信息安全技术6-信息防御跟对抗(一)新

第六章信息防御与对抗（一）第六章信息防御与对抗（一）DepartmentofCognitiveScience,XiamenUniversity–1内容提要内容提要„信息防御技术基础实体安全技术„实体安全技术„防火墙技术„防火墙技术„入侵检测技术DepartmentofCognitiveScience,XiamenUniversity–2第节信息防御技术基础1网络安全事件分类模型第一节信息防御技术基础DepartmentofCognitiveScience,XiamenUniversity–3第一节信息防御技术基础1网络安全事件分类模型（1）时间：（1）时间：分类模型的第一维，目的在于正确的选择响应策略。按照响应的6阶段方法，在事件发生前应该进行准备工作，在事件进行中主要采取抑制措施，阻止攻击的延在事件发生前应该进行准备工作，在事件进行中主要采取抑制措施，阻止攻击的延续，限制潜在的威胁，尽最大可能减小系统损失；在事件发生之后，则应以系统恢复以及损失的评估等为主。复以及损失的评估等为主。（2）事件主体：模型第二维，从三个角度详细划分：模型第二维，从三个角度详细划分：‹事件源数量，分为单攻击源事件和多攻击源事件（如分布式拒绝服务攻击）；‹事件源位置，分为内部攻击（局域网范围内的攻击）和外部攻击；‹事件源位置，分为内部攻击（局域网范围内的攻击）和外部攻击；‹事件源的性质，也就是考察攻击者的性质，确定事件是由普通的恶作剧者发起的，还是由经济对手或者军方阻止发起的。DepartmentofCognitiveScience,XiamenUniversity–4是由济对手或者军方阻发起的第一节信息防御技术基础1网络安全事件分类模型（3）攻击技术：模型第三维对攻击技术的分类有利于在响应过程中采取有效的抑模型第三维，对攻击技术的分类，有利于在响应过程中采取有效的抑制措施。（4）安全漏洞：模型第四维这一维是整个分类模型的两个重点之一通过发现和分模型第四维，这维是整个分类模型的两个重点之。通过发现和分析导致安全事件发生的系统漏洞，可以有效的执行系统响应过程中根除阶段的措施封堵漏洞从而进一步提高系统防护能力段的措施，封堵漏洞，从而进一步提高系统防护能力。DepartmentofCognitiveScience,XiamenUniversity–5第一节信息防御技术基础1网络安全事件分类模型（5）事件目标：模型第五维，即使是同一种类型的攻击行为，如果攻击的目标不同，对应的响应措施也不同。比如受攻击的系统一个是DNS服务器，一个是普通个人电脑，严重性显然不同，响应自然不同。（6）事件结果：模型最后一维，这一维也是整个模型的重点，它的意义在于系统恢复。DepartmentofCognitiveScience,XiamenUniversity–6第二节实体安全技术第二节实体安全技术对系统本身及其外部设备场地环境和网络通讯线路的威胁和攻击对系统本身及其外部设备、场地环境和网络通讯线路的威胁和攻击‹在1985年，使用一台改装后的普通黑白电视机在1公里范围内，接受计算机终端辐射信息，在电视机上复原；‹80年代末，前苏联在西方国家采购了一批民用计算机，但被中央情报局安装了窃听器，前苏联检查发现8台计算机有30多个不同窃听器；‹1998年扬州发生了利用计算机盗取银行巨款案侦察人员发现储蓄‹1998年，扬州发生了利用计算机盗取银行巨款案，侦察人员发现储蓄所工作间有一个接线板，上有两个变压器，一个连接调制解调器，另个连接无绳电话另外还有无线接收板和套减速遥控杆等利用一个连接无绳电话，另外还有无线接收板和一套减速遥控杆等，利用电磁辐射远距离犯罪。DepartmentofCognitiveScience,XiamenUniversity–7第二节实体安全技术1安全环境基础要求‹场地组成按《计算机站场地技术要求》(GB288782)规定参考管理体制确按《计算机站场地技术要求》(GB2887-82)规定，参考管理体制确定其组成，通常完整信息系统场地，应包括主机房、基本工作间、辅助房间。原则：业务上相关联的房间应尽可能的组合在同一区域内，便于管理；配电设备间应尽量远离主机房；避免工作人员在房间内穿越，防止干扰；对外开放房间尽量远离工作间；以减少投资为目标组合房间。DepartmentofCognitiveScience,XiamenUniversity–8第二节实体安全技术1安全环境基础要求‹场地选择a)应远离交通拥挤、气体污染严重或尘埃很多的区域。为防止火灾、爆炸、气候和环境引起的损坏，机房不应设在锅炉房附近或其他有潜在危险的区域，同时要避开大的变压器或发电机等强电磁辐射源，机房最好不要利用建筑物最外层的房间。通常应从外部环境和内部环境两方面人手综合考虑地质条件要安全可靠环境的安b)通常，应从外部环境和内部环境两方面人手综合考虑：地质条件要安全可靠；环境的安全性易于控制；场地的自然抗干扰性强；区域独立易于实现；出入口控制方便可靠易行；防水、防火和防渗措施完备。防水防火和防渗措施完备c)在高层建筑设置计算机房及附属房间，应尽可能选择二至四层，有利于大、重型设备(空调器、电源)的安装；有利于计算机专用地线铺设；有利于防火；外界振动对设备影响相对较小。在风力较大地区，机房不能设在高层，在潮湿地区机房应绝对避免设在底层，在低楼层选机房，应尽可能选择从其他建筑物不易观察的房间，或增加专门的防护措施。DepartmentofCognitiveScience,XiamenUniversity–9第二节实体安全技术温度影响1安全环境基础要求‹温度影响a)温度过高，会使印制电路板、插座金属簧片的腐蚀过程加速，接触电流增大，性能变坏，可靠性变差。b)温度过低，会使绝缘材料变硬，设备结构强度减弱，不同的收缩系数将导致插座接触不良；转动部分会因润滑油受冷凝结，粘度增大出现粘滞现象。