防火墙技术

防火墙基本概念

防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，
防止对重要信息资源的非法存取和访问，以达到保护信息系统的目的

防火墙基础知识

防火墙一般包含内网接口、外网接口、安全服务器网络SSN（Security Server Network）域接口防火墙基础知识
​
防火墙除了可以应用于不同安全级别的网络之间，还可以应用在同一公司的不同部门之间
​
因为有些时候同一公司的不同部门面临的安全风险也不相同，因此需要实施不同的安全保护等级 
​
防火墙可以根据访问控制规则决定进出网络的行为

防火墙的主要作用

1.允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。
​
2.监视网络的安全性，并产生报警。
​
3.防火墙可以作为部署 NAT(Network Address Translator，网络地址转换）的逻辑地址。
​
4.防火墙是审计和记录 Internet 使用量的一个最佳地方。
​
5.也可以成为向客户发布信息的地点。 

防火墙的局限性

1.不能防范绕过防火墙的攻击，例:内网主机私自使用 无线接口连接互联网。
​
2.不能防范来自内部人员恶意的攻击。
​
3.不能阻止被病毒感染的程序或文件的传递。 
​
4.不能防止数据驱动式攻击。例:特洛伊木马。

防火墙分类

防火墙按照技术可以分
​
包过滤防火墙 
​
应用代理防火墙
​
状态检测 
​
还可以分为软件防火墙和硬件防火墙 

包过滤防火墙

最简单的防火墙 ，对所接收的每个数据包做允许/拒绝的决定。 审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给 IP 转发过程的包头信息。
工作在网络层 
​
包过滤防火墙的优点 
一个是速度快，性能高；另一个是对用户透明，用户不用管它是怎么设置的 
​
包过滤防火墙的缺点 
1.维护比较困难(需要对 TCP/IP 了解）。
2.安全性低（IP 欺骗等）。
3.不提供有用的日志，或根本就不提供。
4.不防范数据驱动型攻击。
5.不能根据状态信息进行控制。
6.不能处理网络层以上的信息。 

应用代理防火墙

应用代理(Application Proxy)技术是指在 web 服务器上或某一台单独主机上运行代理服务器软件，对网络上的信息进行监听和检测，并对访问内网的数据进行过滤，从而起到隔断内网与
外网的直接通信的作用，保护内网不受破坏。
应该层代理防火墙主要工作在应用层 
​
应该层代理防火墙的优点 
1.能够让网络管理员对服务进行全面的控制，因为代理应用限制了命令集并决定哪些内部主机可以被访问 
2.网络管理员可以完全控制提供哪些服务，因为没有特定服务的代理就表示该服务不提供 
3.防火墙可以被配置成唯一的可被外部看见的主机，这样可以保护内部主机免受外部主机的进攻
4.应用层代理有能力支持可靠的用户认证并提供详细的注册信息。另外，用于应用层的过滤规则相对于包过滤防火墙来说更容易配置和测试。
5.代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。
​
应用代理防火墙的缺点 
1.最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件。
2.用程序都必须有一个代理服务程序来进行安全控制，每一种应用升级时，一般代理服务程序也要升级。

防火墙的性能指标

最大位转发率：在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数
​
吞吐量——衡量防火墙性能的重要指标之一 
在不丢包的情况下能够达到的最大速率
吞吐量小会造成网络新的瓶颈，以至影响到整个网络的性能
​
延时：从防火墙入口处输入帧最后 1 个比特到达至出口处输出帧的第一个比特输出所用的时间间隔，体现防火墙处理数据的速度。
​
丢包率：防火墙在连续负载的情况下，设备由于资源不足应转发但却未转发的帧百分比。防火墙的丢包率对其稳定性、可靠性有很大的影响

