1信息安全技術12023/9/2防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災發(fā)生的時候蔓延到別的房屋，如下圖所示。這里所說的防火墻不是指為了防火而造的墻，而是指隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)。§11.1防火墻技術2信息安全技術22023/9/2在互聯(lián)網(wǎng)上，防火墻是一種非常有效的網(wǎng)絡安全系統(tǒng)，通過它可以隔離風險區(qū)域（Internet或有一定風險的網(wǎng)絡）與安全區(qū)域（局域網(wǎng)）的連接，同時不會妨礙安全區(qū)域對風險區(qū)域的訪問，網(wǎng)絡防火墻結構如下圖所示。§11.1防火墻技術3信息安全技術32023/9/2根據(jù)不同的需要，防火墻的功能有比較大差異，但是一般都包含以下三種基本功能：1、可以限制未授權的用戶進入內部網(wǎng)絡，過濾掉不安全的服務和非法用戶2、防止入侵者接近網(wǎng)絡防御設施3、限制內部用戶訪問特殊站點由于防火墻假設了網(wǎng)絡邊界和服務，因此適合于相對獨立的網(wǎng)絡，例如Intranet等種類相對集中的網(wǎng)絡。Internet上的Web網(wǎng)站中，超過三分之一的站點都是有某種防火墻保護的，任何關鍵性的服務器，都應該放在防火墻之后。§11.1防火墻技術4信息安全技術42023/9/2防火墻的必要性：（1）集中化的安全管理，強化安全策略Internet上每天都有上百萬人在那里收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良的人或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略，僅僅容許“認可的”和符合規(guī)則的請求通過。（2）網(wǎng)絡日志及使用統(tǒng)計防火墻是所有進出信息必須通路，非常適用收集關于系統(tǒng)和網(wǎng)絡使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護網(wǎng)絡和外部網(wǎng)絡之間進行記錄，對網(wǎng)絡存取訪問進行和統(tǒng)計。§11.1防火墻技術5信息安全技術52023/9/2（3）保護那些易受攻擊的服務防火墻能夠用來隔開網(wǎng)絡中一個網(wǎng)段與另一個網(wǎng)段。這樣能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡傳播。（4）增強的保密用來封鎖有關網(wǎng)點系統(tǒng)的DNS信息。因此，網(wǎng)點系統(tǒng)名字和IP地址都不要提供給Internet。（5）實施安全策略防火墻是一個安全策略的檢查站，控制對特殊站點的訪問。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。§11.1防火墻技術6信息安全技術62023/9/2防火墻有以下四方面的局限：（1）防火墻不能防范網(wǎng)絡內部的攻擊。比如：防火墻無法禁止內部間諜將敏感數(shù)據(jù)拷貝到軟盤上。（2）防火墻不能防范不通過它的連接。防火墻能夠有效地防止通過它進行傳輸信息，然而不能防止不通過它而傳輸?shù)男畔ⅰＨ绻镁W(wǎng)中有些資源繞過防火墻直接與Internet連通，則得不到防火墻的保護。（3）防火墻不能防止傳送己感染病毒的軟件或文件，不能期望防火墻去對每一個文件進行掃描，查出潛在的病毒。（4）防火墻用來防備已知的威脅，不能自動防御所有新的威脅。§11.1防火墻技術7信息安全技術72023/9/2常見的放火墻有三種類型：數(shù)據(jù)包過濾、電路層網(wǎng)關、應用層網(wǎng)關。1、包過濾(PacketFiltering)：作用在協(xié)議組的網(wǎng)絡層和傳輸層，根據(jù)分組包頭源地址、目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過，只有滿足過濾邏輯的數(shù)據(jù)包才被轉發(fā)到相應的目的地的出口端，其余數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。2、應用代理(ApplicationProxy)：也叫應用網(wǎng)關(ApplicationGateway)，作用在應用層，其特點是完全“阻隔”網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。實際中的應用網(wǎng)關通常由專用工作站實現(xiàn)。§11.1防火墻技術8信息安全技術82023/9/23、狀態(tài)檢測（StatusDetection）：直接對分組里的數(shù)據(jù)進行處理，并且結合前后分組的數(shù)據(jù)進行綜合判斷，然后決定是否允許該數(shù)據(jù)包通過。§11.1防火墻技術9信息安全技術92023/9/2包過濾防火墻：數(shù)據(jù)包過濾可以在網(wǎng)絡層截獲數(shù)據(jù)。使用一些規(guī)則來確定是否轉發(fā)或丟棄所各個數(shù)據(jù)包。