“網絡安全與維護”課程考核內容Copyright?McGraw-HillEducation.Allrightsreserved.NoreproductionordistributionwithoutthepriorwrittenconsentofMcGraw-HillEducation.本章內容防火墻設備的基礎知識防火墻的設備實踐操作技能入侵檢測設備的基礎知識入侵檢測系統實踐技術統一安全網關基礎知識防火墻設備基礎知識防火墻的基本概念

防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障，是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關(SecurityGateway)，從而保護內部網免受非法用戶的侵入。防火墻的基本功能（1）增強的保密性（2）保護脆弱的服務（3）控制對系統的訪問（4）集中的安全管理防火墻的工作原理

通過檢查每個數據包的IP地址采用的通信協議和端口號來判斷是否允許放行。

防火墻將內部狀態信息和連接狀態進行比較，如果符合其中的某一條規則，就允許數據包通過，如果不符合就丟棄。因此只要定義想要禁止應用程序的TCP和UDP端口號，就能阻擋該應用程序和網絡服務，不允許建立特定的鏈接。防火墻的分類

根據防火墻所采用的技術不同，我們可以將它分為三種基本類型：包過濾型、代理型和監測型。1、包過濾防火墻又分為：靜態包過濾和動態包過濾2、代理防火墻分為：代理防火墻和自適應代理防火墻防火墻硬件參數

防火墻硬件參數是指設備使用的處理器類型或芯片及主頻，內存容量，閃存容量，網絡接口，存儲容量類型等數據。防火墻設備實踐操作技能防火墻初始化配置

防火墻使用安全的登錄方式，只有通過嚴格的身份認證后才能對防火墻進行管理。登錄防火墻后，初始化向導可以幫助用戶在防火墻第一次上線前進行基本功能的配置。使用防火墻實實現安全的訪訪問控制包過濾防火墻墻規則中應該阻止如下幾種種IP包進入內部網。

源源地址是內部部地址的外來來數據包。指定中中轉路由器的的數據包。有效載載荷很小的數數據包。還應阻止某些類類型的內部網網數據包進入入外部網，特特別

是那些些用于建立局局域網和提供供內部網通信信服務的各種種

協議數據據包使用防火墻實實現安全NAT網絡地址轉換換（NetworkAddressTranslation，NAT），也稱IP地址偽裝技術術（IPMasquerading）。最初設計NAT的目的是允許許將私有IP地址映射到公公網（合法的因特網網IP地址），以減少IP地址短缺的問題。。正是因為這個原因因，我們至今今還能使用IPv4，否則早就已經升級到IPv6了。此外，NAT還具有的功能能。內部主機機地址隱藏。。網絡負載載均衡。網絡地址址交迭處理。。配置防火墻地地址綁定原理：如果防火墻某網口口配置了IP/MAC地址綁定功能能，并設置了了默認策略（（允許或禁止止）后，當該該網口接收數數據包時，防防火墻將根據據數據包中的的源IP地址與源MAC地址，檢查管管理員設置好好的IP/MAC地址綁定表。。如果地址綁綁定表中查找找成功，匹配配則允許數據據包通過，不不匹配則禁止止數據包通過過。如果查找找失敗，則按按缺省策略（（允許或禁止止）執行。使用防火墻實實現URL過濾URL過濾器的判斷斷依據是基于于最終目的地地址或者被請請求的網址，，URL過濾有三種主主要額方法：：客戶端，代代理服務器和和網絡，并且且每一種方法法都不熟一個個禁止訪問站站點的黑名單單或一個僅由由能被訪問站站點組成的白白名單。1、客戶端過濾濾器作為一個個軟件楔子進進行部署，軟軟件楔子被插插入網絡協議議棧，監控所所有的web流量2、基于代理服服務器的過濾濾器使用web代理服務器，，它負責處理理來自瀏覽器器的web請求，并從互互聯網或本地地告訴緩存檢檢索文檔。3、基于網絡的的URL過濾器部署在在網絡的出口口點兵檢查通通過網絡的流流量。使用防火墻保保護服務資源源原理：服務保護是防火墻墻的一種安全全功能，可以限制從某個區區域到達另外外一個區域中中主機或服務器的連接數。配置客戶端認認證原理：RG-WALL防火墻的訪問問控制功能可可以對客戶端端的身份進行行驗證，只有有客戶端通過過驗證后，才才允許通過安安全策略訪問問網絡資源。。配置防火墻鏈鏈路負載原理：防火墻的策略路由功功能可以實現現路由的負載載均衡，即到達同一目的的地的報文可可以指定多個下一跳地址。。使用防火墻限限制連接帶寬寬原理：RG-WALL防火墻集成了了QoS（服務質量））功能，利用用防火墻的帶帶寬控制功能能，可以限制制每個IP地址或者每個個子網訪問外外部網絡所占占用的帶寬使用防火墻限限制P2P流量原理：P2P技術是一種具具備客戶端和和服務器雙重重特性，可以以同時作為服服務使用者和和服務提供者者。由于P2P技術的飛速發發展，現在Internet上70％的流量都是是P2P的流量。由于于P2P技術在下載的的同時，也需需要上傳，導導致個人用戶戶的下行流量量和上行流量量都很大。P2P流量造成了網網絡的極度擁擁塞。RG-WALL防火墻對P2P軟件采用深度度檢測的方法法，可以精確確的識別P2P流量，以達到到對P2P流量進行控制制的目的。使用防火墻防防止DOS攻擊原理：SYNFlood是一種常見的的DoS攻擊，這種攻攻擊通過使用用偽造的源IP地址，向目標標主機（被被攻擊端）發發送大量的TCPSYN報文。目標主主機接收到SYN報文后，會向向偽造的源地地址回應TCPSYN_ACK報文以等待發發送端的ACK報文來建立連連接。但是由由于發送端的的地址是偽偽造的，所以以被攻擊端永永遠不會收到到合法的ACK報文，這將造造成被攻擊端端建立大量的的半開放連連接，消耗大大量的系統資資源，導致不不能提供正常常的服務。防火墻的抗攻擊功能能可以對SYNFlood攻擊進行檢測測，阻止大量量的TCPSYN報文到達被被攻擊端，保保護內部主機機的資源。防火墻中VPN的配置與使用用防火墻對象定定義及策略路路由設置過濾規則應用入侵檢測設備備基礎知識入侵檢測系統統定義入侵檢測(intrusion

