防火墙与ids联动技术在校园网的应用研究

防火墙与ids联动技术在校园网的应用研究内容摘要：

源 ， 造成流量堵塞 、 上网速度慢等问题 ， 而且某些网站如娱乐 、 游戏 、 暴力 、 色情 、 反动消息等不良网络内容 ，将极大地危害学生的身心健康 ， 导致无法想象的后果。 3 相关的知识和技术 网络攻击的主要类型 在安全系统中，一般至少应当考虑如下三类安全威胁；外部攻击、内部攻击和授权滥用。 攻击者来自该计算机系统的外部时称作外部攻击；当攻 击者就是那些有权使用计算机，但无权访问某些特定的数据、程序或资源的人意图越权使用系统资源时视为内部攻击，包括假冒者 (即那些使用其他合法用户的身份和口令的人 )秘密使用者 (即那些有意逃避审计机制和存取控制的人 )；特权滥用者也是计算机系统资源的合法用户；表现为有意或无意地滥用他们的特权。 其中主要有： 很多攻击我们在日常都有接触，最为简单的，比如早期通过“ Ping”命令来执行攻击，方法用了早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对 TCP/IP 栈的实现在 ICMP 包上都是规定 63KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区的情况，利用内存分配错误的漏洞点，来发动攻击，不过这一攻击方法，显然现在已很少有人使用，毕竟目前最为简单的防火墙软件，恐怕也都可以对这类攻击做出拦截。 “ IP 欺骗”发起攻击 IP 欺骗攻击发生在这样一种情况下。 网络外部的攻击者假冒受信主机，通过伪装成当前内外范围内的 IP 地址信息，或是远程中，看似为信任区域的主机，比如从 IP 地址来看，甚至你会认为那只是你邻居、对门、室友的计算机、或者你在公司、学校的服务器等等。 而一旦 骗取用户的信任，黑客就会把数据或命令注入到客户、服务器之间对等网络连接间传送中已存在的数据流，而当防火墙也无法辨别或无法做出判断时，那么此时攻击就会自动发起。 3.“破解密码”来实施攻击 破解密码，如何破解电报信息一样，并不容易但是有技巧，比如早年，一些精品毕业论文、毕业设计，优质的论文服务： 精品论文网 提供毕业设计（论文）和图文教程、视频教程等一揽子解决方案 7 所谓的“密码词典”等程序，他们就通过这一方法，利用最为原始，看似又更为有效的破解方式，来试图强行计算原创计算机登录密码，特别是当反复试探，甚至上千、上万次试验后，真的出现破解到密码的情况，那么便会在用户尚未察觉，防火墙又无法发挥效果的情况下，立即登录计算机， 并创建管理员账户，同时快速植入后门程序等，而即使用户发现了这一情况，程序已然植入到系统当中，窃密祸根便从此种下。 4.“拒绝服务”欺骗式攻击 和其他的攻击方式不同，拒绝服务器是因为他们不是以获得网络或网络上信息的访问权为目的。 攻击主要是使服务器不能正常的使用提供服务。 通常可以耗尽网络、系统或应用程序有限的资源来实现。 特别是当其涉及到特殊的网络服务应用，像 HTTP 或 FTP 服务，攻击者能够获得并保持所有服务器支持的有用连接，有效的把服务器或服务的真正使用者关在外面。 拒绝访问攻击也能用普通的Inter 协议实 现，像 TCP 和 ICMP 漏洞等，通过系统的缺陷发起攻击。 “应用层”攻击 应用层攻击能够使用多种不同的方法实现。 如使用服务器上通常可找到软件的已知缺陷，通过使用这些缺陷，攻击者能够获得计算机的访问权，该计算机上有运行应用程序所需账户的许可权，一旦获取，同样会立即创建管理员账户，并快速植入木马程序。 而尽管现在包括微软等对软件程序、硬件驱动程序都进行了认证处理，但由于目前技术方面仍然存在弱点，导致仍会有大量黑客通过此方法对系统进行攻击，而且大多会取得成功。 防火墙理论知识 防火墙的概 念 防火墙是目前最为流行也是使用最为广泛的一种网络安全技术，在构建安全网络环境的过程中，防火墙作为第一道安全防线，受到越来越多用户的关注。 防火墙并不是真正的墙，它是一类防范措施的总称，简单的说，就是位于信任程度不同的网络之间（如 Inter 或有一定风险的网络与局域网之间）的软件或硬件设备的组合，它通过强制实施统一的安全策略，对两个网络之间的通信进行控制，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。 典型的防火墙具有以下三个方面的基本特征： (1)内部网络和外部网络之间的所有网络数据流都必 须经过防火墙根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。 