通常情況下，如果規(guī)則中沒有明確允許指定數(shù)據(jù)包的出入，那么數(shù)據(jù)包將被丟棄§11.1防火墻技術10信息安全技術102023/9/2一個可靠的包過濾防火墻依賴于規(guī)則集，下表列出了幾條典型的規(guī)則集。一：主機任何端口訪問任何主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過。二：任何主機的20端口訪問主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過。三：任何主機的20端口訪問主機小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過。組序號動作源IP目的IP源端口目的端口協(xié)議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP§11.1防火墻技術11信息安全技術112023/9/2包過濾防火墻優(yōu)點：價格較低、對用戶透明、對網(wǎng)絡性能的影響很小、速度快、易于維護。包過濾防火墻缺點：包過濾配置起來比較復雜、它對IP欺騙式攻擊比較敏感、它沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。而攻擊一個單純的包過濾式的防火墻對黑客來說是比較容易的，他們在這一方面已經(jīng)積累了大量的經(jīng)驗。§11.1防火墻技術12信息安全技術122023/9/2應用代理防火墻：應用代理（ApplicationProxy）是運行在防火墻上的一種服務器程序，防火墻主機可以是一個具有兩個網(wǎng)絡接口的雙重宿主主機，也可以是一個堡壘主機。代理服務器被放置在內部服務器和外部服務器之間，用于轉接內外主機之間的通信，它可以根據(jù)安全策略來決定是否為用戶進行代理服務。代理服務器運行在應用層，因此又被稱為“應用網(wǎng)關”。§11.1防火墻技術13信息安全技術132023/9/2應用代理防火墻的優(yōu)點：可以將被保護的網(wǎng)絡內部結構屏蔽起來，增強網(wǎng)絡的安全性；可用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等。應用代理防火墻缺點：使訪問速度變慢，因為它不允許用戶直接訪問網(wǎng)絡；應用級網(wǎng)關需要針對每一個特定的Internet服務安裝相應的代理服務器軟件，用戶不能使用未被服務器支持的服務，這就意味著用戶可能會花費一定的時間等待新服務器軟件的安裝；并不是所有的Internet應用軟件都可以使用代理服務器。§11.1防火墻技術14信息安全技術142023/9/2狀態(tài)檢測防火墻：狀態(tài)檢測防火墻安全特性非常好，它采用了一個在網(wǎng)關上執(zhí)行網(wǎng)絡安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡正常工作的前提下，采用抽取相關數(shù)據(jù)的方法對網(wǎng)絡通信的各層實施監(jiān)測，抽取部分數(shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后指定安全決策的參考。狀態(tài)檢測防火墻的優(yōu)點：檢測模塊支持多種協(xié)議和應用程序，并可以很容易地實現(xiàn)應用和服務的擴充；它會監(jiān)測RPC和UDP之類的端口信息，而包過濾和代理網(wǎng)關都不支持此類端口；性能堅固。狀態(tài)檢測防火墻缺點：配置非常復雜；會降低網(wǎng)絡的速度。§11.1防火墻技術15信息安全技術152023/9/2防火墻有三種體系結構：雙宿／多宿主機結構、屏蔽主機體系結構、屏蔽子網(wǎng)體系結構1、雙宿／多宿主機結構：多宿主機通常是一臺具有多塊網(wǎng)卡的堡壘主機。堡壘主機可以充當與這些接口相連的網(wǎng)絡之間的防火墻，從一個網(wǎng)絡到另一個網(wǎng)絡發(fā)送IP數(shù)據(jù)包必須經(jīng)過主機檢查。§11.1防火墻技術16信息安全技術162023/9/22、屏蔽主機結構：該結構防火墻需要一個帶數(shù)據(jù)分組過濾功能的路由器和一臺堡壘主機。使用一個單獨的路由器控制所有出入內部網(wǎng)的訪問，并使堡壘主機成為外部網(wǎng)絡唯一可直接到達的主機。它實現(xiàn)了網(wǎng)絡層和應用層安全，提供的安全級別相對較高。§11.1防火墻技術17信息安全技術172023/9/23、屏蔽子網(wǎng)體系結構：該結構防火墻需要兩個分組過濾路由器和一臺堡壘主機。在內部網(wǎng)絡與Internet之間有一個小型的獨立網(wǎng)絡，稱為周邊網(wǎng)。兩個分組過濾路由器，一個位于周邊網(wǎng)與內部的網(wǎng)絡之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡之間。內部路由器（有時被稱為阻塞路由器）保護內部的網(wǎng)絡使之免受Internet和周邊網(wǎng)的侵犯。外部路由器起著保護周邊網(wǎng)和內部網(wǎng)免受來自Internet的攻擊。§11.1防火墻技術18信息安全技術182023/9/2入侵檢測技術是動態(tài)安全技術的最核心技術之一。傳統(tǒng)的操作系統(tǒng)加固技術和防火墻隔離技術等都是靜態(tài)安全防御技術，對網(wǎng)絡環(huán)境下日新月異的攻擊手段缺乏主動的反應。

