網路安全技術(三)
阿新 • • 發佈:2019-01-09
八,防火牆的安裝與配置 (1)硬體防火牆的網路介面 1內網 內網一般包括企業的內部網路或是內部網路的一部分。 2外網 外網指的是非企業內部的網路或是Internet,內網與外網之間進行通訊,要通過防火牆來實現訪問限制。 3DMZ(非軍事化區) DMZ是一個隔離的網路,可以在這個網路中放置Web伺服器或是E-mail伺服器等,外網的使用者可以訪問DMZ。 (2)防火牆的安裝與初始配置 1給防火牆加電令它啟動 2將防火牆的Console口連線到計算機的串列埠上,並通過Windows作業系統的超級終端,進入防火牆的特權模式。 3配置Ethernet的引數。 4配置內外網絡卡的IP地址、指定外部地址範圍和要進行轉換的內部地址。 5設定指向內網與外肉的預設路由。 6配置靜態IP地址對映。 7設定需要控制的地址、所作用的埠和連線協議等控制選項並設定允許telnet遠端登入防火牆的IP地址。 8儲存配置。 (3)基本配置方法(以cisco PIX525為例) 1訪問模式 1)非特權模式 PIX防火牆開機自檢後,就是處於這種模式。系統顯示為 pixfirewall 2)特權模式 輸入enable進入特權模式,可以改變當前配置。顯示為 pixfirewall# 3)配置模式 輸入configure termina進入此模式,絕大部分的系統設定都在這裡進行。顯示為 pixfirewall(config)# 4)監視模式 PIX防火牆在開機或重啟過程中,按住Escape鍵或傳送一個“Break”字元,進入監視模式。這裡可以更新作業系統映像和口令回覆。顯示為 monitor> (4)基本配置命令 1nameif:配置防火牆介面的名字,並指定安全級別 PIX525(config)#nameif ethernet0 outside security 0 //設定乙太網口1為外網介面,安全級別為0,安全係數最低 PIX525(config)#nameif ethernet1 inside security 1000 //設定乙太網口2為外網介面,安全級別為100,安全係數最高 PIX525(config)#nameif ethernet2 dmz security 50 //設定DMZ介面為防火區,安全級別為50,安全係數居中 在預設配置中,乙太網口0被命名為外部介面(outside),安全級別是0;乙太網口1被命名為內部介面(inside),安全級別是100;安全級別取值範圍為1到99,數字越大安全級別越高。 2interface:配置乙太網口引數 Pix525(config)#interface ethernet0 auto //配置乙太網口0為AUTO模式, auto選項表明系統網絡卡速度工作模式等為自動適應,這樣該介面會自在10M/100M,單工/半雙工/全雙工之間切換。 Pix525(config)#interface ethernet1 100 full //強制設定乙太網口1為100Mbit/s全雙工通訊 3ip address:配置內外網絡卡的IP地址 Pix525(config)#ip address outside 61.144.51.42 255.255.255.248 Pix525(config)#ip address inside 192.168.0.1 255.255.255.0 4nat:指定要進行轉換的內部地址 nat命令配置語法: nat(if_name)nat_id local_ip [netmark] 其中(if_name)表示內網介面名字,例如inside nat_id用來標識全域性地址池,使它與其相應的global命令相匹配 local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網所有主機可以對外訪問。 [netmark]表示內網IP地址的子網掩碼。 例:Pix525(config)#nat (inside) 1 192.168.1.0 255.255.255.0 設定只有192.168.1.0這個網段內的主機可以訪問外網。 5Global 指定一個外網的ip地址或一段地址範圍。Global命令的配置語法: Global(if_name) nat_id ip_address-ip_address [netmark global_marsk] 其中(if_name)表示外網介面名字,例如outside Nat_id用來標識全域性地址池,使它與其相應的nat命令相匹配 ip_address-ip_address表示翻譯後的單個IP地址或一段IP地址範圍 netmark global_marsk表示全域性IP地址的網路掩碼 Global(config) #global (outside) 1 61.144.51.42-61.144.51.48 6route:設定指定內網和外網的靜態路由 Route命令配置語法: Route(if_name) 0 0 gateway_ip [metric] 其中(if_name)表示介面名字,例如inside,outside Gateway_ip表示閘道器路由器的Ip地址 [metric]表示到gateway_ip的跳數。通常預設是1. Pix525(config)#route outside 0 0 61.144.51.168 1 設定一條指向邊界路由器(IP地址61.144.51.168)的預設路由。 7static:實現內部和外部地址固定對映的配置 配置靜態NAT,如果從外網發起一個會話,會話的目的地址是一個內網的IP地址,static就把內部地址翻譯成一個指定的全域性地質,允許這個會話建立。語法: Static (internal_if_name,external_if_name)outside_ip_address inside_ip_address 其中internal_if_name為外網網路介面,安全級別較低,如outside等。 outside_ip_address為正在訪問的較低安全級別的介面上的IP地址。 inside_ip_address為內部網路的本地IP地址。 