡垒主机也可以向内部网络用户提供DNS 、电子邮件、www代理、FTP代理等多种服务,提供内部网络用户访问外部资源的接口。

屏蔽子网防火墙能够帮助建立一个非防护区,这种类型防火墙利用堡垒主机夹在两个路由器中间是最安全的防火墙系统。

练习:

防火墙作为一种被广泛使用的网络安全防御技术,其自身有一些限制,安不能阻止()。

A. 内部威胁和病毒威胁

B. 外部攻击

C. 外部攻击、外部威胁和病毒威胁

D. 外部攻击和外部威胁

答案:A。

包过滤技术防火墙在过滤数据包时,一般不关心()。

A. 数据包的源地址

B. 数据包的协议类型

C. 数据包的目的地址

D. 数据包的内容

答案:D。检查数据包头信息,但不关心内包内容。

以下不属于防火墙的体系结构的是()。

A. 双重宿主主机体系结构

B. 被屏蔽主机体系结构

C. 堡垒主机

D. 被屏蔽子网体系结构

答案:C。

关于屏蔽子网防火墙,下列说法错误的是()。

A. 屏蔽子网防火墙是几种防火墙类型中最安全的

B. 屏蔽子网防火墙既支持应用级网关也支持电路级网关

C. 内部网对于Internet来说是不可见的

D. 内部用户可以不通过DMZ直接访问Internet

入侵检测系统IDS与入侵防护系统IPS

网络安全入侵步骤(网络安全---防火墙与入侵防御)(6)

网络安全入侵步骤(网络安全---防火墙与入侵防御)(7)

入侵检测与防护技术

入侵检测系统(IDS),注重的是网络安全状况的监管。

入侵防护系统(IPS),倾向于提供主动防护,注重对入侵行为的控制。

入侵检测P2DR模型

网络安全入侵步骤(网络安全---防火墙与入侵防御)(8)

动态安全模型

P2DR模型是在整体的安全策略的控制和指导下,综全应用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的响应将系统调整到“最安全”和“风险最低”的状态。

类型

区别

基于主机型

最早期的入侵检测系统结构,检测的目标主要是主机系统和系统本地用户。

检测原理:根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上。

弱点:易受攻击,入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。不能通过分析主机的审计记录来检测网络攻击(域名欺骗、端口扫描)

基于网络型

一定程度上可以克服基于主机型的弱点。

检测原理:根据网络流量、协议分析、简单网络管理协议信息等数据检测系统。

基于主体型

检测原理:采用相互独立运行的进程组(称为自治主体)分别负责检测,通过训练这些主体,并观察系统行为,然后将这些主体认为是异常的行为标记出来,并将检测结果传送到检测中心。

入侵检测原理

网络安全入侵步骤(网络安全---防火墙与入侵防御)(9)

入侵检测系统(IDS)的构成:

信息采集部件,用于采信原始信息的部件。

入侵分析部件,是入侵检测系统的核心部件。

入侵响应部件,是入侵检测系统的功能性部件。

练习:

通过分析主机的审计记录来检测网络攻击的是()。

A.基于主机的入侵检测系统 B.基于网络的入侵检测系统

C.基于主体的入侵检测系统 D.基于应用的入侵检测系统

答案:A。

P2DR模型不包括()。

A.防护 B.检测

C.响应 D.预警

答案:D。

入侵检测系统放置在防火墙内部所带来的好处是()。

A. 减少对防火墙的攻击

B. 降低入侵检测系统的误报率

C. 增加对低层次攻击的检测

D. 增加检测能力和检测范围

答案:B。

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页