入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息、分析信息，查看是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全防線，提供對內部攻擊、外部攻擊和誤操作的實時保護。§11.2入侵檢測技術19信息安全技術192023/9/2什么是入侵檢測入侵檢測是指對入侵行為的發(fā)現(xiàn)、報警和響應，它通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點收集信息，并對收集到的信息進行分析，從而判斷網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和系統(tǒng)被攻擊的征兆。入侵檢測的目標是識別系統(tǒng)內部人員和外部入侵者的非法使用、濫用計算機系統(tǒng)的行為。§11.2入侵檢測技術20信息安全技術202023/9/2入侵檢測系統(tǒng)功能入侵檢測系統(tǒng)能主動發(fā)現(xiàn)網(wǎng)絡中正在進行的針對被保護目標的惡意濫用或非法入侵，并能采取相應的措施及時中止這些危害，如提示報警、阻斷連接、通知網(wǎng)管等。其主要功能是監(jiān)測并分析用戶和系統(tǒng)的活動、核查系統(tǒng)配置中的安全漏洞、評估系統(tǒng)關鍵資源與數(shù)據(jù)文件的完整性、識別現(xiàn)有已知的攻擊行為或用戶濫用、統(tǒng)計并分析異常行為、對系統(tǒng)日志的管理維護。§11.2入侵檢測技術21信息安全技術212023/9/2

