第 10 章 防火牆與入侵檢測
- 什麼是防火牆?古時候的防火牆和目前通常說的防火牆有什麼聯繫和區別?
答:
防火牆的本義原指古代人們的房屋之間修建的牆,這道牆可以防止火災發生時蔓延到別的房屋。現今防火牆不是指爲了防火而造的牆,而是指隔離在本地網絡與外界網絡之間的一道防禦系統。在互聯網上,防火牆是一種非常有效的網絡安全系統,通過它可以隔離風險區域(Internet或有一定風險的網絡)與安全區域(局域網)的連接,同時不會妨礙安全區域對風險區域的訪問。可見,不管古代和今天的防火牆,在安全意義上都是在防範某種特定的風險。 - 簡述防火牆的分類,並說明分組過濾防火牆的基本原理。
答:
常見的防火牆有3種類型:分組過濾防火牆,應用代理防火牆,狀態檢測防火牆。
分組過濾防火牆基本原理如下:
數據包過濾可以在網絡層截獲數據。使用一些規則來確定是否轉發或丟棄各個數據包。通常情況下,如果規則中沒有明確允許指定數據包的出入,那麼數據包將被丟棄。
分組過濾防火牆審查每個數據包以便確定其是否與某一條包過濾規則匹配。過濾規則基於可以提供給IP轉發過程的包頭信息。包頭信息中包括IP源地址、IP目的地址、內部協議(TCP,UDP或ICMP)、TCP、UDP目的端口和ICMP消息類型等。如果包的信息匹配所允許的數據包,那麼該數據包便會按照路由表中的信息被轉發。如果不匹配規則,用戶配置的默認參數會決定是轉發還是丟棄數據包。 - 常見防火牆模型有哪些?比較它們的優缺點。
答:
常見防火牆系統一般按照4種模型構建:篩選路由器模型、單宿主堡壘主機(屏蔽主機防火牆)模型、雙宿主堡壘主機模型(屏蔽防火牆系統模型)和屏蔽子網模型。
(1)篩選路由器模型是網絡的第一道防線,功能是實施包過濾。創建相應的過濾策略時對工作人員的TCP/IP的知識有相當的要求,如果篩選路由器被黑客攻破,那麼內部網絡將變得十分危險。該防火牆不能夠隱藏內部網絡的信息、不具備監視和日誌記錄功能。
(2)單宿主堡壘主機(屏蔽主機防火牆)模型由包過濾路由器和堡壘主機組成。該防火牆系統提供的安全等級比包過濾防火牆系統要高,它實現了網絡層安全(包過濾)和應用層安全(代理服務)。單宿主堡壘主機在內部網絡和外部網絡之間,具有防禦進攻的功能,通常充當網關服務。優點是安全性比較高,但是增加了成本開銷和降低了系統性能,並且對內部計算機用戶也會產生影響。
(3)雙宿主堡壘主機模型(屏蔽防火牆系統)可以構造更加安全的防火牆系統。雙宿主堡壘主機有兩種網絡接口,但是主機在兩個端口之間直接轉發信息的功能被關掉了。在物理結構上強行使所有去往內部網絡的信息必須經過堡壘主機。雙宿主堡壘主機是惟一能從外部網上直接訪問的內部系統,所以有可能受到攻擊的主機就只有堡壘主機本身。但是,如果允許用戶註冊到堡壘主機,那麼整個內部網絡上的主機都會受到攻擊的威脅,所以一般禁止用戶註冊到堡壘主機。
(4)屏蔽子網模型用了兩個包過濾路由器和一個堡壘主機,它是最安全的防火牆系統之一,因爲在定義了“中立區”(Demilitarized Zone,DMZ)網絡後,它支持網絡層和應用層安全功能。 - 編寫防火牆規則:禁止除管理員計算機(IP爲172.18.25.110)外任何一臺計算機訪問某主機(IP爲172.18.25.109)的終端服務(TCP端口3389)。
