規則

一般包含以下各項：

       源地址、源端口 、目的地址、目的端口、協議類型、協議標志、服務類型、動作。

規則原則

       按地址過濾；

       按服務過濾。

防火墻的規則動作

有以下幾種類型：

        通過（accept）

        允許IP包通過防火墻傳輸。

        放棄（deny）

        不允許IP包通過防火墻傳輸，但僅僅丟棄，不做任何響應。

        拒絕（reject）

        不允許IP包通過防火墻傳輸，并向源端發送目的主機不可達的ICMP報文。

        返回（return）

        沒有發現匹配的規則，省缺動作。

規則舉例（包過濾）

只允許Telet出站的服務

雙宿主主機結構防火墻 

核心是具有雙宿主功能的主機。

       至少有兩個網絡接口，充當路由器。

不允許兩網之間的直接發送功能。

       僅僅能通過代理，或讓用戶直接登陸到雙宿主主機來提供服務。

提供高級別的安全控制。

問題：

       用戶賬號本身會帶來明顯的安全問題，會允許某種不安全的服務；通過登陸來使用因特網太麻煩。

雙宿主主機結構防火墻 

屏蔽主機防火墻 

主要的安全機制由屏蔽路由器來提供。

堡壘主機位于內部網絡上，是外部能訪問的惟一的內部網絡主機。

       堡壘主機需要保持更高的安全等級。

問題：

       如果路由器被破壞，整個網絡對侵襲者是開放的。如堡壘主機被侵，內部網絡的主機失去任何的安全保護。

屏蔽主機防火墻 

堡壘主機

設計與構筑堡壘主機的原則：

       使堡壘主機盡量簡單；

       隨時做好堡壘主機可能被損害的準備。

堡壘主機提供的服務：

       同因特網相關的一些服務；

       刪除所有不需要的服務；

不要在堡壘主機上保留用戶賬號。

屏蔽子網防火墻 

添加額外的安全層：周邊網，將內部網與因特網進一 步隔開。

周邊網即：非軍事化區，提供附加的保護層，入侵者如侵入周邊網，可防止監聽（sniffer）內部網的通信（竊取密碼），不會損傷內部網的完整性。周邊網上的主機主要通過主機安全來保證其安全性。

屏蔽子網防火墻使用了兩個屏蔽路由器，消除了內部網絡的單一侵入點，增強了安全性。 

兩個屏蔽路由器的規則設置的側重點不同。

       外部路由器只允許外部流量進入，內部路由器只允許內部流量進入。

高性能過濾算法 

規則庫的規模很大 ,對規則的處理速度決定了防火墻的速度。

對高性能過濾算法的要求：

       過濾算法的速度應當足夠快； 

       理想的過濾算法應當能夠對任意的數據域進行匹配，包括鏈路層，網絡層，傳輸層，甚至應用層的頭部； 

       過濾算法應當能夠支持待匹配規則具有各種表示方法； 

       過濾算法應當具有實時性，能夠對規則表的改變做出實時響應。 

網絡地址轉換（NAT）

目的：

       解決IP地址空間不夠問題；

       向外界隱藏內部網結構。

方式：

       M-1：端口NAT，多個內部網地址翻譯到一個IP地址；

       1-1：靜態NAT，簡單的地址翻譯；

       M-N：NAT池 ，M個內部地址翻譯到N個IP地址池。

網絡地址轉換原理 

利用NAT實現負載均衡 

隱患掃描技術

基本原理：采用模擬黑客攻擊的形式對目標可能存在的已知安全漏洞和弱點進行逐項掃描和檢查 ，根據掃描結果向系統管理員提供周密可靠的安全性分析報告。

目標可以是工作站、服務器、交換機、數據庫應用等各種對象。 

能自動發現網絡系統的弱點。

       系統的安全弱點就是它安全防護最弱的部分，容易被入侵者利用。 

隱患掃描技術的基本實現方法 

基于單機系統的安全評估系統。 

基于客戶的安全評估系統。 

采用網絡探測（Network probe）方式的安全評估系統。 

采用管理者/代理（Manager/Agent）方式的安全評估系統。

隱患掃描系統的組成（1） 

安全漏洞數據庫

       安全性漏洞原理描述、及危害程度、所在的系統和環境等信息；

       采用的入侵方式、入侵的攻擊過程、漏洞的檢測方式；

       發現漏洞后建議采用的防范措施。 

 