入侵檢測系統(tǒng)1DS（IntrusionDetectionSystem）是負責入侵檢測的軟/硬件組合體，該系統(tǒng)對系統(tǒng)資源的非授權使用能夠做出及時的判斷、記錄和報警。

簡單的入侵檢測系統(tǒng)報警攻擊模式庫配置系統(tǒng)庫入侵分析引擎

響應處理

數(shù)據(jù)采集安全控制主機系統(tǒng)系統(tǒng)操作審計記錄/協(xié)議數(shù)據(jù)§11.2入侵檢測技術22信息安全技術222023/9/2入侵檢測的三個基本步驟：信息收集、數(shù)據(jù)分析和響應。1、信息收集：收集的內容包括整個計算機網(wǎng)絡中系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為。入侵檢測在很大程度上依賴于收集信息的可靠性、正確性和完備性。因此，要確保采集、報告這些信息的軟件工具的可靠性，這些軟件本身應具有相當強的堅固性，能夠防止被篡改而收集到錯誤的信息。否則，黑客對系統(tǒng)的修改可能使入侵檢測系統(tǒng)功能失常但看起來卻跟正常的系統(tǒng)一樣。§11.2入侵檢測技術23信息安全技術232023/9/22、數(shù)據(jù)分析(AnalysisSchemes)：它是入侵檢測系統(tǒng)的核心，它的效率高低直接決定了整個入侵檢測系統(tǒng)的性能。根據(jù)數(shù)據(jù)分析的不同方式可將入侵檢測系統(tǒng)分為異常入侵檢測與誤用入侵檢測兩類。3、響應：數(shù)據(jù)分析發(fā)現(xiàn)入侵跡象后，入侵檢測系統(tǒng)就必須進行響應，而并不局限于對可疑的攻擊者。目前的入侵檢測系統(tǒng)一般采取的響應有：將分析結果記錄在日志文件中，并產(chǎn)生相應的報告；觸發(fā)警報，如在系統(tǒng)管理員的桌面上產(chǎn)生一個告警標志位，向系統(tǒng)管理員發(fā)送電子郵件等；修改入侵檢測系統(tǒng)或目標系統(tǒng)，如終止進程、切斷攻擊者的網(wǎng)絡連接，或更改防火墻配置等。§11.2入侵檢測技術24信息安全技術242023/9/2根據(jù)入侵檢測采用的原理不同，入侵檢測系統(tǒng)可分為：異常檢測、誤用檢測和特征檢測。1、異常檢測：監(jiān)控用戶行為，將當前行為活動情況和用戶輪廓（描述正常行為范圍）進行比較，用戶行為與正常行為有重大偏差時即被認為是入侵。系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。但是在許多環(huán)境中，為用戶建立正常行為模式的特征輪廓以及對用戶活動的異常性進行報警的門限值的確定都是比較困難的事，因為并不是所有入侵者的行為都能夠產(chǎn)生明顯的異常性。§11.2入侵檢測技術25信息安全技術252023/9/22、誤用檢測：系統(tǒng)提供攻擊特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄匹配時，被認為是入侵行為。錯報率較異常監(jiān)測低，但是漏報率增加，因為攻擊特征的細微變化可能不被認為是入侵行為。3、特征檢測：定義系統(tǒng)行為輪廓，并將系統(tǒng)行為與輪廓比較，對未指明為正常行為的事件定義為入侵。通過提高行為特征定義的準確度和覆蓋范圍，可大幅度降低漏報和錯報率。§11.2入侵檢測技術26信息安全技術262023/9/2根據(jù)入侵檢測的信息來源不同，入侵檢測系統(tǒng)可分為兩類：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡的入侵檢測系統(tǒng)。1、基于主機的入侵檢測系統(tǒng)：檢測的目標主要是主機系統(tǒng)和系統(tǒng)本地用戶。在需要保護的主機（端系統(tǒng)）上運行代理程序，根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，從而實現(xiàn)監(jiān)控。優(yōu)點：檢測效率高，分析代價低，分析速度快，能迅速定位入侵者缺點：會降低應用系統(tǒng)的效率；依賴于服務器固有的日志與監(jiān)視能力；全面布署代價較大，部分安裝則存在保護盲點。§11.2入侵檢測技術27信息安全技術272023/9/2審計記錄收集方法異常檢測誤用檢測安全管理員接口審計記錄數(shù)據(jù)庫審計記錄數(shù)據(jù)歸檔/查詢目標系統(tǒng)審計記錄預處理基于主機的入侵檢測系統(tǒng)模型§11.2入侵檢測技術28信息安全技術282023/9/22、基于網(wǎng)絡的入侵檢測系統(tǒng)：主要用于實時監(jiān)控網(wǎng)絡關鍵路徑的信息，監(jiān)聽網(wǎng)絡上所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。利用網(wǎng)絡適配器來實時監(jiān)視和分析所有通過網(wǎng)絡進行傳輸?shù)耐ㄐ拧Ｒ坏z測到攻擊，IDS相應模塊通過通知、報警以及中斷連接等方式來對攻擊做出反應。分析結果網(wǎng)絡接口網(wǎng)絡接口分析引擎模塊管理/配置模塊網(wǎng)絡安全數(shù)據(jù)庫采集模塊采集模塊§11.2入侵檢測技術29信息安全技術292023/9/2優(yōu)點：①檢測的范圍是整個網(wǎng)段，而不僅僅是被保護的主機。②實時檢測和應答。一旦發(fā)生惡意訪問或攻擊，能夠更快地做出反應，將入侵活動對系統(tǒng)的破壞減到最低。③隱蔽性好。不需要在每個主機上安裝，不易被發(fā)現(xiàn)。④不需要任何特殊的審計和登錄機制，只要配置網(wǎng)絡接口就可以了，不會影響其他數(shù)據(jù)源。⑤操作系統(tǒng)獨立。基于網(wǎng)絡的IDS并不依賴主機的操作系統(tǒng)作為檢測資源。

§11.2入侵檢測技術30信息安全技術302023/9/2缺點：①只檢查它直接連接網(wǎng)段的通信；②為了性能目標常采用特征檢測法，難實現(xiàn)復雜計算與分析。③會將大量的數(shù)據(jù)傳給檢測分析系統(tǒng)。§11.2入侵檢測技術31信息安全技術312023/9/2入侵檢測系統(tǒng)關鍵技術1、模式匹配：模式匹配就是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。模式匹配方法是入侵檢測領域中應用最為廣泛的檢測手段和機制之一，通常用于誤用檢測。2、統(tǒng)計分析：統(tǒng)計分析方法首先給用戶、文件、目錄和設備等系統(tǒng)對象創(chuàng)建一個統(tǒng)計描述。統(tǒng)計正常使用時的一些測量屬性，測量屬性的平均值將被用來與網(wǎng)絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生。§11.2入侵檢測技術32信息安全技術322023/9/23、專家系統(tǒng)：