现象c)温度对电容的影响主要是使其寿命缩短，超过工作温度时，温度每增加10度使用时间下降50％温度过低会导致电容完全失效10度，使用时间下降50％，温度过低会导致电容完全失效。d)磁性存储介质温度过高，磁介质的导磁率下降，甚至失去磁性。因此DepartmentofCognitiveScience,XiamenUniversity–10，数据流带、磁盘不宜在高温环境工作，否则易出现数据错误。第二节实体安全技术1安全环境基础要求由《计算机战场地技术要求》，机房环境温度要求：A级B级C级夏季冬季由《计算机战场地技术要求》，机房环境温度要求：夏季冬季开机时23±2度20±2度15-30度10-35度停机时5-35度5-35度10-40度DepartmentofCognitiveScience,XiamenUniversity–11第二节实体安全技术湿度影响1安全环境基础要求‹湿度影响a)高湿度对计算机的危害。湿度过高会引起芯片脚和一些机械设备锈蚀，造成接触不良或短路等故障;b)低湿度环境中很容易产生静电。由《计算机战场地技术要求》，机房环境湿度要求：A级B级C级开机时4565%4070%3080%由计算机战场技术要求机房环境度要求开机时45-65%40-70%30-80%停机时45-70%20-80%8-80%DepartmentofCognitiveScience,XiamenUniversity–12第二节实体安全技术1安全环境基础要求‹洁净度影响a)定义：空气中所含尘埃数量，空气中含有有害气体的量也是洁净度指标。b)大量灰尘进入计算机吸附在集成电路元器件上，使其散热能力降低，灰尘吸潮使设备绝缘性降低，甚至出现短路或元器件腐蚀现象。c)计算机房的灰尘：机房工作人员出入的灰尘；机房门窗密封不严，由缝隙渗入的灰尘；机房墙壁、地面、天棚、涂层等引起的灰尘；计算机外设工作时产生的尘屑。d)降低环境含尘量：采用双层窗户密封机房；在机房外，设一缓冲间，铺设吸尘地毯；工作人员出入机房更换拖鞋、服装；机房装修不用易起尘的建筑材料；严格执行清洁卫生制度。DepartmentofCognitiveScience,XiamenUniversity–13第二节实体安全技术1安全环境基础要求由《计算机战场地技术要求》，机房尘埃等级：由《计算机战场地技术要求》，机房尘埃等级：A级B级C级级级级粒度直径大约等于0.5个数<3500粒/1<10000粒<18000粒/1个数<3500粒/1<10000粒/1<18000粒/1DepartmentofCognitiveScience,XiamenUniversity–14第二节实体安全技术1安全环境基础要求‹电磁场影响)两种电磁需要严格限制一是外界电磁干扰源对计算机系统正常工作a)两种电磁需要严格限制：一是外界电磁干扰源对计算机系统正常工作的干扰；二是计算机信息系统工作时产生的电磁波对自身安全造成的危害危害。b)最易受电磁干扰影响的计算机硬件有：A/D和D/A转换器、磁盘读写放大器、存储器等；c)电磁波侵入计算机系统可影响集成块、信号传输线、元器件的正常工作，进入磁盘、磁带等磁介质及打印、显示设备，会使数据的存取与显示发生紊乱，电磁场干扰系统任一部位会危及整个系统的安全。DepartmentofCognitiveScience,XiamenUniversity–15显示发生紊乱，电磁场干扰系统任部位会危及整个系统的安全。第二节实体安全技术（1）设备的安全2计算环境安全技术（1）设备的安全‡电源保护的安全基本供电要求①三相四线制，单相额定电压为220V，三相额定电压为380V。②电源保护装置③采用稳压变压器(VRT)、不间断电源(UPS)或备用发电机组。‡计算机信息系统的防盗保护①安全保护设备：有源、无源红外报警器和微波报警器等。是否安装报警系统，安装什么样的报警系统根据系统安全等级及信息与设备的重要性来确定的报警系统，根据系统安全等级及信息与设备的重要性来确定。②防盗技术：计算机系统和外部设备，都应做上无法去除的标识，被盗后方便查找赃物，也可防止有人更换部件；使用防盗接线板，一旦拔电源插头，就会报警；利用火灾报警系统，可防止有人更换部件；使用防盗接线板，旦拔电源插头，就会报警；利用火灾报警系统，增加防盗报警功能；并对计算机中心的各部位进行监视保护等。③设备部件的操作与维护：给机器留出足够的散热空间，以便机器正常运行。保证设备和线DepartmentofCognitiveScience,XiamenUniversity–16路相互之间互不干扰，相互兼容。存储介质应存放在防电磁的铁皮柜内。第二节实体安全技术（2）静电保护2计算环境安全技术（2）静电保护‡来源①人员走动时与地板摩擦产生静电；②办公设备在使用时会产生静电；③所穿的服装相互摩擦产生静电；④某些机器在运行中会产生静电④某些机器在运行中会产生静电；⑤机房湿度过低会使静电增力。‡危害：大量积生的静电荷则能严重损坏磁媒介上所存储的数据。产生静电后的危害大量积的静电荷则能严重损坏磁媒介所存储的数据产静电后的磁带或磁盘读写头极易吸附尘埃杂质，从而导致元件的早期损坏。如一个穿塑料底鞋的人在人造纤维地毯上走，每走一步在鞋底上留下负电荷，在地毯上留下正电荷，平均产生12KV电压，有时高达20~25KV，但不会超过40KV。当人体接触金属时将引起静电放电。当静电电压为15KV时，放电电流峰值可达7．5A，由于积蓄能量小，放电时间很短目前大规模集成芯片不能承受如果静电超过会引起磁盘设备故障DepartmentofCognitiveScience,XiamenUniversity–17放电时间很短，目前大规模集成芯片不能承受。如果静电超过2KV会引起磁盘设备故障。第二节实体安全技术（2）静电保护2计算环境安全技术（2）静电保护‡防护机房和场地要求有一个良好的接地系统。