《信息安全理論與技術(shù)》課件8-訪問控制技術(shù)

12024/3/31訪問控制技術(shù)

2學(xué)習(xí)重點：2024/3/31難點：

訪問控制技術(shù)

訪問控制策略

防火墻技術(shù)

入侵檢測技術(shù)

訪問控制策略

防火墻技術(shù)

入侵檢測技術(shù)8.1訪問控制技術(shù)8.1.1訪問控制的基本概念

（1）訪問控制的定義

訪問控制（AccessControl）是在身份認證的基礎(chǔ)上針對越權(quán)使用資源的防范（控制）措施，是網(wǎng)絡(luò)安全防范和保護的主要策略，主要任務(wù)是防止網(wǎng)絡(luò)資源不被非法使用、非法訪問和不慎操作所造成破壞。嚴格區(qū)分認證或鑒別與訪問控制是很重要的。正確建立用戶的身份是鑒別或認證服務(wù)的責(zé)任；而訪問控制則假定在進行訪問控制前，用戶的身份已經(jīng)得到了驗證。所以，訪問控制的有效性取決于對用戶的正確識別。(2)訪問控制的基本目標(biāo)

防止對任何資源（如計算資源、通信資源或信息資源）進行未授權(quán)的訪問，從而使計算機系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么；避免不慎操作給系統(tǒng)帶來破壞。未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息、頒發(fā)指令等；非法用戶進入系統(tǒng)；合法用戶對系統(tǒng)資源的非法使用。32024/3/31

(3)訪問控制的作用

訪問控制對信息的機密性、完整性起直接的作用。但對于可用性，訪問控制通過對以下信息的有效控制來實現(xiàn)：誰可以頒發(fā)影響網(wǎng)絡(luò)可用性的網(wǎng)絡(luò)管理指令；誰能夠濫用資源以達到占用資源的目的；誰能夠獲得可以用于拒絕服務(wù)攻擊的信息。(4)訪問控制矩陣近年來安全專業(yè)人員在訪問控制方面已經(jīng)形成了一系列觀念，其中最基本的一點就是認識到所有由計算機系統(tǒng)控制的資源都可以表示為數(shù)據(jù)而存儲的客體（比如文件），因此對客體的保護是最關(guān)鍵的，因為它可以簡化對計算機系統(tǒng)控制的其他資源的保護（當(dāng)然，還應(yīng)得到物理保護）。系統(tǒng)中的行為是由主體對客體進行的，主體一般是用戶或以用戶名義執(zhí)行的程序。訪問控制矩陣是規(guī)定主體對客體應(yīng)擁有何種權(quán)利的概念性模型。每一個主體為一行，客體為一列。矩陣中每一個單元規(guī)定了每一行的主體對這一列的客體可進行的訪問。訪問控制的宗旨是保證只有訪問矩陣允許的操作才能進行。42024/3/318.1.2訪問控制策略

訪問控制策略（AccessControlPolicy）是在系統(tǒng)安全策略級上表示授權(quán)，是對訪問如何控制、如何作出訪問決策的高層指南。它與安全機制有著明顯的區(qū)別，安全機制是具體到完成一個策略的低層軟件和硬件的功能。安全研究人員開發(fā)了訪問控制安全機制，它基本上獨立于所使用的訪問控制策略。這使得安全機制可以在安全服務(wù)中重復(fù)使用。通常，可在實現(xiàn)機密性、完整性或可用性上使用同一機制；而安全訪問控制策略多種多樣。(1)自主訪問控制自主訪問控制（DiscretionaryAccessControl，DAC）也稱基于身份的訪問控制（IBAC），是針對訪問資源的用戶或者應(yīng)用設(shè)置訪問控制權(quán)限，根據(jù)主體的身份及允許訪問的權(quán)限進行決策，自主是指具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其他主體，訪問信息的決定權(quán)在于信息的創(chuàng)建者。

優(yōu)點：靈活性高，應(yīng)用廣泛，缺點：安全性低。52024/3/31

自主訪問控制可以分為以下兩類：基于個人的策略。根據(jù)哪些用戶可對一個目標(biāo)實施哪一種行為的列表來表示，即用一個目標(biāo)的訪問矩陣來描述。基于組的策略。一組用戶對于一個目標(biāo)具有同樣的訪問許可，它是基于身份策略的另一種情形，相當(dāng)于把訪問矩陣中多個行壓縮為一個行。

自主訪問控制存在的問題有配置的粒度小、配置的工作量大、效率低。（2）強制訪問控制

強制訪問控制（MandatoryAccessControl，MAC）也稱基于規(guī)則的訪問控制（RBAC），它在自主訪問控制的基礎(chǔ)上，增加了對資源的屬性（安全屬性）劃分，規(guī)定不同屬性下的訪問權(quán)限。對一個安全區(qū)域的強制式策略被最終的權(quán)威機構(gòu)采用和執(zhí)行，它基于能自動實施的規(guī)則，將主體和客體分為不同的級別，所有對信息的控制權(quán)都由系統(tǒng)管理員來決定。62024/3/31（3）基于角色的訪問控制基于角色的訪問控制（RoleBasedAccessControl，RBAC）是與現(xiàn)代的商業(yè)環(huán)境相結(jié)合的產(chǎn)物，同時具有基于身份策略的特征和基于規(guī)則策略的特征，可以看作是基于組的策略的變種，根據(jù)用戶所屬的角色做出授權(quán)決定?；诮巧脑L問控制與訪問者的身份認證密切相關(guān)，通過確定該合法訪問者的身份來確定訪問者在系統(tǒng)中對哪類信息有什么樣的訪問權(quán)限。一個訪問者可以充當(dāng)多個角色，一個角色也可以由多個訪問者擔(dān)任。角色與組的區(qū)別是：組代表一組用戶的集合；角色則是一組用戶的集合＋一組操作權(quán)限的集合。此外，還有多級策略。多級策略給每個目標(biāo)分配一個密級，一般安全屬性可分為4個級別：最高秘密級（Top-Secret）、秘密級（Secret）、機密級（Confidence）以及無級別級（Unclassified）（但是由于安全發(fā)展的需要，目前文件密級已由4級擴展為0～255級）。密級形成一個層次，每個用戶被分配一個相應(yīng)的級，反映了該用戶的最基礎(chǔ)的可信賴度，這種模型常用于政府機密部門。72024/3/318.1.3訪問控制的基本方案及常用實現(xiàn)方法

訪問控制的常用實現(xiàn)方法是指訪問控制策略的軟硬件低層實現(xiàn)。（1）訪問控制表

訪問控制表（AccessControlList，ACL）就是訪問控制矩陣的列構(gòu)成的集合，以客體為索引，將訪問控制矩陣中所有客體所代表的列存儲下來，每一個客體與一個序列對的集合相關(guān)聯(lián)，而每一序列對包含一個主體和權(quán)限的集合，特定的主體可以使用這些權(quán)限來訪問相關(guān)聯(lián)的客體。每一個訪問控制表是客體的屬性表，它給定每一個主體（用戶）對給定目標(biāo)（客體）的訪問權(quán)限，即一系列主體及其對資源的訪問權(quán)限的列表，如圖4-1所示。82024/3/31

圖8-1訪問控制列表

圖8-2訪問能力表

92024/3/31

基于身份的訪問控制策略和基于角色的訪問控制策略都可以用ACL來實現(xiàn)。訪問控制表的優(yōu)點是控制粒度比較小，適用于被區(qū)分的用戶數(shù)比較小，并且這些用戶的授權(quán)情況相對穩(wěn)定。

（2）訪問能力表（AccessCapabilitiesList）也是一種矩陣表示法，但以主體為索引，每個主體對應(yīng)于一個訪問能力表，指出各個客體的訪問權(quán)限，如圖8-2所示。其優(yōu)缺點與ACL相反，在每個受限制的區(qū)域，都維護一個ACL表。(3）安全標(biāo)簽

發(fā)起請求時，附屬一個安全標(biāo)簽，在目標(biāo)的屬性中，也有一個相應(yīng)的安全標(biāo)簽。在做出授權(quán)決定時，目標(biāo)環(huán)境根據(jù)這兩個標(biāo)簽決定是允許還是拒絕訪問，常常用于多級訪問策略。

（4）基于口令的機制基于口令的機制主要有以下幾點：與目標(biāo)的內(nèi)容相關(guān)的訪問控制：動態(tài)訪問控制；多用戶訪問控制：當(dāng)多個用戶同時提出請求時，如何做出授權(quán)決定；基于上下文的控制：在做出對一個目標(biāo)的授權(quán)決定時依賴于外界的因素，如時間、用戶的位置等。

8.1.4訪問控制管理

目前，常見的有3種基本的訪問管理模式（每種管理模式都有各自的優(yōu)缺點，應(yīng)根據(jù)實際情況選擇合適的管理模式）：（1）集中式管理模式。集中式管理模式是由一個管理者設(shè)置的訪問控制。當(dāng)用戶對信息的需求發(fā)生變化時，只能由這個管理者改變用戶的訪問權(quán)限。由于管理者少，所以整個執(zhí)行過程和執(zhí)行標(biāo)準(zhǔn)的一致性就容易達到，但當(dāng)需要快速而大量修改訪問權(quán)限時，管理者的工作負擔(dān)和壓力就會增大。（2）分布式管理模式。分布式管理模式是把訪問控制權(quán)交給文件的擁有者和創(chuàng)建者，通常是職能部門的管理者（FunctionalManager）。這等于把控制權(quán)交給了對信息直接負責(zé)、對信息的使用最熟悉、最有資格判斷誰需要信息的管理者手中。但這也同時造成了在執(zhí)行訪問控制的過程和標(biāo)準(zhǔn)上的不一致性。此外，不同的管理者在實施訪問控制時的差異也會造成控制的相互沖突，以致于無法滿足整個系統(tǒng)的需求，同時，也有可能出現(xiàn)員工調(diào)動和離職時訪問權(quán)不能被有效地清除的情況。（3）混合式管理模式?；旌鲜焦芾砟Ｊ绞羌惺胶头植际焦芾砟Ｊ降慕Y(jié)合。其特點是：由集中管理負責(zé)整個系統(tǒng)中基本的訪問控制，而由職能管理者就其所負責(zé)的資源對用戶進行具體的防問控制?；旌瞎芾砟Ｊ降娜秉c是難以劃分哪些訪問控制應(yīng)集中控制，哪些應(yīng)在本地控制。102024/3/318.2防火墻技術(shù)8.2.1防火墻概述