Pix525(config)#static (inside,outside)202.113.79.4 192.168.0.4 8Conduit(管道命令) 使用static命令可以在一個本地IP地址和一個全域性IP地址之間穿件一個靜態對映,但從外部到內部介面的連線仍然會被Pix防火牆的自適應安全演算法(ASA,阻擋,conduit命令)用來允許資料流從具有較低安全級別的介面流向具有較高安全級別的介面。例如允許從外部到DMZ或內部介面的入方向的會話。 對於內部介面的連線,static和conduit命令將一起使用,來指定會話的建立,說得通俗一點管道命令(conduit)就相當於遺忘CISCO裝置的訪問控制列表(ACL)。 Conduit命令配置語法: Conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask] 其中permit|deny指的是先前由global或static命令定義的全域性IP地址,如果global_ip為0,就用any代替0;如果global_ip是一臺主機,就用host命令引數。 Port指的是服務所用的埠,例如www使用80,smtp使用25等等,我們可以通過服務名稱或埠數來指定埠。 Protocol指的是連線協議,比如:TCP,UDP,ICMP等。 foreign_ip表示可以訪問global_ip的外部IP地址。對於任意主機可以用any表示,如果foreign_ip是一臺主機,就用host命令引數。 Pix525(config)#conduit permit tcp host 192.168.0.4 eq www any 9fixup Fixup命令作用是啟用,禁止,改變一個服務或協議通過pix防火牆,由fixup命令指定的埠是pix防火牆要偵聽的服務。 Pix525(config)#fixup protocol ftp 21 //啟用ftp協議,並指定ftp的埠號為21 PIx525(config)#fixup protocol http 80 PIx525(config)#fixup protocol http 1080 //為http協議指定的80和1080兩個埠。 Pix525(config)#no fixup protocol smtp 80 //禁用ssmtp協議。 九,入侵檢測技術 入侵檢測系統(IDS)是對計算機和網路資源的惡意使用行為檢測的系統。 (1)入侵檢測系統的功能 1監控和分析系統、使用者的行為。 2評估系統檔案與資料檔案的完整性。 3檢查系統漏洞。 4對系統的異常行為進行分析和識別,及時向網路管理人員報警。 5跟蹤管理作業系統,識別無授僅使用者活動。 (2)入侵檢測系統的結構 1事件發生器 2事件分析器 3響應單元 4事件資料庫 (3)入侵檢測系統的分類 1基於主機的入侵檢測系統 2基於網路的入侵檢測系統 (4)入侵檢測技術的分類 分為異常檢測和誤用檢測兩種。 (5)入侵檢測系統分類 按照檢測的資料來源,入侵檢測系統可以分為:基於主機的入侵檢測系統(系統日誌和應用程式日誌為資料來源)和基於網路的入侵檢測系統(網絡卡設定為混雜模式,原始的資料幀是其資料來源)。 (6)分散式入侵檢測系統 分散式入侵檢測系統的三種類型為層次型(存在單點失效),協作型(存在單點失效)和對等性(不存在單點失效) (7)入侵保護系統 1入侵防護系統的基本概念 入侵防護系統(IntrusionPreventionSystem,IPS)是將防火牆技術和入侵檢測技術進行整合的系統,該系統傾向於提供主動防護,其設計宗旨是預先對入侵活動和攻擊性網路流量進行攔截,避免其造成損失。入侵防護系統整合了防火牆技術和入侵檢測技術,採用In-Line工作模式。 2.入侵防護系統的基本結構 入侵防護系統是要包括:嗅探器、檢測分析元件、策略執行元件、狀態開關、日誌系統和控制檯6個部分。 3入侵防護系統的基本分類 1)基於主機的入侵防護系統(Host-basedIntrusionPreventionSystem,HIPS) 安裝在受保護的主機系統中,檢測並阻攔正對本機的威脅和供給。 2)基於網路的入侵防護系統(Network-basedIntrusionPreventionSystem,NIPS) 佈置於網路出口處,一般串聯與防火牆與路由器之間,網路進出的資料流都必須通過它,從而保護整個網路的安全。如果檢測到一個惡意的資料包時,系統不但發出警報,還將採取響應措施(如丟棄含有攻擊性的資料包或阻斷連線)阻斷攻擊。NIPS對攻擊的誤報會導致合法的通訊被阻斷。 3)應用入侵防護系統(ApplicationIntrusionPreventionSystem,AIPS) 一般部署於應用伺服器前端,從而將基於主機的入侵防護系統功能延伸到伺服器之前的高效能網路裝置上,進而保證了應用伺服器的安全性,防止的入侵包括cookie篡改,SQL注入等漏洞。 十,網路入侵檢測系統的部署 (1)網路入侵檢測系統的組成結構 1控制檯 2探測器 (2)網路入侵檢測系統常用的部署方法 1網路介面卡與交換裝置的監控埠連線,通過減緩裝置的Span/Mirror功能將流向各個埠的資料包複製一份給監控埠。 2在網路中增加一臺集線器改變網路拓撲結構,通過集線器(共享式監聽方式)獲取資料包。 3入侵檢測感測器通過一個TAP(分路器)裝置對交換式網路中的資料包進行分析和處理。 TAP是一種容錯方案,它提供全雙工或半雙工10/100/1000M網段上觀察資料流量的手段,其優點為: TAP是容錯的,如果發生電源故障,原先監控的網段上的通訊部分受影響。 TAP不會影響資料流。 TAP阻止建立於入侵檢測系統的直接連線,從而保護它不受攻擊。 4入侵檢測系統與防火牆聯合部署 十一,網路安全評估 網路安全風險評估系統是一種集網路安全監測,風險評估,修復,統計分析和網路安全風險集中控制管理功能於一體的網路安全裝置。 (1)網路安全評估分析技術 1基於應用的技術(被動) 2基於網路的技術(主動) 網路安全分析按評估技術通常用來穿透實驗和安全審計。 (2)網路安全評估分析系統結構 通常採用控制檯和代理相結合的結構