接地的种类有直流地即逻辑机房和场地要求有个良好的接地系统。接地的种类有直流地即逻辑地、交流工作地、安全保护地、防雷保护地。①电流的零线就是交流的工作地线，另设一条作为保护地线，在机房外接到①流的零线就是交流的作线另设条作为保护线在机房外接到同一条接地线上。其接地电阻要求在4欧姆以下。②若单独建设，应设防雷保护地，其接地极要与安全保护地线的地极相距5米以上。③设置信息系统直流地，即逻辑地。不同的系统，直流地线的处理方法不一样。两种处理方式，一是直流地不与大地相接，简称为“直流悬空”；一种与大地相接，简称为直流接地，此时接地电阻要求小于4欧姆。DepartmentofCognitiveScience,XiamenUniversity–18第二节实体安全技术（3）防雷保护2计算环境安全技术（3）防雷保护‡危害信息网络安全的电磁场干扰源种类：雷电电磁脉冲LEMP、电网操作过电压SEMP静电放电ESD最重要的电磁场干扰源作过电压SEMP、静电放电ESD，最重要的电磁场干扰源。‡计算机信息系统雷害机理①电源馈线侵入②信息传输通道线侵入③地电位反击‡计算机信息系统的防雷方法①通信接口防雷保安器②电源防雷保安器：强、多、中、小雷区DepartmentofCognitiveScience,XiamenUniversity–19第二节实体安全技术（4）电磁泄漏保护2计算环境安全技术（4）电磁泄漏保护‡TEMPEST技术：对于电磁泄漏发射信号中所携带的敏感信息进行分析、测试、接收、还原的一系列技术构成信息安全保密技术的一个专门研究领域。‡研究目的：紧密跟踪信息设备应用现状，针对网络环境下设备工作特点，整体安全保密性能，合理解决过防护与欠防护的矛盾，提出符合实际需要的测试方法。二十世纪八十年代初期，“计算机与安全”杂志发表了PeterSmulders关于对RS-232线缆进行窃收的 论文 政研论文下载论文大学下载论文大学下载关于长拳的论文浙大论文封面下载 ，利用调频收音机可以在距RS232缆线7、8米远接收线上传输的数据。这些研究成果标志着对信息设备的通信线和电源线的电磁泄漏发射的研究有了重大进步，发展到对处理涉密信息的网络的防护。DepartmentofCognitiveScience,XiamenUniversity–20美国是最早提出TEMPEST标准的国家，英国、德国、法国、俄罗斯等国家均有。加拿大的CID/09/12A、CID/09/7A；澳大利亚的ACSI71和北约的AMSG720B、788和784。第二节实体安全技术（4）电磁泄漏保护2计算环境安全技术（4）电磁泄漏保护•我国的发展状况从八十年代中期开始进行TEMPEST技术的研究。航天706所、电子部15所、四所、五所、三十三所、清华大学、北方交通大学、西安电子科大、北京邮电大学等。二十年来，国家保密局在TEMPEST技术领域持续投入了一定的人力、财力，先后组织并实施了一批科研项目，至今已取得一系列研究成果。近五年，国家863 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 ，国家发改委信息安全产业化项目、国家重大攻关计划、国家自然科学基金和科技部中小企业创新基金等都以不同形式加大对TEMPEST技术研究、标准制订、设备研制、产品推广和产业化推动的资金投入，累计直接资金投入超过亿元。DepartmentofCognitiveScience,XiamenUniversity–21第二节实体安全技术（4）电磁泄漏保护2计算环境安全技术（4）电磁泄漏保护DepartmentofCognitiveScience,XiamenUniversity–22第二节实体安全技术2计算环境安全技术（4）电磁泄漏保护‡屏蔽法（空域法）：采用各种屏蔽材料和结构，完善和合理的将辐射干扰电磁场和接收器隔离开，使干扰磁场在达到接收器时强度降到最低；‡频域控制：利用系统频率特性将需要的频率成分加以接受，并将干扰的频率加以提出；滤波、调频等；的频率加以提出；滤波、调频等；‡时域防护控制：当干扰强不受抑制但只在一定时域内存在时可‡时域防护控制：当干扰强，不受抑制，但只在定时域内存在时，可以采用时间回避法，信号的传输在时间上避开干扰的作用。DepartmentofCognitiveScience,XiamenUniversity–23第三节防火墙技术第三节防火墙技术基本概念1.基本概念2发展史2.发展史3.基本功能4.类型5.关键技术6.防火墙的安全性DepartmentofCognitiveScience,XiamenUniversity–24第三节防火墙技术1防火墙基本概念从建筑学来说防火墙必须用砖石材料钢筋混凝土等非可燃材料建造并从建筑学来说，防火墙必须用砖石材料、钢筋混凝土等非可燃材料建造，并且应直接砌筑在建筑物基础或钢筋混凝土的框架梁上用于防火。因特网防火墙是一组系统，能增强机构内部网络的安全性，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络可能是个单独的过滤网关（硬件）个单独可安装的过滤软网络间的访问控制防止外部用户非法使用内部网的资源保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。可能是：一个单独的过滤网关（硬件）；一个单独可安装的过滤软件，过滤IP地址；安装在一个单独的路由器中（硬件或软件部件）；安装在服务器和主机中（系统和网络安全保护作用），检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。DepartmentofCognitiveScience,XiamenUniversity–25第三节防火墙技术2防火墙发展历史从1991年6月ANS公司的第一个防火墙产品ANSInterlockService防火墙上市以来，到目前为止，世界上至少有几十家公司和研究所在从事防火墙技术的研究和产品开发。