防火墻與入侵檢測本章介紹兩部分的內容：防火墻和入侵檢測技術。介紹防火墻的基本概念，常見防火墻類型以及如何使用規則集實現防火墻。介紹入侵檢測系統的基本概念以及入侵檢測的常用方法1防火墻與入侵檢測本章介紹兩部分的內容：1防火墻技術

1.防火墻基本概念 2.防火墻的分類 3.防火墻的體系結構4.防火墻的實施2防火墻技術1.防火墻基本概念2防火墻防火墻是位于可信網絡與不可信網絡之間，并對二者之間流動的數據包進行檢查的一臺、多臺計算機或路由器。

3防火墻防火墻是位于可信網絡與不可信網絡之間，并對二者之間流動 防火墻是在兩個網絡之間執行訪問控制策略的一個或一組系統，包括硬件和軟件，目的是保護網絡不被他人侵擾。

4 防火墻是在兩個網絡之間執行訪問控制策略的一個或一組系統，防火墻實現的層次5防火墻實現的層次5防火墻的安全規則由匹配條件和處理方式兩部分組成。匹配條件是指用于對通信流量是否合法作出判斷的一些邏輯表達式。若信息是匹配條件值為真，那么就進行處理。處理方式有以下幾種。

接受：允許信息通過拒絕：拒絕信息通過，通知發送信息的信息源丟棄：直接丟棄信息，不通知信息源。6防火墻的安全規則由匹配條件和處理方式兩部分組成。匹配條件是指防火墻的基本功能（1）網絡監控（包過濾功能，狀態檢查，網關級代理）（2）用戶身份驗證：可以限制未授權的用戶進入內部網絡，過濾掉不安全的服務和非法用戶（3）限制內部用戶訪問特殊站點防火墻的不足之處（1）不能防范惡意的知情者（2）防火墻不能防范不通過它的連接（3）防火墻不能防范病毒7防火墻的基本功能7防火墻技術

1.防火墻基本概念

2防火墻分類（按實現技術） 3.防火墻的體系結構4.防火墻的實施8防火墻技術1.防火墻基本概念8防火墻分類（按實現技術）數據包過濾防火墻（20世紀80年代）應用級網關防火墻狀態檢測防火墻（20世紀90年代）9防火墻分類（按實現技術）數據包過濾防火墻（20世紀80年代包過濾（分組過濾）：作用在協議組的網絡層和傳輸層，根據分組包頭源地址、目的地址和端口號、協議類型等標志確定是否允許數據包通過，只有滿足過濾邏輯的數據包才被轉發到相應的目的地的出口端，其余的數據包則從數據流中丟棄。應用代理（ApplicationProxy）：也叫應用網關（ApplicationGateway），它作用在應用層，其特點是完全“阻隔”網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。實際中的應用網關通常由專用工作站實現。狀態檢測（StatusDetection）：直接對分組里的數據進行處理，并且結合前后分組的數據進行綜合判斷，然后決定是否允許該數據包通過。10包過濾（分組過濾）：10包過濾防火墻數據包過濾可以在網絡層截獲數據。使用一些規則來確定是否轉發或丟棄所各個數據包。通常情況下，如果規則中沒有明確允許指定數據包的出入，那么缺省參數將決定此包是前行還是被舍棄。11包過濾防火墻數據包過濾可以在網絡層截獲數據。使用一些規則來確包過濾技術每個包有兩個部分：數據部分和包頭。包頭中含有源地址和目標地址等信息。包過濾一直是一種簡單而有效的方法。通過攔截數據包，讀出并拒絕那些不符合標準的包頭，過濾掉不應入站的信息。12包過濾技術每個包有兩個部分：數據部分和包頭。包頭中包過濾要檢查的內容數據包過濾一般要檢查網絡層的IP頭和傳輸層的頭IP源地址IP目標地址協議類型（TCP包，UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的原端口ICMP消息類型TCP包頭的ACK位TCP包的序列號，IP校驗和等13包過濾要檢查的內容數據包過濾一般要檢查網絡層的IP頭和傳輸層過濾的依據主要是TCP/IP包頭里面的信息，不能對應用層數據進行處理14過濾的依據主要是TCP/IP包頭里面的信息，不能對應用層數據一個可靠的分組過濾防火墻依賴于規則集，表列出了幾條典型的規則集。第一條規則：主機任何端口訪問任何主機的任何端口，基于TCP協議的數據包都允許通過。第二條規則：任何主機的20端口訪問主機的任何端口，基于TCP協議的數據包允許通過。第三條規則：任何主機的20端口訪問主機小于1024的端口，如果基于TCP協議的數據包都禁止通過。組序號動作源IP目的IP源端口目的端口協議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP15一個可靠的分組過濾防火墻依賴于規則集，表列出了幾條典型的規則包過濾防火墻的優缺點優點：實現比較簡單，產品比較便宜。對系統要求不是很高，便于在各種系統上運行很容易實現網絡流量的監控與管理缺點：安全規則的配置比較復雜，稍不注意就會發生一些邏輯錯誤允許外部網絡與內部主機直接通信，存在一定的隱患不能徹底防止地址欺騙16包過濾防火墻的優缺點優點：16源IP地址欺騙攻擊入侵者從偽裝成源自一臺內部主機的一個外部地點傳送一些信息包；這些信息包似乎像包含了一個內部系統的源IP地址。如果這些信息包到達Router的外部接口，則舍棄每個含有這個源IP地址的信息包，就可以挫敗這種源欺騙攻擊。17源IP地址欺騙攻擊1718181919用WinRoute創建包過濾規則WinRoute目前應用比較廣泛，既可以作為一個服務器的防火墻系統，也可以作為一個代理服務器軟件。目前比較常用的是WinRoute4，20用WinRoute創建包過濾規則WinRoute目前應用比舉例利用WinRoute創建包過濾規則，創建的規則內容是：防止主機被別的計算機使用“Ping”指令探測。選擇菜單項“PacketFilter”，如圖所示。21舉例利用WinRoute創建包過濾規則，創建的規則內容是：防在包過濾對話框中可以看出目前主機還沒有任何的包規則，如圖所示。22在包過濾對話框中可以看出目前主機還沒有任何的包規則，如圖所示選中圖中網卡圖標，單擊按鈕“添加”。出現過濾規則添加對話框，所有的過濾規則都在此處添加，如圖所示。23選中圖中網卡圖標，單擊按鈕“添加”。出現過濾規則添加對話框，因為“Ping”指令用的協議是ICMP，所以這里要對ICMP協議設置過濾規則。在協議下拉列表中選擇“ICMP”，如圖所示。24因為“Ping”指令用的協議是ICMP，所以這里要對ICMP在“ICMPType”欄目中，將復選框全部選中。在“Action”欄目中，選擇單選框“Drop”。在“LogPacket”欄目中選中“LogintoWindow”，創建完畢后點擊按鈕“OK”，一條規則就創建完畢，如圖所示。25在“ICMPType”欄目中，將復選框全部選中。在“Act為了使設置的規則生效，點擊按鈕“應用”，如圖所示。26為了使設置的規則生效，點擊按鈕“應用”，如圖所示。26設置完畢，該主機就不再響應外界的“Ping”指令了，使用指令“Ping”來探測主機，將收不到回應，如圖所示。27設置完畢，該主機就不再響應外界的“Ping”指令了，使用指令雖然主機沒有響應，但是已經將事件記錄到安全日志了。選擇菜單欄“View”下的菜單項“Logs>SecurityLogs”，察看日志紀錄如圖所示。28雖然主機沒有響應，但是已經將事件記錄到安全日志了。選擇菜單欄防火墻分類（按實現技術）數據包過濾防火墻（20世紀80年代）應用級網關防火墻狀態檢測防火墻（20世紀90年代）29防火墻分類（按實現技術）數據包過濾防火墻（20世紀80年代應用級網關（代理）工作模型