防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内精品毕业论文、毕业设计，优质的论文服务： 精品论文网 提供毕业设计（论文）和图文教程、视频教程等一揽子解决方案 8 部网络的服务和访问的审计和控制。 (2)只有符合安全策略的数据流才能通过防火墙 防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。 防火墙将网络上的流量通过相应的网络接口接收上来，在适当的协议层进行访问规则和安全审查，然后将符合通 过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。 (3)防火墙自身应具有非常强的抗攻击免疫力 防火墙处于网络边缘，每时每刻都要面对黑客的入侵，这就要求防火墙自身要具有非常强的抗击入侵本领。 防火墙的常见类型 根据防范的方式和侧重点的不同，防火墙可以分为以下几种类型： 1. 包过滤型防火 墙 包过滤型防火墙又称网络级防火墙，它是在网络层对数据包进行选择，根据源地址和目的地址、应用或协议以及每个 IP 包的端口来做出通过与否的判断。 在防火墙内设置有过滤规则表，其中定义了多种规则来决定 是否允许数据包通过。 当数据包到来时，防火墙会检查每一条规则，若发现包中的信息与某规则相符，则放行；若没有一条规则能符合，一般情况下，防火墙就会丢弃该包。 另外，通过定义基于 TCP 或 UDP 数据包的端口号，防火墙能够判断是否允许建立特定的连接，如 Tel、 FTP 连接。 包过滤防火墙逻辑简单、速度快、价格便宜，且网络性能和透明性好，但因为它只检查地址和端口，对网络更高协议层的信息无理解能力，所以无法拦截具有 IP 欺骗性质等的数据包，对网络的保护很有限。 应用级网关防火墙主要工作在应用层，应用 代理服务技术能将所有跨越防火墙的网络通信链路分为两段，使得网络内部的客户不直接与外部的服务器通信。 它的基本工作过程是：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器根据这一请求向服务器索取数据，再由代理服务器将数据传给客户机。 由于外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。 常用的应用级防火墙已有了相应的代理服务器，如 HTTP、 FTP、 Tel、XWindows 等，但对于新开发的应用，尚没有相应的代理服务器，他们只有通过网络级防火墙和一般 的代理服务（如 sock 代理）。 应用级网关防火墙有较好的访问控制，是目前最安全的防火墙技术，其缺点精品毕业论文、毕业设计，优质的论文服务： 精品论文网 提供毕业设计（论文）和图文教程、视频教程等一揽子解决方案 9 是执行速度慢，操作系统容易受到攻击，而且有的防火墙需要在一定范围内定制用户的系统，这取决于所使用的应用程序，而一些应用程序可能根本不支持代理连接。 电路级网关防火墙是在 OSI 模型中会话层上来过滤数据包，它用来监控受信任的客户或服务器与不受信任的主机间的 TCP 握手信息，以此来决定该会话是否合法。 该防火墙并非作为一个独立的产品存在，常与其他的应用级防火墙结合在一起使用，如 DEC 公司的 AltaVista Firewall 等防火墙。 此外，电路级网关还提供“代理服务器”的安全功能。 但是，由于该网关是工作在会话层的，故无法检查应用层级的数据包。 规则检查防火墙结合了上述三种防火墙的特点，既能在 OSI 网络层上通过IP 地址和端口号过滤进出的数据包，也可以在 OSI 应用层上检查数据包的内容，查看这些内容是否符合内部网络的安全规则，或是像电路级网关防火墙一样，检查 SYN 和 ACK 标记和序列数字是否逻辑有序。 与应用级网关防火墙不同的是，规则检查防火墙允许受信任的客户机和不受信任的主机建立直接 联系，它不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出的数据包，从理论上比应用级代理在过滤数据包上更有效。 目前市场上流行的防火墙大多属于规则检查防火墙，如 OnTechnology 公司生产的 OnGuard 和 CheckPoint 公司生产的 FireWall1 防火墙，该种防火墙的优点在于对用户透明，在 OSI 最高层上加密数据，不需要用户去修改客户端的程序，也不需对每个在防火墙上运行的服务器额外增加一个代理 [5]。 