•第一阶段：基于路由器的防火墙；•第二阶段：用户化的防火墙工具套；•第三阶段：建立在通用操作系统上的防火墙；•第四阶段：具有安全操作系统的防火墙。第四阶段：具有安全操作系统的防火墙。DepartmentofCognitiveScience,XiamenUniversity–26第三节防火墙技术2防火墙发展历史•第一阶段：基于路由器的防火墙。利用路由器本身对数据分组的解析，以访问控制表的方式实现对分组的过滤。不足：路由 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 十分灵活，本身具有安全漏洞，外部网络要探寻内部网络很容易。最大隐患：攻击者可以“假冒”地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。DepartmentofCognitiveScience,XiamenUniversity–27第三节防火墙技术2防火墙发展历史•第二阶段：用户化的防火墙工具套。将过滤功能从路由器中独立出来，并加上审计和告警功能；针对用户需求，提供模块化的软件包；软件可通过网络发送，用户可自己动手构户需求，提供模块化的软件包；软件可通过网络发送，用户可自己动手构造防火墙。优点：与第一代防火墙相比安全性提高价格降低优点：与第代防火墙相比，安全性提高，价格降低。问题配置和维护过程复杂费时对用户的技术要求高全软件实现问题：配置和维护过程复杂、费时；对用户的技术要求高；全软件实现、安全性和处理速度均有局限；实践表明，使用中出现差错的情况很多。DepartmentofCognitiveScience,XiamenUniversity–28第三节防火墙技术•第三阶段建立在通用操作系统上的防火墙2防火墙发展历史•第三阶段：建立在通用操作系统上的防火墙批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤批量上市的专用防火墙产品；包括分组过滤或者借用路由器的分组过滤功能；装有专用的代理系统，监控所有协议的数据和指令；保护用户编程空间和用户可配置内核参数的设置。优点：安全性和速度大为提高。不足：基础操作系统及其内核往往不为防火墙管理者所知，安全性无从保证；从本质上看，第三代防火墙既要防止外网的攻击，还要防止操作系统厂商的攻击。DepartmentofCognitiveScience,XiamenUniversity–29第三节防火墙技术2防火墙发展历史•第四阶段：具有安全操作系统的防火墙防火墙厂商有操作系统的源代码，可实现安全内核；‡安全内核加固处理：去掉不必要的系统特性，加上内核特性，强化安全保护；对每个服务器、子系统作安全处理，有隔离功能；‡功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能；功能；‡透明性好，易于使用；网络诊断、数据备份与保全等方面具有特色。DepartmentofCognitiveScience,XiamenUniversity–30第三节防火墙技术3防火墙基本功能Internet类似一种过滤塞，对数据包接受或拒绝，是否允许访问网络。„RouterRouterRouterRouter基本功能：‡过滤进出网络的数据包，如IP地址过滤、Sec-Router‡过滤进出网络的数据包，如IP地址过滤、UDP端口过滤、ACK检查过滤等；‡管理进出网络的访问行为；内部网Firewall‡管理进出网络的访问行为；‡封堵某些禁止的访问行为；‡记录通过防火墙的信息内容和活动‡记录通过防火墙的信息内容和活动；‡对网络攻击进行检测和告警。DepartmentofCognitiveScience,XiamenUniversity–31第三节防火墙技术3防火墙基本功能理想的防火墙所有内络外络之间传输的数都过防火墙‡所有内部网络和外部网络之间传输的数据都必须通过防火墙；‡只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可通过防火墙；‡防火墙本身不受各种攻击影响‡防火墙本身不受各种攻击影响；‡使用目前新的信息安全技术，比如现代密码技术、一次口令系统、智能卡等；‡人机界面好用户配置使用方便易管理DepartmentofCognitiveScience,XiamenUniversity–32‡人机界面好，用户配置使用方便，易管理。第三节防火墙技术TTffillilttiffilliltti4防火墙类型„„TypesTypesoffirewallimplementations:offirewallimplementations:包过滤、双宿网关、屏蔽主机、屏蔽子网、合并外部包过滤、双宿网关、屏蔽主机、屏蔽子网、合并外部路由器和堡垒主机结构、合并内部路由器和堡垒主机结路由器和堡垒主机结构、合并内部路由器和堡垒主机结构双堡垒主机和双“非军事化区”结构等等构双堡垒主机和双“非军事化区”结构等等构、双堡垒主机和双非军事化区结构等等。构、双堡垒主机和双非军事化区结构等等。••包过滤型防火墙包过滤型防火墙包过滤型防火墙包过滤型防火墙••双宿网关防火墙双宿网关防火墙••屏蔽主机防火墙屏蔽主机防火墙••屏蔽子网防火墙屏蔽子网防火墙DepartmentofCognitiveScience,XiamenUniversity–33••屏蔽子网防火墙屏蔽子网防火墙第三节防火墙技术••包过滤型防火墙包过滤型防火墙4防火墙类型•最常见的防火墙•通常以路由器为基础，路由器决定“谁”和“什么”能访通常以路由器为基础，路由器决定谁和什么能访问网络。