作為一個信息交流的中轉站，對客戶來說，他是一個服務器，對服務器來說，他是一個客戶，它的安全性較包過濾防火墻有了很大的提高30應用級網關（代理）工作模型作為一個信息交流的中轉站，對客戶代理服務器數據包的重構過程

31代理服務器數據包的重構過程31服務端客戶端telnetInternet應用級網關發送數據包到Internet必須先經過網關復制數據向目標服務器發送telnetd應用級網關防火墻32服務端客戶端Internet應用級網關發送數據包到Inter在Windows系統下的IE瀏覽器的配置客戶端的設置33在Windows系統下的IE瀏覽器的配置客戶端的設置33應用級網關優缺點

優點：為內部網絡提供了更高的安全性應用代理防火墻工作于工作于應用層，適用于特定的網絡服務，如HTTP，FTP等；并且應用代理防火墻適于做日志記錄。缺點：處理速度較慢，因為它不允許直接訪問外部網絡網關的代理服務軟件總要隨著應用服務軟件的更新而更新34應用級網關優缺點優點：34Windows的防火墻：ISAISA具有防火墻和緩存代理的功能。35Windows的防火墻：ISAISA具有防火墻和緩存代理的功Windows的防火墻：ISA36Windows的防火墻：ISA36網絡地址轉換防火墻的網絡地址轉換功能是指將內部主機的IP地址轉換為某一固定或者某范圍內的某個IP地址，而使從網絡外部無法探測到它們。網絡地址轉換（NAT，NetworkAddressTranslation），有時也稱為IP偽裝。37網絡地址轉換防火墻的網絡地址轉換功能是指將內部主機的IP地址3838NAT類型靜態NAT（StaticNAT）動態地址NAT（DynamicNAT）端口轉換NAPT（NetworkAddressPortTranslation）39NAT類型靜態NAT（StaticNAT）39靜態NAT把內部網絡中的每個主機都永久映射成外部網絡中的某個合法的地址40靜態NAT把內部網絡中的每個主機都永久映射成外部網絡中的某個動態NAT在外部網絡中定義了一系列的合法地址，采用動態分配的方法映射到內部網絡41動態NAT在外部網絡中定義了一系列的合法地址，采用動態分配的端口轉換NAT把內部地址映射到外部網絡的一個IP地址的不同端口上42端口轉換NAT把內部地址映射到外部網絡的一個IP地址的不同防火墻分類（按實現技術）數據包過濾防火墻（20世紀80年代）應用級網關防火墻狀態檢測防火墻（20世紀90年代）43防火墻分類（按實現技術）數據包過濾防火墻（20世紀80年代狀態監測防火墻（20世紀90年代）狀態監測防火墻具有非常好的安全特性，它使用一個在網關上執行網絡安全策略的軟件模塊，稱為“監測引擎”。監測引擎在不影響網絡正常運行的前提下，監測網絡通信的各層并在通信各層抽取有關數所生成狀態信息，并動態地保存以供后續執行安全策略的參考。使用狀態監測的一個優點是，雖然在網絡層接收數據包以提高效率，但防火墻依舊檢查通信各層的數據，并根據生成的通信狀態，應用狀態和上下文信息等結合網絡安全策略對數據包作出接收，拒絕，身份認證，報警或通信加密等動作。它的另一個優點是它可以監測無連接協議（如RPC，某些基于UDP的應用），而包過濾防火墻和應用代理防火墻都不具備這種功能。它的缺點是降低網絡速度，且配置比較復雜。44狀態監測防火墻（20世紀90年代）狀態監測防火墻具有非常好的4545防火墻技術