安全漏洞掃描引擎

       與安全漏洞數據庫相對獨立，可對數據庫中記錄的各種漏洞進行掃描；

       支持多種OS，以代理性試運行于系統中不同探測點，受到管理器的控制；

       實現多個掃描過程的調度，保證迅速準確地完成掃描檢測，減少資源占用；

       有準確、清晰的掃描結果輸出，便于分析和后續處理。 

隱患掃描系統的組成（2）

結果分析和報表生成

       目標網絡中存在的安全性弱點的總結；

       對目的網絡系統的安全性進行詳細描述，為用戶確保網絡安全提供依據；

       向用戶提供修補這些弱點的建議和可選擇的措施；

       能就用戶系統安全策略的制定提供建議，以最大限度地幫助用戶實現信息系統的安全。

 

安全掃描工具管理器

       提供良好的用戶界面，實現掃描管理和配置。 

為什么要需要入侵檢測系統

防火墻和操作系統加固技術等都是靜態安全防御技術，對網絡環境下日新月異的攻擊手段缺乏主動的響應，不能提供足夠的安全性。

入侵檢測系統能使系統對入侵事件和過程做出實時響應。

入侵檢測是防火墻的合理補充。

入侵檢測是系統動態安全的核心技術之一。

系統動態安全模型 

什么是入侵檢測

定義

     通過從計算機網絡和系統的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為或遭到入侵的跡象，并依據既定的策略采取一定的措施。

