欢迎来到天天文库
浏览记录
ID:40055800
大小:3.56 MB
页数:85页
时间:2019-07-18
《windows系统安全14防火墙与入侵检测系统》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、防火墙与入侵检测本章介绍两部分的内容:防火墙和入侵检测技术。介绍防火墙的基本概念,常见防火墙类型以及如何使用规则集实现防火墙。介绍入侵检测系统的基本概念以及入侵检测的常用方法1防火墙技术1.防火墙基本概念2.防火墙的分类3.防火墙的体系结构4.防火墙的实施2防火墙防火墙是位于可信网络与不可信网络之间,并对二者之间流动的数据包进行检查的一台、多台计算机或路由器。3防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,目的是保护网络不被他人侵扰。4防火墙实现的层次5防火墙的安全规则由匹配条件和处理方式两部
2、分组成。匹配条件是指用于对通信流量是否合法作出判断的一些逻辑表达式。若信息是匹配条件值为真,那么就进行处理。处理方式有以下几种。接受:允许信息通过拒绝:拒绝信息通过,通知发送信息的信息源丢弃:直接丢弃信息,不通知信息源。6防火墙的基本功能(1)网络监控(包过滤功能,状态检查,网关级代理)(2)用户身份验证:可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户(3)限制内部用户访问特殊站点防火墙的不足之处(1)不能防范恶意的知情者(2)防火墙不能防范不通过它的连接(3)防火墙不能防范病毒7防火墙技术1.防火墙基
3、本概念2防火墙分类(按实现技术)3.防火墙的体系结构4.防火墙的实施8防火墙分类(按实现技术)数据包过滤防火墙(20世纪80年代)应用级网关防火墙状态检测防火墙(20世纪90年代)9包过滤(分组过滤):作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。应用代理(ApplicationProxy):也叫应用网关(ApplicationGateway),它作用在应用层,其特点是完全“
4、阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。状态检测(StatusDetection):直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。10包过滤防火墙数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。通常情况下,如果规则中没有明确允许指定数据包的出入,那么缺省参数将决定此包是前行还是被舍弃。11包过滤技术每个包有两个部分:数据部分和包头。包头中含有源地址和目标地
5、址等信息。包过滤一直是一种简单而有效的方法。通过拦截数据包,读出并拒绝那些不符合标准的包头,过滤掉不应入站的信息。12包过滤要检查的内容数据包过滤一般要检查网络层的IP头和传输层的头IP源地址IP目标地址协议类型(TCP包,UDP包和ICMP包)TCP或UDP包的目的端口TCP或UDP包的原端口ICMP消息类型TCP包头的ACK位TCP包的序列号,IP校验和等13过滤的依据主要是TCP/IP包头里面的信息,不能对应用层数据进行处理14一个可靠的分组过滤防火墙依赖于规则集,表列出了几条典型的规则集。第一条规则:主机10.
6、1.1.1任何端口访问任何主机的任何端口,基于TCP协议的数据包都允许通过。第二条规则:任何主机的20端口访问主机10.1.1.1的任何端口,基于TCP协议的数据包允许通过。第三条规则:任何主机的20端口访问主机10.1.1.1小于1024的端口,如果基于TCP协议的数据包都禁止通过。组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1***TCP2允许*10.1.1.120*TCP3禁止*10.1.1.120<1024TCP15包过滤防火墙的优缺点优点:实现比较简单,产品比较便宜。对系统要求不是很高,
7、便于在各种系统上运行很容易实现网络流量的监控与管理缺点:安全规则的配置比较复杂,稍不注意就会发生一些逻辑错误允许外部网络与内部主机直接通信,存在一定的隐患不能彻底防止地址欺骗16源IP地址欺骗攻击入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包;这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口,则舍弃每个含有这个源IP地址的信息包,就可以挫败这种源欺骗攻击。171819用WinRoute创建包过滤规则WinRoute目前应用比较广泛,既可以作为一个服务器的防火墙系统,也
8、可以作为一个代理服务器软件。目前比较常用的是WinRoute4,20举例利用WinRoute创建包过滤规则,创建的规则内容是:防止主机被别的计算机使用“Ping”指令探测。选择菜单项“PacketFilter”,如图所示。21在包过滤对话框中可以看出目前主机还没有任何的包规则,如图所示。22选中图中网卡图标,单击按钮“添加”。出现
此文档下载收益归作者所有