1.防火墻基本概念

2防火墻分類（按實現技術）

3.防火墻的體系結構4.防火墻的實施46防火墻技術1.防火墻基本概念46防火墻體系結構防火墻的體系結構一般有雙宿主主機體系結構；屏蔽主機體系結構；屏蔽子網體系結構。47防火墻體系結構防火墻的體系結構一般有47雙重宿主主機體系結構 雙重宿主主機的防火墻體系結構是相當簡單的，雙重宿主主機位于兩者之間，并且被連接到因特網和內部的網絡。右圖顯示這種體系結構。

48雙重宿主主機體系結構 雙重宿主主機的防火墻體系結構是相當簡雙重宿主主機體系結構雙宿主機是連接內外網絡的通道，因此它本應具有路由功能。而在實際應用中，雙宿主機路由功能是被禁止的。49雙重宿主主機體系結構雙宿主機是連接內外網絡的通道，因此它本應屏蔽主機體系結構在此結構中提供安全保護的主機僅僅與內部網相連。另外，結構中還有一臺單獨的路由器（過濾路由器）。在這種體系結構中，堡壘主機即可提供包過濾功能，也可提供代理功能，其結構如左圖所示。50屏蔽主機體系結構在此結構中提供安全保護的主機僅僅與內部網相連內外網絡之間的所有通信都必須通過堡壘主機主要優點：相對于雙宿主機體系結構，堡壘主機不直接與外部網絡連接，減小了被攻擊的可能性。路由器的同時存在，減輕了堡壘主機的負擔缺點：一旦堡壘主機遭到攻擊，內部網絡助于不安全的狀態51內外網絡之間的所有通信都必須通過堡壘主機51屏蔽子網模型屏蔽子網模型用了兩個包過濾路由器和一個堡壘主機。它是最安全的防火墻系統之一，它支持網絡層和應用層安全功能。網絡管理員將堡壘主機、信息服務器、Modem組，以及其它公用服務器放在非軍事區網絡中。如果黑客想突破該防火墻那么必須攻破以上三個單獨的設備。防火墻52屏蔽子網模型屏蔽子網模型用了兩個包過濾路由器和一個堡壘主機。屏蔽子網體系結構內部路由器內部路由器有時被稱為阻塞路由器，它保護內部的網絡使之免受Internet和周邊網的侵犯。內部路由器為用戶的防火墻執行大部分的數據包過濾工作。它允許從內部網到Internet的有選擇的出站服務。外部路由器外部路由器能有效地執行的安全任務之一是：阻止從Internet上偽造源地址進來的任何數據包。這樣的數據包自稱來自內部的網絡，但實際上是來自Internet。53屏蔽子網體系結構內部路由器53實施方法1基于網絡主機的防火墻一種是作為現有的商業操作系統上的應用程序另外一種是整合成操作系統的一部分2基于路由器的防火墻一般他們可以起到阻止和允許特定的IP地址和端口號的基本防火墻功能使用NAT來隱藏內部IP地址在一個全面安全體系結構中，路由器經常作為屏蔽設備使用3基于單個主機的防火墻常用于規模很小的辦公室或者家庭比如：瑞星個人防火墻、天網個人防火墻4硬件防火墻硬件防火墻是指把防火墻程序做到芯片里面，由硬件執行功能通常硬件防火墻的性能要強于軟件防火墻、并且連接、使用比較方便54實施方法1基于網絡主機的防火墻54防火墻環境下的服務器部署最典型的防火墻環境就是DMZ(非軍事區)。DMZ是作為內外網都可以訪問的計算機系統和資源的連接點，比如Web服務器、郵件服務器、VPN網關、DNS服務器等，這些系統和資源不能放置在內部保護網絡內。55防火墻環境下的服務器部署最典型的防火墻環境就是DMZ(非軍事防火墻環境下的服務器部署56防火墻環境下的服務器部署56防火墻環境下的服務器部署遵循原則。(1)通過邊界路由過濾設備保護外部服務器，或將它們放置在外部DMZ中。(2)絕不可將外部可訪問的服務器放置在內部要保護網絡中。(3)根據內部服務器的敏感程度和訪問方式，將它們放置在內部防火墻之后。(4)盡量隔離各種服務器，防止一個服務器被攻破后波及到其他服務器的安全。57防火墻環境下的服務器部署遵循原則。571入侵檢測系統(IDS)的概念入侵檢測系統IDS（IntrusionDetectionSystem）指的是一種硬件或者軟件系統，該系統對系統資源的非授權使用能夠做出及時的判斷、記錄和報警。581入侵檢測系統(IDS)的概念入侵檢測系統IDS（Intr