三部分內容：

       信息收集；

       信息分析；

       響應。 

通用入侵檢測系統模型 

信息收集技術分類

根據收集的信息來源，IDS 可分為：

       基于網絡的實時入侵檢測系統；

       基于主機的實時入侵檢測系統；

      分布式的綜合入侵檢測技術。

信息收集技術比較

基于網絡的實時入侵檢測系統：

       原始數據來源豐富，實時性、適應性、可擴展性方面具有其獨特的優勢；

       容易受到基于網絡的拒絕服務等惡意攻擊，在高層信息的獲取上更為困難。

基于主機的實時入侵檢測系統：

       能獲取高層信息，理解動作的含義；

       環境適應性、可移植性方面問題較多。

通過分析應用的日志文件檢測攻擊 

       通過分析應用的日志文件檢測攻擊。 

信息分析技術

可分為兩大類

       基于誤用 (Anomaly-based) 的分析方法

              試圖在網絡或主機的數據流中發現已知的攻擊模式（pattern）；

              可以直接識別攻擊過程，誤報率低；

              只能檢測已知的攻擊，對新的攻擊模式無能為力，需要不斷地更新模式庫（Pattern Database）；

              狀態分析、模式匹配、一致性分析。

        基于異常 (Misuse-based) 的分析方法

               首先統計和規范網絡和用戶的正常行為模式 (Activity Profile)，當網絡和用戶的行為模式偏離了其正常行為模式時，就認為是異常；

               行為異常通常意味著某種攻擊行為的發生；

               能夠檢測出新出現的攻擊模式；

               對正常行為模式的描述比較困難、誤報率高；

               統計分析。

主要信息分析技術

模式匹配

       是當前應用中最基本、最有效的檢測方法；

       以攻擊行為數據流中的特征字符串作為檢測的關鍵字，其攻擊行為模式數據庫中記錄各種攻擊行為的特征串；

       檢查數據流中是否有與模式數據庫中特征串相匹配的內容，的每種攻擊行為產生中，一般都有特定的；

       不需保存狀態信息，速度快，但只能檢測過程較簡單的攻擊。

狀態分析

        將攻擊行為的過程以狀態轉移圖的形式記錄在模式數據庫中，狀態轉移的條件是網絡或系統中的一些特征事件；

        檢測軟件記錄所有可能攻擊行為的狀態，并從數據流中提取特征事件進行狀態轉移，當轉移到達某個特定狀態時，就被認為是檢測到了一次攻擊行為；

       用于檢測過程較復雜的攻擊過程（如分布式攻擊）。

主要信息分析技術

統計分析

       基于異常的檢測方式；

       通過統計方式總結系統的正常行為模式；

       利用若干統計變量來刻畫當前系統的狀態，通過統計變量與正常行為模式的偏差來檢測可能的入侵行為。

應用數據挖掘技術

       使用一定的數據挖掘算法進行挖掘，推導出系統的正常行為模式和入侵的行為模式；

       需要提出一種真正自適應的、無須預標識的數據挖掘的方式。 

主要信息分析技術

預測模式生成技術

       試圖基于已經發生的事件來預測未來事件，如果一個與預測統計概率偏差較大的事件發生，則被標志為攻擊。比如規則：E1—>E2—>(E3=80%，E4=15%，E5=5%)，即假定事件E1和E2已經發生，E3隨后發生的概率是80%，E4隨后發生的概率是15%，E5隨后發生的概率是5%，若E1、E2發生了，接著E3發生，則為正常的概率很大，若E5發生，則為異常的概率很大，若E3、E4、E5都沒有發生，而是發生了模式中沒有描述到的E5，則可以認為發生了攻擊。預測模式生成技術的問題在于未被這些規則描述的入侵腳本將不會被標志為入侵。此類系統較容易發現在系統學習期間試圖訓練系統的用戶。 

分布式入侵檢測 

       針對分布式攻擊的入侵檢測技術。

       入侵檢測系統采用分布式計算技術。 

      主要難點：

             各部件間的協作；

             安全攻擊的相關性分析。

公共入侵檢測框架CIDF 

由DARPA(美國國防部高級研究計劃局)于1997年3月提出的。 

目的：

       IDS構件共享；

       數據共享；

       完善互用性標準并建立一套開發接口和支持工具。 

主要是通過定義數據格式和數據交換接口來實現其目標的。 

CIDF的框架 

 

