第9章網(wǎng)絡安全技術2023/2/1學習目標本章主要講解網(wǎng)絡環(huán)境下安全防范技術：網(wǎng)絡安全包括哪些常用技術和手段網(wǎng)絡掃描技術作用和實施網(wǎng)絡防火墻的作用和工作機理入侵檢測系統(tǒng)的作用和工作機理使用蜜罐技術有效發(fā)現(xiàn)網(wǎng)絡入侵行為3/492023/2/14如何保護網(wǎng)絡免遭入侵？42023/2/1本章目錄9.1網(wǎng)絡安全技術概述9.2網(wǎng)絡掃描技術9.3網(wǎng)絡防火墻技術9.4入侵檢測技術9.5蜜罐技術5/492023/2/19.1網(wǎng)絡安全技術概述網(wǎng)絡為攻擊者提供了更多方便由于網(wǎng)絡的存在，攻擊者更容易通過網(wǎng)絡非法入侵他人網(wǎng)絡系統(tǒng)、計算機系統(tǒng)，非法訪問網(wǎng)絡上的資源，非法竊取終端系統(tǒng)中的數(shù)據(jù)。內部網(wǎng)絡、外部網(wǎng)絡與安全邊界網(wǎng)絡通常分為內部網(wǎng)絡和外部網(wǎng)絡(也稱公共網(wǎng)絡，如Internet)，內外網(wǎng)絡之間的連接設備(路由器)成為安全邊界，對安全邊界的監(jiān)控是網(wǎng)絡安全的重要內容。網(wǎng)絡安全防御體系主動防御模型6/492023/2/19.1網(wǎng)絡安全技術概述網(wǎng)絡安全技術構建網(wǎng)絡安全防御體系，除了必要的人、制度、機制、管理等方面保障，還要依賴于各種網(wǎng)絡安全技術。掃描技術：發(fā)現(xiàn)內部網(wǎng)絡安全薄弱環(huán)節(jié)，進行完善保護。防火墻技術：在內部與外部網(wǎng)絡銜接處，阻止外部對內部網(wǎng)絡的訪問，限制內部對外部網(wǎng)絡的訪問等。入侵檢測系統(tǒng)：發(fā)現(xiàn)非正常的外部對內部網(wǎng)絡的入侵行為，報警并阻止入侵行為和影響的進一步擴大。隔離網(wǎng)閘技術：在物理隔離的兩個網(wǎng)絡之間進行安全數(shù)據(jù)交換。7/492023/2/1本章目錄9.1網(wǎng)絡安全技術概述9.2網(wǎng)絡掃描技術9.3網(wǎng)絡防火墻技術9.4入侵檢測技術9.5蜜罐技術8/492023/2/1如何探測網(wǎng)絡拓撲結構及網(wǎng)絡中系統(tǒng)存在的安全弱點？992023/2/19.2網(wǎng)絡掃描技術目的是發(fā)現(xiàn)網(wǎng)絡中的設備及系統(tǒng)是否存在安全漏洞。典型的網(wǎng)絡掃描包括主機掃描和端口掃描。主機掃描目的是確定在目標網(wǎng)絡上的主機是否可達，常用的掃描手段如ICMPEcho掃描、BroadcastICMP掃描等。防火墻和網(wǎng)絡過濾設備常常導致傳統(tǒng)的探測手段變得無效。為了突破這種限制，攻擊者通常利用ICMP協(xié)議提供的錯誤消息機制，例如發(fā)送異常的IP包頭、在IP頭中設置無效的字段值、錯誤的數(shù)據(jù)分片，以及通過超長包探測內部路由器和反向映射探測等。10/492023/2/19.2網(wǎng)絡掃描技術端口掃描目的是發(fā)現(xiàn)目標主機的開放端口，包括網(wǎng)絡協(xié)議和各種應用監(jiān)聽的端口。端口掃描技術包括開放掃描、隱蔽掃描和半開放掃描等。典型的端口掃描方法TCPConnect掃描和TCP反向ident掃描。TCPXmas和TCPNull掃描是FIN掃描的兩個變種。TCPFTP代理掃描。分段掃描，將數(shù)據(jù)包分為兩個較小的IP段。TCPSYN掃描和TCP間接掃描，兩種半開放掃描。11/492023/2/1本章目錄9.1網(wǎng)絡安全技術概述9.2網(wǎng)絡掃描技術9.3網(wǎng)絡防火墻技術9.4入侵檢測技術9.5蜜罐技術12/492023/2/1如何隔離內部網(wǎng)絡與外部網(wǎng)絡？13132023/2/19.3.1防火墻概念、功能網(wǎng)絡防火墻是建立在內部網(wǎng)絡(Intranet)與外部網(wǎng)絡(Extranet)之間的安全網(wǎng)關(Gateway)。網(wǎng)絡防火墻的部署示意圖14/492023/2/19.3.1防火墻概念、功能1．防火墻的特性內部網(wǎng)絡與外部網(wǎng)絡之間所有的網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻。只有符合安全策略的數(shù)據(jù)流才能通過防火墻。防火墻自身應具有非常強的抗攻擊免疫力。15/492023/2/19.3.1防火墻概念、功能2．防火墻的功能防火墻是網(wǎng)絡安全的屏障防火墻可以強化網(wǎng)絡安全策略對網(wǎng)絡接入和訪問進行監(jiān)控審計防止內部信息的外泄集成其它網(wǎng)絡應用功能，如VPN、NAT等16/492023/2/19.3.2防火墻工作原理1．包過濾技術