采用“包过滤技术”，即检查到达路由器的外部数包并作选的技术据包并作出选择的技术。DepartmentofCognitiveScience,XiamenUniversity–34包过滤型防火墙包过滤型防火墙第三节防火墙技术防火墙类型••包过滤型防火墙包过滤型防火墙4防火墙类型•IP过滤规则：源IP地址、掩码；目的IP地址、掩码；是否允许分片、是否允许IP选项。•TCP过滤规则：过滤规则描述符；TCP源端口、目的端口号、ACK位。•UDP过滤规则：过滤规则描述符；UDP源端口号、UDP目的端口号。•ICMP过滤规则：过滤规则描述符；ICMP消息类型。优点：（1）处理包的速度要比代理服务器快，过滤路由器为用户提供了一种透处理包的速度要代理服务器快过滤路由器为用户提供了种透明的服务，用户不用改变客户端程序或改变自己的行为。（2）实现包过滤几乎不需要费用，因为这些规则可于路由器中直接配置。（2）实现包过滤几乎不需要费用，因为这些规则可于路由器中直接配置。（3）包过滤路由器对用户和应用来讲是透明的，不必对用户进行培训和在每台主机上安装特定的软件DepartmentofCognitiveScience,XiamenUniversity–35在每台主机上安装特定的软件。包过滤型防火墙包过滤型防火墙第三节防火墙技术4防火墙类型••包过滤型防火墙包过滤型防火墙4防火墙类型缺点：（1）防火墙维护较困难，定义数据包过滤器较复杂，网管员要对各种因特网服务、包头格式及每个域的意义有深入理解。（2）能阻止外部主机特网服务、包头格式及每个域的意义有深入理解。（2）能阻止外部主机伪装内部主机的IP，但不能阻止外部主机伪装可信任的外部主机的IP。（3）任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在（3）任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险，若该数据包括了一些隐藏指令让主机修改访问控制和与安全有关文件入侵者将获得系统访问权（4）些包过滤网关不支持有效用户文件，入侵者将获得系统访问权。（4）一些包过滤网关不支持有效用户认证，仅通过IP判断安全。（5）不能提供有用的日志。（6）过滤器数目增加使路由器吞吐量下降路由器须对每个数据包作出转发决定还目增加使路由器吞吐量下降，路由器须对每个数据包作出转发决定，还须将所有过滤器规则施用每个数据包，消耗CPU时间并影响系统性能。DepartmentofCognitiveScience,XiamenUniversity–36（7）允许或拒绝特定服务，但不能理解特定服务的上下文环境和数据。第三节防火墙技术4防火墙类型双宿网关防火墙双宿网关防火墙4防火墙类型™一种拥有两个连接到不同网络上的网络接口的防火墙••双宿网关防火墙双宿网关防火墙™一种拥有两个连接到不同网络上的网络接口的防火墙；™特点：中层的通信被阻止；™两个网络间的通信可通过应用层数据共享或应用层代理服务来完成™两个网络间的通信可通过应用层数据共享或应用层代理服务来完成。DepartmentofCognitiveScience,XiamenUniversity–37第三节防火墙技术4防火墙类型双宿网关防火墙双宿网关防火墙4防火墙类型••双宿网关防火墙双宿网关防火墙不足：（1）宿主主机是隔开内、外网的唯一屏障，如果入侵者得到双重宿主主机的访问权，内部网络就会被入侵，所以需要强大的身份认证系统，阻挡外部非法登录。（2）由于双重宿主主机是外部用户访问内部网络系统的中间转接点，其主机性能很重要，系统应尽量限制用户数量，。DepartmentofCognitiveScience,XiamenUniversity–38第三节防火墙技术屏蔽主机防火墙屏蔽主机防火墙4防火墙类型••屏蔽主机防火墙屏蔽主机防火墙™所有外部主机与一个堡垒主机相连，而不让它们直接与内部主机相连。™由包过滤路由器和堡垒主机组成。™路由器的规则配置使外网只能访问堡垒主机，向内部主机的信息全部阻塞。DepartmentofCognitiveScience,XiamenUniversity–39第三节防火墙技术防火墙类型屏蔽主机防火墙屏蔽主机防火墙4防火墙类型••屏蔽主机防火墙屏蔽主机防火墙特点：¾过滤路由器正确配置是防火墙安全的关键，过滤路由器的路由表应受到严格保护；如果路由表破坏，数据包就越过堡垒主机。¾这种体系结构有堡垒主机被绕过的可能，堡垒主机与其他内部主机间没有任何保护安全措施，一旦堡垒主机被攻破，内部网将完全暴露。DepartmentofCognitiveScience,XiamenUniversity–40有任何保护安全措施，旦堡垒主机被攻破，内部网将完全暴露。第三节防火墙技术屏蔽子网防火墙屏蔽子网防火墙4防火墙类型••屏蔽子网防火墙屏蔽子网防火墙™两个包过滤路由器和一个堡垒主机，较安全的防火墙系统；™定义了“非军事区”网络，它支持网络层和应用层安全功能。™外部路由器用于防范通常的外部攻击(如源地址欺骗和源路由攻击)，并管理外网到“非军事化区’网络的访问只允许外部系统访问堡垒主并管理外网到非军事化区网络的访问，只允许外部系统访问堡垒主机。内部路由器提供第二层防御，只接收源于堡垒主机的数据包，负责管理“非军事区”到内部网络的访问管理“非军事区”到内部网络的访问。