專家系統(tǒng)是一種以知識為基礎，根據(jù)人類專家的知識和經(jīng)驗進行推理，解決需要專家才能解決的復雜問題的計算機程序系統(tǒng)。用專家系統(tǒng)對入侵進行檢測主要是針對誤用檢測，是針對有特征入侵的行為。4、神經(jīng)網(wǎng)絡：

神經(jīng)網(wǎng)絡具有自適應、自組織、自學習的能力，可以處理一些環(huán)境信息復雜、背景知識不清楚的問題。§11.2入侵檢測技術33信息安全技術332023/9/25、數(shù)據(jù)挖掘：

數(shù)據(jù)挖掘是從大量的數(shù)據(jù)中抽取出潛在的、有價值的知識（即模型或規(guī)則）的過程。對于入侵檢測系統(tǒng)來說，也需要從大量的數(shù)據(jù)中提取入侵特征。6、協(xié)議分析：協(xié)議分析是利用網(wǎng)絡協(xié)議的高度規(guī)則性快速探測攻擊的存在。協(xié)議分析技術對協(xié)議進行解碼，減少了入侵檢測系統(tǒng)需要分析的數(shù)據(jù)量。§11.2入侵檢測技術34信息安全技術342023/9/2入侵檢測系統(tǒng)模型介紹1、分布式入侵檢測系統(tǒng)：

§11.2入侵檢測技術35信息安全技術352023/9/2

入侵檢測系統(tǒng)模型介紹2、基于移動代理的入侵檢測系統(tǒng)：

§11.2入侵檢測技術36信息安全技術362023/9/2

入侵檢測系統(tǒng)模型介紹3、智能入侵檢測系統(tǒng)：

§11.2入侵檢測技術37信息安全技術372023/9/2入侵檢測系統(tǒng)標準化1、IETF的入侵檢測工作組IDWG：

IDWG的工作目標是定義入侵檢測系統(tǒng)中的數(shù)據(jù)格式、信息交換過程和交換協(xié)議。IDWG的文檔定義了入侵檢測系統(tǒng)中信息交換需求IDMER、信息交換的格式IDMEF、入侵檢測交換協(xié)議IDXP以及一種可以繞過防火墻的數(shù)據(jù)傳輸方法TUNNEL。2、通用入侵檢測框架CIDF：

CIDF是一套規(guī)范，它定義了IDS表達檢測信息的標準語言以及IDS組件之間的通信協(xié)議。CIDF的文檔由四個部分組成：體系結構、規(guī)范語言、內部通信和程序接口。§11.2入侵檢測技術38信息安全技術382023/9/2（1）體系結構事件產(chǎn)生器：負責從整個計算環(huán)境中獲取事件，然后將事件轉化為GIDO標準格式提交給其它組件使用。事件分析器：事件分析器從其他組件接收GIDO數(shù)據(jù)，并分析它們，然后以一個新的GIDO形式返回分析結果。事件數(shù)據(jù)庫：事件數(shù)據(jù)庫負責GIDO的存儲，是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱。響應單元：響應單元是對分析結果作出反應的功能單元，它可以是終止進程、切斷連接、改變文件屬性，也可以只是簡單的報警和記錄。§11.2入侵檢測技術39信息安全技術392023/9/2（2）規(guī)范語言規(guī)范語言定義了一個用來描述各種檢測信息的標準語言，定義了一種用于表示原始事件信息、分析結果和響應指令的語言，稱為CISL。（3）內部通信內部通信定義了IDS組件之間進行通信的標準協(xié)議。一種為匹配服務法，另一種為消息層法。匹配服務為CIDF各組件之間的相互識別、定位和信息共享提供了一個標準的統(tǒng)一機制。（4）程序接口程序接口提供了一整套標準的應用程序接口。§11.2入侵檢測技術40信息安全技術402023/9/2入侵檢測系統(tǒng)Snort

