(一)防火墙
隔离内网和外网,监控内部网络和外部网络的所有活动,以便保证内网安全。
A 防火墙的4个功能:
1、监控点。
防火墙这个监控点一旦建立,就可以监视、过滤和检查所有进出这个监控点的流量。
2、安全策略
防火墙的主要目的是强制执行用户的安全策略,将所有安全策略(如:口令、加密、身份认证和审计等)集于一身。
3、日志记录
防火墙强制日志记录,并提供报警功能。
4、防止外泄
防火墙对内部网络进行隔离,并因此隐藏了内部网络的拓扑结构和服务逻辑。
B 防火墙的发展:
1、第一代防火墙
一代防火墙,又称包过滤防火墙,通过数据包源ip、目的ip和端口号等参数来决定是否允许数据包的通过和转发;但是,一代防火墙不能抵御IP地址欺骗等攻击,而且欠缺审计功能。
2、第二代防火墙
二代防火墙,也称代理防火墙,提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接的作用,能有效防止对内部网络的直接攻击。
3、第三代防火墙
三代防火墙,又称状态监控防火墙,可以对每一层的数据包进行检测和监控。
4、第四代防火墙
四代防火墙,又称新一代防火墙(之前的一二三代都是传统防火墙),超出了传统防火墙的范畴,是一个全方位的安全技术集成系统,可以抵御常见的网络攻击(如:IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击和邮件攻击等)
C 防火墙的分类:
1、按数据处理方式
(1)包过滤防火墙
一代,静态包过滤。
数据包的报头信息和过滤规则进行匹配。报头信息中包括源IP、目的IP、传输协议(如:TCP、UDP和ICMP等)、TCP/UDP目的端口、ICMP消息类型等。基于“最小特权原则”,即明确哪些数据包可以通过,而禁止其他的数据包。
二代,动态包过滤。
可以动态设置包过滤规则,后来发展为包状态检测技术,可以对每个连接进行跟踪,并可动态添加和更新过滤规则中的条目。
(2)代理防火墙
一代代理防火墙
又称应用层网关防火墙,通过代理技术参与TCP连接的全过程,使得从内网发出的数据包在经过防火墙处理后,就像是源于防火墙外部网络一样,从而隐藏内网结构。代理防火墙可以抵御数据驱动类型的攻击内部网络。最大的优点是安全,最大的缺点是吞吐量是瓶颈。
二代自适应代理防火墙
由自适应代理服务器和动态包过滤器组成,同时保证包过滤防火墙的高速度和代理防火墙的安全性,性能是代理防火墙的10倍。
2、按网络体系结构
(1)网络级防火墙(即为包过滤防火墙)
网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。
(2)应用级网关(即为代理防火墙)
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。
(3)电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能:代理服务器(Proxy Server)。
(4)规则检查防火墙
结合了包过滤防火墙、应用级网关和电路级网关的特点。
D 分布式防火墙
由网络防火墙、主机防火墙和中心管理软件3部分组成,依靠包过滤、特洛伊木马过滤和脚本过滤3层过滤检查,保护个人计算机不受到网络攻击。
E 物理隔离技术
1、一代产品,双机双网技术
2、二代产品,双硬盘隔离卡
3、三代产品,单硬盘隔离卡
F 网闸
在安全隔离(物理隔离)的基础上,再实现信息交换的系统。
G 防水墙技术
防止堡垒从内部攻破。
H UTM技术
一种安全设备,统一威胁管理(UTM)设备。这类产品集成多种安全技术于一身,包括防火墙、虚拟专用网络(VPN)、入侵检测和防御(IDP)以及网关防病毒等。
(二)IDS
入侵检测系统(Intrusion Detection System,IDS)是探测计算机网络攻击行为的软件或者硬件。它是防火墙的合理补充,被认为是范获取之后的第二道安全闸门,可以帮助网络管理员探查进入网络的入侵行为,从而扩展系统管理员的安全管理能力。
对于收集到的有关系统、网络、数据以及用户活动的状态和行为等信息,通过3种技术手段进行分析。如:模式匹配、统计分析、完整性分析。
IDS分类:
1、基于网络的IDS,即(Network Intrusion Detection Systems,NIDS)
2、基于主机的IDS,即(Host Intrusion Detection Systems,HIDS)
IDS信号分析:
1、模式匹配
匹配规则库,属于基于特征的触发机制。优点是准确率高、效率高,缺点是无法检测新型攻击行为。
2、统计分析
建立行为模型,基于专家系统、模型推理、神经网络的分析方法,属于基于模型的触发机制。优点是可以检测未知的和更为复杂的入侵行为,缺点是误报、漏报率高。
3、完整性分析
利用消息摘要函数(如MD5),能识别哪怕是微小的变化。例如:每天定时开启完整性分析模块,对网络系统进行全面检查。