(1)防火墻的概念

所謂防火墻（FireWall）是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，這道屏障的作用是阻斷來自外部的對本網(wǎng)絡(luò)的威脅和入侵，保護本網(wǎng)絡(luò)的安全。它實際上是一種隔離技術(shù)，是在兩個網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制手段。它能最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們更改、復(fù)制和毀壞自己的重要信息。防火墻作為最重要的一種網(wǎng)絡(luò)安全防護設(shè)備，具有以下3個方面的基本特性：對于一個網(wǎng)絡(luò)來說，所有通過“內(nèi)部”和“外部”的網(wǎng)絡(luò)信息流量都要經(jīng)過防火墻。這是防火墻所處的位置特性，同時也是有效地保護內(nèi)部網(wǎng)絡(luò)安全的一個前提。通過一些安全策略來保證只有經(jīng)過授權(quán)的信息流量才可以通過防火墻。這是防火墻的工作原理特性。防火墻之所以能保護內(nèi)部網(wǎng)絡(luò)的安全，就是依據(jù)這樣的工作原理或防護過濾機制來實現(xiàn)的。防火墻本身必須建立在安全操作系統(tǒng)的基礎(chǔ)上，具有非常強的抗攻擊能力。這是防火墻之所以能擔(dān)當(dāng)起內(nèi)部網(wǎng)絡(luò)安全防護重任的先決條件。112024/3/31防火墻連接示意圖(2)防火墻的作用

從防火墻的過濾防護機制來看，防火墻主要有以下幾個方面的功能：防火墻是網(wǎng)絡(luò)安全的屏障。防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全?？刂茖χ鳈C系統(tǒng)的訪問。防火墻有能力控制對主機系統(tǒng)的訪問。例如，某些主機系統(tǒng)可以由外部網(wǎng)絡(luò)訪問，而其他主機系統(tǒng)則被有效地封閉起來，防止有害的訪問。審計和記錄內(nèi)、外部網(wǎng)絡(luò)上的活動。防火墻可以對內(nèi)、外部網(wǎng)絡(luò)的存取和訪問進行監(jiān)控審計。經(jīng)過防火墻的所有訪問都被記錄下來，并進行日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計。當(dāng)發(fā)生可疑動作時，防火墻能適時記錄并報警，提供網(wǎng)絡(luò)是否受到監(jiān)視和攻擊的詳細信息。強化安全策略。通過以防火墻為核心的安全方案配置，能將所有安全軟件（如加密、認證和審計等）配置在防火墻上此外，由于防火墻的目的在于實現(xiàn)安全訪問控制，因此按照OSI/RM參考模型，防火墻在OSI/RM7層中的5層中都可以設(shè)置。122024/3/31(3)防火墻的優(yōu)點防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)了集中的安全管理，可以強化網(wǎng)絡(luò)安全策略；防火墻能防止非授權(quán)用戶進入內(nèi)部網(wǎng)絡(luò)；防火墻可以方便地監(jiān)視網(wǎng)絡(luò)的安全性并報警；利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可以實現(xiàn)重點網(wǎng)段的分離，從而限制問題的擴散，即網(wǎng)絡(luò)安全問題的屏蔽；由于所有的訪問都經(jīng)過防火墻，防火墻是審計和記錄網(wǎng)絡(luò)的訪問和使用的最佳地方。(4)防火墻的局限性

防火墻也有一些目前根本無法解決的缺陷和不足，主要表現(xiàn)在：防火墻不能防范來自內(nèi)部網(wǎng)絡(luò)的攻擊。防火墻不能防范不經(jīng)由防火墻的攻擊。防火墻不能防范感染了病毒的軟件或文件的傳輸。防火墻不能防范利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進行的攻擊。防火墻不能防范利用服務(wù)器系統(tǒng)漏洞進行的攻擊。防火墻不能防范新的網(wǎng)絡(luò)安全問題。防火墻限制了有用的網(wǎng)絡(luò)服務(wù)。132024/3/318.2.2防火墻的分類

如果按防火墻實現(xiàn)的原理來分，防火墻可分為3種類型：數(shù)據(jù)包過濾路由器防火墻、應(yīng)用層網(wǎng)關(guān)防火墻和電路層網(wǎng)關(guān)防火墻。如果按基于防火墻的硬件環(huán)境來分類，防火墻可分為基于路由器的防火墻和基于主機的防火墻兩類。如果根據(jù)防火墻的功能來分，防火墻可分為FTP防火墻、Telnet防火墻、E-mail防火墻、病毒防火墻、個人防火墻等各種專用型防火墻。通常幾種防火墻技術(shù)組合在一起使用，可以彌補各自的缺陷，增加系統(tǒng)的安全性能。下面主要討論按防火墻的實現(xiàn)原理來分的3種類型的防火墻。(1)數(shù)據(jù)包過濾路由器防火墻數(shù)據(jù)包過濾原理

網(wǎng)絡(luò)層防火墻技術(shù)是在網(wǎng)絡(luò)層上對傳輸?shù)男畔⑦M行過濾，網(wǎng)絡(luò)層技術(shù)的一個應(yīng)用范例就是包過濾（PacketFiltering）技術(shù)。因此，利用包過濾技術(shù)在網(wǎng)絡(luò)層實現(xiàn)的防火墻也稱為包過濾防火墻。

數(shù)據(jù)包過濾技術(shù)顧名思義是在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢茫ňW(wǎng)絡(luò)層）對數(shù)據(jù)包實施有選擇通過的規(guī)則、選擇依據(jù)等，即為系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則（即訪問控制表）。

數(shù)據(jù)包過濾可以控制站點與站點、站點與網(wǎng)絡(luò)和網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的相互訪問，但不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容，因為內(nèi)容是應(yīng)用層數(shù)據(jù)，不是包過濾系統(tǒng)所能辨認的，數(shù)據(jù)包過濾允許用戶在單個地方為整個網(wǎng)絡(luò)提供特別的保護。包過濾檢查模塊深入到系統(tǒng)的網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間。因為數(shù)據(jù)鏈路層是事實上的網(wǎng)卡（NIC），網(wǎng)絡(luò)層是第1層協(xié)議堆棧，所以防火墻位于軟件層次的最底層，如圖8-3所示。142024/3/31152024/3/31

通過檢查模塊，防火墻能攔截和檢查所有出站的數(shù)據(jù)。防火墻檢查模塊首先驗證這個包是否符合過濾規(guī)則，不管是否符合過濾規(guī)則，防火墻一般要記錄數(shù)據(jù)包情況，不符合規(guī)則的包要進行報警或通知管理員。對丟棄的數(shù)據(jù)包，防火墻可以給發(fā)送方一個消息，也可以不給，這要取決于包過濾策略。包檢查模塊能檢查包中的所有信息，一般是網(wǎng)絡(luò)層的IP頭和傳輸層的頭。圖4-3包過濾模型圖

包過濾在本地端接收數(shù)據(jù)包時，一般不保留上下文，只根據(jù)目前數(shù)據(jù)包的內(nèi)容做決定。根據(jù)不同的防火墻的類型，包過濾可能在進入、輸出時或這兩個時刻都進行。可以擬定一個要接收的設(shè)備和服務(wù)的清單，一個不接收的設(shè)備和服務(wù)的清單，組成訪問控制表。①設(shè)置步驟。配置包過濾設(shè)置步驟有：一是必須制定一個安全策略；二是必須正式規(guī)定允許的包類型、包字段的邏輯表達；三是必須用防火墻支持的語法重寫表達式。②按地址過濾。下面是一個最簡單的數(shù)據(jù)包過濾方式，它按照源地址進行過濾。比如說，認為網(wǎng)絡(luò)是一個危險的網(wǎng)絡(luò)，那么就可以用源地址過濾禁止內(nèi)部主機和該網(wǎng)絡(luò)進行通信。表8-1是根據(jù)上面的政策所制定的規(guī)則。

表8-1 過濾規(guī)則示例規(guī)則方源地址目標(biāo)地址動作A出內(nèi)部網(wǎng)絡(luò)拒絕B入內(nèi)部網(wǎng)絡(luò)拒絕162024/3/31

很容易看出這種方式?jīng)]有利用全部信息，所以是不科學(xué)的，下面將要講一種更為先進的過濾方式——按服務(wù)過濾。③按服務(wù)過濾。假設(shè)安全策略是禁止外部主機訪問內(nèi)部的E-mail服務(wù)器（SMTP，端口25），允許內(nèi)部主機訪問外部主機，實現(xiàn)這種過濾的訪問控制規(guī)則如表8-2所示。任何協(xié)議都是建立在雙方基礎(chǔ)上的，信息流也是雙向的，所以規(guī)則總是對出現(xiàn)的。