檢測來自內部的攻擊事件和越權訪問85％以上的攻擊事件來自于內部的攻擊防火墻只能防外，難于防內入侵檢測系統作為防火墻系統的一個有效的補充入侵檢測系統可以有效的防范防火墻開放的服務入侵入侵檢測的任務59入侵檢測的任務59分類網絡型入侵檢測系統主機型入侵檢測系統混合型入侵檢測系統（HybridIDS）60分類60網絡型入侵檢測系統(NetworkIntrusionDetectionSystem，NIDS)的數據源來自網絡上的數據包。一般地，用戶可將某臺主機網卡設定為混雜模式，以監聽本網段內所有數據包，判斷其是否合法。NIDS擔負著監視整個網段的任務IDS分類61網絡型入侵檢測系統(NetworkIntrusionDeIDS分類NIDS的優點主要是使用簡便，不會給運行關鍵業務的主機和網絡增加任何負擔。62IDS分類NIDS的優點主要是使用簡便，不會給運行62IDS分類主機型入侵檢測系統(HostIntrusionDetectionSystem，HIDS)：系統安裝在主機上面，對本主機進行安全檢測往往以系統日志、應用程序日志等作為數據源，當然也可以通過通過查詢、監聽當前系統的各種資源的使用運行狀態，發現系統資源被非法使用和修改的事件，進行上報和處理。63IDS分類主機型入侵檢測系統632入侵檢測系統構件642入侵檢測系統構件64入侵檢測的步驟由此也劃分了入侵檢測的三個基本步驟：信息收集數據分析響應

數據分析后處理方式AlertLogCallFirewall65入侵檢測的步驟由此也劃分了入侵檢測的三個基本步驟：65數據分析數據分析（AnalysisSchemes）是入侵檢測系統的核心，它的效率高低直接決定了整個入侵檢測系統的性能?？焖俚哪Ｊ狡ヅ渌惴ǜ鶕祿治龅牟煌绞娇蓪⑷肭謾z測系統分為三類：異常入侵檢測誤用入侵檢測完整性檢測66數據分析數據分析（AnalysisSchemes）是入侵檢§3入侵檢測的分析方式異常檢測（AnomalyDetection）

統計模型誤報較多誤用檢測（MisuseDetection）維護一個入侵特征知識庫（CVE）準確性高完整性分析（靜態檢測）67§3入侵檢測的分析方式異常檢測（AnomalyDete§3.1異常檢測基本原理一般采用統計方法建立正常行為的特征輪廓檢查系統的運行情況是否偏離預設的門限？68§3.1異常檢測基本原理68§3.1異常檢測異常檢測的優點：可以檢測到未知的入侵可以檢測冒用他人帳號的行為具有自適應，自學習功能不需要系統先驗知識69§3.1異常檢測異常檢測的優點：69§3.1異常檢測異常檢測的缺點：漏報、誤報率高入侵者可以逐漸改變自己的行為模式來逃避檢測合法用戶正常行為的突然改變也會造成誤警統計算法的計算量龐大，效率很低統計點的選取和參考庫的建立比較困難70§3.1異常檢測異常檢測的缺點：70§3.1異常性檢測問題：在許多環境中，為用戶建立正常行為模式的特征輪廓以及對用戶活動的異常性進行報警的門限值的確定都是比較困難的事。因為并不是所有入侵者的行為都能夠產生明顯的異常性，所以在入侵檢測系統中，僅使用異常性檢測技術不可能檢測出所有的入侵行為。71§3.1異常性檢測問題：71§3.2誤用檢測采用模式匹配技術檢測已知攻擊提前建立已出現的入侵行為特征檢測當前用戶行為特征72§3.2誤用檢測采用模式匹配技術檢測已知攻擊72§3.2誤用檢測誤用檢測的優點算法簡單系統開銷小準確率高效率高73§3.2誤用檢測誤用檢測的優點73§3.2誤用檢測誤用檢測的缺點被動只能檢測出已知攻擊新類型的攻擊會對系統造成很大的威脅模式庫的建立和維護難模式庫要不斷更新知識依賴于硬件平臺操作系統系統中運行的應用程序74§3.2誤用檢測誤用檢測的缺點74§3.3完整性分析通過檢查系統的當前系統配置，諸如系統文件的內容或者系統表，來檢查系統是否已經或者可能會遭到破壞。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用于實時響應。75§3.3完整性分析通過檢查系統的當前系統配置，諸如系統文案例：檢測與端口關聯的應用程序網絡入侵者都會連接到主機的某個非法端口，通過檢查出與端口關聯應用程序，可以進行入侵檢測，這種方法屬于靜態配置分析。利用工具軟件fport.exe可以檢查與每一端口關聯的應用程序，執行程序如圖所示。76案例：檢測與端口關聯的應用程序網絡入侵者都會連接到主機的某案例：入侵檢測工具：BlackICEBlackICE是一個小型的入侵檢測工具，在計算機上安全完畢后，會在操作系統的狀態欄顯示一個圖標，當有異常網絡情況的時候，圖標就會跳動。主界面如圖所示。77案例：入侵檢測工具：BlackICEBlackICE是一個可以查看主機入侵的信息，選擇屬性頁“Intruders”，如圖所示。78可以查看主機入侵的信息，選擇屬性頁“Intruders”，如§3.3入侵檢測產品§免費的入侵檢測產品Snort