DepartmentofCognitiveScience,XiamenUniversity–41第三节防火墙技术屏蔽子网防火墙屏蔽子网防火墙4防火墙类型••屏蔽子网防火墙屏蔽子网防火墙DMZ是demilitarizedzone的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外网不能访问内部网络服务器的问题，而设立的一个非安全系统与安为了解决安装防火墙后外网不能访问内部网络服务器的问题，而设立的个非安全系统与安全系统间的缓冲区（小网络区域内），在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，DMZ区域，更加有效地保护了DepartmentofCognitiveScience,XiamenUniversity–42内网，比起一般的防火墙 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ，对攻击者来说又多了一道关卡。第三节防火墙技术屏蔽子网防火墙屏蔽子网防火墙4防火墙类型••屏蔽子网防火墙屏蔽子网防火墙优点：™通常堡垒主机很坚固不易被入侵者控制；即使堡垒主机被控制入™通常堡垒主机很坚固，不易被入侵者控制；即使堡垒主机被控制，入侵者仍然不能直接侵袭内部网络，内部网络还受到内部过滤路由器的保护护。™如果没有“非军事化区”那么入侵者控制了堡垒主机后就可以监听™如果没有“非军事化区”，那么入侵者控制了堡垒主机后就可以监听整个内部网络的对话。如果把堡垒主机放在“非军事区”网络上，即使入侵者控制了堡垒主机，只能侦听到周边网络的数据，而不能侦听到内部网的数据。DepartmentofCognitiveScience,XiamenUniversity–43第三节防火墙技术5防火墙关键技术包过滤技术代理技术电路级网关技术状态检查技术地址翻译技术加密技术虚拟包过滤技术、代理技术、电路级网关技术、状态检查技术、地址翻译技术、加密技术、虚拟网技术、安全审计技术、安全内核技术、身份认证技术、负载平衡技术、内容安全技术等（1）包过滤技术检查包中信息:源和目的IP地址，协议类型，TCP/UDP的源和目的端口，ICMP的消息类型，TCP报头中的ACK位，TCP的序列号和确认号，IP的校验和以及分割偏移。•包检查模块：‡在操作系统或路由器转发包前拦截所有数据包；‡包过滤防火墙安装在网关上后，模块深入到系统的网络层和数据链路层间；‡检查模块检查所有出站和进站的数据：记录数据包情况；验证数据包是否符合过滤规则；符合则通过；不符合则丢弃，并报警或通知管理员；DepartmentofCognitiveScience,XiamenUniversity–44第三节防火墙技术5防火墙关键技术（1）包过滤技术（1）包过滤技术优点：帮助保护整个网络减少暴露的风险；对用户完全透明不需要对客户端作任帮助保护整个网络，减少暴露的风险；对用户完全透明，不需要对客户端作任何改动，也不需要对用户作任何培训；很多路由器可以作数据包过滤，因此不需要专门添加设备。专门添加设备。缺点：‹包过滤规则难于配置，一旦配置也难于检验；‹包过滤规则难于配置，旦配置也难于检验；‹处理能力有限。随着过滤数目增加，路由器包吞吐量降低，耗费更多CPU的时间；‹IP包过滤难进行流量控制。可许可或拒绝一个特定的服务，但无法理解一个特‹IP包过滤难进行流量控制。可许可或拒绝个特定的服务，但无法理解个特定服务的内容或数据；‹一些协议不适合用数据包过滤，如基于远程调用的应用。DepartmentofCognitiveScience,XiamenUniversity–45第三节防火墙技术5防火墙关键技术（2）代理技术（2）代理技术‡对每一个特定的应用都有一个程序；‡主要特点:有状态性能够提供部分与传输有关的状态能完全提供与‡主要特点:有状态性，能够提供部分与传输有关的状态，能完全提供与应用相关的状态和部分传输方面的信息；‡应用网关上的代理服务分客户代理和服务器代理在内网和外网间做中‡应用网关上的代理服务分客户代理和服务器代理，在内网和外网间做中间转接；‡代理使得网络管理员能够实现比包过滤路由器更严格的安全策略；‡提供代理服务的可以是一台双宿网关，也可以是一台堡垒主机；DepartmentofCognitiveScience,XiamenUniversity–46第三节防火墙技术5防火墙关键技术（2）代理技术（2）代理技术优点：（1）支持可靠的用户认证并提供详细的注册信息；（2）应用层的过滤规则相对于包过滤路由器来说更容易配置和测试；（3）完全控制客户机和真实服务器间会话，可提供详细的日志和安全审（3）完全控制客户机和真实服务器间会话，可提供详细的日志和安全审计功能；（4）提供代理服务的防火墙可以被配置成唯一的可被外部看见的主机（4）提供代理服务的防火墙可以被配置成唯的可被外部看见的主机，这样可以隐藏内部网的IP地址，同时可以解决内部IP地址不够用的问题。DepartmentofCognitiveScience,XiamenUniversity–47第三节防火墙技术5防火墙关键技术（2）代理技术（2）代理技术缺点：（1）有限的连接性。代理服务器一般只能用于某种服务，但实际可能需要多种服务，所以能提供的服务和可伸缩性是有限的；（2）有限的技术。应用层网关不能为RPC，talk等基于通用协议族的服务提供代理；（3）性能低。每个应用程序有一个代理服务程序进行安全控制，每一种应用升级时，一般代理服务程序也要升级；用升级时，般代理服务程序也要升级；（4）需要安全安装特殊的软件，如代理软件。此外，代理对操作系统和应用层的漏洞也是脆弱的。DepartmentofCognitiveScience,XiamenUniversity–48用层的漏洞也是脆弱的。第三节防火墙技术5防火墙关键技术（3）电路级网关技术（3）电路级网关技术‡也是一种代理，建立起一个回路对数据包起转发的作用。电路级网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。‡数据包被提交给用户应用层来处理，网关在两个通信终点间转接数据包，简单的字节来回拷贝。‡优点：可以对各种不同的协议提供服务，但需要改进客户程序。对外像一个代理，对内则是一个过滤路由器。