网络防御手段（课程笔记）

目录

防火墙技术 防火墙(Firewall ) 最初含义

当房屋还处于木制结构的时侯，人们用石块在房屋周围堆砌起一堵墙，用来防止火灾发生时蔓延到别的房屋。这种墙被称之为防火墙。

因特网时期

防火墙就是设置在信任程度不同的网络（如公共网和企业内部网)之间的访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，以保护内部网络的安全。

防火墙的特征

所有入站出站的网络流量都必须经过防火墙；

只有经过授权的网络流量防火墙才允许通过；

信息系统安全的第一道防线——城堡。

防火墙的基本类型 根据实现方式

软件防火墙

价格便宜,但防范效率低，如Checkpoint公司的Firewall-1系列、开源软件Netfilter

硬件防火墙

专用设备效率高主动防御技术，如CISCO的PIX系列、Checkpoint公司的UTM系列。

根据采用技术

包过滤型防火墙

基于路由器硬件实现，速度快，对用户透明；

只对IP地址、端口号等进行规则设置，不检查数据包内容，无日志；

第一代防火墙，1984年出现。

应用代理型防火墙

检查所有应用程序的数据包，效率低且对系统资源要求高；

第二代防火墙，1989年出现。

状态检测防火墙

结合包过滤和应用代理防火墙优点，持续跟踪数据包连接状态；

配置较复杂，网络速度有所降低；

第三代防火墙，1992出现。

具有安全操作系统的防火墙

1997年出现，实现了安全内核。

自适应代理技术防火墙

1998年出现,美国网络联盟公司NAI推出。

关于防火墙的基本概念 DMZ非军事区(Demilitarized Zone )

又称不设防区、停火区或周边网络，其上通常放置一些公共信息服务器如DNS，Email，WEB服务等，这些服务器可能会受到攻击。

在内部网络和外部网络之间增加的一个缓冲带。

堡垒主机(Bastion )

暴漏于外部网络的内部网络的核心连接点，如应用层网关节点。

双宿主主机

配置有至少两个网卡的通用计算机系统。

防火墙的局限性

不能防范绕过防火墙的攻击；

不能防范来自内部人员的恶意攻击；

难以防范未知的攻击或威胁。

防火墙被穿透或绕过是不可避免的。

入侵检测系统 入侵检测系统( lntrusion Detection System , IDS )

通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，从而实现安全防护。

1980年Anderson提出IDS的概念；

1987年Denning建立了IDS模型。

信息系统安全的第二道防线——监控。

入侵检测系统的类型 从入侵检测范围分类

基于主机的IDS（单机版)

基于网络的IDS（(网络版)

Linux开源IDS软件: Snort

从分析检测技术分类

异常检测（Anomaly detection ) IDS

根据正常行为建立正常行为模式库，检测入侵

符合安全的概念，但实现难度较大

常用技术∶统计方法、预测模式、神经网络

误用检测(Misuse detection ) IDS

根据不正常行为建立攻击行为模式库，检测入侵

广泛应用，无法检测未知的攻击，自适应性差

常用技术:模式匹配

两个重要指标 漏报率(False negative )

指攻击事件没有被IDS检测到

误报率(False positive )

把正常事件识别为攻击并报警

误报率与漏报率呈反关系

IDS的不足

对IPSEC、VPN等加密流难以有效监控

存在误报和漏报

事后诸葛，通常需要人工干预

IDS被绕过或穿透也是不可避免的

IDS + Firewall

tFirewall主外，IDS主内，二者可以完美结合

入侵容忍系统 入侵容忍系统(Intrusion Tolerant System , ITS )

概念

入侵容忍是指系统在遭受一定入侵或攻击的情况下仍然能够提供所希望的服务。

功能

在入侵存在的情况下，保证系统关键功能的安全性和健壮性，提供必要的系统服务；

并非一味地容忍，而是根据自身收益选择容忍或响应。

信息系统安全的最后一道防线——AB卷

容忍技术 冗余

软硬件系统备份，更适用于容错系统；

多样异构

通过多样、异构等手段确保所有具有相同功能的复制组件不能具有同一漏洞;

门限方案

把数据分成n份，使用其中的k份可以重新还原出数据，而少于k份则无法还原出原始信息——拜占庭将军问题。

蜜罐技术 蜜罐(Honey Pot )

即诱骗技术或网络陷阱，通过模拟一个或多个易受攻击的目标系统，给黑客提供一个包含漏洞并容易被攻破的系统作为他们的攻击目标。

功能

以虚假目标，吸引敌手攻击；

学习黑客攻击的目的、手段

优点

零误报率

不足

配置部署复杂

1998年弗莱德.科恩研制诱骗工具箱DTK。

信息系统安全中的积极防御——陷阱

蜜罐技术分类 按照用途分类

产品蜜罐：安全产品

研究蜜罐：学术研究

开源软件Honeyd

按照交互(真实)程度分类

低交互型蜜罐：真实性差；

高交互型蜜罐：多由虚拟机或真实服务主机实现。

蜜罐的不足

蜜罐静态、固定不动，即破即失效

当入侵者未闯入蜜罐系统或者入侵者意识到蜜罐系统存在的时候，蜜罐系统将无法发挥作用。

反蜜罐技术盛行——识别蜜罐并交流分享

蜜罐技术 动态蜜罐

自动配置和部署蜜罐

阵列蜜罐

人类的兵阵对抗

拟态蜜罐

生物拟态的保护色、警戒色和演化

入侵躲避 概念

入侵躲避（Intrusion Evading)是指通过地址、端口、协议、路由、服务、组件等网络信息的动态变化、虚实结合，躲避攻击者，实现主动防御。

思想

《孙子兵法》-《虚实篇》︰故兵无常势，水无常形，能因敌变化而取胜者谓之神。

军事跳频通信——无线通信由被动转主动的经典技术。

入侵躲避技术 端信息跳变技术

2006年，本团队借鉴军事跳频通信技术而提出；

移动目标防御

2011年，美国国家科学技术委员会借鉴移动靶射击训练而提出；

拟态安全防御

2014年，邬江兴院士借鉴拟态章鱼多变现象而提出。

网络防范基本要领

使用安全、复杂、足够长的口令

及时升级和安装补丁

正确配置并运行杀毒+防火墙软件

设备防盗、防潮、防火，建立异地备份

设置账户锁定

经常检查用户列表、共享资源、计划表及网络连接

经常检查注册表、路由表、主机表（移花接木）

切勿随意下载和安装未知软件

切勿随意点击聊天链接并键入账号密码

切勿在陌生WIFI下键入账号密码

信息安全的观念认知

没有绝对的安全

没有绝对的安全，只有绝对的不安全

人是安全系统中最薄弱的环节

三分技术，七分管理

提高安全意识是安全防范的首要任务

木桶原理

一个木桶盛水的多少取决于最短的木块

信息系统的安全性取决于系统中最薄弱的环节

安全防范是一个动态过程

检测一响应一恢复一保护

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!