健壯性。 

可配置性。 

可擴展性。

可升級性。 

自適應性。 

全局分析。 

有效性。 

虛擬專用網VPN

采用加密和認證技術，利用公共通信網絡設施的一部分來發送專用信息，為相互通信的節點建立起的一個相對封閉的、邏輯上的專用網絡。

通常用于大型組織跨地域的各個機構之間的聯網信息交換，或是流動工作人員與總部之間的通信。

只允許特定利益集團內可以建立對等連接，保證在網絡中傳輸的數據的保密性和安全性。 

目標是在不安全的公共網絡上建立一個安全的專用通信網絡。 

虛擬專用網VPN的好處

實現了網絡安全。 

簡化網絡設計和管理。 

降低成本。 

容易擴展，適應性強。 

可隨意與合作伙伴聯網。 

完全控制主動權。 

支持新興應用。 

IP VPN 的基本信息處理過程 

內部網主機發送明文信息到連接公共網絡的 VPN 設備。

VPN設備根據網絡管理員設置的規則，確定是否需要對數據進行加密或讓數據直接通過。

對需要加密的數據，VPN設備在網絡IP層對整個IP數據包進行加密和附上數字簽名。

VPN設備重新封裝加密后數據（加上新的數據報頭，包括目的地VPN設備所需的安全信息和一些初始化參數），然后將其通過虛擬通道在公共網絡上傳輸。

當數據包到達目標VPN設備時，數據包被解除封裝，數字簽名被核對無誤后數據包被解密還原。

IP VPN 的基本信息處理過程

VPN的主要技術

隧道技術（Tunneling）。

加解密技術（Encryption & Decryption）。

密鑰管理技術（Key Management）。

使用者與設備身份鑒別技術（Authentication）

隧道技術 

利用一種網絡協議來傳輸另一種網絡協議，它主要利用網絡隧道協議來實現這種功能。 

涉及了三種網絡協議：

       網絡隧道協議；

       隧道協議下面的承載協議；

       隧道協議所承載的被承載協議。 

有兩種類型的隧道協議：

       二層隧道協議：如L2F、PPTP、L2TP等； 

       三層隧道協議：如GRE協議、IPsec協議等。

隧道的基本組成 

一個隧道的基本組成：

（1）一個路由網絡（Internet）；

（2）一個隧道終結器；

（3）一個隧道啟動器。

點到點隧道協議（PPTP） 

是由Microsoft和Ascend在PPP協議的基礎上開發的。

隧道的加密認證協議使用專用驗證協議PAP或通用交接驗證協議CHAP（RFC1994）。

通過撥號連接的PPTP協議棧 

PPTP協議的優越性 

通過PPTP，遠程用戶可經由因特網訪問企業的網絡和應用，而不再需要直接撥號至企業的網絡。 

PPTP在IP網絡中支持非IP協議，PPTP隧道將IP、IPX、AppleTalk等協議封裝在IP包中，使用戶能夠運行基于特定網絡協議的應用程序。

其隧道機制采用現有的安全檢測和鑒別策絡，還允許管理員和用戶對現有數據進行加密，使數據更安全。

提供了靈活的地址管理。

第二層隧道協議（L2TP）

綜合了PPTP和L2F兩者的特點：

       隧道控制沿用了PPTP的協議；

       認證過程沿襲了L2F協議；

       模塊化采用了獨立的L2TP報頭。

L2TP利用控制報文進行隧道維護，使用UDP/PPP通過隧道來傳輸數據報文。

PPTP與L2TP的比較

PPTP是主動隧道模式

       撥號用戶有權在初始PPP協商之后選擇PPTP隧道的目的端。其隧道對于ISP來說是透明的，ISP不需保留PPTP服務器地址，只需象傳送其他IP數據一樣傳送PPTP數據。

       PPTP的模型是一個單獨的端用戶，所建立的VPN結構是端到端隧道（由客戶端到PPTP服務器）。

L2TP是被動隧道模式

       ISP控制PPP會話的終節點。這在用戶需要通過ISP撥入到ICP時很有作用。

L2TP的模型是有大量已配置的用戶，使得VPN很像普通的撥號訪問系統。其隧道始于NAS，止于L2TP服務器。 

通用路由封裝GRE協議 

GRE隧道建立于源路由器和目的路由器之間。

封裝形式（IP環境）。

隧道必須手工配置，每次隧道終點改變，都需要重新配置。

GRE 只提供了數據包的封裝，它并沒有加密功能 ,在實際環境中它常和IPsec在一起使用。 

PPTP與IPSec的比較

在安全性方面 

       PPTP工作在第二層，可以發送IP之外的數據包，比如IPX或NetBEUI數據包； 

       IPSec在第三層運行 ，只能提供IP包的隧道傳輸； 

       從加密強度和數據集成方面來說，IPSec一般被認為要優于PPTP； 

       PPTP 無鑒別功能。

安裝和維護方面 

       從簡單性的角度看，PPTP在安裝部署和維護上要容易些。 

密鑰管理技術 

SKIP（Simple Key Management for IP）

       SKIP是由SUN公司開發的一種技術，主要是利用Diffie-Hellmail算法。 

IPsec中的ISAKMP/Oakley 

       密鑰管理系統同鑒別和安全功能是松散耦合。 

身份鑒別技術 

使用者身份鑒別 

       通常采用遠程身份驗證撥入用戶服務 RADIUS。 

設備身份鑒別

       證書（Certificate）。 

VPN業務分類 

撥號VPN（Access VPN ）

       企業員工或企業的小分支機構通過公網遠程撥號的方式構筑的虛擬網。 

專線VPN 

       內部網VPN（Intranet VPN）

              連接企業總部、遠程辦事處和分支機構。 

       外聯網VPN（Extranet VPN） 

              將客戶、供應商、合作伙伴或興趣群體連接到企業內部網。