⽹络边界安全防护
16004488
不同的计算机系统通过⽹络联系起来,复杂的⽹络使计算机系统可能受到来⾃⽹络的攻击。为此,需要在⽹络边界处实施安全保护。从理论上说,如果⽹络边界的安全问题可以避免,⽹络安全问题就可以解决。但事实上,要想完全解决安全问题是不可能的,再好的保护技术也只能降低系统所受攻击的风险。本⽂介绍⼏种常见的⽹络边界防护技术。
⼀、防⽕墙
(⼀)防⽕墙概述
防⽕墙是⼀种重要的⽹络安全设备,是设置在不同⽹络或不同安全域之间的⼀道安全屏障,⽤于⽹络或安全域之间的安全访问控制。
qq分组简单防⽕墙的⽬的是保证⽹络内部数据流的合法性,防⽌外部⾮法数据流的侵⼊,同时管理内部⽹络⽤户访问外部⽹络的权限,并在此前提下将⽹络中的数据流快速地从⼀条链路转发到另外的链路上。防⽕墙对流经它的数据流进⾏安全访问控制,只有符合防⽕墙策略的数据才允许通过,不符合策略的数据将被拒绝。防⽕墙可以关闭不使⽤的端⼝,禁⽌指定端⼝的通信或来⾃指定站点的访问。
防⽕墙主要有以下作⽤:
(1)过滤进、出⽹络的数据流;
(2)管理进、出⽹络的访问⾏为;
(3)记录通过防⽕墙的信息内容和活动;
(4)对⽹络攻击进⾏检测和报警。
防⽕墙通常使⽤的安全控制技术主要是包过滤和应⽤代理服务。包过滤技术考虑的是OSI参考模型的⽹络层和传输层的数据安全问题,⽽应⽤代理技术则是在应⽤层检查数据分组的安全性。包过滤技术根据数据分组的源地址、⽬的地址、端⼝号和协议类型等标志确定是否允许通过,只有符合过滤条件的数据分组才被转发,其余不符合条件的数据分组则被丢弃。包过滤技术分为简单包过滤和状态检测包过滤2种。
简单分组过滤是⼀种简单、有效的安全控制技术。它根据已经定义的过滤规则检查每个数据分组,以便确定该数据分组是否与某⼀条分组过滤规则匹配。过滤规则是根据数据分组的源IP地址、⽬的IP 地址、源端⼝、⽬的端⼝和协议类型制定的。如果到匹配的允许规则,则允许该数据分组通过;如果没有到匹配的规则或者到⼀个匹配的拒绝规则,则丢弃该数据分组。简单包过滤技术的运⾏速度较快,传
输性能⾼,但由于安全控制只限于源IP地址、⽬的 IP 地址、源端⼝、⽬的端⼝和协议类型,因此,只能进⾏初级的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等⾼层次的攻击⼿段则⽆能为⼒。
状态检测包过滤是⽐简单包过滤更为有效的安全控制⽅法。它把进出⽹络的数据流看成是多个会话,利⽤会话表(会话表是记录允许通过会话的相关信息的状态表)跟踪每⼀个会话的状态。对于新的会话请求,防⽕墙检查第⼀个数据分组是否符合预先设置的安全规则,允许符合安全规则的数据分组通过并在内存中记录下该数据分组的相关信息,作为⼀个新的会话插⼊会话表。对于该会话的后续数据分组,只要符合会话状态就允许通过。状态检测包过滤检查数据分组所处会话的状态,提⾼了完整的对传输层的控制能⼒。这种⽅式的好处在于:由于不需要对每个数据分组进⾏规则检查,⽽是直接进⾏状态检查,从⽽较⼤提⾼了数据的传输性能;⽽且,由于会话表是动态的,因此,可以有选择地、动态地开通端⼝,提⾼安全性。
