防火墙与入侵检测课程设计
设计背景:
随着计算机网络的饿普及和发展,以及政府和企业信息化艰涩步伐的加快,现有企业的网络体系结构越来越复杂。复杂的网络结构暴露了众多的安全隐患,对网络安全的需求以前所未有的速度迅猛增长。如何试网络安全满足业务的高速推进,成为越来越热门的话题。
安全的网络系统对于现代企业来说是日常办公和业务应用的支撑体系。很多企业曾饱尝网络系统遭受攻击的痛苦,意识到网络安全的重要性,实施了简单的基于防火墙技术的安全解决策略,但绝大多数企业还处于观望阶段,或者出于一种调研阶段。
尽管企业网络与个人网络所存在的主要安全隐患一样们都是计算机病毒
感染、木马和恶意程序的入侵和黑客攻击,但企业网络安全与个人计算机的网络安全相比,安全防护的重要性药高许多。一旦存在这些安全隐患。企业网络的损失可能是无法估计的。毕竟个人用户最多只是个人的计算机系统损坏,或者数据丢失,而对于企业网络远没有这么简单。企业网络一旦受到威胁,就可能使整个网络无法正常工作,服务器系统瘫痪,甚至所有网络数据损坏或丢失,其损失可能是灾难性的。作为网络管理员,应当根据当前的安全形式认清企业网络中主要需要防范的安全隐患。而不要以个人计算机网络安全来概括企业网络安全。正是基于企业网络安全的重要性,企业网络安全防护成本要远比个人网络高。在个人计算机的网络安全防护中通常只是安全个人
版病毒防护程序和软件防火墙,而在企业网络中。仅靠这些事远远不够的。企业网络中通常部署的是硬件防火墙、网络版病毒防护程序和其他诸如入侵检测系统、网络隔离设备等。同时,部署企业网络的容灾系统也是非常必要要的,因为它是一切安全防护措施的最后的防线。
拓扑图
拓扑图分析:
企业按部门划分vlan 企业的部门分为经理部、销售部、人力资源部、后勤部、财政部、行政部、科研部,每个部门为一个vlan 相互之间互不影响,经理部可以查看其他各部门的计算机,其他部门只能查看
除了经理部和财政部以外的部门计算机。各部门的计算机通过接入层交换机连接到汇聚层交换机,然后介入核心交换机。Web 服务器、dns 服务器、dhcp服务器、email服务器等构成一个dmz 然后与核心交换机相连,核心交换机通过防火墙与路由器相连,路由器介入Internet。其中在汇聚层交换机的节点核心层交换机的节点和dmz的节点处设置入侵检测系统。防火墙部署方案
设计中采用包过滤防火墙,在内部网络与Internet的接点处设置了包过滤防火墙,起到保护内部网络的作用。
包过滤防火墙也称为访问控制表或屏蔽路由器,它通过查看所流经的数据包,根据定义好的过滤规则审查每个数据包,并根据是否与规则匹配来决定是否让该数据包通过。包过滤防火墙的优点是处理速度快(因为包过滤防火墙工作在IP层和TCP层)、费用低(许多路由软件已包含)、对用户透明(不需要用户在客户端做任何程序改动)、价格便宜。
包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。具体地讲,它针对每一个数据报的报头,按照包过滤规则进行判定,与规则相匹配的包依据路由信息继续转发,否则就丢弃。包过滤是在IP层实现的,包过滤根据数据包的源IP地址、目的IP地址、协议类型(TCP 包、UDP包、ICMP
包)、源端口、目的端口等报头信息及数据包传输方向等信息来判断是否允许数据包通过。包过滤也包括与服务相关的过滤,这是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,为阻断所有进入特定服务的链接,防火墙只需将所有包含特定TCP/UDP目的端口的包丢弃即可。
之所以采用包过滤防火墙主要出于以下几点的考虑:1.对于一个小型的、不太复杂的站点,包过滤比较容易实现。
2.过滤路由器工作在IP层和TCP层,所以处理包的速度比代理服务器快。
3.路由器为用户提供了一种透明的服务,用户不需要改变客户端的任何应用程序,也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层,而IP层和TCP层与应用层的问题毫不相关。所以,过滤路由器有时也被称为“包过滤网关”或“透明网关”,之所被称为网关,是因为包过滤路由器和传统路由器不同,它涉及到了传输层。
4滤路由器在价格上一般比代理服务器便宜。包过滤的原则:(1)包过滤规则必须被包过滤设备端口存储起来。
(2)当包到达端口时,对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。
(3)包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。
(4)若一条规则阻止包传输或接收,则此包便不被允许。(5)若一条规则允许包传输或接收,则此包便可以被继续处理。(6)若包不满足任何一条规则,则此包便被阻塞。入侵检测系统的部署:
入侵检测系统有不同的部署方式和特点。根据所掌握的网络检测和安全需求,选取各种类型的入侵检测系统。将多种入侵检测系统按照预定的计划进行部署,确保每个入侵检测系统都能够在相应部署点上发挥作用,共同防护,保障网络的安全运行。
部署工作包括对网络入侵检测和主机入侵检测等不同类型入侵检测系统的部署规划。同时,根据主动防御网络的需求,还需要对入侵检测系统的报警方式进行部署和规划。
基于网络的入侵检测系统可以在网络的多个位置进行部署。
根据检测器部署位置的不同,入侵检测系统具有不同的工作特点。在基于网络的入侵检测系统部署并配置完成后,基于主机的入侵检测系统的部署可以给系统提供高级别的保护。但是,将基于主机的入侵检测系统安装在企业中的每一个主机上是一种相当大的时间和资金的浪费,同时每一台主机都需要根据自身的情况进行特别的安装和设置,相关的日志和升级维护是巨大的。
入侵检测系统在检测到入侵行为的时候,需要报警并进行相应的反应。如何报警和选取什么样的报警,需要根据整个网络的环境和安全的需求进行确定。
入侵检测系统的种类
据入侵检测系统的检测对象和工作方式的不同,入侵检测系统主要分为两大类:基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上。这一类入侵检测系统直接与操作系统相关,它控制文件系统以及重要的系统文件,确保操作系统不会被随意地删改。该类入侵检测系统能够及时发现操作系统所受到的侵害,并且由于它保存一定的校验信息和所有系统文件的变更记录,所以在一定程度上还可以实现安全恢复机制。
基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,它使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,入侵检测系统应答模块通过通知、报播以及中断连接等方式来对攻击做出反应。基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势和不足,这两种方式各自都能发现对方无法检测到的一些网络入侵行为,如果同时使用互相弥
