logo资料库

入侵检测与防火墙课程设计--张亮-山东农业大学.doc

发布时间:2022-06-10 发布人:admin 分类:说明书 资料大小:0.27M 资料格式:doc 举报 版权申诉
第1页 / 共11页
第2页 / 共11页
第3页 / 共11页
第4页 / 共11页
第5页 / 共11页
第6页 / 共11页
第7页 / 共11页
第8页 / 共11页
资料共11页,剩余部分请下载后查看
    入侵检测与防火墙课程设计报告 (某企业内部网络) 班级:网络 2 班 学号:20094566 姓名:李思贤 指导教师:张亮 2012 年 6 月 20 日
    目录 一. 内部网络方案与网络拓扑图 (1)内部网方案……………………………………………. (2)网络拓扑………………………………………………. 二. 企业内部不同级别的安全区域 (1)设置 DMZ 区域……………………………………….. (2)ACL 访问控制………………………………………… 三. 防火墙部署方案 (1)本网络防火墙部署方案………………………………. (2)防火墙类型……………………………………………. (3)防火墙功能…………………………………………….. 四. 入侵检测系统部署方案 (1)本网络入侵检测设备部署方案…………………………. (2)入侵检测系统分类………………………………………. (3)入侵检测系统工作原理…………………………………... 五. 典型入侵方法及解决方案 (1)ARP 欺骗…………………………………………………... (2)漏洞攻击…………………………………………………… (3)拒绝服务攻击……………………………………………… (4)Ip 地址欺骗………………………………………………… (5)木马攻击…………………………………………………….
    一. 内部网络方案与网络拓扑图 (1)内部网络方案 1. 此企业网接入 Internet,其中有三个出口,联通光纤接入,电信光纤 接入和拨号上网。除了要保证内部网络、应用服务器和数据库服务器 的高可用性外,还必须保证出口链路的高可用性。现在绝大多数的企 业网都采用单链路接入互联网,这种方法无法保证提供的互联网链路 的 7X24 可用性,我们可以采用多链路接入来避免单链路的缺陷,多 链路有两种情况:一种是接入同一 ISP,另一种是接入不同的 ISP, 我们采用的是接入不同 ISP 方法,这种方法在提高可用性的同时,也 能增加带宽而提高网络性能,多出口接入的好处有: 提高网络速度 使用多出口能提高线路总体带宽,并且通过动态负载均衡机制, 可以有效地利用线路带宽,将企业网内的请求动态均衡地分配到多条 线路,避免了一条线路阻塞而另一条线路空闲的局面发生,提高了企 业网的可用性。 线路备份 网络的不稳定因素很多,其中出口不稳定是一个重要因素,接入的单链 路出现故障,会造成整个网络通信中断。如果有多个出口,在其中一个出 口出现故障的时候,可以将上网请求转移到另一出口,保证通信正常,只 是会造成暂时的速度降低,但是不会因为其中某条线路故障造成网络瘫 痪,从而增加企业网的可靠性。 2. 本项目 IP 地址规划:本网络具有私有编址方案,由 A 类私网地址 10.0.0.0/8 进行地址划分。本企业网络具有外地分公司,通过 WAN 技术,穿过互联网使其具有相同于内部网的权限。考虑到将来业务向 全国其他地区的扩展性。因此将地址做了部分保留。人事部和研发部 门分别都分配自己的内部网地址,为保证安全性,通过 ACL 进行业务 流量的隔离,即办公流量和研发流量不能相互访问。保证了数据的安 全性,网络内部的敏感数据不能所有人都能访问,即便是网络内部人 员。 3. 本网络为 Internet 提供多网络服务。其中有公共 WEB 服务器,代理 服务器。内部 WEB 服务器,应用服务器,数据库服务器,内部的服务 器都安排在 DMZ(非军事化区)区域中。 4. 网络拓扑图
    二. 企业内部不同级别的安全区域 (1)设置 DMZ 区域 其中,内部的 WEB 服务器,应用服务器,数据库服务器都设置在 DMZ 区域 中。 DMZ 网络访问控制策略 当规划一个拥有 DMZ 的网络时候,我们可以明确各个网络之间的访问关 系,可以确定以下六条访问控制策略。 1.内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进 行源地址转换。 2.内网可以访问 DMZ 此策略是为了方便内网用户使用和管理 DMZ 中的服务器。 3.外网不能访问内网 很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户 进行访问。 4.外网可以访问 DMZ DMZ 中的服务器本身就是要给外界提供服务的,所以外网必须可以访问 DMZ。同时,外网访问 DMZ 需要由防火墙完成对外地址到服务器实际地址的 转换。 5.DMZ 不能访问内网 很明显,如果违背此策略,则当入侵者攻陷 DMZ 时,就可以进一步进 攻到内网的重要数据。 6.DMZ 不能访问外网 此条策略也有例外,比如 DMZ 中放置邮件服务器时,就需要访问外网, 否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服 务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分 开,阻止内网和外网直接通信,以保证内网安全。 (2)ACL 访问控制 1.ACL 介绍:信息点间通信和内外网络的通信都是企业网络中必不可少的业 务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用 户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之, ACL 可以过滤网络中的流量,是控制访问的一种网络技术手段。 ACL 的定义也是基于每一种协议的。如果路由器接口配置成为支持三种 协议(IP、AppleTalk 以及 IPX)的情况,那么,用户必须定义三种 ACL 来 分别控制这三种协议的数据包。 2. ACL 的作用 ACL 可以限制网络流量、提高网络性能。例如,ACL 可以根据数据包的 协议,指定数据包的优先级。 ACL 提供对通信流量的控制手段。例如,ACL 可以限定或简化路由更新
    信息的长度,从而限制通过路由器某一网段的通信流量。 ACL 是提供网络安全访问的基本手段。ACL 允许主机 A 访问人力资源网 络,而拒绝主机 B 访问。 ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例 如,用户可以允许 E-mail 通信流量被路由,拒绝所有的 Telnet 通信流量。 例如:某部门要求只能使用 WWW 这个功能,就可以通过 ACL 实现; 又 例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以 通过 ACL 实现。(本企业网中通过 ACL 控制,使得不同部门之间隔离) 三. 防火墙的部署方案 (1) 本企业网中采用包过滤防火墙,在内部网络与 Internet 的接点处设置了 包过滤防火墙,在内部网核心交换机和各地分别之间也加入了防火墙, 起到保护内部网络的作用。 (2) 防火墙类型:根据防火墙所采用的技术不同,我们可以将它分为三种基 本类型:包过滤型、代理型和监测型。 1.包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网 络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包, 每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、 TCP/UDP 源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包” 是 否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些 数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下, 能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技 术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应 用层的恶意侵入,如恶意的 Java 小程序以及电子邮件中附带的病毒。有经验的 黑客很容易伪造 IP 地址,骗过包过滤型防火墙。 2.代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并 已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者 间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务 器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据 时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取 数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之 间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基 于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响, 而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增 加了系统管理的复杂性。 3.监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。 监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分