表8-2 規(guī)則表規(guī)則方向動作源地址源端口目的地址目的端口注釋A進拒絕M·E-mail25不信任B出允許····允許連接C雙向拒絕····缺省狀態(tài)172024/3/31數(shù)據(jù)包過濾特性分析

數(shù)據(jù)包過濾方式的主要優(yōu)點是僅在一個關(guān)健位置設(shè)置一個數(shù)據(jù)包過濾路由器就可以保護整個網(wǎng)絡(luò)，而且數(shù)據(jù)包過濾對用戶是透明的，不必在用戶機上再安裝特定的軟件。數(shù)據(jù)包過濾路由器防火墻速度快、效率高。

數(shù)據(jù)包過濾也有它的缺點和局限性：包過濾規(guī)則配置比較復(fù)雜，而且?guī)缀鯖]有什么工具能對過濾規(guī)則的正確性進行測試；包過濾也沒法查出具有數(shù)據(jù)驅(qū)動攻擊這一類潛在危險的數(shù)據(jù)包，也不能徹底防止地址欺騙攻擊（這是因為數(shù)據(jù)包過濾是通過源地址來做判斷的，但IP地址是很容易改變的，所以源地址欺騙用數(shù)據(jù)包過濾的方法不能查出來）；隨著過濾數(shù)目的增加，路由器的吞吐量會下降，從而影響網(wǎng)絡(luò)性能。另外，一些應(yīng)用協(xié)議也不適合于數(shù)據(jù)包過濾。(2)應(yīng)用層網(wǎng)關(guān)防火墻應(yīng)用層網(wǎng)關(guān)原理

應(yīng)用層網(wǎng)關(guān)（ApplicationGateway）也稱為代理服務(wù)器。代理技術(shù)是針對每一個特定應(yīng)用都有一個程序，企圖在應(yīng)用層實現(xiàn)防火墻的功能。代理的主要特點是有狀態(tài)性。代理能提供部分與傳輸有關(guān)的狀態(tài)，能完全提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸方面的信息，也能處理和管理信息。圖4-4所示為內(nèi)部網(wǎng)的一個Telnet客戶通過代理訪問外部網(wǎng)的一個Telnet服務(wù)器的情況。182024/3/31192024/3/31圖8-4應(yīng)用層網(wǎng)關(guān)的結(jié)構(gòu)示意圖

Telnet代理服務(wù)器執(zhí)行內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時的中間轉(zhuǎn)接。應(yīng)用層網(wǎng)關(guān)上的代理服務(wù)事實上分為一個客戶代理和一個服務(wù)器代理，Telnet是一個Telnet的服務(wù)器守護進程，當(dāng)它偵聽到一個連接到來之后，首先要進行相應(yīng)的身份認證，并根據(jù)安全策略來決定是否中轉(zhuǎn)連接。當(dāng)決定轉(zhuǎn)發(fā)時，代理服務(wù)器上的Telnet客戶進程向真正的Telnet服務(wù)器發(fā)出請求，Telnet服務(wù)器返回的數(shù)據(jù)由代理服務(wù)器轉(zhuǎn)發(fā)給Telnet客戶機。提供代理服務(wù)的可以是一臺雙宿網(wǎng)關(guān)，也可以是一臺堡壘主機，允許用戶訪問代理服務(wù)是很重要的，但是用戶是絕對不允許注冊到應(yīng)用層網(wǎng)關(guān)中。

提供代理的應(yīng)用層網(wǎng)關(guān)主要有以下優(yōu)點：①應(yīng)用層網(wǎng)關(guān)有能力支持可靠的用戶認證并提供詳細的注冊信息；②用于應(yīng)用層的過濾規(guī)則相對于包過濾路由器來說更容易配置和測試；③代理工作在客戶機和真實服務(wù)器之間完全控制會話，所以可以提供很詳細的日志和安全審計功能；④提供代理服務(wù)的防火墻可以被配置成唯一的可被外部看見的主機，這樣可以隱藏內(nèi)部網(wǎng)的IP地址，保護內(nèi)部主機免受外部主機的進攻；⑤通過代理訪問Internet可以解決合法的IP地址不夠用的問題，因為Internet所見到的只是代理服務(wù)器的地址，內(nèi)部不合法的IP通過代理可以訪問Internet。

應(yīng)用層代理也有明顯的缺點，主要有以下幾點：①有限的連接性。②有限的技術(shù)。③性能下降。④每個應(yīng)用程序都必須有一個代理服務(wù)程序來進行安全控制，當(dāng)一種應(yīng)用升級時，一般代理服務(wù)程序也要升級。⑤應(yīng)用層網(wǎng)關(guān)要求用戶改變自己的行為或者在訪問代理服務(wù)的每個系統(tǒng)上安裝特殊的軟件。202024/3/31數(shù)據(jù)包過濾與代理服務(wù)的比較如果內(nèi)部規(guī)定幾條過濾規(guī)則，包過濾防火墻可以有出色的性能，且對應(yīng)用和最終用戶來說是絕對透明的，但包過濾防火墻的安全性較弱。代理服務(wù)在安全方面比包過濾強，但它們在性能和透明度上比較差。主要的安全優(yōu)點在基于代理服務(wù)的防火墻設(shè)計上，即使一個基于代理的防火墻遭到破壞，還是沒有直接傳到防火墻后面的網(wǎng)絡(luò)上；而在包過濾防火墻上，如一個過濾規(guī)則被修改或破壞了，防火墻還繼續(xù)為包路由。但這種安全性能是有代價的，會給開發(fā)者、管理者和最終用戶帶來不便。每一個通過防火墻的應(yīng)用需要自己的代理；有些代理還需要每一個通過防火墻通信的機器運行支持代理的客戶和服務(wù)器軟件；用戶可能還需要專門學(xué)習(xí)使用方法才能通過代理訪問外網(wǎng)。212024/3/31應(yīng)用層網(wǎng)關(guān)的實現(xiàn)

應(yīng)用層網(wǎng)關(guān)的實現(xiàn)包括如下3個方面：①編寫代理軟件。代理軟件一方面是服務(wù)器軟件（但是它所提供的服務(wù)可以是簡單的轉(zhuǎn)發(fā)功能）；另一方面也是客戶軟件（對于外面真正的服務(wù)器來說，是客戶軟件）。②客戶軟件。軟件需要定制或者改寫對于最終用戶的透明性。③協(xié)議對于應(yīng)用層網(wǎng)關(guān)的處理。協(xié)議設(shè)計時考慮到中間代理的存在，特別是考慮安全性，比如數(shù)據(jù)完整性。應(yīng)用層網(wǎng)關(guān)的特點和發(fā)展方向①應(yīng)用層網(wǎng)關(guān)比單一的包過濾更為可靠，而且會詳細記錄所有的訪問狀態(tài)。但是應(yīng)用層網(wǎng)關(guān)也存在一些不足之外；因為它不允許用戶直接訪問網(wǎng)絡(luò)，會使訪問速度變慢；應(yīng)用層網(wǎng)關(guān)需要對每一個特定的Internet服務(wù)器安裝相應(yīng)的代理服務(wù)軟件，用戶不能使用未被服務(wù)器支持的服務(wù)，對每一類服務(wù)要使用特殊的客戶端軟件；某些Internet應(yīng)用軟件不可以使用代理服務(wù)。②應(yīng)用層網(wǎng)關(guān)的發(fā)展方向是智能代理，它不僅僅完成基本的代理訪問功能，還可以實現(xiàn)其他的附加功能.222024/3/31

(3)電路層網(wǎng)關(guān)防火墻

應(yīng)用層代理為一種特定的服務(wù)（如FTP、Telnet等）提供代理服務(wù)，代理服務(wù)器不但轉(zhuǎn)發(fā)流量而且對應(yīng)用層協(xié)議做出解釋。電路層網(wǎng)關(guān)（Circuit-levelGateway）也是一種代理，但是它只能是建立起一個回路，對數(shù)據(jù)包只起轉(zhuǎn)發(fā)的作用，是在網(wǎng)絡(luò)的傳輸層上實施的訪問策略。這可能是一個單獨的系統(tǒng)或也可能是一個應(yīng)用層網(wǎng)關(guān)為特定應(yīng)用程序完成的專門功能。電路層網(wǎng)關(guān)只依賴于TCP連接，并不進行任何附加的包處理或過濾。

電路層網(wǎng)關(guān)防火墻的原理是：網(wǎng)關(guān)建立兩個TCP連接，一個是在網(wǎng)關(guān)本身和內(nèi)部主機上的一個TCP用戶之間，一個是在網(wǎng)關(guān)和外部主機上的一個TCP用戶之間。一旦兩個連接建立起來后，網(wǎng)關(guān)的中繼程序從一個連接向另一個連接轉(zhuǎn)發(fā)TCP報文，而不檢查其內(nèi)容。其安全功能具體體現(xiàn)在決定哪些連接是允許的。

電路層網(wǎng)關(guān)防火墻的典型應(yīng)用場合是系統(tǒng)管理員信任內(nèi)部用戶的情況，即在內(nèi)、外網(wǎng)絡(luò)主機之間建立一個虛擬電路進行通信，相當(dāng)于在防火墻上直接開了個口子進行傳輸，不像應(yīng)用層網(wǎng)關(guān)防火墻那樣能嚴密地控制應(yīng)用層的信息。

電路層網(wǎng)關(guān)防火墻的特點：電路層網(wǎng)關(guān)是一個通用代理服務(wù)器，它工作于OSI參考模型的會話層或是TCP/IP的TCP層。它適用于多個協(xié)議，但它不能識別在同一個協(xié)議棧上運行的不同的應(yīng)用，當(dāng)然也就不需要對不同的應(yīng)用設(shè)置不同的代理模塊，但這種代理需要在客戶端做適當(dāng)修改。

