入侵检测与防火墙技术姓名：学号：专业班级：学院：指导教师：时间：2011年12月4日（1）题目要求：构建企业内部网络，该企业网络基本要求(1)具有私有编制方案；(2)接入Internet（2-3个出口点）；(3)网络内部具有敏感数据；(4)同时为Internet提供多网络服务；(5)具有比较严格的安全体系。

设计该企业内部网络，并设计防火墙及入侵检测系统部署方案。

（2）描述你的企业内部网络方案并画出网络拓扑图；企业内部网络为中型网络，采用三层网络设计原则，包括接入层，汇聚层与核心层，（1）核心层主要提供节点之间的高速数据转发。

（2）汇聚层主要负责路由聚合，收敛数据流量。

（3）接入层为用户提供网络访问功能，并执行用户认证和访问控制。

采用分层设计方法可以降低网络的整体复杂性；是网络更容易的处理广播风暴，信号循环等问题；升级容易，管理方便。

但是不适用于小型的网络和国家级的广域网的设计可靠性不高。

采用网络服务集中，应用服务分散的原则，正确的设置服务器,的位置。

在Internet接入点的路由器前设置防火墙，在核心层设置入侵检测系统对于接入层的网络划分VLAN，隔离冲突域，并控制访问权限。

拓扑图：（3）对企业内部划分不同级别的安全区域，并设置不同的安全级别的用户（说明访问控制的资源），同时对用户的权限和作用区域进行相应说明；在企业内部网络中，将企业内部的网络分为各个部门，每个部门的权限不同，所访问的范围受到限制，例如，人力资源部门可以查看其他部门的人员信息，而其他部门的计算机无法访问该信息。

该功能是基于VLAN的划分实现的。

（4）描述防火墙部署方案，简述防火墙的核心技术，并说明在你的网络中防火墙所采用何种核心技术并分析其原因：防火墙的定义：从广泛、宏观的意义上说，防火墙是隔离在内部网络与外部网络之间的一个防御系统。

AT&T的工程师William Cheswick 和Steven Bellovin给出了防火墙的明确定义，他们认为防火墙是位于两个网络之间的一组构件或一个系统，具有以下属性：（1）防火墙是不同网络或者安全域之间信息流的唯一通道，所有双向数据流必须经过防火墙。

（2）只有经过授权的合法数据，即防火墙安全策略允许的数据才可以通过防火墙。

（3）防火墙系统应该具有很高的抗攻击能力，其自身可以不受各种攻击的影响。

简而言之，防火墙是位于两个(或多个)网络间，实施访问控制策略的一个或一组组件集合。

防火墙的核心技术：（1）包括包过滤技术包过滤技术是最早、最基本的访问控制技术，又称报文过滤技术。

其作用是执行边界访问控制功能，即对网络通信数据进行过滤（filtering，亦称筛选）。

包过滤技术的工作对象是数据包。

对TCP/IP协议族来说，包过滤技术主要对其数据包包头的各个字段进行操作。

安全过滤规则是包过滤技术的核心，是组织或机构的整体安全策略中网络安全策略部分的直接体现。

包过滤技术必须在操作系统协议栈处理数据包之前拦截数据包，即防火墙模块应该被设置在操作系统协议栈网络层之下，数据链路层之上的位置上。

包过滤防火墙将包头各个字段的内容与安全过滤规则进行逐条地比较判断，直至找到一条相符的规则为止。

如果没有相符的规则，则执行默认的规则。

具体实现包过滤技术的设备通常分为过滤路由器和访问控制服务器两类。

（2）状态检测技术状态检测技术根据连接的“状态”进行检查。

当一个连接的初始数据报文到达执行状态检测的防火墙时，首先要检查该报文是否符合安全过滤规则的规定。

如果该报文与规定相符合，则将该连接的信息记录下来并自动添加一条允许该连接通过的过滤规则，然后向目的地转发该报文。

以后凡是属于该连接的数据防火墙一律予以放行，包括从内向外的和从外向内的双向数据流。

在通信结束、释放该连接以后，防火墙将自动地删除关于该连接的过滤规则。

动态过滤规则存储在连接状态表中并由防火墙维护。

为了更好地为用户提供网络服务以及更精确地执行安全过滤，状态检测技术往往需要察看网络层和应用层的信息，但主要还是在传输层上工作。

（3）代理技术一种情况是代理服务器监听来自内部网络的服务请求。

当请求到达代理服务器时按照安全策略对数据包中的首部和数据部分信息进行检查。

通过检查后，代理服务器将请求的源地址改成自己的地址再转发到外部网络的目标主机上。

外部主机收到的请求将显示为来自代理服务器而不是源内部主机。

代理服务器在收到外部主机的应答时，首先要按照安全策略检查包的首部和数据部分的内容是否符合安全要求。

通过检查后，代理服务器将数据包的目的地址改为内部源主机的IP地址，然后将应答数据转发至该内部源主机。

另外一种情况是内部主机只接收代理服务器转发的信息而不接收任何外部地址主机发来的信息。

这个时候外部主机只能将信息发送至代理服务器，由代理服务器转发至内部网络，相当于代理服务器对外部网络执行代理操作。

具体来说，所有发往内部网络的数据包都要经过代理服务器的安全检查，通过后将源IP地址改为代理服务器的IP地址，然后这些数据包才能被代理服务器转发至内部网络中的目标主机。