Snort是一個免費的、開放源代碼的基于網(wǎng)絡的入侵檢測系統(tǒng)，具有很好的擴展性和可移植性。1、Snort主要功能：

數(shù)據(jù)包嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡入侵檢測。2、Snort特點：（1）Snort是一個跨平臺、輕量級的網(wǎng)絡入侵檢測軟件。（2）Snort采用基于規(guī)則的網(wǎng)絡信息搜索機制，對數(shù)據(jù)包進行內容的模式匹配，從中發(fā)現(xiàn)入侵和探測行為。§11.2入侵檢測技術41信息安全技術412023/9/2（3）Snort具有實時數(shù)據(jù)流量分析和監(jiān)測IP網(wǎng)絡數(shù)據(jù)包的能力，能夠進行協(xié)議分析，對內容進行搜索/匹配。它能夠檢測各種不同的攻擊方式，對攻擊進行實時報警。它還可以用來截獲網(wǎng)絡中的數(shù)據(jù)包并記錄數(shù)據(jù)包日志。（4）Snort的報警機制豐富。（5）Snort的日志格式既可以是二進制格式，也可以解碼成ASCII字符形式，便于用戶檢查。（6）Snort使用一種簡單的規(guī)則描述語言，能夠很快對新的網(wǎng)絡攻擊作出反應。（7）Snort支持插件。可以使用具有特定功能的報告、檢測子系統(tǒng)插件對其功能進行擴展。§11.2入侵檢測技術42信息安全技術422023/9/23、Snort組成：（1）數(shù)據(jù)包解碼器。主要是對各種協(xié)議棧上的數(shù)據(jù)包進行解析、預處理，以便提交給檢測引擎進行規(guī)則匹配。（2）檢測引擎。Snort用一個二維鏈表存儲檢測規(guī)則，一維稱為規(guī)則頭，另一維稱為規(guī)則選項。規(guī)則匹配查找采用遞歸的方法，檢測機制只針對當前已經(jīng)建立的鏈表選項進行檢測。（3）日志子系統(tǒng)。Snort可供選擇的日志形式有三種：文本形式、二進制形式、關閉日志服務。（4）報警子系統(tǒng)。報警形式有五種：報警信息可發(fā)往系統(tǒng)日志；用文本形式記錄到報警文件中；用二進制形式記錄到報警文件；通過Samba發(fā)送WinPopup信息；關閉報警。§11.2入侵檢測技術43信息安全技術§11.3VPN技術一、VPN技術概述二、VPN的隧道技術三、VPN的實現(xiàn)技術四、VPN的配置44信息安全技術一、VPN技術概述在國外，虛擬專用網(wǎng)即VPN(VirtalPrivateNetwork)已經(jīng)迅速發(fā)展起來，2001年全球VPN市場將達到120億美元。在中國，雖然人們對VPN的安全性、服務質量（QoS）等方面存有疑慮，但互聯(lián)網(wǎng)和電子商務的快速發(fā)展，中國的VPN市場將逐漸熱起來。對國內的用戶來說，VPN最大的吸引力是價格。據(jù)估算，如果企業(yè)放棄租用專線而采用VPN，其整個網(wǎng)絡的成本可節(jié)約21%~45%，而那些以電話撥號方式連網(wǎng)存取數(shù)據(jù)的公司，采用VPN則可以節(jié)約通信成本50%~80%。§11.3VPN技術45信息安全技術虛擬專用網(wǎng)，顧名思義不是真的專用網(wǎng)絡，卻能實現(xiàn)專用網(wǎng)絡的功能。虛擬專用網(wǎng)指的是依靠ISP（因特網(wǎng)服務提供商）和其他NSP（網(wǎng)絡服務提供商），在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。§11.3VPN技術46信息安全技術IETF草案理解基于IP的VPN為：“使用IP機制仿真出一個私有的廣域網(wǎng)”，是通過私有的隧道技術在公共數(shù)據(jù)網(wǎng)絡上仿真一條點到點的專線技術。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用因特網(wǎng)公眾數(shù)據(jù)網(wǎng)絡的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡。由于VPN是在因特網(wǎng)上臨時建立的安全專用虛擬網(wǎng)絡，用戶就節(jié)省了租用專線的費用，在運行的資金支出上，除了購買VPN設備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費用，也節(jié)省了長途電話費。這就是VPN價格低廉的原因。§11.3VPN技術47信息安全技術VPN是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。通過對網(wǎng)絡數(shù)據(jù)的封包和加密傳輸，在一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，從而實現(xiàn)在公網(wǎng)上傳輸私有數(shù)據(jù)，達到私有網(wǎng)絡的安全級別。通常，VPN是對企業(yè)內部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路；用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。§11.3VPN技術48信息安全技術VPN應能提供如下基本功能身份鑒別:鑒權、審計地址管理：私有地址分配數(shù)據(jù)加密：保持用戶數(shù)據(jù)的私密性密鑰管理：VPN用戶和服務器之間的密鑰管理多協(xié)議支持：兼容性§11.3VPN技術49信息安全技術VPN的基本類型及應用根據(jù)用戶使用的情況和應用環(huán)境的不同，VPN主要分為三種典型的應用方式：遠程接入VPN（AccessVPN）內聯(lián)網(wǎng)VPN（IntranetVPN）外聯(lián)網(wǎng)VPN（ExtranetVPN）§11.3VPN技術50信息安全技術遠程接入VPN（AccessVPN）也稱為移動VPN，即為移動用戶提供一種訪問單位內部網(wǎng)絡資源的方式主要應用于單位內部人員在外訪問單位內部網(wǎng)絡資源，或為家庭辦公的用戶提供遠程接入單位內部網(wǎng)絡的服務遠程用戶只要通過本地號碼或免費號碼撥入ISP，然后ISP的NAS再發(fā)起一條隧道連接連到用戶的企業(yè)網(wǎng)。在這種情況下，所建立的VPN連接對遠端用戶是透明的，構建VPN所需的協(xié)議及軟件均由ISP負責管理和維護。目前遠程接入VPN使用非常廣泛。§11.3VPN技術51信息安全技術內聯(lián)網(wǎng)VPN（IntranetVPN）將位于不同地址位置的兩個內部網(wǎng)絡通過公共網(wǎng)絡連接起來，形成一個邏輯上的局域網(wǎng)。需要分別在每一個局域網(wǎng)中設置一臺VPN網(wǎng)關，同時每一個VPN網(wǎng)關都需要分配一個公用IP地址，以實現(xiàn)VPN網(wǎng)關的遠程連接。局域網(wǎng)中的所有主機都可以使用私有IP地址進行通信。主要應用于具有多個分支機構的組織進行局域網(wǎng)之間的互聯(lián)。§11.3VPN技術52信息安全技術外聯(lián)網(wǎng)VPN（ExtranetVPN）與內聯(lián)網(wǎng)相似，也是一種網(wǎng)關對網(wǎng)關的結構，但位于不同內部網(wǎng)絡的主機在功能上是不平等的。是隨著企業(yè)經(jīng)營法納公司的發(fā)展而出現(xiàn)的一種網(wǎng)絡連接方式。現(xiàn)代企業(yè)需要在企業(yè)與銀行、供應商、銷售商及客戶之間建立聯(lián)系，但在這種聯(lián)系過程中，企業(yè)需要根據(jù)不同的用戶身份進行授權訪問，建立相應的身份認證機制和訪問控制機制。其實是對內聯(lián)網(wǎng)在應用功能上的延伸，是在內聯(lián)網(wǎng)VPN的基礎上增加了身份認證、訪問控制等安全機制。§11.3VPN技術