SHADOW/ISSEC/CID79§3.3入侵檢測產品§免費的入侵檢測產品79§3.3商業的入侵檢測產品CyberCopMonitor,NAIDragonSensor,EnterasyseTrustID,CANetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISSSecureNetPro,I80§3.3商業的入侵檢測產品CyberCopMonito入侵檢測系統面臨的挑戰一個有效的入侵檢測系統應限制誤報出現的次數，但同時又能有效截擊。81入侵檢測系統面臨的挑戰一個有效的入侵檢測系統應限制誤報出現的§IDS目前存在的問題關于入侵檢測方法的研究仍在進行中，較成熟的檢測方法已用于商業軟件的開發中。各種監測方式都存在不同的問題，例如，誤報率高、效率低、占用資源多或者實時性差等缺點。依靠單一的中心監測不可能檢測所有的入侵，已不能滿足系統安全性和性能的要求。目前，國內只有少數的網絡入侵檢測軟件，相關領域的系統研究也剛剛起步，與外國尚有很大差距。82§IDS目前存在的問題關于入侵檢測方法的研究仍在進行中，較§發展趨勢及主要研究方向針對分布式攻擊的分布式入侵檢測方面的研究用于大規模高速網絡入侵檢測系統的研究應用層入侵檢測的研究智能入侵檢測的研究基于神經網絡免疫系統方法遺傳算法基于代理檢測數據挖掘83§發展趨勢及主要研究方向針對分布式攻擊的分布式入侵檢測方面的本章總結本章介紹了防御技術中的防火墻技術與入侵檢測技術。重點理解防火墻的概念、分類、常見防火墻的系統模型以及創建防火墻的基本步驟。掌握使用Winroute創建簡單的防火墻規則。重點理解入侵檢測系統的基本概念、檢測的方法以及入侵檢測的步驟。掌握編寫簡單入侵檢測的程序，掌握一種入侵檢測工具。84本章總結本章介紹了防御技術中的防火墻技術與入侵檢測技術。84本章習題簡述防火墻的分類，并說明分組過濾防火墻的基本原理。常見防火墻模型有哪些？比較他們的優缺點。編寫防火墻規則：禁止除管理員計算機（IP為10）外任何一臺電腦訪問某主機（IP為09）的終端服務（TCP端口3389）。什么是入侵檢測系統？簡述入侵檢測系統目前面臨的挑戰。編寫程序實現每十秒檢查一次與端口關聯的應用程序85本章習題簡述防火墻的分類，并說明分組過濾防火墻的基本原理。8防火墻與入侵檢測本章介紹兩部分的內容：防火墻和入侵檢測技術。介紹防火墻的基本概念，常見防火墻類型以及如何使用規則集實現防火墻。介紹入侵檢測系統的基本概念以及入侵檢測的常用方法86防火墻與入侵檢測本章介紹兩部分的內容：1防火墻技術

1.防火墻基本概念 2.防火墻的分類 3.防火墻的體系結構4.防火墻的實施87防火墻技術1.防火墻基本概念2防火墻防火墻是位于可信網絡與不可信網絡之間，并對二者之間流動的數據包進行檢查的一臺、多臺計算機或路由器。

88防火墻防火墻是位于可信網絡與不可信網絡之間，并對二者之間流動 防火墻是在兩個網絡之間執行訪問控制策略的一個或一組系統，包括硬件和軟件，目的是保護網絡不被他人侵擾。

89 防火墻是在兩個網絡之間執行訪問控制策略的一個或一組系統，防火墻實現的層次90防火墻實現的層次5防火墻的安全規則由匹配條件和處理方式兩部分組成。匹配條件是指用于對通信流量是否合法作出判斷的一些邏輯表達式。若信息是匹配條件值為真，那么就進行處理。處理方式有以下幾種。

接受：允許信息通過拒絕：拒絕信息通過，通知發送信息的信息源丟棄：直接丟棄信息，不通知信息源。91防火墻的安全規則由匹配條件和處理方式兩部分組成。匹配條件是指防火墻的基本功能（1）網絡監控（包過濾功能，狀態檢查，網關級代理）（2）用戶身份驗證：可以限制未授權的用戶進入內部網絡，過濾掉不安全的服務和非法用戶（3）限制內部用戶訪問特殊站點防火墻的不足之處（1）不能防范惡意的知情者（2）防火墻不能防范不通過它的連接（3）防火墻不能防范病毒92防火墻的基本功能7防火墻技術