detection)簡單地說就就是通過實實時地分析析數據來檢檢測、記錄錄和終止非非法的活動動或入侵的的能力。在在實際應用用中，入侵侵檢測比以以上簡單的的定義要復復雜得多，，一般是通通過各種入入侵檢測系統(Intrusion

DetectionSystem—IDS)來實現各種種入侵檢測測的功能。。入侵檢測測系統通過過對入侵行行為的過程程與特征進進行研究，，使安全系系統對入侵侵事件和入入侵過程作作出實時響響應，包括括切斷網絡絡連接、記記錄事件和和報警等。。入侵檢測系系統功能入侵檢測系系統主要執執行如下任任務：監視、、分析用戶戶及系統活活動。系統構構造和弱點點的審計。。識別反反映已知進進攻的活動動模式并向向相關人士士報警。異常行為模模式的統計計分析。評估重重要系統和和數據文件件的完整性性。操作系統的的審計跟蹤蹤管理，并并識別用戶戶違反安全全策略的行行為。入侵檢測系系統工作原原理實時入侵檢檢測在網絡絡連接過程程中進行，，系統根據據用戶的歷歷史行為模模型、存儲儲在計算機機中的專家家知識以及及神經網絡絡模型對用用戶當前的的操作進行行判斷，一一旦發現入入侵跡象立立即斷開入入侵者與主主機的連接接，并收集集證據和實實施數據恢恢復。這個個檢測過程程是不斷循循環進行的的。而事后后入侵檢測測則是由具具有網絡安安全專業知知識的網絡絡管理人員員來進行的的，是管理理員定期或或不定期進進行的，不不具有實時時性，因此此防御入侵侵的能力不不如實時入入侵檢測系系統。入侵檢測系系統類型1、基于主機機的入侵檢檢測系統：：主要用于于保護運行行關鍵應用用的服務器器。它通過過監視與分分析土機的的審計記錄錄和日志文文件：來檢檢測入侵。。日志中包包含發生在在系統上的的不尋常和和不期望活活動的證據據，這些證證據可以指指出有人正正在入侵或或已成功入入侵了系統統。通過查查看日志文文件，能夠夠發現成功功的入侵或或入侵企圖圖，并很快快地啟動相相應的應急急響應程序序。2、基于網絡絡的入侵檢檢測系統：：主要用于于實時監控控網絡關鍵鍵路徑的信信息，它監監聽網絡上上的所有分分組來采集集數據，分分析可疑現現象。入侵檢測系統設設備深信服下一代防防火墻通過過提出“融融合安全，，簡單有效效”價值主主張，為用用戶業務提提供全生命命周期保護護，真正實實現全程可可視和全程程保護。事前：深信信服NGAF幫助用戶在在事前自動動發現新增增資產、評評估漏洞及及是否有保保護策略。。事中：構建建L2-7層縱深防御御體系，屏屏蔽防護短短板且具備備聯動和關關聯分析能能力。事后：持續續檢測繞過過防御的威威脅，并通通過云端安安全服務提提供7*24小時快速響響應的技術術服務。在在IT業務運維全全過程內向向用戶提供供對風險的的認知、對對保護過程程的認知和和對結果的的認知，幫助IT系統更簡單單、更安全全、更有價價值。入侵檢測系系統設備性性能指標1．每秒數據據流量（Mbps或Gbps）2．每秒抓包包數（pps）3．每秒能監監控的網絡絡連接數4．每秒能夠夠處理的事事件數入侵檢測產產品選擇要要點要考慮的要要點有：1.系統的價格2.特征庫升級與維維護的費用3.對于網絡入侵檢檢測系統，，最大可處處理流量(包/秒PPS)是多少4.該產品容易易被躲避嗎5.產品的可伸伸縮性6.運行與維護系統統的開銷7.產品支持的的入侵特征征數8.產品有哪些響應應方法9.是否通過了國家家權威機構構的評測入侵檢測系系統實踐技技術RG-IDS賬戶管理用戶管理承承擔著系統統認證中心心的角色。。