這種代理的優(yōu)點是它可以對各種不同的協(xié)議提供服務(wù)，但需要改進客戶程序。這種網(wǎng)關(guān)對外像一個代理，而對內(nèi)則是一個過濾路由器。232024/3/31狀態(tài)檢測技術(shù)狀態(tài)檢測防火墻摒棄了包過濾防火墻僅考查數(shù)據(jù)包的IP地址等幾個參數(shù)，而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點，在防火墻的核心部分建立狀態(tài)連接表，并將進出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個個的會話，利用狀態(tài)表跟蹤每一個會話狀態(tài)。狀態(tài)監(jiān)測對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)，因此提供了完整的對傳輸層的控制能力。狀態(tài)檢測技術(shù)在大為提高安全防范能力的同時也改進了流量處理速度。狀態(tài)監(jiān)測技術(shù)采用了一系列優(yōu)化技術(shù)，使防火墻性能大幅度提升，狀態(tài)檢測和數(shù)據(jù)包過濾防火墻的區(qū)別：這兩種防火墻的主要區(qū)別是，狀態(tài)監(jiān)測系統(tǒng)維護一個狀態(tài)表，讓這些系統(tǒng)跟蹤通過防火墻的全部開放的連接。而數(shù)據(jù)包過濾防火墻就沒有這個功能。248.2.3防火墻的體系結(jié)構(gòu)（了解）防火墻的體系結(jié)構(gòu)實際上就是防火墻系統(tǒng)的拓撲結(jié)構(gòu)，網(wǎng)絡(luò)對外呈現(xiàn)的安全水平在很大程度上依賴于所用防火墻的體系結(jié)構(gòu)。一般將防火墻體系結(jié)構(gòu)分為屏蔽路由器體系結(jié)構(gòu)、雙宿主機體系結(jié)構(gòu)、屏蔽主機體系結(jié)構(gòu)、屏蔽子網(wǎng)體系結(jié)構(gòu)4種。(1)屏蔽路由器體系結(jié)構(gòu)

屏蔽路由器（ScreenedRouter）可以由廠家專門生產(chǎn)的路由器實現(xiàn)，也可以用主機來實現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查，如圖8-5所示。路由器上可以安裝基于IP層的報文過濾軟件，實現(xiàn)報文過濾功能。屏蔽路由器的缺點是一旦被攻擊后很難發(fā)現(xiàn)，而且不能識別不同的用戶。252024/3/31262024/3/31圖8-5屏蔽路由器體系結(jié)構(gòu)(2)雙宿主機體系結(jié)構(gòu)

雙宿主機（Dual-homedhost）網(wǎng)關(guān)是用一臺裝有兩塊網(wǎng)卡的堡壘主機的做防火墻。兩塊網(wǎng)卡各自與受保護網(wǎng)和外部網(wǎng)相連，如圖8-6所示。堡壘主機上運行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序、提供服務(wù)等。與屏蔽路由器相比，雙宿主機網(wǎng)關(guān)堡壘主機的系統(tǒng)軟件可用于維護系統(tǒng)日志、硬件復(fù)制日志或遠程日志。

但弱點也比較突出，一旦黑客侵入堡壘主機并使其只具有路由功能，任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。此外，堡壘主機的任何安全缺陷，都將直接影響到防火墻的安全性。272024/3/31圖8-6雙宿主機體系結(jié)構(gòu)圖5-2雙宿主機防火墻(3)屏蔽主機體系結(jié)構(gòu)屏蔽主機（ScreenedHost）體系結(jié)構(gòu)類似于雙宿主機結(jié)構(gòu)，它們的主要區(qū)別是在屏蔽主機體系結(jié)構(gòu)中，防火墻和Internet之間添加了一個路由器來執(zhí)行包過濾，圖8-7（a）和圖8-7（b）所示分別為單地址堡壘主機和雙地址堡壘主機的體系結(jié)構(gòu)。路由器對進入防火墻主機的通信流量進行了篩選，而防火墻主機可以專門用于其他安全的防護。因此，屏蔽主機體系結(jié)構(gòu)比雙宿主機體系結(jié)構(gòu)更能夠提供更高層次的安全保護，但是若攻擊者攻破了路由器后面的堡壘主機，攻擊者就可以直接進入內(nèi)部網(wǎng)絡(luò)。為了進一步增強屏蔽主機體系結(jié)構(gòu)的安全性，可以將堡壘主機構(gòu)造為一臺應(yīng)用網(wǎng)關(guān)或者代理服務(wù)器，使可用的網(wǎng)絡(luò)服務(wù)經(jīng)過代理服務(wù)器。282024/3/31292024/3/31

一般來說，在屏蔽路由器上的數(shù)據(jù)包過濾是這樣設(shè)置的：堡壘主機是Internet上的主機連接到內(nèi)部網(wǎng)絡(luò)上的橋梁，但是僅僅是某些確定類型的連接才能被允許。當(dāng)然，也允許堡壘主機開放可允許的連接到外部網(wǎng)絡(luò)。

在屏蔽路由器中數(shù)據(jù)包過濾配置可以按下列方式之一進行：①允許其他的內(nèi)部主機為了某些服務(wù)與Internet上的主機連接；②不允許來自內(nèi)部主機的所有連接。當(dāng)然，用戶可以針對不同的服務(wù)混合使用這些手段，如可以允許某些服務(wù)直接經(jīng)由數(shù)據(jù)包過濾，而其他服務(wù)間接地經(jīng)過代理（這完全取決于用戶實行的安全策略）。(4)屏蔽子網(wǎng)體系結(jié)構(gòu)

在屏蔽主機體系結(jié)構(gòu)中，即便用戶盡力保護堡壘主機，堡壘主機仍然是最有可能被入侵的機器，這是因為它是容易被入侵的機器。若在屏蔽主機體系結(jié)構(gòu)中，用戶的內(nèi)部網(wǎng)絡(luò)對來自用戶的堡壘主機的入侵門戶打開，那么用戶的堡壘主機就是非常誘人的攻擊目標(biāo)。302024/3/31

在它與用戶的其他內(nèi)部機器之間除了偶爾可能有的主機安全之外沒有其他的防范手段時，若有人成功地入侵屏蔽主機體系結(jié)構(gòu)中的堡壘主機，那它就能夠毫無阻擋地進入內(nèi)部系統(tǒng)。屏蔽子網(wǎng)（ScreenedSubnet）體系結(jié)構(gòu)通過在周邊網(wǎng)絡(luò)上隔離堡壘主機，能夠減少對堡壘主機入侵的可能，如圖8-8所示。312024/3/31圖8-8屏蔽子網(wǎng)體系結(jié)構(gòu)322024/3/31

屏蔽子網(wǎng)體系結(jié)構(gòu)通過在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)（周邊網(wǎng)絡(luò)），用兩臺過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在具體實現(xiàn)中，可以將過濾路由器放置在子網(wǎng)的兩端，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可以訪問屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)。（1）周邊網(wǎng)絡(luò)周邊網(wǎng)絡(luò)是另一個安全層，是在外部網(wǎng)絡(luò)與受保護的內(nèi)部網(wǎng)絡(luò)之間附加的網(wǎng)絡(luò)。如果攻擊者成功地入侵用戶的防火墻的外層領(lǐng)域，周邊網(wǎng)絡(luò)在攻擊者與用戶的內(nèi)部系統(tǒng)之間提供附加的保護層。但對于周邊網(wǎng)絡(luò)來說，如果攻擊者入侵周邊網(wǎng)絡(luò)上的堡壘主機，他也僅能偵聽到周邊網(wǎng)絡(luò)上的通信，而內(nèi)部網(wǎng)絡(luò)是通信仍然是安全的。（2）堡壘主機在屏蔽子網(wǎng)體系結(jié)構(gòu)中，用戶把堡壘主機連接到周邊網(wǎng)絡(luò)上，這臺主機便是接受來自外部連接的主要入口。而從內(nèi)部網(wǎng)絡(luò)的客戶端到Internet上的服務(wù)器的出站服務(wù)的處理方法有：在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的路由器上設(shè)置數(shù)據(jù)包過濾，以允許內(nèi)部的客戶端直接訪問外部的服務(wù)器；設(shè)置代理服務(wù)器在堡壘主機上運行來允許內(nèi)部的客戶端間接地訪問外部的服務(wù)器。（3）內(nèi)部路由器內(nèi)部路由器有時也稱為阻塞路由器，它保護內(nèi)部網(wǎng)絡(luò)免受Internet和周邊網(wǎng)絡(luò)的入侵。內(nèi)部路由器所允許的堡壘主機和用戶的內(nèi)部網(wǎng)絡(luò)之間的服務(wù)可以不同于內(nèi)部路由器所允許的Internet和用戶的內(nèi)部網(wǎng)之間的服務(wù)。（4）外部路由器外部路由器也稱為訪問路由器，它保護周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)免受來自Internet的侵犯。一般，外部路由器由外部服務(wù)提供商（如用戶的Internet供應(yīng)商）提供，同時用戶對它的訪問被限制。外部路由器能有效執(zhí)行的安全任務(wù)之一是阻止從Internet上偽造源地址進來的任何數(shù)據(jù)包。這樣的數(shù)據(jù)包自稱來自內(nèi)部的網(wǎng)絡(luò)，但實際上是來自Internet。332024/3/318.2.4防火墻安全設(shè)計策略在構(gòu)筑防火墻保護網(wǎng)絡(luò)之前，需要制定一套完整有效的安全策略。一般，防火墻安全策略分為兩個層次：網(wǎng)絡(luò)服務(wù)訪問策略和防火墻安全設(shè)計策略。（1）網(wǎng)絡(luò)服務(wù)訪問策略

