信息安全工程师----第五章 5.4安全设备

第五章 5.4安全设备

防火墙

防火墙是网络关联的重要设备，用于控制网络之间的语言。外部网络用户的访问必须先经过安全策略过滤，而内部网络用户对外部网络的访问则无须过滤。

常见的三种防火墙技术：

1.包过滤防火墙
包过滤防火墙主要是针对OSI模型中的网络层和传输层的信息进行分析。通常包过滤防火墙用来控制IP、UDP、TCP、ICMP和其他协议。包过滤防火墙对通过防火墙的数据包进行检查，只有满足条件的数据包才能通过，对数据包的检查内容一般包括源地址、目的地址和协议。包过滤防火墙通过规则（如ACL）来确定数据包是否能通过。配置了ACL的防火墙可以看成包过滤防火墙

包过滤技术可能存在的攻击有：IP地址欺骗、源路由攻击、微分片攻击；

2.代理服务器式防火墙

3.基于状态检测的防火墙

状态检查技术是包过滤技术的一种增强，其主要思想就是利用防火墙已经验证通过的连接，建立一个临时的状态表。状态表的生成过程是：对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，省策划生成状态表。

1、防火墙的目的是实施访问控制和加强站点安全策略，其访问控制包含四个方面或层次的内容：服务控制、方向控制、用户控制、行为控制。

2、防火墙可以实现的功能如下：
1）防火墙设立了单一阻塞点，它使得未授权的用户无法进入网络，禁止了潜在的易受攻击的服务进入或是离开网络，同时防止了多种形式的IP欺骗和路由攻击。
2）防火墙提供了一个监控安全事件的地点。对于安全问题的检查和警报可以在防火墙系统上实施。
3）防火墙还可以提供一些其他功能，比如地址转换器，它把私有地址映射为Internet地址，又如网络管理功能，它用来审查和记录Internet的使用。
4）防火墙可以作为IPSec的平台。防火墙可以用来实现虚拟专用网络。

3、按照防火墙实现的技术不同可以分为：数据包过滤、应用层网关、电路层网关。

经典防火墙体系结构：

双重宿主主机结构：以一台双重宿主主机作为防火墙系统的主体，分离内外网

被屏蔽主机体系结构：一台独立的路由器和内网堡垒主机构成的防火墙系统。通过包过滤方式实现内外网隔离和内网保护

被屏蔽子网体系结构：由DMZ网络、外部路由器、内部路由器以及堡垒主机构成的防火墙系统。外部路由器保护DMZ和内网、内部路由器隔离DMZ和内网。

防火墙规则

防火墙的安全规则由匹配条件和处理方式构成。

1.匹配条件，即逻辑表达式。如果表达式结果为真，说明规则匹配成功，则依据规则处理数据。

当防火墙工作在网络层时，依据IP报头进行规则匹配。
匹配条件包含：

• IP源地址
• IP目的地址
• 协议
• 源端口
• 目的端口
• ACK码字

2.安全规则的处理方式主要有三种

• Accept：允许数据报文通过
• Reject：拒绝数据报文通过，并且通知信息源
• Drop：直接丢弃数据报文，并且不通知信息源

防火墙的缺省规则：

• 默认拒绝：未被允许的就是被禁止的。处理方式为Accept

• 默认允许：未被禁止的就是允许的。处理方式可以是Reject，也可以是Drop。

  入侵检测和入侵防护

  1、入侵检测与防护的技术主要有两种：入侵检测系统（Instrusion Detection System,IDS）和入侵防护系(InstrusionPreventionSystem,IPS)

  2、入侵检测的基本模型是PDR模型，其思想是防护时间大于检测时间和响应时间。

  3、针对静态的系统安全模型提出了“动态安全模型（P2DR）”.P2DR模型包含4个主要部分：Policy(安全策略),Protection(防护),Detection(检测)和Response(响应)

  4、入侵检测技术主要分为两大类型：异常入侵检测和误用入侵检测。

  5、入侵检测系统的体系结构大致可以分为基于主机型（Host-Based）、基于网络型（Network-Based）和基于主体型（Agent-Based）三种。

  6、基于主机入侵检测系统的检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上。

  7、基于网络的入侵检测系统是根据网络流量、协议分析、简单网络管理协议信息等数据检测入侵，如Netstat检测就是基于网络型的。

  8、基于主体的入侵检测系统主要的方法是采用相互独立运行的进程组（称为自治主体）分别负责检测，通过训练这些主体，并观察系统行为，然后将这些主体认为是异常的行为标记出来，并将检测结果传送到检测中心。

  9、异常检测的方法有统计方法、预测模式生成、专家系统、神经网络、用户意图识别、数据挖掘和计算机免疫学方法等。

  10、误用检测一般是由计算机安全专家首先对攻击情况和系统漏洞进行分析和分类，然后手工的编写相应的检测规则和特征模型。

  11、Snort的配置有3个主要模式：嗅探（Sniffer）、包记录（PacketLogger）和网络入侵检测（Network Instrusion Detection）.嗅探模式主要是读取网络上的数据包并在控制台上用数据流不断地显示出来；包记录模式把数据包记录在磁带上；网络入侵检测模式是最复杂最难配置的，它可以分析网流量与用户定义的规则设置进行匹配然后根据结果指行相应的操作。

VPN

1、VPN架构中采用了多种安全机制，如隧道技术（Tunneling）、加解密技术（Encryption）、密钥管理技术、身份认证技术（Authentication）等。
 
2、VPN可以通过ISAKMP/IKE/Oakley协商确定可选的数据加密算法，其中包括DES（数据加密标准），3DES（三重数据加密标准）和AES（高级加密标准）等。

3、DES该密码用56位的密钥对64位的数据块进行加密。当被加密的数据大于64位时，需要把加密的数据分割成多个64位的数据块；当被加密数据不足64位时，需要把它填充到64位。为了增强安全性，一般使用3DES。

4、三种最常见也是最为广泛实现的隧道技术是：点对点隧道协议（PPTP，Point-toPointTunnelingProtocol），第2层隧道协议（L2TP,Layer2TunnelingProtocol）,IP安全协议（IPSec）。除了这三种技术以外还有通用路由封装（GRE，GenericRouteEncapsulation）、L2F以及SOCK协议等。

5、IPSec是一个标准的第三层安全协议，是一个协议包。它工作在七层OSI协议中的网络层，用于保护IP数据包，由于工作在网络层，因此可以用于两台主机之间、网络安全网关之间或主机与网关之间爱你。其目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全。

6、IPSec的工作主要有数据验证（Authentication）,数据完整（Integrity）和信任（Confidenticality）.

7、目前IPSec协议可以采用两种方法来对数据提供加密和认证：ESP（EncapsulatingSecurityPayload）协议和AH（AuthenticationHeader）协议。

网络协议分析与流量控制工具

网络协议分析与流量控制工具是一个能帮助网络管理者捕获和解析网络中的数据，从而得到网络现状的工具

网络流量监控技术
常用的流量检测技术如下：

• 基于硬件探针的监测
• 基于流量镜像的监测
• 基于SNMP的流量监测

• 基于NetFlow的流量监测

  协议分析

流量监控的基础是协议分析。

主要方法:

• 端口识别
• 深度包监测

• 深度流监测

  常见的网络协议分析与流量控制工具

常见的网络协议分析与流量控制工具有Sniffer、Wireshark、MRTG、NBAR、网御SIS-3000等