答:
規則集如下:
![在這裏插入圖片描述]()
第1條規則:主機172.18.25.110可以以任何端口訪問任何主機172.18.25.109的3389端口,基於TCP協議的數據包都允許通過。第2條規則:任何主機的端口訪問主機172.18.25.109的任何端口,基於TCP協議的數據包都禁止通過。 - 使用Winroute實現第4題的規則。(上機完成)
答:(略) - 簡述創建防火牆的基本步驟及每一步的注意點。
答:
成功創建一個防火牆系統一般需要6個步驟:制定安全策略,搭建安全體系結構,制定規則次序,落實規則集,注意更換控制和做好審計工作。
(1)制定安全策略。防火牆和防火牆規則集只是安全策略的技術實現。在建立規則集之前,必須首先理解安全策略。安全策略一般由管理人員制定,實際的安全策略會特別複雜。在實際應用中,需要根據公司的實際情況制定詳細的安全策略。
(2)搭建安全體系結構。作爲一個安全管理員,需要將安全策略轉化爲安全體系結構。
(3)制定規則次序。在建立規則集時,需要注意規則的次序,哪條規則放在哪條之前是非常關鍵的。同樣的規則,以不同的次序放置,可能會完全改變防火牆的運轉情況。
(4)落實規則集。選擇好素材後就可以建立規則集。一個典型的防火牆的規則集合包括12個方面,在此不詳述。
(5)注意更換控制。當規則組織好後,應該寫上註釋並經常更新,註釋可以幫助理解每一條規則做什麼。對規則理解得越好,錯誤配置的可能性就越小。對那些有多重防火牆管理員的大機構來說,建議當規則被修改時,把規則更改者的名字、規則變更的日期和時間、規則變更的原因等信息加入註釋中,這可以幫助管理員跟蹤誰修改了哪條規則及修改的原因。
(6)建立好規則集後,檢測是否可以安全地工作是關鍵的一步。防火牆實際上是一種隔離內外網的工具。在Internet中,很容易犯一些配置上的錯誤。通過建立一個可靠的、簡單的規則集,可以在防火牆之後創建一個更安全的網絡環境。需要注意的是:規則越簡單越好。網絡的頭號敵人是錯誤配置,儘量保持規則集簡潔和簡短,因爲規則越多,就越可能犯錯誤,規則越少,理解和維護就越容易。一個好的準則是最好不要超過30條,一旦規則超過50條,就會以失敗而告終。 - 什麼是入侵檢測系統?簡述入侵檢測系統目前面臨的挑戰。
答:
入侵檢測系統(Intrusion Detection System,IDS)指的是一種硬件或者軟件系統,該系統對系統資源的非授權使用能夠做出及時的判斷、記錄和報警。
沒有一個入侵檢測能無敵於誤報,因爲沒有一個應用系統不會發生錯誤,原因主要有:主機與入侵檢測系統缺乏共享數據的機制、缺乏集中協調的機制、缺乏揣摩數據在一段時間內變化的能力、缺乏有效的跟蹤分析。另外攻擊可以來自四方八面,特別是技術高超、由一羣人組織策劃的攻擊。攻擊者要花費長時間準備及在全球性發動攻擊。時至今日,找出這樣複雜的攻擊也是一件難事。有着不同種類漏洞的廣泛分佈異構計算機系統,使入侵檢測系統很難對付,尤其是這樣的系統有大量未經處理的流動數據,而實體之間又缺乏通信及信任機制。 - 簡述入侵檢測常用的4種方法。
答:
常用的方法有3種:靜態配置分析、異常性檢測方法,基於行爲的檢測方法和文件完整性檢查。