包過濾防火墻工作在OSI體系結構的網(wǎng)絡層。對通過防火墻的每個IP數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進行檢查，與預先設定好的防火墻過濾規(guī)則進行匹配，一旦發(fā)現(xiàn)某個數(shù)據(jù)包的某個或多個部分與過濾規(guī)則匹配并且條件為“阻止”的時候，這個數(shù)據(jù)包就會被丟棄。從“靜態(tài)包過濾”到

“動態(tài)包過濾”17/492023/2/19.3.2防火墻工作原理1．包過濾技術

包過濾規(guī)則舉例18/492023/2/19.3.2防火墻工作原理包過濾防火墻通常要對經(jīng)過的數(shù)據(jù)包檢查下列字段：源IP地址和目的IP地址；TCP、UDP和ICMP等協(xié)議類型；源TCP端口和目的TCP端口；源UDP端口和目的UDP端口；ICMP消息類型；輸出分組的網(wǎng)絡接口。19/492023/2/19.3.2防火墻工作原理包過濾規(guī)則的匹配結果分為三種情況：如果一個分組與一個拒絕轉發(fā)的規(guī)則相匹配，則該分組將被禁止通過；如果一個分組與一個允許轉發(fā)的規(guī)則相匹配，則該分組將被允許通過；如果一個分組沒有與任何的規(guī)則相匹配，則該分組將被禁止通過。這里遵循了“一切未被允許的皆禁止”的原則。20/492023/2/19.3.2防火墻工作原理2．應用代理技術具有應用協(xié)議分析(ApplicationProtocolAnalysis)能力的防火墻。“應用協(xié)議分析”技術工作在OSI模型的最高層——應用層上，在這一層防火墻能“看到”應用數(shù)據(jù)最終形式，因而可以實現(xiàn)更高級、更全面的數(shù)據(jù)檢測。采取代理機制進行工作，即內外部網(wǎng)絡之間的通信都需要先經(jīng)過代理服務器審核，內外部網(wǎng)絡的計算機不能直接連接會話，這樣就可以避免攻擊者使用“數(shù)據(jù)驅動”網(wǎng)絡攻擊。代理機制使防火墻的性能受到一定的限制。21/492023/2/19.3.2防火墻工作原理3、狀態(tài)監(jiān)視(StatefulInspection)技術