用戶登錄錄時認證中中心對用戶戶名、密碼碼做認證，，如果有綁綁定設置則則根據其綁綁定方式（（靜態綁定定、動態綁綁定）對用用戶做綁定定處理。此此外，在認認證登錄用用戶時，如如果某個用用戶從相同同的IP（隱含的動動態綁定））重復多次次登錄嘗試試，則將該該用戶視為為可疑用戶戶，認證中中心會將該該用戶鎖定定，同時發發送審計事事件通知用用戶管理員員（觸發鎖鎖定的登錄錄嘗試次數數可以用戶戶管理員在在創建時指指定）。RG-IDS組件管理通過控制臺臺可以管理理的組件包括EC、LogServer和Sensor。EC:EventCollector（事件收集集器):一個大型分分布式應用用中，用戶戶希望能夠夠通過單個個控制臺完完全管理多多個傳感器器，允許從從一個中央央點分發安安全策略，，或者把多多個傳感器器上的數據據合并到一一個報告中中去。用戶戶可以通過過安裝一個個事件收集集器來實現現集中管理理傳感器及及其數據。。事件收集集器還可以以控制傳感感器的啟動動和停止，，收集傳感感器日志信信息，并且且把相應的的策略發送送傳感器，，以及管理理用戶權限限、提供對對用戶操作作的審計功功能LogServer:（數據服務務器）LogServer是RG-IDS的數據處理理模塊。LogServer需要集成DB（數據庫））一起協同同工作。DB（數據庫））是一個第第三方數據據庫軟件。。RG-IDS7.1.2支持微軟MSDE、SQLServer，并即將支支持MySQL和Oracle數據據庫庫，，根根據據部部署署規規模模和和需需求求您您可可以以選選擇擇其其中中之之一一作作為為您您的的數數據據庫庫。Sensor（傳感感器器））部部署署在在需需要要保保護護的的網網段段上上，，對對網網段段上上流流過過的的數數據據流流進進行行檢檢測測，，識識別別攻攻擊擊特特征征，，報報告告可可疑疑事事件件，，阻阻止止攻攻擊擊事事件件的的進進一一步步發發生生或或給給予予其其它它相相應應的的響響應應。。RG-IDS策略略管管理理傳感感器器使使用用策策略略來來控控制制其其所所監監測測的的內內容容，，并并對對監監測測到到的的事事件件作作出出響響應應。。您您可以以使使用用系統統管管理理平平臺臺所所附附帶帶的的預預定定義義策策略略，，也也可可以以從從預預定定義義策策略略派派生生新新的的策策略略。預預定定義策策略略分分別別側側重重于于用用戶戶所所關關心心的的各各種種層層面面，，用用戶戶可可選選擇擇適適合合自自己己的的預預定定義策策略略直接接應應用用。?？伎紤]慮到到用用戶戶的的不不同同需需求求，，系系統統管管理理平平臺臺提提供供了了用用戶戶自自定定義義策略略的的功能能。。用用戶戶可可以以從從預預定定義義策策略略派派生生新新的的策策略略并并且且對對新新策策略略進進行行編編輯輯，，用用戶戶還可可對其其關關心心的的部部分分攻攻擊擊簽簽名名進進行行微微調調，，以以便便更更符符合合用用戶戶的的需需要要。。策略略是是一一個個文文件件，，其其中中包包含含稱稱為為““簽簽名名””的的一一列列項項目目，，這這些些項項目目確確定定了了傳傳感感器器所所能能監監測測的的內內容容。。策策略略控控制制傳傳感感器器的的以以下下行行為為：傳感器檢檢測的安全事事件的種類。每一事件件的優先權。。傳感器器對安全事件件的響應方式式。簽名是網絡傳傳感器用來檢檢測一個事件件或一系列事事件的內部代代碼，這些事事件有可能表表明網絡受到到了攻擊，也也可能提供安安全方面的信信息。