应⽤代理技术⼯作在应⽤层,在应⽤层检查数据分组的安全性。应⽤代理通常运⾏在2个⽹络之间,彻底隔断了两端的直接通信,所有通信都必须经应⽤层的代理转发,访问者任何时候都不能与服务器建⽴直接的连接。应⽤代理技术是⼀种透明的代理⽅式,它可以对⽹络中任何⼀层的数据通信进⾏筛选保护。这种代理⽅式检测能⼒强、安全性⾼,但是处理速度慢,配置起来也⽐较繁琐。
(⼆)防⽕墙典型配置实例
(⼆)防⽕墙典型配置实例
1、访问策略配置实例
访问策略对从特定源发往特定⽬的的数据分组进⾏控制。访问策略的元素如下。
①基本元素:序号(优先级)、名称、描述信息、启⽤状态(启⽤、禁⽤)、产⽣⽇志状态。
②匹配条件:源安全域、源⽤户、源IP、⽬的安全域、⽬的IP、服务、时间表。
③处理数据分组的动作:包括允许和拒绝、VPN隧道、启⽤DNS透明代理。
④访问策略包处理流程:当收到数据分组时,防⽕墙将数据分组中的会话信息与会话表进⾏匹配,匹配流程如表1所⽰。
表1 访问策略包处理流程
创建访问策略的过程为选择防⽕墙>访问策略>新建,具体如下。其中,访问策略命令如表2所⽰。
表2 访问策略命令
(1)设置策略基本元素,如图1所⽰。
图1 设置策略基本元素
(2)指定数据分组的源,如图2所⽰。
图2 指定数据分组的源
(3)设置数据分组的⽬的地址和服务类型,如图3所⽰。
图3 设置数据分组的⽬的地址和服务类型
(4)设置访问策略的动作,如图4所⽰。
图4 设置访问策略的动作
①勾选VPN隧道复选框,选择VPN隧道或隧道组。
②勾选启⽤DNS透明代理,启⽤DNS透明代理功能。
③勾选使⽤特定超时时间设置TCP会话、UDP和ICMP模拟会话的超时时间。
选择防⽕墙>缺省策略设置,设置会话超时时间的缺省值,如图5所⽰。
图5 配置会话缺省超时时间
(5)设置策略的⽣效时间,如图6所⽰。
图6 设置策略的⽣效时间
2、攻击防护策略配置实例
防⽕墙⽀持防护的常见攻击类型包括DoS防御、探测防御、TCP逃避控制、IP选项校验、ICMP攻击防御等。DoS防御的类型、⽅式和解决措施如表3所⽰。
表3 DoS防御的类型、⽅式和解决措施
DoS防御配置过程如下。其中,图7为DoS防御相关命令。
图7 DoS防御相关命令
(1)选择防⽕墙>攻击防御>DoS防御,进⾏相关配置,如图7所⽰。
(2)单击“确定”。
(3)单击。
⼆、⼊侵检测与防御
⽹络安全⼿段⾄今已出现很多类型,最常见的包括防⽕墙、反病毒软件、蜜罐系统、⼊侵检测系统等,下⾯主要介绍⼊侵检测系统(Intrusion Detection System)。
(⼀)什么是⼊侵检测系统
从概念上来说,主动进⾏安全检测与防御是⼊侵检测的主要特点。通过特定的技术⼿段,⼊侵检测系统会在到来前、进⾏时以及发⽣后对攻击者的恶意⾏为分别进⾏检测、判定与预警记录,以保障计算机资源在⽹络安全上最基本的三⼤特性。
⼊侵检测系统指任何使⽤了⼊侵检测技术⼿段来保护系统资源的硬件与软件。
(⼆)为什么需要⼊侵检测系统
⾸先,介绍⼀下P2DR模型:P为Policy,指的是模型中的安全策略,它定义了整体策略;另⼀个P为Protection,指的是模型中的⼀些防护技术,如防⽕墙;D为Detection,指的是模型中的⼀些检测技术,如⼊侵检测系统;R为Response,指的是该模型最后需要达到的⽬的,即进⾏响应,如针对不同的策略要求,对不同的⾏为采取特定的反应措施。这样⼀个安全稳固的模型,为系统提供最⼤可能的安全保障。