在動態(tài)包過濾技術基礎上發(fā)展而來的防火墻技術，能夠對網(wǎng)絡通信的各個層次實施監(jiān)測，并根據(jù)各種過濾規(guī)則進行決策。狀態(tài)監(jiān)視技術在支持對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進行分析的基礎上，進一步發(fā)展了“會話過濾”（SessionFiltering）功能，在每個連接建立時，防火墻會為該連接構造一個會話狀態(tài)，包含了該連接數(shù)據(jù)包的所有信息，之后基于連接狀態(tài)信息對每個數(shù)據(jù)包的內容進行分析和監(jiān)視。狀態(tài)監(jiān)視技術結合了包過濾技術和應用代理技術，實現(xiàn)上更復雜，也會占用更多的資源。22/499.3.3基于DMZ的防火墻部署基于DMZ的防火墻部署方式9.3.3基于DMZ的防火墻部署關于DMZ(DeMilitarizedZone)DMZ稱為“隔離區(qū)”，也稱“非軍事化區(qū)”，它是內部網(wǎng)絡與外部網(wǎng)絡之間的一個屏蔽子網(wǎng)，在安全系統(tǒng)與非安全系統(tǒng)之間建立一個緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內部網(wǎng)絡和外部網(wǎng)絡之間，放置一些必須公開的服務器設施，如企業(yè)Web服務器、FTP服務器和論壇等。支持DMZ部署方式防火墻產品提供至少3個網(wǎng)路接口，一個用于連接外部網(wǎng)絡——通常是Internet，一個用于連接內部網(wǎng)絡，一個用于連接提供對外服務的屏蔽子網(wǎng)。2023/2/1本章目錄9.1網(wǎng)絡安全技術概述9.2網(wǎng)絡掃描技術9.3網(wǎng)絡防火墻技術9.4入侵檢測技術9.5蜜罐技術25/492023/2/1如何檢測非法入侵網(wǎng)絡行為？26262023/2/19.4.1入侵檢測系統(tǒng)概述入侵檢測：通過收集和分析計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點的信息，檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。實現(xiàn)這一功能的軟件與硬件組合即構成入侵檢測系統(tǒng)IDS(IntrusionDetectionSystem)。IDS與IPS(IntrusionPreventionSystem)入侵檢測系統(tǒng)分類主機型IDS是安裝在服務器或PC機上軟件，監(jiān)測到達主機的網(wǎng)絡信息流；網(wǎng)絡型IDS一般配置在網(wǎng)絡入口處（路由器）、或網(wǎng)絡核心交換處（核心交換路由）通過旁路技術監(jiān)測網(wǎng)絡上的信息流。27/492023/2/19.4.1入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)的主要功能監(jiān)測、記錄并分析用戶和系統(tǒng)的活動；核查系統(tǒng)配置和漏洞；評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性；識別已知的攻擊行為；統(tǒng)計分析異常行為；管理操作系統(tǒng)日志，識別違反安全策略的用戶活動。28/492023/2/19.4.1入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)的組成IDS需要分析的數(shù)據(jù)稱為事件(Event)，它可以是網(wǎng)絡中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其它途徑得到的信息。IDS一般包括以下組件

事件產生器(Eventgenerators)事件分析器(Eventanalyzers)響應單元(Responseunits)事件數(shù)據(jù)庫(Eventdatabases)29/499.4.2IDS類型與部署

1.網(wǎng)絡IDS網(wǎng)絡IDS是網(wǎng)絡上的一個監(jiān)聽設備，通過監(jiān)聽網(wǎng)絡上傳遞的報文，按照協(xié)議對報文進行分析，并報告網(wǎng)絡中可能存在的入侵或非法使用者信息，還能對入侵行為自動地反擊。網(wǎng)絡IDS的部署9.4.2IDS類型與部署

1.網(wǎng)絡IDS網(wǎng)絡IDS通過旁路技術實時采集網(wǎng)絡通信流量采用總線式的連接方式交換機的調試端口(SpanPort)連接IDS采用分接器并聯(lián)IDS網(wǎng)絡IDS承擔兩種職責實時監(jiān)測安全審計9.4.2IDS類型與部署

1.網(wǎng)絡IDS網(wǎng)絡IDS的工作原理：按事件分析方法分類基于知識的數(shù)據(jù)模式判斷方法：分析建立網(wǎng)絡中非法使用者(入侵者)的工作方法——數(shù)據(jù)模型，在實時檢測網(wǎng)絡流量時，將網(wǎng)絡中讀取的數(shù)據(jù)與數(shù)據(jù)模型比對，匹配成功則報告事件。9.4.2IDS類型與部署

1.網(wǎng)絡IDS網(wǎng)絡IDS的工作原理：按事件分析方法分類基于知識的數(shù)據(jù)模式判斷方法原理邏輯圖2023/2/19.4.2IDS類型與部署1.網(wǎng)絡IDS網(wǎng)絡IDS的工作原理：按事件分析方法分類基于行為的行為模式判斷方法統(tǒng)計行為判斷：根據(jù)上面模式匹配的事件，在進行事后統(tǒng)計分析時，根據(jù)已知非法行為的規(guī)則判斷出非法行為。異常行為判斷：根據(jù)平時統(tǒng)計的各種信息，得出正常網(wǎng)絡行為準則，當遇到違背這種準則的事件發(fā)生時，報告非法行為事件。34/492023/2/19.4.2IDS類型與部署2．主機IDS基本原理以主機系統(tǒng)日志、應用程序日志等作為數(shù)據(jù)源，也可以包括其他資源（如網(wǎng)絡、文件、進程），從所在的主機上收集信息并進行分析，通過查詢、監(jiān)聽當前系統(tǒng)的各種資源的使用、運行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用或修改的事件，并進行上報和處理。35/492023/2/19.4.2IDS類型與部署2．主機IDS主機IDS可以完成以下工作截獲本地主機系統(tǒng)的網(wǎng)絡數(shù)據(jù)，查找出針對本地系統(tǒng)的非法行為。掃描、監(jiān)聽本地磁盤文件操作，檢查文件的操作狀態(tài)和內容，對文件進行保護、恢復等。通過輪詢等方式監(jiān)聽系統(tǒng)的進程及其參數(shù)，檢查出非法進程。查詢系統(tǒng)各種日志文件，報告非法的入侵者。36/499.4.3IDS工作原理