VPN的實現(xiàn)技術隧道技術加密技術身份認證技術密鑰交換和管理§11.3VPN技術

隧道技術利用Internet等公共網(wǎng)絡已有的數(shù)據(jù)通信方式，在隧道的一端將數(shù)據(jù)進行封裝，通過已建立的隧道進行傳輸。在隧道的另一端進行解封裝，將得到的原始數(shù)據(jù)交給對端設備技術實質：用一種網(wǎng)絡層協(xié)議來傳輸另一種網(wǎng)絡層協(xié)議隧道的組成三要素：隧道開通器、有路由能力的公用網(wǎng)絡、隧道終止器隧道技術涉及的協(xié)議：隧道協(xié)議隧道協(xié)議承載協(xié)議（提供隧道傳輸?shù)牡讓訁f(xié)議）被隧道協(xié)議所承載的協(xié)議（隧道傳輸?shù)母邔訁f(xié)議）§11.3VPN技術

隧道技術從VPN應用的角度來看，隧道提供的是IP層以下的功能從公網(wǎng)傳輸?shù)慕嵌葋砜矗淼拦δ苁荌P層以上提供的一種應用服務隧道協(xié)議在這個協(xié)議體系中起著承上啟下的作用作為VPNIP層的底層，將VPNIP分組進行安全封裝作為公用IP網(wǎng)的一種特殊應用形式，將封裝的VPN分組利用公網(wǎng)內的IP協(xié)議棧進行傳輸按數(shù)據(jù)封裝時，在OSI參考模型中位置的不同分為第二層隧道技術：L2F，PPTP，L2TP第三層隧道技術：IPSec，GRE§11.3VPN技術