配置交換機端端口鏡像把交換機一個個或多個端口口（VLAN）的數據鏡像像到一個或多多個端口的方方法。端口鏡鏡像（PortMirroring）可以讓用戶戶將所有的流流量從一個特特定的端口復復制到一個鏡鏡像端口。端口鏡像選取取的設備原則則為網絡中連連接重要服務務器群的交換換機或路由器器，或是連接接到網通的出出口路由器。。為什么需要端端口鏡像？通常為了部署署流量分析、、IDS等產品需要監監聽網絡流量量，但是在目目前廣泛采用用的交換網絡絡中監聽所有有流量有相當當大的困難，，因此需要通通過配置交換換機來把一個個或多個端口口（VLAN）的數據轉發發到某一個端端口來實現對對網絡的監聽聽。端口掃描向目目標主機的TCP/IP服務端口發送送探測數據包包，并記錄目目標主機的響響應。通過過分析響應來來判斷服務端端口是打開還還是關閉，就就可以得知端端口提供的服服務或信息。。端口掃描也也可以通過捕捕獲本地主機機或服務器的的流入流出IP數據包來監視視本地主機的的運行情況，，它僅能對接接收到的數據據進行分析，，幫助我們發發現目標主機機的某些內在在的弱點，而而不會提供進進入一個系統統的詳細步驟驟。端口口掃描技術行行為作為惡意意攻擊的前奏奏，嚴重威脅脅用戶的網絡絡，RG-IDS通過掃描的行行為特征準確確的識別出惡惡意的掃描行行為，并及時時通知管理員員。端口掃描攻擊擊檢測DoS攻擊檢測DDoS攻擊檢測密碼策略審計計密碼攻擊是駭駭客攻擊時最最常用到的方方式之一，利利用密碼的猜猜測、暴力破破解等方法來來掌握關鍵帳帳號的密碼，，已達到控制制遠程機器的的目的。防范此種攻擊最常常用的方法是是保障密碼的的強度，即對對帳號所使用用的密碼長度度、復雜度（（使用大小寫寫、字母、數數字、非標準準字符等進行行組合）進行行強制性要求求。當服務器登錄錄賬號密碼使使用簡單密碼碼（低于規定定密碼強度））時，IDS將發出警告。。Ⅱ服務漏洞攻擊擊檢測漏洞檢測技術術通常采用兩兩種策略：被被動式和主動動式策略。被動式策略是是基于主機的的檢測，對系系統中不適合合的設置，脆脆弱的口令以以及其他同安安全策略相抵抵觸的對象進進行檢查。主動式策略是是基于網絡的的檢測，通過過執行一些腳腳本文件對系系統進行攻擊擊，并記錄它它的反應，從從而發現其中中的漏洞，漏漏洞檢測的結結果實際上是是對系統安全全性能的一個個評估，因此此成為安全方方案的一個重重要組成部分分。緩沖區溢出攻攻擊檢測緩沖區溢出是指當計計算機向緩沖沖區內填充數數據位數時超超過了緩沖區區本身的容量量，溢出的數數據覆蓋在合合法數據上。。理想的情況況是：程序會會檢查數據長長度，而且并并不允許輸入入超過緩沖區區長度的字符符。但是絕大大多數程序都都會假設數據據長度總是與與所分配的儲儲存空間相匹匹配，這就為為緩沖區溢出出埋下隱患。。操作系統所所使用的緩沖沖區，又被稱稱為“堆?！薄保诟鱾€操操作進程之間間，指令會被被臨時儲存在在“堆?！碑敭斨?，“堆棧?！币矔霈F現緩沖區溢出出。緩沖區區溢出攻攻擊是是利用用緩沖沖區溢溢出漏漏洞所所進行行的攻攻擊行行動。。緩沖沖區溢溢出是是一種種非常常普遍遍、非非常危危險的的漏洞洞，在在各種種操作作系統統、應應用軟軟件中中廣泛泛存在在。利利用緩緩沖區區溢出出攻擊擊，可可以導導致程程序運運行失失敗、、系統統關機機、重重新啟啟動等等后果果。WindowsPnp遠程執執行代代碼漏漏洞攻攻擊檢檢測MicrosoftWindows即插即即用（（PnP）功能能允許許操作作系統統在安安裝新新硬件件時能能夠檢檢測到到這些些設備備。