‡缺点：同应用层网关技术一样，新的应用出现可能会要求对电路级网关的代码作相应的修改。DepartmentofCognitiveScience,XiamenUniversity–49第三节防火墙技术5防火墙关键技术（4）状态检测技术（4）状态检测技术‡状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定；‡检测模块支持多种协议和应用程序，很容易实现应用和服务的扩充；‡优点：一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并作记录，向系统管理器报告网络状态；另一个优点是它会监测UDP之类的端口信息，包过滤和代理网关都不支持此类端口；‡缺点：基于状态检查技术防火墙配置非常复杂，而且会降低网络的速度。DepartmentofCognitiveScience,XiamenUniversity–50度第三节防火墙技术5防火墙关键技术（5）地址翻译技术（5）地址翻译技术z为内部网提供一种透明的解决方案（一个隐蔽的安全特性）。内网对外网是不可见的因特网不能访问内部网但内部网内主机间可以相互访问网是不可见的，因特网不能访问内部网，但内部网内主机间可以相互访问。z应用：希望隐藏内部网络的IP地址；内部网络的IP地址是无效的IP地址。（6）安全审计技术z对网络上发生的事件进行记载和分析，对某些被保护网络的敏感信息访问保持不间断的记录，并通过各种不同类型的报表、报警等方式向系统管理人员进行报告。‡比如在控制台上实时显示与安全有关的信息，对用户口令非法、非法访问进行动态跟踪等。DepartmentofCognitiveScience,XiamenUniversity–51访问进行动态跟踪等。第三节防火墙技术5防火墙关键技术（7）安全内核技术z在操作系统的层次上考虑安全性。例如，考虑把系统内核中可能引起安全问题的部分从内核中去掉，形成一个安全等级较高的内核，从而使系统更安全。更安全（8）安全内容技术z提供对高层服务协议数据的监控能力，确保用户的安全。包括：计算机病毒、恶意攻击、恶意电子邮件及不健康网页内容的过滤防护等。z实现困难。DepartmentofCognitiveScience,XiamenUniversity–52第三节防火墙技术5防火墙安全分析防火墙技术的缺陷防火墙技术的缺陷z限制了有用的网络服务z无法防护内部网络用户的攻击z无法防护内部网络用户的攻击z无法防范通过防火墙以外的其他途径的攻击不能完全防范传送已感染病毒的软件或文件z不能完全防范传送已感染病毒的软件或文件z无法防范数据驱动型攻击针对防火墙的攻击可以分为三种：¾防火墙探测¾绕过防火墙的攻击DepartmentofCognitiveScience,XiamenUniversity–53¾破坏性攻击第三节防火墙技术5防火墙安全分析（1）防火墙探测（1）防火墙探测常用防火墙探测技术：z利用防火墙对探测数据包的返回信息z利用防火墙对探测数据包的返回信息。z利用工具，例如Traceroute、Firewalking、Hpinging和NMAPing，分析返回结果可以判定和定位防火墙并能探测出该防火墙开放的端口等析返回结果，可以判定和定位防火墙，并能探测出该防火墙开放的端口等信息。z利用端口扫描和ICMP报文，如某主机开放防火墙用端口，可能是一台防火墙。z基于错误CRC的防火墙探测技术：SYN,StealthFIN,XmasTree和Null扫描。DepartmentofCognitiveScience,XiamenUniversity–54第三节防火墙技术5防火墙安全分析（1）防火墙探测（1）防火墙探测防止防止:‡设置防火墙过滤规则,滤掉出去的ICMP数据包；‡数据包进入时，检查IP数据包TTL值；‡不发送ICMP数据包；‡不发送ICMP数据包；‡关闭不必要端口。DepartmentofCognitiveScience,XiamenUniversity–55第三节防火墙技术5防火墙安全分析（2）绕过防火墙（2）绕过防火墙利用地址欺骗、TCP序列号等手段绕过防火墙的认证机制：防范和抵御z在配置防火墙时过滤掉进来数据包的源地址是内部地址的数据包，防范IP欺骗攻击；z对源路由攻击的防御方法：简单丢弃所有包含源路由选项的数据包；z对于分片攻击：在分片进入内部网络前，防火墙对其进行重组，但这增加了防火墙的负担，也影响防火墙传发数据包的效率；加了防火墙的负担也影响防火墙传发数据包的效率；z防范木马攻击，就是避免木马的安装及安装木马检测工具。DepartmentofCognitiveScience,XiamenUniversity–56第三节防火墙技术5防火墙安全分析一些思考z正确选用、合理配置防火墙困难；些思考。。。缺乏充分的风险分析和需求分析，只根据一些安全策略。z需要正确评估防火墙的失效状态；未被伤害；重启后正常工作；关闭并禁止所有数据通行；关闭并允许所有数据通行。z防火墙必须进行动态维护；z目前难对防火墙测试验证。目前难对防火墙测试验攻击技术的发展；测试工具开发难。DepartmentofCognitiveScience,XiamenUniversity–57第四节入侵检测技术1入侵检测技术基础2入侵检测技术类型3入侵检测技术标准与评估4入侵检测技术典型系统与产品5入侵检测技术范例使用S进行入侵检测5入侵检测技术范例-使用Snort进行入侵检测DepartmentofCognitiveScience,XiamenUniversity–58第四节入侵检测技术1入侵检测技术基础（1）入侵检测技术的概念intrusiondetection‡为保证计算机系统的安全而 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 与配置的一种能够及时发现并报告系统侵检测技术概中未授权或异常现象的技术，用于检测计算机网络中违反安全策略行为的技术。