1.防火墻基本概念

2防火墻分類（按實現技術） 3.防火墻的體系結構4.防火墻的實施93防火墻技術1.防火墻基本概念8防火墻分類（按實現技術）數據包過濾防火墻（20世紀80年代）應用級網關防火墻狀態檢測防火墻（20世紀90年代）94防火墻分類（按實現技術）數據包過濾防火墻（20世紀80年代包過濾（分組過濾）：作用在協議組的網絡層和傳輸層，根據分組包頭源地址、目的地址和端口號、協議類型等標志確定是否允許數據包通過，只有滿足過濾邏輯的數據包才被轉發到相應的目的地的出口端，其余的數據包則從數據流中丟棄。應用代理（ApplicationProxy）：也叫應用網關（ApplicationGateway），它作用在應用層，其特點是完全“阻隔”網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。實際中的應用網關通常由專用工作站實現。狀態檢測（StatusDetection）：直接對分組里的數據進行處理，并且結合前后分組的數據進行綜合判斷，然后決定是否允許該數據包通過。95包過濾（分組過濾）：10包過濾防火墻數據包過濾可以在網絡層截獲數據。使用一些規則來確定是否轉發或丟棄所各個數據包。通常情況下，如果規則中沒有明確允許指定數據包的出入，那么缺省參數將決定此包是前行還是被舍棄。96包過濾防火墻數據包過濾可以在網絡層截獲數據。使用一些規則來確包過濾技術每個包有兩個部分：數據部分和包頭。包頭中含有源地址和目標地址等信息。包過濾一直是一種簡單而有效的方法。通過攔截數據包，讀出并拒絕那些不符合標準的包頭，過濾掉不應入站的信息。97包過濾技術每個包有兩個部分：數據部分和包頭。包頭中包過濾要檢查的內容數據包過濾一般要檢查網絡層的IP頭和傳輸層的頭IP源地址IP目標地址協議類型（TCP包，UDP包和ICMP包）TCP或UDP包的目的端口TCP或UDP包的原端口ICMP消息類型TCP包頭的ACK位TCP包的序列號，IP校驗和等98包過濾要檢查的內容數據包過濾一般要檢查網絡層的IP頭和傳輸層過濾的依據主要是TCP/IP包頭里面的信息，不能對應用層數據進行處理99過濾的依據主要是TCP/IP包頭里面的信息，不能對應用層數據一個可靠的分組過濾防火墻依賴于規則集，表列出了幾條典型的規則集。第一條規則：主機任何端口訪問任何主機的任何端口，基于TCP協議的數據包都允許通過。第二條規則：任何主機的20端口訪問主機的任何端口，基于TCP協議的數據包允許通過。第三條規則：任何主機的20端口訪問主機小于1024的端口，如果基于TCP協議的數據包都禁止通過。組序號動作源IP目的IP源端口目的端口協議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP100一個可靠的分組過濾防火墻依賴于規則集，表列出了幾條典型的規則包過濾防火墻的優缺點優點：實現比較簡單，產品比較便宜。對系統要求不是很高，便于在各種系統上運行很容易實現網絡流量的監控與管理缺點：安全規則的配置比較復雜，稍不注意就會發生一些邏輯錯誤允許外部網絡與內部主機直接通信，存在一定的隱患不能徹底防止地址欺騙101包過濾防火墻的優缺點優點：16源IP地址欺騙攻擊入侵者從偽裝成源自一臺內部主機的一個外部地點傳送一些信息包；這些信息包似乎像包含了一個內部系統的源IP地址。如果這些信息包到達Router的外部接口，則舍棄每個含有這個源IP地址的信息包，就可以挫敗這種源欺騙攻擊。102源IP地址欺騙攻擊171031810419用WinRoute創建包過濾規則WinRoute目前應用比較廣泛，既可以作為一個服務器的防火墻系統，也可以作為一個代理服務器軟件。目前比較常用的是WinRoute4，105用WinRoute創建包過濾規則WinRoute目前應用比舉例利用WinRoute創建包過濾規則，創建的規則內容是：防止主機被別的計算機使用“Ping”指令探測。選擇菜單項“PacketFilter”，如圖所示。106舉例利用WinRoute創建包過濾規則，創建的規則內容是：防在包過濾對話框中可以看出目前主機還沒有任何的包規則，如圖所示。107在包過濾對話框中可以看出目前主機還沒有任何的包規則，如圖所示選中圖中網卡圖標，單擊按鈕“添加”。出現過濾規則添加對話框，所有的過濾規則都在此處添加，如圖所示。108選中圖中網卡圖標，單擊按鈕“添加”。出現過濾規則添加對話框，因為“Ping”指令用的協議是ICMP，所以這里要對ICMP協議設置過濾規則。在協議下拉列表中選擇“ICMP”，如圖所示。109因為“Ping”指令用的協議是ICMP，所以這里要對ICMP在“ICMPType”欄目中，將復選框全部選中。在“Action”欄目中，選擇單選框“Drop”。在“LogPacket”欄目中選中“LogintoWindow”，創建完畢后點擊按鈕“OK”，一條規則就創建完畢，如圖所示。110在“ICMPType”欄目中，將復選框全部選中。在“Act為了使設置的規則生效，點擊按鈕“應用”，如圖所示。111為了使設置的規則生效，點擊按鈕“應用”，如圖所示。26設置完畢，該主機就不再響應外界的“Ping”指令了，使用指令“Ping”來探測主機，將收不到回應，如圖所示。112設置完畢，該主機就不再響應外界的“Ping”指令了，使用指令雖然主機沒有響應，但是已經將事件記錄到安全日志了。選擇菜單欄“View”下的菜單項“Logs>SecurityLogs”，察看日志紀錄如圖所示。113雖然主機沒有響應，但是已經將事件記錄到安全日志了。選擇菜單欄防火墻分類（按實現技術）數據包過濾防火墻（20世紀80年代）應用級網關防火墻狀態檢測防火墻（20世紀90年代）114防火墻分類（按實現技術）數據包過濾防火墻（20世紀80年代應用級網關（代理）工作模型

作為一個信息交流的中轉站，對客戶來說，他是一個服務器，對服務器來說，他是一個客戶，它的安全性較包過濾防火墻有了很大的提高115應用級網關（代理）工作模型作為一個信息交流的中轉站，對客戶代理服務器數據包的重構過程

116代理服務器數據包的重構過程31服務端客戶端telnetInternet應用級網關發送數據包到Internet必須先經過網關復制數據向目標服務器發送telnetd應用級網關防火墻117服務端客戶端Internet應用級網關發送數據包到Inter在Windows系統下的IE瀏覽器的配置客戶端的設置118在Windows系統下的IE瀏覽器的配置客戶端的設置33應用級網關優缺點