網(wǎng)絡(luò)服務(wù)訪問策略是一種高層次的、具體到事件的策略，主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)絡(luò)服務(wù)，而且還包括對撥號訪問以及SLIP/PPP連接的限制。比如，如果一個防火墻阻止用戶使用Telnet服務(wù)訪問Internet，一些人可能會使用撥號鏈接來獲得這種服務(wù)，這樣就可能會使網(wǎng)絡(luò)受到攻擊。網(wǎng)絡(luò)服務(wù)訪問策略不但應(yīng)該是一個站點安全策略的延伸，而且對于機構(gòu)內(nèi)部資源的保護也應(yīng)起到全局的作用。342024/3/31

一般情況下，一個防火墻執(zhí)行兩個通用網(wǎng)絡(luò)服務(wù)訪問策略中的一個：允許從內(nèi)部站點訪問Internet而不允許從Internet訪問內(nèi)部站點；只允許從Internet訪問特定的系統(tǒng)，如信息服務(wù)器和電子郵件服務(wù)器。

在最高層（或應(yīng)用層），某個組織機構(gòu)的總體策略可能是這樣的：內(nèi)部信息對于一個組織的經(jīng)濟繁榮是至關(guān)重要的。應(yīng)使用各種經(jīng)濟實惠的辦法來保證我們的信息的機密性、完整性、真實性和可用性。保護數(shù)據(jù)信息的機密性、完整性和可用性是高于一切的，是不同層次的員工的責(zé)任。所有信息處理的設(shè)備將被用于經(jīng)過授權(quán)的任務(wù)。（2）防火墻安全設(shè)計策略

防火墻的設(shè)計策略是具體地針對防火墻，制定相應(yīng)的規(guī)章制度來實施網(wǎng)絡(luò)服務(wù)訪問策略。防火墻一般執(zhí)行以下兩種基本設(shè)計策略中的一種：第一種，除非明確不允許，否則允許某種服務(wù)；第二種，除非明確允許，否則將禁止某種服務(wù)。防火墻可以實施一種寬松的政策（第一種），也可以實施一種限制性政策（第二種），這就是制定防火墻策略的入手點。一個公司可以把一些必須的而又不能通過防火墻的服務(wù)放在屏蔽子網(wǎng)上，和其他的系統(tǒng)相隔離開。有些人把這種方法用在Web服務(wù)器上，這個服務(wù)器只是由包過濾進行保護，并不放在防火墻后面。此外，現(xiàn)在的防火墻還逐漸集成了信息安全技術(shù)中的最新研究成果，使用加密機制來提高防火墻的安全性。總之，防火墻好壞取決于其安全性和靈活性的要求，所以在實施防火墻之前，考慮一下策略是至關(guān)重要的。如果不這樣做，會導(dǎo)致防火墻不能達到要求。352024/3/3136（1）

掃描防火墻策略2024/3/31

從黑客攻擊防火墻的過程上看，防火墻攻擊策略大概可以分為三類：

掃描防火墻策略的方法是探測在目標(biāo)網(wǎng)絡(luò)上安裝的是何種防火墻系統(tǒng)并且找出此防火墻系統(tǒng)允許哪些服務(wù)，通常稱之為對防火墻的探測攻擊。比如當(dāng)路由器禁止一個數(shù)據(jù)包通過，通常路由器將返回一個ICMP報文給發(fā)送主機。黑客如果攻擊內(nèi)部網(wǎng)，通過分析返回的ICMP報文的類型可以知道哪種類型的數(shù)據(jù)包被禁止，可以大致分析出防火墻采用的過濾規(guī)則。所以防火墻應(yīng)該禁止返回有用的ICMP報文，因為ICMP報文會泄露一些信息。4.2.5防火墻攻擊策略（了解）37（2）通過防火墻認證機制策略2024/3/31

通過防火墻認證機制策略，是指采取地址欺騙、TCP序號攻擊等方法繞過防火墻的認證機制，從而對防火墻和內(nèi)部網(wǎng)絡(luò)破壞。

IP地址欺騙：突破防火墻系統(tǒng)最常用的方法是因特網(wǎng)地址欺騙，它同時也是其他一系列攻擊方法的基礎(chǔ)。

黑客或入侵者利用偽造的IP發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)分組，喬裝成來自內(nèi)部網(wǎng)站的分組過濾器，則這種類型的攻擊是非常危險的。關(guān)于涉及的分組真正是內(nèi)部的還是外部的分組被包裝得看起來像內(nèi)部的種種跡象都已喪失殆盡。只要系統(tǒng)發(fā)現(xiàn)發(fā)送地址在其自己的范圍之內(nèi)，則它就把該分組按內(nèi)部通信對待并讓其通過。382024/3/31TCP序號攻擊：TCP序號攻擊是繞過基于分組過濾方法的防火墻系統(tǒng)的最有效和最危險的方法之一。

由于TCP/IP是通過來回確認來保證數(shù)據(jù)的完整性，不確認則要重傳。TCP/IP沒有內(nèi)在的控制機制，來支持源地址的鑒別，來證實IP是從哪兒來的。這就是TCP/IP漏洞的根本原因。黑客利用TCP/IP協(xié)議中的這個漏洞，可以使其訪問管理依賴于分析IP發(fā)送地址的任何安全系統(tǒng)上當(dāng)。黑客可以使用偵聽的方式來截獲數(shù)據(jù)，能對數(shù)據(jù)進行檢查，推測TCP的系列號，修改傳輸路由，修改鑒別過程，插入黑客的數(shù)據(jù)流。莫里斯病毒就是利用這一點，給互聯(lián)網(wǎng)造成巨大的危害。39（3）利用防火墻漏洞策略2024/3/31

尋找、利用防火墻系統(tǒng)實現(xiàn)和設(shè)計上的安全漏洞，從而有針對性地發(fā)動攻擊。這種攻擊難度比較大，可是破壞性很大。

防火墻不能防止對自己的攻擊，只能強制對抗。防火墻本身是一種被動防衛(wèi)機制，不是主動安全機制。防火墻不能干涉還沒有到達防火墻的包，如果這個包是攻擊防火墻的，只有已經(jīng)發(fā)生了攻擊，防火墻才可以對抗，根本不能防止。8.2.6防火墻的發(fā)展趨勢（了解）

防火墻技術(shù)的發(fā)展經(jīng)歷了基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻4個階段。獲得安全操作系統(tǒng)的辦法有兩種：一種是通過許可證方式獲得操作系統(tǒng)的源碼；另一種是通過固化操作系統(tǒng)內(nèi)核來提高可靠性。（1）透明接入技術(shù)

透明模式，顧名思義，首要的特點就是對用戶是透明的（Transparent），即用戶意識不到防火墻的存在。如果防火墻采用了透明模式，即采用無IP方式運行，用戶將不必重新設(shè)定和修改路由，防火墻就可以直接安裝和放置到網(wǎng)絡(luò)中使用，如交換機一樣不需要設(shè)置IP地址。透明模式的防火墻就好比是一臺網(wǎng)橋（非透明的防火墻好比一臺路由器），網(wǎng)絡(luò)設(shè)備（包括主機、路由器、工作站等）和所有計算機的設(shè)置（包括IP地址和網(wǎng)關(guān)）無須改變，同時解析所有通過它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶管理的復(fù)雜程度。透明代理服務(wù)，用戶不需要任何設(shè)置就可以使用代理服務(wù)器，簡化了網(wǎng)絡(luò)的設(shè)置過程。

402024/3/31（2）分布式防火墻技術(shù)分布式防火墻的產(chǎn)生背景因為傳統(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，在內(nèi)部企業(yè)網(wǎng)和外部互聯(lián)網(wǎng)之間構(gòu)成一個屏障，進行網(wǎng)絡(luò)存取控制，所以也稱為邊界防火墻，它存在以下不足之處：①網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制②內(nèi)部安全隱患依然存在③效率較低和故障率高

由于邊界式防火墻把檢查機制集中在網(wǎng)絡(luò)邊界處的單點上，造成了網(wǎng)絡(luò)的瓶頸和單點故障隱患。從性能的角度來說，防火墻極易成為網(wǎng)絡(luò)流量的瓶頸。從網(wǎng)絡(luò)可達性的角度來說，由于其帶寬的限制，防火墻并不能保證所有請求都能及時響應(yīng)，所以在可達性方面防火墻也是整個網(wǎng)絡(luò)中的一個脆弱點。分布式防火墻，它不僅能夠保留傳統(tǒng)邊界式防火墻的所以優(yōu)點，而且又能克服前面所說的那些缺點，在目前來說它是最為完善的一種防火墻技術(shù)。分布式防火墻的主要特點分布式防火墻負責(zé)對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點之間的安全防護，所以“分布式防火墻”是一個完整的系統(tǒng)，而不是單一的產(chǎn)品。根據(jù)其所需完成的功能，新的防火墻體系結(jié)構(gòu)包含如下部分：①網(wǎng)絡(luò)防火墻（NetworkFirewall）②主機防火墻（HostFirewall）③中心管理（CeNT/2KralManagermeNT/2K）412024/3/31

綜合起來這種新的防火墻技術(shù)具有以下幾個主要特點：

①主機駐留：這種分布式防火墻的最主要特點就是采用主機駐留方式，所以稱之為“主機防火墻”，它的重要特征是駐留在被保護的主機上，該主機以外的網(wǎng)絡(luò)不管是處在網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部都認為是不可信任的，