(1)靜態配置分析。靜態配置分析通過檢查系統的配置(如系統文件的內容)來檢查系統是否已經或者可能會遭到破壞。靜態是指檢查系統的靜態特徵(如系統配置信息)。採用靜態分析方法是因爲入侵者對系統攻擊時可能會留下痕跡,可通過檢查系統的狀態檢測出來。另外,系統在遭受攻擊後,入侵者也可能在系統中安裝一些安全性後門以便於以後對系統的進一步攻擊。對系統的配置信息進行靜態分析,可及早發現系統中潛在的安全性問題,並採取相應的措施來補救。但這種方法需要對系統的缺陷儘可能的瞭解;否則,入侵者只需要簡單地利用那些系統安全系統未知的缺陷就可以避開檢測系統。
(2)異常性檢測方法。異常性檢測技術是一種在不需要操作系統及其安全性缺陷的專門知識的情況下,就可以檢測入侵者的方法,同時它也是檢測冒充合法用戶的入侵者的有效方法。基於用戶特徵輪廓的入侵檢測系統模型的基本思想是:通過對系統審計數據的分析建立起系統主體(單個用戶、一組用戶、主機甚至是系統中的某個關鍵的程序和文件等)的正常行爲特徵輪廓,檢測時,如果系統中的審計數據與已建立的主體的正常行爲特徵有較大出入就認爲是一個入侵行爲。特徵輪廓是藉助主體登錄的時間、登錄的位置、CPU的使用時間及文件的存取等屬性來描述它的正常行爲特徵。當主體的行爲特徵改變時,對應的特徵輪廓也相應改變。
(3)基於行爲的檢測方法。基於行爲的檢測方法通過檢測用戶行爲中的那些與某些已知的入侵行爲模式類似的行爲或那些利用系統中缺陷或者是間接地違背系統安全規則的行爲,來檢測系統中的入侵活動。
(4)文件完整性檢查。文件完整性檢查系統檢查計算機中自上次檢查後文件變化情況。文件完整性檢查系統保存有每個文件的數字文摘數據庫,每次檢查時,它重新計算文件的數字文摘並將它與數據庫中的值相比較,如不同,則文件已被修改,若相同,文件則未發生變化。 - 編寫程序實現每10秒檢查一次與端口關聯的應用程序。(上機完成)
答:(略) - 簡述入侵檢測的步驟及每一步的工作要點。
答:
入侵檢測的3個步驟:信息收集、數據分析和響應。
1)信息收集。收集的內容包括整個計算機網絡中系統、網絡、數據及用戶活動的狀態和行爲。入侵檢測在很大程度上依賴於收集信息的可靠性、正確性和完備性。因此,要確保採集、報告這些信息的軟件工具的可靠性。
2)數據分析。數據分析是入侵檢測系統的核心,它的效率高低直接決定了整個入侵檢測系統的性能的高低。根據數據分析的不同方式可將入侵檢測系統分爲異常(Anomaly)入侵檢測與濫用(Misuse)入侵檢測兩類。攻擊技術是不斷髮展的,在其攻擊模式添加到模式庫以前,新類型的攻擊就可能會對系統造成很大的危害。所以,入侵檢測系統只有同時使用這兩種入侵檢測技術,才能避免不足。這兩種方法通常與人工智能相結合,以使入侵檢測系統有自學習的能力。
3)響應。數據分析發現入侵跡象後,入侵檢測系統的下一步工作就是響應,而響應並不侷限於對可疑的攻擊者。目前的入侵檢測系統一般採取下列響應。
(1)將分析結果記錄在日誌文件中,併產生相應的報告。
(2)觸發警報,如在系統管理員的桌面上產生一個告警標誌位,向系統管理員發送傳呼或電子郵件,等等。
(3)修改入侵檢測系統或目標系統,如終止進程、切斷攻擊者的網絡連接或更改防火牆配置等。 - 對某一臺裝有入侵檢測工具的計算機進行掃描、攻擊等實驗,查看入侵檢測系統的反應,並編寫實驗報告。(上機完成)
答:(略)
