网络与信息安全SY1106404罗杨网络与信息安全作业.doc

《网络与信息安全SY1106404罗杨网络与信息安全作业.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、网络与信息安全作业SY1106404罗杨一、给出计算机网络安全体系结构中两个防火墙的配置，使得多层次防火墙体系能够防止蛙跳攻击IntranetDMZInternetR1R2图1防火墙配置示意图设IntranetIP地址为123.45.0.0/16，DMZ子网IP地址为123.45.67.0/24。R1配置为：directortypesrcIPsrcPortdestIPdestPortactionOut*123.45.0.0/16***allowin***123.45.0.0/16*denyR2配置为：directortypesrcIPsrcPortdestIPdestPortac

2、tionIn***123.45.67.0/24*allowin*****denyOut*123.45.67.0/24***denyOut*123.45.0.0/16***allow一、Snort软件分析图2Snort体系结构示意图上图表示Snort的体系结构，分为解析器和检测引擎两部分。解析器主要实现协议解析的功能，检测引擎主要实现入侵检测的功能，检测引擎检测所依据的规则是检测规则链。协议解析原理解析器子系统为捕获网络得传输数据并按照TCP/IP协议的不同层次将数据包进行解析。Snort利用libpcap库函数进行采集数据，该库函数可以为应用程序提供直接从链路层捕获数据包的接口函

3、数并可以设置数据包的过滤器以来捕获指定的数据。网络数据采集和解析机制是整个NIDS实现的基础，其中关键的是要保证高速和低的丢包率，这不仅仅取决于软件的效率还同硬件的处理能力相关。对于解析机制来说，能够处理数据包的类型的多样性也同样非常重要，目前，snort可以处理以太网，令牌环以及SLIP等多种类型的包。入侵检测原理检测引擎是snort的核心，准确和快速是衡量其性能的重要指标，前者主要取决于对入侵行为特征码的提取的精确性和规则撰写的简洁实用性，由于网络入侵检测系统是被动防御的——只能被动的检测流经本网络的数据，而不能主动发送数据包去探测，所以只有将入侵行为的特征码归结为协议的不同

4、字段的特征值，通过检测该特征值来决定入侵行为是否发生。后者主要取决于引擎的组织结构，是否能够快速地进行规则匹配。检测规则链产生方法Snort是基于规则的模式匹配的，这种体系结构非常灵活，Snort规则文件是一个ASCII文本文件，可以用常用的文本编辑器对其进行编辑。规则文件的内容由以下几部分组成：n变量定义：在这里定义的变量可以在创建Snort规则时使用。nSnort规则：在入侵检测时起作用的规则，这些规则应包括了总体的入侵检测策略。n预处理器：即插件，用来扩展Snort的功能。如用portscan来检测端口扫描。n包含文件IncludeFiles：可以包括其它Snort规则文件

5、。n输出模块：Snort管理员通过它来指定记录日志和警告的输出。为了能够快速准确地进行检测，snort将检测规则利用链表的形式进行组织，分为两部分：规则头和规则选项。前者是所有规则共有的包括IP地址、端口号等，后者根据不同规则包括相应的字段关键字。下图C是Snort的创始人MartinRoesch所作的检测规则链的示意图。图3检测规则链示意图当进行规则的匹配时，在链表的两个方向同时进行，检测引擎只检测那些在一开始在规则解析器中设置好了的规则选项。当检测引擎检测到第一个与被解码的包相匹配的规则时，检测引擎触发相应的动作并返回。