②嵌入操作系統(tǒng)內(nèi)核：這主要是針對目前的純軟件式分布式防火墻來說的，操作系統(tǒng)自身存在許多安全漏洞目前是眾所周知的，運行在其上的應(yīng)用軟件無一不受到威脅。分布式主機防火墻也運行在該主機上，所以其運行機制是主機防火墻的關(guān)鍵技術(shù)之一。

③類似于個人防火墻：個人防火墻是一種軟件防火墻產(chǎn)品，它是在分布式防火墻之前已出現(xiàn)的一類防火墻產(chǎn)品，它是用來保護單一主機系統(tǒng)的。分布式針對桌面應(yīng)用的主機防火墻與個人防火墻有相似之處，如它們都對應(yīng)個人系統(tǒng)，但其差別又是本質(zhì)性的。首先它們管理方式迥然不同，其次，不同于個人防火墻面向個人用戶，針對桌面應(yīng)用的主機防火墻是面向企業(yè)級客戶的。

④適用于服務(wù)器托管：互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展促進了互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）的迅速崛起，其主要業(yè)務(wù)之一就是服務(wù)器托管服務(wù)。對服務(wù)器托管用戶而言，該服務(wù)器邏輯上是其企業(yè)網(wǎng)的一部分，只不過物理上不在企業(yè)內(nèi)部，對于硬件式的分布式防火墻因其通常采用PCI卡式的，通常兼顧網(wǎng)卡作用，所以可以直接插在服務(wù)器機箱里面，也就無需單獨的空間托管費了，對于企業(yè)來說更加實惠。422024/3/31分布式防火墻的主要優(yōu)勢

在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新一代防火墻技術(shù)的潮流，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點處設(shè)置屏障，從而形成了一個多層次、多協(xié)議，內(nèi)外皆防的全方位安全體系。主要優(yōu)勢如下：①增強的系統(tǒng)安全性②提高了系統(tǒng)性能③系統(tǒng)的擴展性④實施主機策略⑤應(yīng)用更為廣泛，支持VPN通信其實分布式防火墻最重要的優(yōu)勢在于，它能夠保護物理拓樸上不屬于內(nèi)部網(wǎng)絡(luò)，但位于邏輯上的“內(nèi)部”網(wǎng)絡(luò)的那些主機，這種需求隨著VPN的發(fā)展越來越多。對這個問題的傳統(tǒng)處理方法是將遠程“內(nèi)部”主機和外部主機的通信依然通過防火墻隔離來控制接入，而遠程“內(nèi)部”主機和防火墻之間采用"隧道"技術(shù)保證安全性，這種方法使原本可以直接通信的雙方必須繞經(jīng)防火墻，不僅效率低而且增加了防火墻過濾規(guī)則設(shè)置的難度。與之相反，分布式防火墻的建立本身就是基本邏輯網(wǎng)絡(luò)的概念，因此對它而言，遠程"內(nèi)部"主機與物理上的內(nèi)部主機沒有任何區(qū)別，它從根本上防止了這種情況的發(fā)生。432024/3/31分布式防火墻的基本原理分布式防火墻仍然由中心定義策略，但由各個分布在網(wǎng)絡(luò)中的端點實施這些制定的策略。它依賴于三個主要的概念：說明哪一類連接可以被允許禁止的策略語言、一種系統(tǒng)管理工具和IP安全協(xié)議。①策略語言：只要能夠方便地表達需要的策略，真正重要的是如何標(biāo)志內(nèi)部的主機，以IP地址來標(biāo)志內(nèi)部主機是一種可供選擇的方法，但它的安全性不高，所以更傾向于使用IP安全協(xié)議中的密碼憑證來標(biāo)志各臺主機，它為主機提供了可靠的、惟一的標(biāo)志，并且與網(wǎng)絡(luò)的物理拓撲無關(guān)。②系統(tǒng)管理工具：分布式防火墻服務(wù)器的系統(tǒng)管理工具用于將形成的策略文件分發(fā)給被防火墻保護的所有主機，應(yīng)該注意的是這里所指的防火墻并不是傳統(tǒng)意義上的物理防火墻，而是邏輯上的分布式防火墻。③IP安全協(xié)議：是一種對TCP/IP協(xié)議族的網(wǎng)絡(luò)層進行加密保護的機制，包括AH和ESP，分別對IP包頭和整個IP包進行認證，可以防止各類主機攻擊?，F(xiàn)在看一下分布式防火墻是如何工作的。首先由制定防火墻接入控制策略的中心通過編譯器將策略語言描述轉(zhuǎn)換成內(nèi)部格式，形成策略文件；然后中心采用系統(tǒng)管理工具把策略文件分發(fā)給各臺“內(nèi)部”主機；“內(nèi)部”主機將從兩方面來判定是否接受收到的包，一方面是根據(jù)IP安全協(xié)議，另一方面是根據(jù)服務(wù)器端的策略文件。442024/3/318.2.7防火墻選擇原則與常見產(chǎn)品(1)防火墻選擇原則總擁有成本。防火墻自身的安全性。防火墻的穩(wěn)定性。防火墻的性能。功能的靈活性。簡化的安裝與管理。配置方便性。是否可針對用戶身份進行過濾。掃毒功能?？蓴U展和可升級性。有用的日志。除此之外，還應(yīng)該考慮如下兩個因素：網(wǎng)絡(luò)受威脅的程度和網(wǎng)站上是否有經(jīng)驗豐富的管理員。452024/3/31（2）防火墻產(chǎn)品

在信息技術(shù)迅速發(fā)展的今天，防火墻產(chǎn)品很多，下面介紹常見的防火墻產(chǎn)品。CheckPoint防火墻AXENTRaptor防火墻SecureComputingSecureZone防火墻CiscoSecurePIX防火墻ASA——Cisco下一代防火墻Netscreen防火墻NetGuardGuardianCyberwallPlus系列防火墻天融信公司的網(wǎng)絡(luò)衛(wèi)士清華紫光網(wǎng)聯(lián)科技的UF3100/UF3500防火墻NetEye網(wǎng)眼防火墻東方龍（OLM）防火墻中科網(wǎng)威“長城”防火墻（NetpowerFirewall）天網(wǎng)防火墻藍盾防火墻瑞星個人防火墻諾頓防火墻金山網(wǎng)鏢462024/3/314.4入侵檢測技術(shù)從計算機網(wǎng)絡(luò)中的若干關(guān)鍵點收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門。4.4.1入侵檢測概述在講入侵檢測技術(shù)之前，先來看近幾年網(wǎng)絡(luò)安全研究的發(fā)展過程。防火墻技術(shù)的研究：在網(wǎng)絡(luò)邊界保衛(wèi)內(nèi)部網(wǎng)。VPN技術(shù)的研究：連接分散的內(nèi)部網(wǎng)，完成內(nèi)部網(wǎng)外延的擴大，與防火墻技術(shù)結(jié)合比較緊密。認證、PKI技術(shù)的研究：進一步擴大內(nèi)部網(wǎng)的外延，同時建立廣義的信任關(guān)系。入侵檢測技術(shù)的研究：承接防護和響應(yīng)的過程。

從網(wǎng)絡(luò)安全發(fā)展的趨勢來看，在不斷加強防護的同時，人們已經(jīng)越來越意識到只是防護是不夠的，必須引入入侵檢測和安全審計技術(shù)；從網(wǎng)絡(luò)安全的角度來看，在設(shè)計現(xiàn)有防護系統(tǒng)時，只可能考慮到已知的安全威脅與有限范圍內(nèi)的未知安全威脅。472024/3/31(1)入侵檢測的定義入侵檢測（IntrusionDetection，ID）的作用就在于及時地發(fā)現(xiàn)各種攻擊以及攻擊企圖并作出反應(yīng)。入侵檢測就是對（網(wǎng)絡(luò)）系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性與可用性。一個完整的入侵檢測系統(tǒng)必須具備下列特點：經(jīng)濟性、時效性、安全性、可擴展性。(2)入侵檢測的發(fā)展簡介入侵檢測從最初實驗室里的研究課題到目前的商業(yè)入侵檢測系統(tǒng)產(chǎn)品已經(jīng)有20多年的發(fā)展歷史，可分為安全審計、入侵檢測系統(tǒng)和入侵防范系統(tǒng)3個階段：安全審計（SecurityAudit）

審計定義為對系統(tǒng)中發(fā)生事件的記錄和分析處理過程。與系統(tǒng)日志（Log）相比，審計更關(guān)注安全問題。其功能包括能夠記錄系統(tǒng)被訪問的過程以及系統(tǒng)保護機制的運行；能夠發(fā)現(xiàn)試圖繞過保護機制的行為；能夠及時發(fā)現(xiàn)用戶身份的躍遷；能夠報告并阻礙繞過保護機制的行為并記錄相關(guān)過程，為災(zāi)難恢復(fù)提供信息等。482024/3/31入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）

在IDS發(fā)展史上有幾個里程碑：1980年，美國的Anderson在為美國空軍做的題為《ComputerSecurityThreatMonitoringandSurveilance（計算機安全威脅監(jiān)控與監(jiān)視）》被認為是有關(guān)入侵檢測的最早論述；1984～1986年，DorothyDenning和PeterNeumann聯(lián)合開發(fā)了一個實時入侵檢系統(tǒng)——IDES（IntrusionDetectionExpertSystem），在20世紀(jì)80年代出現(xiàn)了大量的原型系統(tǒng)，商業(yè)化的IDS直到20世紀(jì)80年代后期才開始出現(xiàn)。目前IDS策略按檢測范圍可以分為12大類，共1