代理服务器负责监控整个的通信过程以保证通信过程的安全性。

在本企业网络中采用的防火墙技术为包过滤防火墙技术：包过滤的实现过程:包过滤防火墙也称为访问控制表或屏蔽路由器，它通过查看所流经的数据包，根据定义好的过滤规则审查每个数据包，并根据是否与规则匹配来决定是否让该数据包通过。

包过滤防火墙的优点是处理速度快（因为包过滤防火墙工作在IP层和TCP层）、费用低（许多路由软件已包含）、对用户透明（不需要用户在客户端做任何程序改动）、价格便宜。

包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。

具体地讲，它针对每一个数据报的报头，按照包过滤规则进行判定，与规则相匹配的包依据路由信息继续转发，否则就丢弃。

包过滤是在IP层实现的，包过滤根据数据包的源IP地址、目的IP地址、协议类型（TCP包、UDP包、ICMP包）、源端口、目的端口等报头信息及数据包传输方向等信息来判断是否允许数据包通过。

包过滤也包括与服务相关的过滤，这是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP/UDP端口，因此，为阻断所有进入特定服务的链接，防火墙只需将所有包含特定TCP/UDP目的端口的包丢弃即可。

采用包过滤防火墙主要出于以下几点的考虑：（1）对一个小型的或者中的企业来说，包过滤防火墙容易实现。

（2）过滤路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快。

（3）路由器为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。

因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。

所以，过滤路由器有时也被称为“包过滤网关”或“透明网关”，之所被称为网关，是因为包过滤路由器和传统路由器不同，它涉及到了传输层。

滤路由器在价格上一般比代理服务器便宜。

（5）描述入侵检测系统部署方案，简述入侵检测系统的种类，并说明该网络中所采取的入侵检测系统类型，并分析该入侵检测系统工作原理（数据获取，入侵分析，响应等）；入侵检测系统的种类：（1）根据入侵检测系统分析的数据来源：主机系统日志原始的网络数据包应用程序的日志防火墙报警日志其它入侵检测系统的报警信息（2）根据目标系统的类型：基于主机（Host-Based）的入侵检测系统。

通常，基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。

当有文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看它们是否匹配。

如果匹配，系统就会向管理员报警，以采取措施。

基于网络（Network-Based）的入侵检测系统。

基于网络的入侵检测系统使用原始网络数据包作为数据源。

基于网络的入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务（3）根据入侵检测分析方法：异常入侵检测系统。

异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据。

误用入侵检测系统。

误用入侵检测系统根据已知入侵攻击的信息（知识、模式等）来检测系统中的入侵和攻击。

（4）根据检测系统对入侵攻击的响应方式：主动的入侵检测系统。

主动的入侵检测系统在检测出入侵后，可自动地对目标系统中的漏洞采取修补、强制可疑用户（可能的入侵者）退出系统以及关闭相关服务等对策和响应措施。

被动的入侵检测系统。

被动的入侵检测系统在检测出对系统的入侵攻击后只是产生报警信息通知系统安全管理员，至于之后的处理工作则由系统管理员来完成（5）根据系统各个模块运行的分布方式：集中式入侵检测系统。

系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行，这种方式适用于网络环境比较简单的情况。

分布式入侵检测系统。

系统的各个模块分布在网络中不同的计算机、设备上，一般来说分布性主要体现在数据收集模块上，如果网络环境比较复杂、数据量比较大，那么数据分析模块也会分布，一般是按照层次性的原则进行组织的。

本网络中采用混合式入侵检测技术：基于主机的入侵检测和基于网络的入侵检测都是比较成熟的技术，各有优点和缺点，它们之间有较好的互补性。

基于网络的入侵检测能够客观地反映网络活动，特别是能够监视到系统审计的盲区基于主机的和基于应用的入侵检测能够更加精确地监视主机系统中的各种活动（5）典型入侵方案及其入侵原理：典型的入侵方案：典型的入侵方法包括：口令破解，漏洞攻击，拒绝服务，欺骗攻击，缓冲区溢出，社会工程学攻击，木马攻击等口令破解：帐户是一种参考上下文，操作系统在这个上下文描述符运行它的大部分代码。

换一种说法，所有的用户模式代码在一个用户帐户的上下文中运行。

即使是那些在任何人都没有登录之前就运行的代码（例如服务）也是运行在一个帐户（特殊的本地系统账户SYSTEM）的上下文中的。

如果用户使用帐户凭据（用户名和口令）成功通过了登录认证，之后他执行的所有命令都具有该用户的权限。

(1)暴力破解。

暴力破解基本上是一种被动攻击的方式。

黑客在知道用户的账户号后，利用一些专门的软件强行破解用户口令，这种方法不受网段限限制，但需要有足够的耐心和时间。

这些工具软件可以自动地从黑客字典中取出一个单词一，作为用户的口令输入给远端的主机，申请进入系统。

(2)登录界面攻击法。

黑客可以在被攻击的主机上，利用程序伪造一个登录界面，以骗取用户的账号和密码。

当用户在这个伪造四界面个键入登录信息后，程序可将用户的输入信息记录并传送到黑客的主机，然后关闭界面，给出提示信息“系统故障”或“输入错误”，要求用户重新输入。

(3)网络监听。

黑客可以通过网络监听非法得到的用户口令，这类方法有一定的局限性，但危害性极大。

由于很多网络协议根本就没有彩任何加密或身份认证技术，如在telnet、FTP、HTTP、SMTP等传输协议中，用户账号和密码信息都是以文明格式传输的，此时若黑客利用数据包截取工具便可很容易收集到用户的账号和密码。