P2DR虽然在概念上是⽆懈可击的,但在实际部署中,单点⽅向上的安全⼿段仍存在⾃⾝的不⾜。⽐如防⽕墙,它可以最⼤可能地防⽌外界侵⼊,阻⽌恶意⾏为,但却对内部主动的恶意⾏为或者已经⼊侵到内部的恶意⾏为⽆能为⼒,这时便需要⼊侵检测系统来发挥作⽤。
1980年,James Anderson在⼀篇报告中提出可以通过审计策略,追查系统活动踪迹,达到检测系统⽂件等资源是否出现越权访问或⾮授权访问的⽬的,同时在报告中提出了⼀些基本术语。这场为美国空军做的报告,成为业内公认的IDS ⿐祖。
(三)⼊侵检测系统的基本组成
⼊侵检测系统主要包含以下三类功能的组成部分:对系统信息进⾏采集的组成部分、对所得信息进⾏分析的组成部分,以及根据策略对分析结果采取特定响应的部分。上述3种组成部分在后⽂中分别被简称为部件甲、部件⼄和部件丙。
1、部件甲:是⼊侵检测的第⼀步。需要收集的系统信息包括系统状态、⽤户⾏为、⽹络数据等。信息来源并不⽌⼀台主机上的系统⽇志,要尽可能做到既宽且⼴,更要保证信息收集⼯具的茁壮性,这样才能使收集到的信息更可靠,使该部分的⼯作更有价值。
2、部件⼄:是⼊侵检测的核⼼所在。这⼀步需要通过各种技术⼿段对收集到的信息进⾏分析,⽐如常
⽤的模式匹配技术;若有⼤量数据,可能还需要考虑到系统应⽤的算法等,因为数据处理的效率⾼低会对⼊侵检测的全局性能产⽣极⼤影响。
3、部件丙:根据Policy,对前两步得到的分析结果采取相应⾏为响应,⽐如预警、记录,并通知系统管理员,达到及时获取系统状态的⽬的。
(四)⼊侵检测系统的常规分类
同其他⽹络安全⼿段⼀样,⼊侵检测也有不同的分类⽅式,按照不同的分类⽅式,⼊侵检测系统通常可分为以下⼏种。
1、按照部件甲的数据来源,主要可分为基于主机(HIDS)和基于⽹络(NIDS)两⼤类。
(1)基于主机的⼊侵检测:部件甲收集系统信息的来源是系统运⾏所在的主机,当然,检测保护的也是这台主机。
(2)基于⽹络的⼊侵检测:部件甲收集系统信息的来源是⽹络数据分组,这时候检测和保护的是其所在的⽹络。
另外,对信息来源同时包括主机和⽹络的⼊侵检测,可以称为混合型的⼊侵检测。
2、按照⼊侵检测各个组成模块的分布与运作⽅式,可分为集中式和分布式两⼤类。
(1)集中式⼊侵检测系统:⼊侵检测系统的各个组成部分,包括部件甲、部件⼄、部件丙等流程均在同⼀台主机上运⾏。
(2)分布式⼊侵检测系统:与集中式不同,⼊侵检测系统的各个组成部分及检测流程分布在不同的主机设备上。
3、按照时效性,主要可分为实时分析和现场分析。
(1)现场分析⼊侵检测系统:⼊侵检测系统是在异常⾏为或者攻击⾏为发⽣之后,对遗留在系统中的痕迹采集,之后进⾏分析、响应。
(2)实时分析⼊侵检测系统:⼊侵检测系统是在异常⾏为或者攻击⾏为发⽣之时,对在系统中的证据采集,之后进⾏分析、响应。
当然,还可以按照其他形式进⾏分类,不过应当注意的是以上分类并⾮割裂,⼀个⼊侵检测系统很可能属于多项,通过结合不同⽅向的优点,达到最好的效果,⽐如既是基于⽹络的同时⼜是分布式。
(五)⼊侵检测的技术⼿段
⼊侵检测系统⼀般采⽤两⼤类检测⼿段:异常检测和误⽤检测。