400多種入侵規(guī)則，同時大多數(shù)IDS系統(tǒng)還支持自定義規(guī)則添加和系統(tǒng)規(guī)則庫的更新，這樣用戶可以從相關(guān)產(chǎn)品的公司網(wǎng)站上下載新的規(guī)則庫，可以抵御當(dāng)前網(wǎng)絡(luò)上后門入侵行為。入侵防范系統(tǒng)（IntrusionPreventionSystem，IPS，又稱為入侵防護系統(tǒng)或入侵保護系統(tǒng)）

IPS技術(shù)可以可以深度感知并檢測流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網(wǎng)絡(luò)帶寬資源。IPS產(chǎn)品最早出現(xiàn)于2000年。隨著產(chǎn)品的不斷發(fā)展和市場的認可，歐美一些安全大公司通過收購小公司獲得IPS技術(shù)，推出自己的IPS產(chǎn)品。可以說，目前國際市場上IPS百花齊放，但在國內(nèi)市場上由于客戶認可程度還不高，仍然以IDS產(chǎn)品為主，IPS目前在國內(nèi)正在逐步走向應(yīng)用。492024/3/31(3)入侵檢測的未來發(fā)展方向體系結(jié)構(gòu)的新發(fā)展應(yīng)用層入侵檢測智能的入侵檢測提供高層統(tǒng)計與決策響應(yīng)策略與恢復(fù)研究入侵檢測的評測方法與其他網(wǎng)絡(luò)安全部件的協(xié)作和與其他安全技術(shù)的結(jié)合隨著黑客入侵手段的提高，尤其是分布式、協(xié)同式、復(fù)雜模式攻擊的出現(xiàn)和發(fā)展，傳統(tǒng)的單一、缺乏協(xié)作的入侵檢測技術(shù)已經(jīng)不能滿足需求，需要入侵檢測系統(tǒng)有充分的協(xié)作機制。所謂協(xié)作主要包括兩個方面：事件檢測、分析和響應(yīng)能力的協(xié)作，各部件所掌握的安全相關(guān)信息的共享。

協(xié)作的層次主要有以下幾種：①同一系統(tǒng)中不同入侵檢測部件之間的協(xié)作，尤其是主機型和網(wǎng)絡(luò)型入侵檢測部件之間的協(xié)作以及異構(gòu)平臺部件的協(xié)作；②不同安全工具之間的協(xié)作；③不同廠商的安全產(chǎn)品之間的協(xié)作；④不同組織之間預(yù)警能力和信息的協(xié)作。此外，單一的入侵檢測系統(tǒng)并非萬能的，因此需要結(jié)合身份認證、訪問控制、數(shù)據(jù)加密、防火墻、安全掃描、PKI技術(shù)、病毒防護等眾多網(wǎng)絡(luò)安全技術(shù)來提供完整的網(wǎng)絡(luò)安全保障。502024/3/314.4.2入侵檢測系統(tǒng)的功能及分類(1)入侵檢測系統(tǒng)的功能首先我們來看一下入侵檢測系統(tǒng)的檢測流程，圖8-15為一個通用的入侵檢測系統(tǒng)流程。

圖8-15通用入侵檢測系統(tǒng)流程圖

圖8-15中的數(shù)據(jù)提取模塊的作用在于為系統(tǒng)提供數(shù)據(jù)，數(shù)據(jù)的來源可以是主機上的日志信息、變動信息，也可以是網(wǎng)絡(luò)上的數(shù)據(jù)信息，甚至是流量變化等。數(shù)據(jù)提取模塊在獲得數(shù)據(jù)之后，需要對數(shù)據(jù)進行簡單的處理，然后將處理后的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。

數(shù)據(jù)分析模塊的作用在于對數(shù)據(jù)進行深入地分析，發(fā)現(xiàn)攻擊并根據(jù)分析的結(jié)果產(chǎn)生事件，傳遞給結(jié)果處理模塊。

結(jié)果處理模塊的作用在于告警與反應(yīng)，也就是在發(fā)現(xiàn)攻擊企圖或者攻擊之后，需要系統(tǒng)及時地進行反應(yīng)，包括報告、記錄、反映、恢復(fù)。512024/3/31從上面的檢測流程中，可以總結(jié)出入侵檢測系統(tǒng)的主要功能如下：監(jiān)測并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權(quán)操作；檢查系統(tǒng)配置和漏洞，并提示管理員修補漏洞（現(xiàn)在通常由安全掃描系統(tǒng)完成）；評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識別已知的攻擊行為；統(tǒng)計分析異常行為；操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等。(2)入侵響應(yīng)

入侵響應(yīng)（IntrusionResponse）就是當(dāng)檢測到入侵或攻擊時，采取適當(dāng)?shù)拇胧┳柚谷肭趾凸舻倪M行。入侵響應(yīng)系統(tǒng)也有幾種分類方式，按響應(yīng)類型可分為報警型響應(yīng)系統(tǒng)、人工響應(yīng)系統(tǒng)、自動響應(yīng)系統(tǒng)；按響應(yīng)方式可分為基于主機的響應(yīng)系統(tǒng)、基于網(wǎng)絡(luò)的響應(yīng)系統(tǒng)；按響應(yīng)范圍可分為：本地響應(yīng)系統(tǒng)、協(xié)同入侵響應(yīng)系統(tǒng)。當(dāng)檢測到入侵攻擊時，采用的技術(shù)很多，大致可分為被動入侵響應(yīng)技術(shù)和主動入侵響應(yīng)技術(shù)。被動入侵響應(yīng)包括記錄安全事件、產(chǎn)生報警信息、記錄附加日志、激活附加入侵檢測工具等。主動入侵響應(yīng)包括隔離入侵者IP、禁止被攻擊對象的特定端口和服務(wù)、隔離被攻擊對象、警告攻擊者、跟蹤攻擊者、斷開危險連接、攻擊攻擊者等。522024/3/31(3)入侵跟蹤技術(shù)（了解）對于Internet來說，都有發(fā)信端和收信端，用以標(biāo)識信息的發(fā)送者與接收者。因此，除非對方使用一些特殊的封裝方式或是使用防火墻進行對外連接，否則只要有人和你的主機進行通信，就應(yīng)該知道對方的地址。如果對方使用了防火墻通信，則至少也應(yīng)該知道防火墻的地址，所以可以采用相應(yīng)的技術(shù)跟蹤入侵者。如果要跟蹤入侵者，那么有必要對互聯(lián)網(wǎng)的各種協(xié)議作一個徹底的了解。下面結(jié)合OSI參考模型和實際的網(wǎng)絡(luò)協(xié)議之間的對比，理解現(xiàn)有的常用網(wǎng)絡(luò)協(xié)議和它們之間的關(guān)系，如圖8-16所示。532024/3/31圖8-16OSI參考模型和互聯(lián)網(wǎng)協(xié)議

要跟蹤入侵者，也就是要知道入侵者所在的地址和其他信息，有必要了解網(wǎng)絡(luò)地址的劃分。在不同的網(wǎng)絡(luò)層，主要有下列不同的網(wǎng)絡(luò)地址。①媒體訪問控制地址（MAC)②IP地址③域名：④應(yīng)用程序地址跟蹤電子郵件在對信息發(fā)送路徑上的痕跡進行分析之前，有必要了解一下這些信息發(fā)送服務(wù)的操作過程。新聞組和電子郵件非常相似，這兩種服務(wù)都擁有下面的特征：①使用簡單的互聯(lián)網(wǎng)應(yīng)用協(xié)議和文本命令；②存儲轉(zhuǎn)發(fā)的機制允許信息在多個中間系統(tǒng)上穿過；③信息的主題由可打印的字符組成（7位而不是8位）；④可以人為理解的頭信息中包含了從發(fā)送者到接收者之間的路徑。

電子郵件程序（如Outlook、Note或Eudora等）被稱為客戶端應(yīng)用程序。它們是一種基于網(wǎng)絡(luò)的軟件，且需要與一臺服務(wù)器聯(lián)合使用。電子郵件程序通常要與兩種不同的服務(wù)器相互作用：一個用來發(fā)送電子郵件，另一個用來接收電子郵件。當(dāng)讀電子郵件時，客戶端將使用下面3種協(xié)議中的一種來與郵件服務(wù)器進行連接：①郵局協(xié)議（PostOfficeProtocal，POP）；②互聯(lián)網(wǎng)郵件訪問協(xié)議（InternetMailAccessProtocal，IMAP）；③微軟的郵件應(yīng)用程序接口（MailAPI，MAPI）。

542024/3/31跟蹤Usenet的信息傳遞與跟蹤?quán)]件一樣，可以利用消息的頭文件，從接收點開始往回查找，對路徑中的每個主機名進行驗證，通過這種方式可以找到偽造的連接點或是驗證該信息確實經(jīng)過了頭文件中顯示的所有主機。在跟蹤Usenet的信息時，主要檢測消息頭文件的如下信息（每一部分都可能是偽造的）：①From：初始發(fā)送者的名稱和郵件地址；②Newsgroups：發(fā)送到的新聞組；③NNTP-Posting-Host：發(fā)送消息的主機，它通常與下面的Path條目的最右邊一項相同④Message-ID：網(wǎng)絡(luò)新聞傳輸協(xié)議（NNTP）服務(wù)器分配給每個消息的序列號，在服務(wù)器的日志文件中有消息序列號與特定賬號對應(yīng)起來的條目；⑤Path：調(diào)查中主要關(guān)注的地方，它以反順序顯示在傳輸過程中經(jīng)過的每個服務(wù)器。第三方跟蹤工具