加密技術IPSec通過ISAKMP/IKE/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密算法，如DES、3DES等。DES密鑰長度為56位，容易被破譯，3DES使用三重加密增加了安全性。當然國外還有更好的加密算法，但國外禁止出口高位加密算法。基于同樣理由，國內也禁止重要部門使用國外算法。國內算法不對外公開，被破解的可能性極小。§11.3VPN技術

認證技術防止數(shù)據(jù)的偽造和被篡改，它采用一種稱為“摘要”的技術。“摘要”技術主要采用Hash函數(shù)將一段長的報文通過函數(shù)變換，映射為一段短的報文即摘要。由于Hash函數(shù)的特性，兩個不同的報文具有相同的摘要幾乎不可能。該特性使得摘要技術在VPN中有兩個用途：驗證數(shù)據(jù)的完整性、用戶認證。§11.3VPN技術

密鑰交換和管理VPN中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有兩種方法：一種是通過手工配置的方式；另一種采用密鑰交換協(xié)議動態(tài)分發(fā)。手工配置的方法由于密鑰更新困難，只適合于簡單網(wǎng)絡的情況。密鑰交換協(xié)議采用軟件方式動態(tài)生成密鑰，適合于復雜網(wǎng)絡的情況且密鑰可快速更新，可以顯著提高VPN的安全性。目前主要的密鑰交換與管理標準有IKE（互聯(lián)網(wǎng)密鑰交換）、SKIP（互聯(lián)網(wǎng)簡單密鑰管理）和Oakley。§11.3VPN技術

VPN的應用特點非常明顯的應用優(yōu)勢，其產(chǎn)品引起企業(yè)用戶的普遍關注軟件平臺VPN，專用硬件平臺VPN及集成到網(wǎng)絡設備的VPN不斷推出，技術推陳出新，滿足不同用戶應用需求VPN的應用優(yōu)勢節(jié)約成本提供了安全保障易于擴展VPN的不足安全問題（安全邊界的擴展、密鑰管理、身份認證）解決方案（完善的加密和認證機制并配合防火墻）§11.3VPN技術

二、VPN的隧道技術隧道技術是VPN技術的核心，加密和身份認證等安全技術都需要與隧道技術相結合來實現(xiàn)。目前主流的隧道協(xié)議包括了在數(shù)據(jù)鏈路層的PPTP、L2TP協(xié)議；在網(wǎng)絡層的IPSec協(xié)議；在TCP層的SOCKsv5協(xié)議；在會話層的SSL協(xié)議。§11.3VPN技術

1、PPTP協(xié)議PointtoPointTunnelingProtocol，點到點隧道協(xié)議Microsoft、Ascend、3Com在PPP協(xié)議的基礎上開發(fā)加密認證：RC4，PAP/CHAP隧道維護：使用TCP協(xié)議進行隧道維護（建立、拆除）封裝形式：PPP幀可承載上層VPN中多種類型的網(wǎng)絡層協(xié)議，提供加密和壓縮功能使用通用路由封裝協(xié)議（GRE）封裝PPP幀GRE封裝在IP分組中傳輸§11.3VPN技術

1、PPTP協(xié)議PPTP是PPP協(xié)議的一種擴展用于建立AccessVPN工作過程遠程用戶通過某種方式連接到Internet用戶可能采用PPP協(xié)議通過本地ISP上網(wǎng)遠程用戶希望訪問某VPN中的資源通過二次撥號，建立到VPNPPTP服務器的PPP連接即PPTP隧道，在IP公網(wǎng)上建立的一個PPP連接PPTP隧道建立類似PPP連接的建立，需驗證用戶身份隧道建立后，遠程用戶訪問VPN有安全保障§11.3VPN技術

2、L2F協(xié)議Layer2Forwarding，第二層轉發(fā)協(xié)議Cisco可以在多種媒質如ATM、幀中繼、IP網(wǎng)上建立多協(xié)議的安全VPN通信方式隧道的配置、建立對用戶是完全透明的主要缺陷：沒有把標準的加密方法包括在協(xié)議的定義中§11.3VPN技術

3、L2TP協(xié)議Layer2TunnelingProtocol，第二層隧道協(xié)議MS，Ascend，Cisco，3COM，Bay以PPTP和L2F為基礎，結合了兩者的特點隧道控制沿用PPTP的思想，使用UDP協(xié)議和一系列L2TP