防火墙的安全策略 安全策略是防火墙的重要组成部分，它决定了受保护网络的安全性和易用性，一个合理可行的安全策略能够在网络安全需求及用户易用性之间实现良好的平衡。 策略设置不当，便会拒绝用户正常请求的合法服务或是给攻击者制造可乘之机。 一般防火墙设置有两种策略： (1)凡是未被准许的就是禁止的。 防火墙先是封锁所有的信息流，然后对要求通过的信息进行审查，符合条件的就让通过。 这是一种安全性高于一切的策略，其代价是网络的方便性受到限制，网络的应用范围和效率会降低在这个策略下，会有很多安全的信息和用户被拒之门外。 (2)凡是未被禁止的就是允 许的。 防火墙先是转发所有的信息，开始时防火精品毕业论文、毕业设计，优质的论文服务： 精品论文网 提供毕业设计（论文）和图文教程、视频教程等一揽子解决方案 10 墙几乎是不起作用，如同虚设，然后再逐项对有害的内容剔除，被禁止的内容越多，防火墙的作用就越大。 在此策略下，网络的灵活性得到完整地保留，但是有可能漏过的信息太多，使安全风险加大，并且网络管理者往往疲于奔命，工作量增大。 网络是动态发展的，制定的安全目标也应是动态的，随着网络结构或网络应用范围的调整，防火墙的安全策略也应随之调整或改变。 防火墙 技术存在的问题 防火墙产品主要是“身份认证”级的安全产品，只是实现了粗粒度的访问控制，无法成为安全解决方案的全部，仍有 诸多方面需要改进和完善，比如： (1)网络上有些攻击可以绕过防火墙，而防火墙却不能对绕过它的攻击提供阻挡。 (2)防火墙管理控制的是内部与外部网络之间的数据流，不能防范来自网络内部的攻击。 (3)当使用端到端的加密时，防火墙的作用会受到很大的限制。 (4)当内部网中存在后门时，将会使防火墙形同虚设。 (5)防火墙不能对被病毒感染的程序和文件的传输提供保护。 (6)所有防御规则都是事先设置好的，缺乏实时性，对变化的安全形势缺少应变的能力。 (7)防火墙不能防止利用标准网络协议中的缺陷进行的攻击。 安全需求的发展 要求新的防火墙能够综合使用包过滤、代理等技术，加强综合安全能力；也需要防火墙向网络协议的上层发展，能从数据链路层一直到应用层施加全方位的控制。 而且网络安全单靠防火墙是不够的，需要和其他形式的安全防护结合起来，在提高防火墙自身功能和性能的同时，由其他技术完成防火墙所缺乏的功能，协同配合，共同建立一个有效的安全防范体系。 入侵检测系统相关理论知识 入侵检测系统的概念 网络安全技术发展到今天，除了防火墙和杀毒系统的防护，入侵检测技术也成为抵御黑客攻击的有效方式，被认为是防火墙之后的第二道安全闸 门。 入侵检测系统 IDS（ Intrusion Detection System） [6]主要是通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中潜在的违反安全策略的行为和被攻击的迹象。 与其他安全措施不同的是，它需要更多的智能模块，使得能够将得到的数据进行分析并得出有用的结果，对入侵攻精品毕业论文、毕业设计，优质的论文服务： 精品论文网 提供毕业设计（论文）和图文教程、视频教程等一揽子解决方案 11 击行为能及时报警或采取相应的防护手段。 一个基本的入侵检测系统需要解决两个方面的问题：一是如何充分并可靠地提取描述行为特征的数据；二是如何根据特征数据，高效并准确地判定行为的性质。 它在很大程度上 依赖于收集信息的可靠性和准确性。 一个成功的入侵检测系统，不仅可使系统管理员时刻了解网络系统，还能给网络安全策略的制订提供依据。 它应该管理配置简单，使非专业人员非常容易地获得网络安全。 入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而改变。 入侵检测系统在发现入侵后，会及时做出响应，包括切断网络连接、记录事件和报警等。 入侵检测系统的 类型 根据数据来源和系统结构的不同，入侵检测系统可以分为基于主机、基于网络和混合性入侵检测系统三类： (1) 基于主机的入侵检测（ HID， Hostbased Intrusion Detection） 通常在被重点检测的主机上运行一个代理程序，用于监视、检测对于主机的攻击行为 (如可疑的网络连接、系统日志检查、非法访问等 )，通知用户并进行响应。 HID 最适合配置来对抗内部的威胁，因为能监视并响应用户特殊的行为以及对主机文件的访问行为。 (2) 基于网络的入侵检测（ NID， Network In。