代理服务器可以做到内外地址的转换,屏蔽内部网的细节,使非法分子无法探知内部结构。代理服务器提供特殊的筛选命令,可以禁止用户使用容易造成攻击的不安全的命令,从根本上抵御攻击。
防火墙的代理服务器可以提供了对连接流量的控制功能,系统管理员可以根据内部网络的需要增大或减少某一代理(Ftp, Telnet, Smtp, Pop3等)的流量,这样能更有效地利用资源,也减轻了防火墙的负荷。并且,防火墙采用了先进的进程池管理技术,使系统可以对出入防火墙的进程进行统一的管理,保证了系统的高效性。
防火墙使用透明代理技术,使防火墙的服务端口无法探测到,也就无法对防火墙进行攻击,大大提高了防火墙的安全性与抗攻击性。
?
抗攻击和自我保护能力
作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。我们使用的防火墙通过严密的体系结构,对一系列的黑客攻击手段,有很强的防御能力。
所用防火墙除了专用的服务口外,不接受来自任何其它端口的直接访问。防火墙系统运行只支持专用服务口进入的“特定指令”,而这些“特定指令”对用户来说,只是一个个的菜单选项,图形按钮,真正具备了既防内又防外的自我保护措施。 防火墙提供了实时的连接状态监控功能,采用智能化的攻击识别和防范措施,可以有效地防范外部黑客的DOS攻击,如通过记录所有连接的状态可以轻松阻止SYN flooding的攻击。
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。由于防火墙知道网络内外的IP地址,它会丢弃所有来自网络外部但却有内部地址的分组,再之防火墙已将内部网络的实际地址隐蔽起来,外部用户很难知道内部的IP地址,因而难以攻击。
网络安全性分析工具本是供管理人员分析网络安全性之用的,一旦这类工具用作攻击网络的手段,则能较方便地探测到内部网络的安全缺陷和弱点所在,像SATAN等软件可以从网上免费获得,这些分析工具给网络安全构成了直接威胁。防火墙采用了地址转换技术,将内部网络隐蔽起来,使网络安全分析工具无法从外部对内部网作分析。
25
?
参考服务模板定制IP过滤规则
防火墙充分利用了包过滤系统有规则地让数据包在内部与外部主机间进行交换的功能,根据安全规则允许某些数据包通过同时又阻断某些数据包,即有选择的进行路由。
在配置包过滤系统时,我们首先需要确定哪些服务允许通过而哪些服务应被拒绝,并将这些规定翻译成有关的包过滤原则,所以就需要定制包过滤规则。 4.6.2入侵检测系统部署
在传统的网络安全概念里,似乎配置了防火墙就标志着网络的安全,其实不然,防火墙仅仅是部署在网络边界的安全设备,它的作用是防止外部的非法入侵,仅仅相当于计算机网络的第一道防线。虽然通过防火墙可以隔离大部分的外部攻击,但是仍然会有小部分攻击通过正常的访问的漏洞渗透到内部网络;另外,据统计有70%以上的攻击事件来自内部网络,也就是说内部人员作案,而这恰恰是防火墙的盲区。入侵检测系统(IDS)可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪、恢复、断开网络连接等。
入侵检测系统是实时的网络违规自动识别和响应系统。它运行于敏感数据需要保护的网络上,通过实时监听网络数据流,识别,记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时,网络信息安全检测系统预警系统能够根据系统安全策略作出反应。该系统可安装于防火墙前后,可以对攻击防火墙本身的数据流进行响应,同时可以对穿透防火墙进行攻击的数据流进行响应。在被保护的局域网中,入侵检测设备应安装于易受到攻击的服务器或防火墙附近。这些保护措施主要是为了监控经过出口及对重点服务器进行访问的数据流。入侵检测报警日志的功能是通过对所有对网络系统有可能造成危害的数据流进行报警及响应。由于网络攻击大多来自于网络的出口位置,入侵检测在此处将承担实时监测大量出入整个网络的具有破坏性的数据流。这些数据流引起的报警日志,是作为受到网络攻击的主要证据。
在入省监狱局电子政务网络系统网络入侵检测系统配置中,我们将网络入侵检测系统布置在内、外网中心交换机处,对省监狱局电子政务网络系统网络进行实时监控与阻断响应,所选择的入侵检测系统必需是集成了在线网络入侵监测、入侵即时处理、离线入侵分析、入侵侦测查询、报告生成等多项功能的分布式计算机安全系统,不仅能即时监控网络资源运行状况,为网络管理员及时提供网络入侵预警和防范解决方案,还使得对于检查黑客入侵,变得有迹可寻,为用户采取进一步行动提供了强有力的技术支持,大大加强了对恶意黑客的威慑力量。
26
通过使用入侵检测系统,我们可以做到:
1、对省监狱局电子政务网络系统网络边界点的数据进行监测,防止黑客的入侵。 2、对省监狱局电子政务网络系统网络核心业务服务器的数据流量进行监测,防止入侵者的蓄意破坏和篡改。
3、监视省监狱局电子政务网络系统网络内部用户和系统的运行状况,查找非法用户和合法用户的越权操作。
4、对用户的非正常活动进行统计分析,发现入侵行为的规律。 5、实时对检测到的入侵行为进行报警、阻断,能够与防火墙联动。 6、对关键正常事件及异常行为记录日志,进行审计跟踪管理。
入侵检测系统(IDS)详述
系统组成
IETF将一个入侵检测系统分为四个组件:事件产生器(Event generators);事件分析器(Event analyzers);响应单元(Response units );事件数据库(Event databases )。
事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
系统分类
根据检测对象的不同,入侵检测系统可分为主机型和网络型。
基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。最近出现的一种ID(intrusion detection):
27
位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。
网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(promisc mode),对所有本网段内的数据包并进行信息收集,并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。 系统通信协议
IDS系统内部各组件之间需要通信,不同厂商的IDS系统之间也需要通信。因此,有必要定义统一的协议。目前,IETF目前有一个专门的小组Intrusion Detection Working Group (idwg)负责定义这种通信格式,称作Intrusion Detection Exchange Format,但还没有统一的标准。
以下是设计通信协议时应考虑的问题:1、系统与控制系统之间传输的信息是非常重要的信息,因此必须要保持数据的真实性和完整性。必须有一定的机制进行通信双方的身份验证和保密传输(同时防止主动和被动攻击)。2. 通信的双方均有可能因异常情况而导致通信中断,IDS系统必须有额外措施保证系统正常工作。 入侵检测技术
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未
28
知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。
入侵检测过程
从总体来说,入侵检测系统可以分为两个部分:收集系统和非系统中的信息然后对收集到的数据进行分析,并采取相应措施。
信息收集
信息收集包括收集系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个就是对来自不同源的信息进行特征分析之后比较得出问题所在的因素。
入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、记录文件和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样。例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。入侵检测利用的信息一般来自以下三个方面(这里不包括物理形式的入侵信息): 系统和网络日志文件
黑客经常在系统日志文件中留下他们的踪迹,因此,可以充分利用系统和网络日志文件信息。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
非正常的目录和文件改变
29