MicrosoftWindows即插即即用功功能中中存在在緩沖沖區溢溢出漏漏洞，，成功功利用用這個個漏洞洞的攻攻擊者者可以以完全全控制制受影影響的的系統統。起起因是是PnP服務處處理包包含有有過多多數據據的畸畸形消消息的的方式式。在在Windows2000上，匿匿名用用戶可可以通通過發發送特特制消消息來來利用用這個個漏洞洞；在在WindowsXPServicePack1上，只只有通通過認認證的的用戶戶才能能發送送惡意意消息息；木馬攻攻擊檢檢測44蠕蟲病病毒傳傳輸檢檢測對蠕蟲蟲在網網絡中中產生生的異異常，，有多多種的的的方方法可可以對對未知知的蠕蠕蟲進進行檢檢測，，比較較通用用的方方法有有對流流量異異常的的統計計分析析，對對tcp連接異異常的的分析析，網網威入入侵檢檢測在在這兩兩種分分析的的基礎礎上，，又使使用了了對ICMP數據異異常分分析的的方法法，可可以更更全面面的檢檢測網網絡中中的未未知蠕蠕蟲。。配置IDS與防火火墻聯聯動入侵檢檢測系系統在在捕捉捉到某某一攻攻擊事事件后后，按按策略略進行行檢查查，如如果策策略中中對該該攻擊擊事件件設置置了防防火墻墻阻斷斷，那那么入入侵檢檢測系系統就就會發發給防防火墻墻一個個相應應的動動態阻阻斷策策略。。防火火墻根根據該該動態態策略略中的的設置置進行行相應應的阻阻斷，，阻斷斷的時時間、、阻斷斷時間間間隔隔、源源端口口、目目的端端口、、源IP和目的的IP等信息息，完完全依依照入入侵檢檢測系系統發發出的的動態態策略略來執執行。。以Ping-of-Death簽名為為攻擊擊事件件，在在沒有有配置置為聯聯動的的響應應方式式之前前，攻攻擊機機能夠夠向被被攻擊擊機發發送超超大字字節的的ICMP報文，，并被被IDS檢測到到。實實施RG-IDS與RG-WALL聯動后后，IDS首先檢檢測到到Ping-of-Death攻擊，，并將將事件件的信信息包包括源源、目目的地地址等等通過過SSH通知防防火墻墻，防防火墻墻根據據IDS發送的的攻擊擊事件件信息息自動動生成成響應應規則則，阻阻斷攻攻擊源源和目目的之之間通通信。。使用自自定義義事件件進行行檢測測事件列列表窗窗口類類似于于告警警策略略列表表窗口口，其其中顯顯示由由用戶戶（策策略管管理員員）定定義的的特殊殊事件件組。。策略略管理理員從從一般般事件件攻擊擊簽名名中選選擇對對用戶戶監控控更有有意義義的特特殊事事件攻攻擊簽簽名插插入到到特殊殊事件件組中中。具具有事事件查查看權權限的的安全全事件件查看看員可可以查查看特特殊事事件列列表。。告警事件風風暴抑制管管理事件歸并配配置：事件件歸并的整整體配置””是指針對對所有安全全事件簽名名設置一種種缺省的歸歸并策略，，這個歸并并策略將會會作用在每每一個傳感感器上，也也就是說來來自不同傳傳感器的告告警將不會會被歸并在在一起。一一旦開啟這這個功能，，所有事件件的缺省歸歸并策略即即是該策略略，但是即即便用戶開開啟了整體體歸并策略略，也還可可以對每一一個安全事事件簽名在在“事件歸歸并”設置置中逐一修修改歸并策策略。因此此該功能事事實上是對對沒有設置置歸并策略略的告警的的整體配置置。事件歸歸并策略的的內容包括括，是否啟啟用事件歸歸并，缺省省按照事件件名稱歸并并（不可更更改），然然后可以按按照事件的的源、目的的地址和端端口歸并。。事件歸并并個別配置置指對于某某一個或某某幾個攻擊擊簽名以及及某一類攻攻擊簽名單單獨配置，，系統只針針對個別攻攻擊簽名進進行歸并。。洪波波抑制：洪洪波抑制