從工作原理上，IDS包含兩大部分：引擎：讀取原始數(shù)據(jù)和產生事件控制中心：顯示和分析事件以及策略制定9.4.3IDS工作原理

IDS引擎的主要功能和工作流程通過讀取和分析原始數(shù)據(jù)比對事件規(guī)則庫對異常數(shù)據(jù)產生事件，根據(jù)定義的安全策略規(guī)則庫匹配響應策略，按照策略處理相應事件，并與控制中心以及聯(lián)動設備進行通信。9.4.3IDS工作原理

IDS控制中心與引擎通信，讀取引擎事件，并存入控制中心事件數(shù)據(jù)庫，也可以把接收到的事件以各種形式實時顯示在屏幕上；通過控制中心可以修改事件規(guī)則庫和響應策略規(guī)則庫并下發(fā)給IDS引擎；控制中心具有日志分析功能，通過讀取事件數(shù)據(jù)庫中的事件數(shù)據(jù)，按照用戶要求生成各種圖形和表格，便于用戶事后對過去一段時間內的工作狀態(tài)進行分析和瀏覽。2023/2/19.4.4典型入侵檢測系統(tǒng)規(guī)劃與配置40/492023/2/1本章目錄9.1網(wǎng)絡安全技術概述9.2網(wǎng)絡掃描技術9.3網(wǎng)絡防火墻技術9.4入侵檢測技術9.5蜜罐技術41/492023/2/1如何更有效地檢測非法入侵網(wǎng)絡行為？42422023/2/19.5蜜罐技術蜜罐(Honeypot)技術可以看成是一種誘導技術，目的是發(fā)現(xiàn)惡意攻擊和入侵。通過設置一個“希望被探測、攻擊甚至攻陷”系統(tǒng)，模擬正常的計算機系統(tǒng)或網(wǎng)絡環(huán)境，引誘攻擊者入侵蜜罐系統(tǒng)，從而發(fā)現(xiàn)甚至定位入侵者，發(fā)現(xiàn)攻擊模式、手段和方法，進而發(fā)現(xiàn)配置系統(tǒng)的缺陷和漏洞，以便完善安全配置管理消除安全隱患。蜜罐可以分為高交互蜜罐（High-interactionhoneypots）低交互蜜罐（Low-interactionhoneypots）43/492023/2/19.5蜜罐技術1.高交互蜜罐一個高交互蜜罐是一個常規(guī)的計算機系統(tǒng)，如使用一臺標準計算機、路由器等。即高交互蜜罐實際上是一個配置了真實操作系統(tǒng)和服務的系統(tǒng)，為攻擊者提供一個可以交互的真實系統(tǒng)。這一系統(tǒng)在網(wǎng)絡中沒有常規(guī)任務，也沒有固定的活動用戶。系統(tǒng)上只運行正常守護進程或服務，不應該有任何不正常的進程，也不產生任何網(wǎng)絡流量。44/492023/2/19.5蜜罐技術1.高交互蜜罐高交互蜜罐可以完全被攻陷，它們運行真實操作系統(tǒng)，可能帶有所有已知和未知的安全漏洞，攻擊者與真實的系統(tǒng)和真實的服務交互，使得我們能夠捕獲大量的威脅信息。當攻擊者獲得對蜜罐非授權訪問時，可以捕捉他們對漏洞的利用，監(jiān)視他們的按鍵，找到他們的工具，搞清他們的動機。即使攻擊者使用了我們尚不知道的未知漏洞，通過分析其入侵過程和行為，可以發(fā)現(xiàn)其使用的方法和手段，即所謂發(fā)現(xiàn)“零日攻擊”。45/492023/2/19.5蜜罐技術2.低交互蜜罐低交互蜜罐則是使用特定軟件工具模擬操作系統(tǒng)、網(wǎng)絡堆棧或某些特殊應用程序的一部分功能，例如具有網(wǎng)絡堆棧、提供TCP連接、提供HTTP模擬服務等。低交互蜜罐允許攻擊者與目標系統(tǒng)有限交互，允許管理員了解關于攻擊的主要的定量信息。優(yōu)點是簡單、易安裝和