1、异常检测:将采集系统在⼀段时期内的正常⾏为作为⼀个框架来参照,只要有⼀天发现系统⾏为突然偏离了这个框架标准,就认为该⾏为是⼀次⼊侵,该⼿段就像QQ⽤户不在常⽤地区登录⼀样,这种⽅法在⼀定程度上能预测⼊侵⾏为,但是容易产⽣误报。异常检测通常分为如下主要⼏类。
(1)基于焦点⼦集的异常检测⽅法
(1)基于焦点⼦集的异常检测⽅法
系统⾏为有很多种,但是总有⼀些很值得关注的⾏为,通过采集这⼀类⾏为,作为⼀个焦点库,识别⼊侵⾏为。
(2)基于学习的异常检测⽅法
通过对系统⾏为进⾏长期⼤量采集,对⾏为特征进⾏归纳和类⽐,从⽽预测发现⼊侵。
(3)基于发⽣条件的异常检测⽅法
有些⼊侵⾏为在发⽣时,会有⼀些顺序性与联系性,识别出事件发⽣的顺序等条件,通过归纳此类条件,产⽣规则,检测⼊侵。
(4)基于指令预测的异常检测⽅法
通过不断对⽤户指令的描摹,让系统“记住”⽤户指令,犹如训练神经⽹络,建⽴指令预测的功能,实现⼊侵检测。
2、误⽤检测:收集曾经确认过的⼊侵⾏为,建⽴⼀个框架参照,只不过这个标准不是正常⾏为,⽽是⼊侵⾏为,就像杀毒软件采⽤的病毒特征库。只要发现系统⾏为符合参照标准,就把它视为⼊侵。这种⽅法误报率不⾼,但是预测不了新⽣的⼊侵⾏为。误⽤检测通常分为以下⼏类。
(1)基于发⽣序列的误⽤检测⽅法
将⼊侵⽅式解释为⼀个连续发⽣的事件,观察系统⾏为事件,运⽤数学观点解释其发⽣序列,采⽤特定算法进⾏推理,推测⼊侵⾏为。
(2)基于状态识别的误⽤检测⽅法
把攻击特征⽤⼀个状态图表⽰出来。⼊侵前的系统状态是⼀个健康始态,⼊侵后的系统状态是⼀个感染态。始态与感染态之间可能也会有⼀些中间态。识别系统状态发现⼊侵⾏为。
(3)基于Condition库的误⽤检测⽅法
将已知⼊侵⾏为特征表⽰成Condition规则,形成特征库。采⽤类似⾼级语⾔的条件判断形式,⽐如If(Condition)⼊侵发⽣条件、Then(Operation)系统响应操作,形式如下⽂所述的Snort规则。
(4)基于数据匹配的误⽤检测⽅法
把⼊侵⾏为解释成⼀些发⽣序列或可直接识别的数据特征,其特点在于没有其他⾃定义的规则转换过程,即可直接对系统待检测数据进⾏特征提取,进⾏数据匹配,发现⼊侵⾏为。
(六)⼊侵检测实例——Snort
Snort是⼀个使⽤规则实现检测的轻量级⼊侵检测系统,可以实时分析⽹络流量和⽇志,主要由3个部分组成:数据分组捕获分析器、规则检测引擎以及报警记录系统。
Snort规则分为2个逻辑部分:规则头和规则选项。规则头包含此条规则的动作、应⽤的协议、IP地址、端⼝号等。规则选项包含具体检查内容与报警内容。
Snort规则⽰例为:Alert TCP any 80→ 192.168.2.0 /24 80(content:“|00 01 86 a5|”;msg:“external mountd access ”;),其中,前半部分是规则头,括号内的为规则选项。
1、规则头
此条规则头的动作是Aler(t 报警)。还有⼀些其他动作:Log(记录)、Pass(忽略)、Activate (报警且激活⼀个dynamic规则链)、Dynamic(被其他规则激活调⽤⽽执⾏)。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论