‡违反安全策略的行为有：入侵—非法用户的违规行为；滥用—用户的违规行为。规行为‡任务：对计算机网络和计算机系统的关键结点的信息进行收集分析，检测其中是否有违反安全策略的事件发生，并通知系统管理员。测其中是否有违反安全策略的事件发生，并通知系统管理员。DepartmentofCognitiveScience,XiamenUniversity–59第四节入侵检测技术1入侵检测技术基础（1）入侵检测技术的概念intrusiondetection入侵检测系统：一般指用于入侵检测的软件和硬件的组合。侵检测技术概产生背景z客观因素：防火墙：不能阻止来自内部的袭击、不能提供实时监控、对病毒网络内传播无效；漏洞：普遍存在。漏洞：普遍存在。•主观因素：网络用户不断增加、黑客水平不断提高。DepartmentofCognitiveScience,XiamenUniversity–60第四节入侵检测技术1入侵检测技术基础（2）入侵检测技术的历史z概念的诞生：1980年，JamesAnderson为美国空军做了《ComputerSecurityThreatMonitoringandSurveillance》的技术报告，第一次提出了入侵检测的概念。z模型的发展z模型的发展：‡1987年，DorothyDennying提出了异常入侵检测系统的抽象模型，首次将入侵检测的概念作为一种计算机系统安全防御问题的措施;作为种计算机系统安全防御问题的措施;‡1988年，Morris蠕虫事件导致许多IDS系统的开发研制。TeresaLunt等进一步改进了Dennying入侵检测模型，并创建了IDES(IntrusionDetectionExpertSystem)，提出与系统平台无关的实时检测思想;z多种模型的产生：‡1990年Hbli等人提出基于网络的入侵检测NSM(NtkSitMit)可在‡1990年，Heberlein等人提出基于网络的入侵检测—NSM(NetworkSecurityMonitor)，可在局域网上主动地监视网络信息流量来追踪可疑的行为。‡1991年，分布式入侵检测系统（DIDS）将基于主机和基于网络的检测方法集成到一起，它采DepartmentofCognitiveScience,XiamenUniversity–61年分布式侵检测系统将基于机和基于络的检测方法集成到起它采用分层结构，包括数据、事件、主体、上下文、威胁、安全状态等6层。第四节入侵检测技术1入侵检测技术基础（2）入侵检测技术的历史z多种模型的产生：‡1994年，MarkCrosbie和GeneSpafford建议使用自治代理(AutonomousAgents)提高IDS的可伸缩性可维护性效率和容错性可伸缩性、可维护性、效率和容错性。‡1995年，NIDES(Next-GenerationIntrusionDetectionSystem)实现了多主机入侵检测。‡1996年，GRIDS(Graph-basedIntrusionDetectionSystem)设计和实现解决了入侵检测系年，(py)设计和实现解决了入侵检测系统伸缩性不足的问题，使得对大规模自动或协同攻击的检测更为便利。Forrest等人将免疫原理用到分布式入侵检测领域。‡1997年，Markcrosbie和GeneSpafford将遗传算法运用到入侵检测中。‡1998年，RossAnderson和AbidaKhattak将信息检索技术引进入侵检测系统。‡中国的IDS据IDC的报告2001年用户接下来对网络安全产品的需求中对IDS的需求占了‡中国的IDS：据IDC的报告，2001年用户接下来对网络安全产品的需求中，对IDS的需求占了18.5%。从厂商方面来说，从1999年前后，国外一些软件商开始将其IDS引入到国内，如安氏、CA、NAI、赛门铁克等。国内如冠群金辰、金诺网安等也占据着该市场的较大份额。DepartmentofCognitiveScience,XiamenUniversity–62赛门铁克等国内如冠群辰诺安等占据着该市场的较大份额第四节入侵检测技术1入侵检测技术基础（3）入侵检测技术功能与作用z识别黑客常用入侵与攻击手段。通过分析各种攻击特征，全面快速地识别攻击手段并做相应的防范和向管理员发出警告识别攻击手段，并做相应的防范和向管理员发出警告。z监控网络异常通信。对网络中不正常的通信连接做出反应，保证网络通信合法性；任何不符合网络安全策略的网络数据都会被IDS侦测到并警告。z提供有关攻击的信息。帮助管理员诊断网络中存在的安全弱点。z鉴别对系统漏洞及后门的利用。z完善网络安全管理。使用IDS系统的监测、统计分析、报表功能，可以进一步完善网管。DepartmentofCognitiveScience,XiamenUniversity–63第四节入侵检测技术1入侵检测技术基础（3）入侵检测技术功能与作用zIDS只能位于第二安全闸门：防火墙的有益补充zIDS仅仅是一种实时监控报警工具，虽能够在检测到非法访问时自动报警，但其本身无法防范攻击行为的发生；z不能与防病毒或防火墙产品混淆在一起。zIDS一般无法实现精确的攻击检测，可能会出现误报现象。z最主要的挑战之一：检测速度太慢。大多数IDS系统在不牺牲检测速度的前提下，无法处理百兆位网络满负荷时的数据量，而千兆位更是难以企及的目标。DepartmentofCognitiveScience,XiamenUniversity–64第四节入侵检测技术1入侵检测技术基础（4）入侵检测技术基本原理攻击者入侵检测系统信息收集数据处理数据分析响应处理z信息收集包括主机日志网络流量内容应用程序数据防火墙日志等具有脆弱性的系统和网站z信息收集：包括主机日志、网络流量内容、应用程序数据、防火墙日志等。z数据处理