防火墙的部署

路由器类型的防火墙

就是一个路由器，支持一个或者多个防火墙功能
它们可被划分为用于 Internet 连接的低端设备和传统的高端路由器 

双重宿主主机体系结构的防火墙

自身安全至关重要（唯一通道），其用户口令控制安全是关键，多用户访问（中转站），其性能非常重要
​
缺点是它是隔开内外网络的唯一屏障。一旦它被入侵，内部网络便向入侵者敞开大门 

屏蔽主机类型的防火墙

主要是将传统的路由器防火墙和代理防火墙相结合起来的一种混合类型的防火墙 

屏蔽子网结构的防火墙

 在本质上与屏蔽主机体系结构一样，但添加了额外的 一层保护体系——周边网络。
​堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。引入这种结构的主要原因是:堡垒主机 是用户网络上最容易受侵袭的机器；
​
通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。
​

入侵检测技术

入侵检测基本概念

入侵检测系统(IDS: Intrusion Detection System) 是能够完成入侵检测功能的计算机软硬件系统。
​
它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
​
入侵检测技术就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术

入侵检测的工作方式

入侵检测基础知识

入侵检测系统是一个相对主动的安全部件，可以把入侵检测看成网络防火墙的有效补充。
​
入侵检测系统的基本部署 

入侵检测技术的主要作用

监控、分析用户和系统的活动；
评估关键系统和数据文件的完整性；
识别攻击的活动模式； 
​
对异常活动进行统计分析
对操作系统进行审计跟踪管理，识别违反政策的用户动作

入侵检测技术的主要目的

（1）识别入侵者；
（2）识别入侵行为；
（3）检测和监视已成功的安全突破；
（4）为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。 
从这个角度看待安全问题，入侵检测非常必要，它可以有效弥补传统安全保护措施的不足。

入侵检测技术分类

1.集中式入侵检测系统 各个模块包括信息的收集和数据的分析以及响应单元都在一台主机上运行，适用于网络环境比较简单的情况
2. 分布式入侵检测系统各个模块分布在网络中不同的计算机和设备上，分布性主要体现在数据收集模块上，如果网络环境比较复杂或数据流量较大，那么数据分析模块也会分布，按照层次性的原则组织。 
​
根据检测对象来分
1.基于主机的IDS，英文为Host-besed IDS 

2.基于网络的IDS ，Network-based IDS

​
按照技术分类：
1.异常入侵检测系统 
异常入侵检测系统是将系统正常行为的信息作为标准，将监控中的活动与正常行为相比较 ，所有与正常行为不同的行为都视为异常，而一次异常视为一次入侵  
可以人为的建立系统正常所有行为事件，那么理论上可以把与正常事件不同的所有行为视为可疑事件。
缺点：存在误报率
2.误用入侵检测系统。
误用入侵检测系统是收集非正常操作的行为，建立相关的攻击特征库，依据所有入侵行为都能够用一种特征来表示，那么所有已知的入侵方法都可以用模式匹配的方法发现。
准确，无法发现未知入侵行为 

入侵检测系统工作流程

第一步：信息收集
包括系统、网络、数据及用户活动的状态和行为
这一步非常重要，因为入侵检测系统很大程度上依赖于收集信息的可靠性和正确性
第二步：信息分析
对收集到的数据信息，进行处理分析
一般通过协议规则分析模式匹配、通缉分析和完整性分析几种手段和方法来分析
第三步：信息存储
当入侵检测系统捕获到有攻击发生时，为了便于系统管理人员对攻击信息进行査看和对攻击行为进行分析，还需要将入侵检测系统收集到的信息进行保存，这些数据通常存储到用户指定的日志文件
或特定的数据库中。 
第四步：攻击响应
对攻击信息进行了分析并确定攻击类型后，入侵检测系统会根据用户的设置，对攻击行为进行相应的处理，如发出警报、给系统管理员发邮件等方式提醒用户。

发展趋势与存在的问题

发展趋势
（1）分布式入侵检测 
（2）应用层入侵检测
（3）智能入侵检测 
（4）与网络安全技术相结合
存在的问题主要为：IDS对攻击的检测效率和其对自身攻击的防护。