資源描述:
《信息安全概論網(wǎng)絡(luò)安全技術(shù)》由會(huì)員上傳分享��,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1����、第5章防火墻與入侵檢測(cè)內(nèi)容提要本章介紹兩部分的內(nèi)容:防火墻和入侵檢測(cè)技術(shù)。介紹防火墻的基本概念�����,常見防火墻類型以及如何使用規(guī)則集實(shí)現(xiàn)防火墻��。介紹入侵檢測(cè)系統(tǒng)的基本概念以及入侵檢測(cè)的常用方法如何編寫入侵檢測(cè)工具以及如何使用工具實(shí)現(xiàn)入侵檢測(cè)。防火墻的定義防火墻的本義原是指古代人們房屋之間修建的墻����,這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋���,如圖5-1所示����。防火墻的定義這里所說的防火墻不是指為了防火而造的墻���,而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)���。在互聯(lián)網(wǎng)上,防火墻是一種非常有效的網(wǎng)絡(luò)安全系統(tǒng)�����,通過它可以隔離
2����、風(fēng)險(xiǎn)區(qū)域(Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連接,同時(shí)不會(huì)妨礙安全區(qū)域?qū)︼L(fēng)險(xiǎn)區(qū)域的訪問����,網(wǎng)絡(luò)防火墻結(jié)構(gòu)如圖5-2所示��。防火墻的功能根據(jù)不同的需要�����,防火墻的功能有比較大差異,但是一般都包含以下三種基本功能��?����?梢韵拗莆词跈?quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)����,過濾掉不安全的服務(wù)和非法用戶防止入侵者接近網(wǎng)絡(luò)防御設(shè)施限制內(nèi)部用戶訪問特殊站點(diǎn)由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù),因此適合于相對(duì)獨(dú)立的網(wǎng)絡(luò)����,例如Intranet等種類相對(duì)集中的網(wǎng)絡(luò)。Internet上的Web網(wǎng)站中���,超過三分之一的站點(diǎn)都是有某種防火墻保護(hù)的���,任
3����、何關(guān)鍵性的服務(wù)器���,都應(yīng)該放在防火墻之后�����。防火墻的必要性隨著世界各國(guó)信息基礎(chǔ)設(shè)施的逐漸形成�,國(guó)與國(guó)之間變得“近在咫尺”�。Internet已經(jīng)成為信息化社會(huì)發(fā)展的重要保證。已深入到國(guó)家的政治�����、軍事��、經(jīng)濟(jì)���、文教等諸多領(lǐng)域����。許多重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息����、銀行資金轉(zhuǎn)帳、股票證券��、能源資源數(shù)據(jù)���、科研數(shù)據(jù)等重要信息都通過網(wǎng)絡(luò)存貯、傳輸和處理���。因此���,難免會(huì)遭遇各種主動(dòng)或被動(dòng)的攻擊。例如信息泄漏����、信息竊取、數(shù)據(jù)篡改���、數(shù)據(jù)刪除和計(jì)算機(jī)病毒等��。因此��,網(wǎng)絡(luò)安全已經(jīng)成為迫在眉睫的重要問題�,沒有網(wǎng)絡(luò)安全就沒有社會(huì)信息化防火墻的局
4、限性沒有萬(wàn)能的網(wǎng)絡(luò)安全技術(shù)���,防火墻也不例外���。防火墻有以下三方面的局限:防火墻不能防范網(wǎng)絡(luò)內(nèi)部的攻擊。比如:防火墻無法禁止變節(jié)者或內(nèi)部間諜將敏感數(shù)據(jù)拷貝到軟盤上���。防火墻也不能防范那些偽裝成超級(jí)用戶或詐稱新雇員的黑客們勸說沒有防范心理的用戶公開其口令�,并授予其臨時(shí)的網(wǎng)絡(luò)訪問權(quán)限����。防火墻不能防止傳送己感染病毒的軟件或文件,不能期望防火墻去對(duì)每一個(gè)文件進(jìn)行掃描�,查出潛在的病毒。防火墻的分類常見的放火墻有三種類型:1����、分組過濾防火墻;2��、應(yīng)用代理防火墻;3�����、狀態(tài)檢測(cè)防火墻�����。分組過濾(PacketFiltering):作用在
5����、協(xié)議組的網(wǎng)絡(luò)層和傳輸層,根據(jù)分組包頭源地址�����、目的地址和端口號(hào)���、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過,只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地的出口端��,其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄��。應(yīng)用代理(ApplicationProxy):也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway)�,它作用在應(yīng)用層,其特點(diǎn)是完全“阻隔”網(wǎng)絡(luò)通信流,通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序��,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用�。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。狀態(tài)檢測(cè)(StatusDetection):直接對(duì)分組里的數(shù)據(jù)進(jìn)行處理�����,并
6�、且結(jié)合前后分組的數(shù)據(jù)進(jìn)行綜合判斷,然后決定是否允許該數(shù)據(jù)包通過�。分組過濾防火墻數(shù)據(jù)包過濾可以在網(wǎng)絡(luò)層截獲數(shù)據(jù)。使用一些規(guī)則來確定是否轉(zhuǎn)發(fā)或丟棄所各個(gè)數(shù)據(jù)包���。通常情況下���,如果規(guī)則中沒有明確允許指定數(shù)據(jù)包的出入,那么數(shù)據(jù)包將被丟棄一個(gè)可靠的分組過濾防火墻依賴于規(guī)則集��,表5-1列出了幾條典型的規(guī)則集���。第一條規(guī)則:主機(jī)10.1.1.1任何端口訪問任何主機(jī)的任何端口�,基于TCP協(xié)議的數(shù)據(jù)包都允許通過����。第二條規(guī)則:任何主機(jī)的20端口訪問主機(jī)10.1.1.1的任何端口�,基于TCP協(xié)議的數(shù)據(jù)包允許通過��。第三條規(guī)則:任何主機(jī)的20
7����、端口訪問主機(jī)10.1.1.1小于1024的端口,如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過����。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1允許10.1.1.1***TCP2允許*10.1.1.120*TCP3禁止*10.1.1.120<1024TCP用WinRoute創(chuàng)建包過濾規(guī)則WinRoute目前應(yīng)用比較廣泛,既可以作為一個(gè)服務(wù)器的防火墻系統(tǒng)��,也可以作為一個(gè)代理服務(wù)器軟件����。目前比較常用的是WinRoute4.1,安裝文件如圖5-4所示�����。以管理員身份安裝該軟件���,安裝完畢后�,啟動(dòng)“WinRouteAdministra
8�、tion”,WinRoute的管理界面如圖5-5所示�。默認(rèn)情況下,該密碼為空��。點(diǎn)擊按鈕“OK”��,進(jìn)入系統(tǒng)管理�����。當(dāng)系統(tǒng)安裝完畢以后�,該主機(jī)就將不能上網(wǎng),需要修改默認(rèn)設(shè)置����,點(diǎn)擊工具欄圖標(biāo),出現(xiàn)本地網(wǎng)絡(luò)設(shè)置對(duì)話框��,然后查看“Ethernet”的屬性��,將兩個(gè)復(fù)選框全部選中����,如圖5-6所示��。利用WinRoute創(chuàng)建包過濾規(guī)則����,創(chuàng)建的規(guī)則內(nèi)容是:防止主機(jī)被別的計(jì)算機(jī)使用“Ping”指