    析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检 测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和 其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶 意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相 当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义, 而且在安全性上也超越了前两代产品。 (3)防火墙功能 网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性, 并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通 过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全 的 NFS 协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来 攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如 IP 选项中的 源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型 攻击的报文并通知防火墙管理员。 强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、 身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比, 防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的 身份认证系统完可以不必分散在各个主机上,而集中在防火墙一身上。 监控网络存取和访问 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日 志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能 进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个 网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够 抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对 网络需求分析和威胁分析等而言也是非常重要的。 四. 入侵检测设备的部署方案 (1) 本企业网络的入侵检测服务器并联在核心交换机上。IDS 是英文 “Intrusion Detection Systems”的缩写,中文意思是“入侵检测 系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状 况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以 保证网络系统资源的机密性、完整性和可用性。 (2)入侵检测系统的种类 据入侵检测系统的检测对象和工作方式的不同,入侵检测系统主要分为两大 类:基于主机的入侵检测系统和基于网络的入侵检测系统。 基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害,需要 安装在被保护的主机上。这一类入侵检测系统直接与操作系统相关,它控制文件 系统以及重要的系统文件,确保操作系统不会被随意地删改。该类入侵检测系统 能够及时发现操作系统所受到的侵害,并且由于它保存一定的校验信息和所有系 统文件的变更记录,所以在一定程度上还可以实现安全恢复机制。
    基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络 上,它使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网 络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,入 侵检测系统应答模块通过通知、报播以及中断连接等方式来对攻击做出反应。 基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势和不 足,这两种方式各自都能发现对方无法检测到的一些网络入侵行为,如果同时使 用互相弥补不足会起到良好的检测效果。因此它们在确定攻击是否已经取得成功 时,与基于网络的检测系统相比具有更大的准确性。在这方面,基于主机的入侵 检测系统对基于网络的入侵检测系统是一个很好的补充,可以使用基于网络的入 侵检测系统提供早期报警,使用基于主机的入侵检测系统来验证攻击是否取得成 功。 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库 进行比较,来发现违背安全策略的入侵行为。该过程可以很简单,也可以很复杂。 一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关 的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率 和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法, 并且不能检测未知攻击手段。 ·异常检测 异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描 述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测 量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之 外时,IDS 就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂 的入侵,缺点是误报、漏报率高。 ·协议分析 协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测 技术。它充分利用了网络协议的高度有序性,并结合了高速数据包捕捉、协议分 析和命令解析,来快速检测某个攻击特征是否存在,这种技术正逐渐进入成熟应 用阶段。协议分析大大减少了计算量,即使在高负载的高速网络上,也能逐个分 析所有的数据包。 (3)入侵检测系统工作原理 假如防火墙是一幢大楼的门锁,那么 IDS 就是这幢大楼里的监视系统。一旦 小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情 况并发出警告。 不同于防火墙,IDS 入侵检测系统是一个监听设备,没有跨接在任何链路上, 无须网络流量流经它便可以工作。因此,对 IDS 的部署,唯一的要求是:IDS 应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指 的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如 今的网络拓扑中,已经很难找到以前的 HUB 式的共享介质冲突域的网络,绝 大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS 在交换 式网络中的位置一般选择在: (1)尽可能靠近攻击源 (2)尽可能靠近受保护资源
    分享到:
    收藏

    相关推荐

    资料库

    网络技术

    共收录2367份资料,累计7个分类,关注成员有19位,主要包括:综合布线,网管软件,网络监控,网络设备,其它,系统集成,网络基础

    热门标签

    综合布线 网管软件 网络监控 网络设备 其它 系统集成 网络基础

    最新资料