優點：為內部網絡提供了更高的安全性應用代理防火墻工作于工作于應用層，適用于特定的網絡服務，如HTTP，FTP等；并且應用代理防火墻適于做日志記錄。缺點：處理速度較慢，因為它不允許直接訪問外部網絡網關的代理服務軟件總要隨著應用服務軟件的更新而更新119應用級網關優缺點優點：34Windows的防火墻：ISAISA具有防火墻和緩存代理的功能。120Windows的防火墻：ISAISA具有防火墻和緩存代理的功Windows的防火墻：ISA121Windows的防火墻：ISA36網絡地址轉換防火墻的網絡地址轉換功能是指將內部主機的IP地址轉換為某一固定或者某范圍內的某個IP地址，而使從網絡外部無法探測到它們。網絡地址轉換（NAT，NetworkAddressTranslation），有時也稱為IP偽裝。122網絡地址轉換防火墻的網絡地址轉換功能是指將內部主機的IP地址12338NAT類型靜態NAT（StaticNAT）動態地址NAT（DynamicNAT）端口轉換NAPT（NetworkAddressPortTranslation）124NAT類型靜態NAT（StaticNAT）39靜態NAT把內部網絡中的每個主機都永久映射成外部網絡中的某個合法的地址125靜態NAT把內部網絡中的每個主機都永久映射成外部網絡中的某個動態NAT在外部網絡中定義了一系列的合法地址，采用動態分配的方法映射到內部網絡126動態NAT在外部網絡中定義了一系列的合法地址，采用動態分配的端口轉換NAT把內部地址映射到外部網絡的一個IP地址的不同端口上127端口轉換NAT把內部地址映射到外部網絡的一個IP地址的不同防火墻分類（按實現技術）數據包過濾防火墻（20世紀80年代）應用級網關防火墻狀態檢測防火墻（20世紀90年代）128防火墻分類（按實現技術）數據包過濾防火墻（20世紀80年代狀態監測防火墻（20世紀90年代）狀態監測防火墻具有非常好的安全特性，它使用一個在網關上執行網絡安全策略的軟件模塊，稱為“監測引擎”。監測引擎在不影響網絡正常運行的前提下，監測網絡通信的各層并在通信各層抽取有關數所生成狀態信息，并動態地保存以供后續執行安全策略的參考。使用狀態監測的一個優點是，雖然在網絡層接收數據包以提高效率，但防火墻依舊檢查通信各層的數據，并根據生成的通信狀態，應用狀態和上下文信息等結合網絡安全策略對數據包作出接收，拒絕，身份認證，報警或通信加密等動作。它的另一個優點是它可以監測無連接協議（如RPC，某些基于UDP的應用），而包過濾防火墻和應用代理防火墻都不具備這種功能。它的缺點是降低網絡速度，且配置比較復雜。129狀態監測防火墻（20世紀90年代）狀態監測防火墻具有非常好的13045防火墻技術

1.防火墻基本概念

2防火墻分類（按實現技術）

3.防火墻的體系結構4.防火墻的實施131防火墻技術1.防火墻基本概念46防火墻體系結構防火墻的體系結構一般有雙宿主主機體系結構；屏蔽主機體系結構；屏蔽子網體系結構。132防火墻體系結構防火墻的體系結構一般有47雙重宿主主機體系結構 雙重宿主主機的防火墻體系結構是相當簡單的，雙重宿主主機位于兩者之間，并且被連接到因特網和內部的網絡。右圖顯示這種體系結構。