經(jīng)常使用的客戶端圖形界面的工具有Neotrace和NetscanPro，這兩個工具都可以幫你進行traceroute（路徑跟蹤）。Neotrace和NetscanPro可以將traceroute的過程在地圖上表示出來。下面簡單介紹EssentialNetTools的功能。EssentialNetTools是一套網(wǎng)絡(luò)工具。它特別適合于調(diào)查基于微軟操作系統(tǒng)的網(wǎng)絡(luò)。它包括以下3個部分：①NBScan。它是一個快速的多線程NetBIOSA掃描器，可以幫助你定位網(wǎng)絡(luò)上哪些機器在共享資源。在該工具中你只需要輸入起始地址和結(jié)束地址，然后讓NBScan來替你運行nbtstat。②NATShell。它是流行的NetBIOSAuditingTool（NAT）網(wǎng)絡(luò)審計工具的友好界面。③NetStat。它顯示計算機所有的網(wǎng)絡(luò)連接狀態(tài)，并監(jiān)控到計算機共享的資源上的外部連接。552024/3/31(4)入侵檢測系統(tǒng)的分類按數(shù)據(jù)來源和系統(tǒng)結(jié)構(gòu)的不同，入侵檢測系統(tǒng)可分為3類：基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)（混合型）。根據(jù)數(shù)據(jù)分析方法（也就是檢測方法）的不同，可以將入侵檢測系統(tǒng)分為兩類：異常檢測系統(tǒng)和誤用檢測系統(tǒng)。按數(shù)據(jù)分析發(fā)生的時間不同，入侵檢測系統(tǒng)可以分為兩類：離線檢測系統(tǒng)與在線檢測系統(tǒng)。按照系統(tǒng)各個模塊運行的分布方式不同，入侵檢測系統(tǒng)可以分為兩類：集中式檢測系統(tǒng)和分布式檢測系統(tǒng)。按數(shù)據(jù)來源和系統(tǒng)結(jié)構(gòu)分類①基于主機的入侵檢測系統(tǒng)?；谥鳈C的入侵檢測系統(tǒng)的輸入數(shù)據(jù)來源于系統(tǒng)的審計日志，即在每個要保護的主機上運行一個代理程序，一般只能檢測該主機上發(fā)生的入侵。此類系統(tǒng)需要定義哪些是不合法的活動，然后把這種安全策略轉(zhuǎn)換成入侵檢測規(guī)則，如圖8-17所示。圖4-17基于主機的入侵檢測過程562024/3/31②基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流，該類系統(tǒng)一般被動地在網(wǎng)絡(luò)上監(jiān)聽整個網(wǎng)絡(luò)上的信息流，通過捕獲網(wǎng)絡(luò)數(shù)據(jù)包，進行分析，能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵，如圖8-18所示。572024/3/31圖8-18基于網(wǎng)絡(luò)的入侵檢測過程③分布式入侵檢測系統(tǒng)（混合型）。分布式入侵檢測系統(tǒng)一般由多個部件組成，分別進行數(shù)據(jù)采集、數(shù)據(jù)分析等，通過中心的控制部件進行數(shù)據(jù)匯總、分析、產(chǎn)生入侵報警等。按分析方法分類①異常檢測模型（AbnormalyDetectionModel）。這種模型的特點是首先總結(jié)正常操作應(yīng)該具有的特征，建立系統(tǒng)正常行為的軌跡，那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。對于異常閾值與特征的選擇是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵。異常檢測技術(shù)的局限在于并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難于計算和更新。②誤用檢測模型（MisuseDetectionModel）。誤用檢測又稱特征檢測，這種模型的特點是收集非正常操作也就是入侵行為的特征，建立相關(guān)的特征庫；在后續(xù)的檢測過程中，將收集到的數(shù)據(jù)與特征庫中的特征代碼進行比較，得出是否是入侵的結(jié)論。特征檢測的優(yōu)點是誤報少、準(zhǔn)確，局限是它只能發(fā)現(xiàn)已知的攻擊，對未知的攻擊無能為力。582024/3/31按數(shù)據(jù)分析發(fā)生的時間（時效性）分類①離線檢測系統(tǒng)。離線檢測系統(tǒng)又稱脫機分析檢測系統(tǒng)，就是在行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進行分析（而不是在行為發(fā)生的同時進行分析），從而檢查出入侵活動。對日志的審查、對系統(tǒng)文件的完整性檢查等都屬于這種檢測系統(tǒng)。②在線檢測系統(tǒng)。在線檢測系統(tǒng)又稱聯(lián)機分析檢測系統(tǒng)，就是在數(shù)據(jù)產(chǎn)生或者發(fā)生改變的同時對其進行檢查，以便發(fā)現(xiàn)攻擊行為。它是實時聯(lián)機的檢測系統(tǒng)。這種方式一般用于網(wǎng)絡(luò)數(shù)據(jù)的實時分析，有時也用于實時主機審計分析。按分布性分類①集中式檢測系統(tǒng)。該系統(tǒng)的各個模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)模塊都集中在一臺主機上運行，這種方式適合于網(wǎng)絡(luò)環(huán)境比較簡單的情況。②分布式檢測系統(tǒng)。該系統(tǒng)的各個模塊分布在網(wǎng)絡(luò)中不同的計算機、設(shè)備上，一般來說分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上。如果網(wǎng)絡(luò)環(huán)境比較復(fù)雜、數(shù)據(jù)量比較大，那么數(shù)據(jù)分析模塊也會分布，一般是按照層次性的原則進行組織，例如AAFID的結(jié)構(gòu)。各種分類方法體現(xiàn)了對入侵檢測系統(tǒng)理解的不同側(cè)面，但是正如前面所說，入侵檢測的核心在于分析模塊，而分類方法（2）（按分析方法分類）則最能體現(xiàn)分析模塊的核心地位，因此在本書中采用了這種分類方法作為后續(xù)介紹的依據(jù)。592024/3/314.4.3入侵檢測系統(tǒng)的分析方法

入侵分析的任務(wù)就是在提取到的龐大數(shù)據(jù)中找到入侵的痕跡。入侵分析過程需要將提取到的事件與入侵檢測規(guī)則等進行比較，從而發(fā)現(xiàn)入侵行為。一方面入侵檢測系統(tǒng)需要盡可能多地提取數(shù)據(jù)以獲得足夠的入侵證據(jù)，而另一方面由于入侵行為的千變?nèi)f化而導(dǎo)致判定入侵的規(guī)則等越來越復(fù)雜。入侵檢測分析技術(shù)主要分為兩類：異常檢測和誤用檢測。(1)基于異常的入侵檢測基于異常的入侵檢測技術(shù)主要來源于這樣的思想：任何正常的行為都是有一定規(guī)律的，并且可以通過分析這些行為產(chǎn)生的日志信息（假定日志信息足夠完全）總結(jié)出這些規(guī)律，而入侵和濫用行為則通常和正常的行為存在嚴重的差異，檢查出這些差異就可以檢測出入侵。這樣就可以檢測出非法的入侵行為甚至是通過未知方法進行的入侵行為。基于異常的入侵檢測技術(shù)其優(yōu)點是可檢測到未知的入侵和更為復(fù)雜的入侵，缺點是誤報、漏報率高，且不適應(yīng)用戶正常行為的突然改變。602024/3/31

一般情況下，基于異常的入侵檢測系統(tǒng)也是由數(shù)據(jù)提取模塊、數(shù)據(jù)分析模塊和結(jié)果處理模塊組成的。數(shù)據(jù)提取模塊是整個入侵檢測系統(tǒng)的基礎(chǔ)。數(shù)據(jù)分析模塊是對數(shù)據(jù)模塊提取的數(shù)據(jù)進行分析。數(shù)據(jù)的分析行為可以分為兩個部分：對象行為的學(xué)習(xí)和異常行為的檢測。數(shù)據(jù)分析的過程是，首先從輸入的數(shù)據(jù)中提取出當(dāng)前對象行為的特征概貌，把這個概貌和以前學(xué)習(xí)的對象行為概貌進行比較，如果超出某個既定閾值，就認定為異常行為，產(chǎn)生警告信息并提交給結(jié)果處理模塊；如果沒有超出，則要學(xué)習(xí)這個行為，把它和以前的行為概貌綜合生成新的對象行為概貌，以反映用戶行為的變化。結(jié)果處理模塊的功能是整個系統(tǒng)必不可少的一部分。檢測方法來分基于異常的入侵檢測系統(tǒng)主要有基于統(tǒng)計學(xué)方法的異常入侵檢測系統(tǒng)、基于預(yù)測模式生成法的入侵檢測系統(tǒng)、基于神經(jīng)網(wǎng)絡(luò)的異常入侵檢測系統(tǒng)和基于數(shù)據(jù)挖掘的異常入侵檢測系統(tǒng)等。612024/3/31(2)基于誤用的入侵檢測那么基于誤用的入侵檢測技術(shù)的含義是：通過某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)的運行，并從中找出符合預(yù)先定義的規(guī)則的入侵行為。一個典型的基于誤用的入侵檢測系統(tǒng)如圖8-19所示。

圖8-19典型的基于誤用的入侵檢測系統(tǒng)模型

基于誤用的入侵檢測系統(tǒng)通過使用某種模式或信號標(biāo)識表示攻擊，進而發(fā)現(xiàn)相同的攻擊。這種方法可以檢測許多甚至全部已知的攻擊行為，但是對于未知的攻擊手段卻無能為力，這一點和病毒檢測系統(tǒng)類似。

622024/3/31基于誤用的入侵檢測的優(yōu)點是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。

解決問題的不同方式從一定程度上劃分了基于誤用的入侵檢測系統(tǒng)的類型，其主要有專家系統(tǒng)、模式匹配、按鍵監(jiān)視、協(xié)議分析、狀