133雙重宿主主機體系結構 雙重宿主主機的防火墻體系結構是相當簡雙重宿主主機體系結構雙宿主機是連接內外網絡的通道，因此它本應具有路由功能。而在實際應用中，雙宿主機路由功能是被禁止的。134雙重宿主主機體系結構雙宿主機是連接內外網絡的通道，因此它本應屏蔽主機體系結構在此結構中提供安全保護的主機僅僅與內部網相連。另外，結構中還有一臺單獨的路由器（過濾路由器）。在這種體系結構中，堡壘主機即可提供包過濾功能，也可提供代理功能，其結構如左圖所示。135屏蔽主機體系結構在此結構中提供安全保護的主機僅僅與內部網相連內外網絡之間的所有通信都必須通過堡壘主機主要優點：相對于雙宿主機體系結構，堡壘主機不直接與外部網絡連接，減小了被攻擊的可能性。路由器的同時存在，減輕了堡壘主機的負擔缺點：一旦堡壘主機遭到攻擊，內部網絡助于不安全的狀態136內外網絡之間的所有通信都必須通過堡壘主機51屏蔽子網模型屏蔽子網模型用了兩個包過濾路由器和一個堡壘主機。它是最安全的防火墻系統之一，它支持網絡層和應用層安全功能。網絡管理員將堡壘主機、信息服務器、Modem組，以及其它公用服務器放在非軍事區網絡中。如果黑客想突破該防火墻那么必須攻破以上三個單獨的設備。防火墻137屏蔽子網模型屏蔽子網模型用了兩個包過濾路由器和一個堡壘主機。屏蔽子網體系結構內部路由器內部路由器有時被稱為阻塞路由器，它保護內部的網絡使之免受Internet和周邊網的侵犯。內部路由器為用戶的防火墻執行大部分的數據包過濾工作。它允許從內部網到Internet的有選擇的出站服務。外部路由器外部路由器能有效地執行的安全任務之一是：阻止從Internet上偽造源地址進來的任何數據包。這樣的數據包自稱來自內部的網絡，但實際上是來自Internet。138屏蔽子網體系結構內部路由器53實施方法1基于網絡主機的防火墻一種是作為現有的商業操作系統上的應用程序另外一種是整合成操作系統的一部分2基于路由器的防火墻一般他們可以起到阻止和允許特定的IP地址和端口號的基本防火墻功能使用NAT來隱藏內部IP地址在一個全面安全體系結構中，路由器經常作為屏蔽設備使用3基于單個主機的防火墻常用于規模很小的辦公室或者家庭比如：瑞星個人防火墻、天網個人防火墻4硬件防火墻硬件防火墻是指把防火墻程序做到芯片里面，由硬件執行功能通常硬件防火墻的性能要強于軟件防火墻、并且連接、使用比較方便139實施方法1基于網絡主機的防火墻54防火墻環境下的服務器部署最典型的防火墻環境就是DMZ(非軍事區)。DMZ是作為內外網都可以訪問的計算機系統和資源的連接點，比如Web服務器、郵件服務器、VPN網關、DNS服務器等，這些系統和資源不能放置在內部保護網絡內。140防火墻環境下的服務器部署最典型的防火墻環境就是DMZ(非軍事防火墻環境下的服務器部署141防火墻環境下的服務器部署56防火墻環境下的服務器部署遵循原則。(1)通過邊界路由過濾設備保護外部服務器，或將它們放置在外部DMZ中。(2)絕不可將外部可訪問的服務器放置在內部要保護網絡中。(3)根據內部服務器的敏感程度和訪問方式，將它們放置在內部防火墻之后。(4)盡量隔離各種服務器，防止一個服務器被攻破后波及到其他服務器的安全。142防火墻環境下的服務器部署遵循原則。571入侵檢測系統(IDS)的概念入侵檢測系統IDS（IntrusionDetectionSystem）指的是一種硬件或者軟件系統，該系統對系統資源的非授權使用能夠做出及時的判斷、記錄和報警。1431入侵檢測系統(IDS)的概念入侵檢測系統IDS（Intr

檢測來自內部的攻擊事件和越權訪問85％以上的攻擊事件來自于內部的攻擊防火墻只能防外，難于防內入侵檢測系統作為防火墻系統的一個有效的補充入侵檢測系統可以有效的防范防火墻開放的服務入侵入侵檢測的任務144入侵檢測的任務59分類網絡型入侵檢測系統主機型入侵檢測系統混合型入侵檢測系統（HybridIDS）145分類60網絡型入侵檢測系統(NetworkIntrusionDetectionSystem，NIDS)的數據源來自網絡上的數據包。一般地，用戶可將某臺主機網卡設定為混雜模式，以監聽本網段內所有數據包，判斷其是否合法。NIDS擔負著監視整個網段的任務IDS分類146網絡型入侵檢測系統(NetworkIntrusionDeIDS分類NIDS的優點主要是使用簡便，不會給運行關鍵業務的主機和網絡增加任何負擔。147IDS分類NIDS的優點主要是使用簡便，不會給運行62IDS分類主機型入侵檢測系統(HostIntrusionDetectionSystem，HIDS)：系統安裝在主機上面，對本主機進行安全檢測往往以系統日志、應用程序日志等作為數據源，當然也可以通過通過查詢、監聽當前系統的各種資源的使用運行狀態，發現系統資源被非法使用和修改的事件，進行上報和處理。148IDS分類主機型入侵檢測系統632入侵檢測系統構件1492入侵檢測系統構件64入侵檢測的步驟由此也劃分了入侵檢測的三個基本步驟：信息收集數據分析響應

數據分析后處理方式AlertLogCallFirewall150入侵檢測的步驟由此也劃分了入侵檢測的三個基本步驟：65數據分析數據分析（AnalysisSchemes）是入侵檢測系統的核心，它的效率高低直接決定了整個入侵檢測系統的性能?？焖俚哪Ｊ狡ヅ渌惴ǜ鶕祿治龅牟煌绞娇蓪⑷肭謾z測系統分為三類：異常入侵檢測誤用入侵檢測完整性檢測151數據分析數據分析（AnalysisSchemes）是入侵檢§3入侵檢測的分析方式異常檢測（AnomalyDetection）

統計模型誤報較多誤用檢測（MisuseDetection）維護一個入侵特征知識庫（CVE）準確性高完整性分析（靜態檢測）152§3入侵檢測的分析方式異常檢測（AnomalyDete§3.1異常檢測基本原理一般采用統計方法建立正常行為的特征輪廓檢查系統的運行情況是否偏離預設的門限？153§3.1異常檢測基本原理68§3.1異常檢測異常檢測的優點：可以檢測到未知的入侵可以檢測冒用他人帳號的行為具有自適應，自學習功能不需要系統先驗知識154§3.1異常檢測異常檢測的優點：69§3.1異常檢測異常檢測的缺點：漏報、誤報率高入侵者可以逐漸改變自己的行為模式來逃避檢測合法用戶正常行為的突然改變也會造成誤警統計算法的計算量龐大，效率很低統計點的選取和參考庫的建立比較困難155§3.1異常檢測異常檢測的缺點：70§3.1異常性檢測問題：在許多環境中，為用戶建立正常行為模式的特征輪廓以及對用戶活動的異常性進行報警的門