第24章网络安全基础知识(3)

第24章网络安全基础知识(3)

6允许从dns解析程序主机到内部dns服务器的基于tcp的查询，包括对这些查询的响应。7允许dns广告商主机和内部dns服务器主机之间的区域传输。

8允许从内部smtp邮件服务器到出站smtp主机的传出邮件。

9允许从入站smtp主机到内部smtp邮件服务器的传入邮件。

10允许来自vpn服务器上后端的通信到达内部主机并且允许响应返回到vpn服务器。

允许验证通信到达内部网络上的raduis服务器并且允许响应返回到vpn服务器。

来自内部客户端的所有出站web访问均要通过代理服务器，并且响应将返回客户端等。

5.防火墙的局限性

尽管利用防火墙可以保护安全网免受外部黑客的攻击，但其目的只是提高网络的安全性，不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与internet的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。

6.防火墙使用举例

为了进一步了解防火墙的作用，下面以一个软件防火墙——金山毒霸网镖为例，讲解如何设置安全参数。

（1）应用目的

这个设置主要是禁止一些软件访问互联网。

1打开金山网镖，单击“应用规则”。

2以“互联网”为例，单击“允许”，在弹出的列表中选择“允许／禁止／询问”。

提示：对防火墙、杀毒、语音、聊天等软件应该选择允许；对一些本机使用的软件应该选择禁止。

（2）准则

1打开金山网镖，打开“工具”菜单，单击“综合设置”。

2选择“木马防火墙”，选择“开启”。

3再选择“区域级别设置”，单击“互联网”、“自定义级别”，出现自定义规则窗口。

4双击规则名称，例如“允许别人使用ping命令…”，弹出规则修改的窗口。

5可以用相同方法设置其他规则，设置完毕后单击“确认”然后保存。

提示：尽量不要别人访问自己的计算机；保持自己对外界的联系，例如，“允许自己访问外部http…”，这个项目如果被拦截，那就无法访问web网站了。

（3）端口的保护

当发现防火墙不断出现报警，某个端口有试图的攻击行为，可以尝试把这个端口关闭。

方法如下：

1打开金山网镖，打开“工具”菜单，单击“综合设置”。

2单击“高级”，选择“启用tcp／udp端口过滤”。

3单击“添加”，即可设置端口的参数。

说明：

1端口号，就是发现进入攻击的端口。

2协议是进入攻击所采用的数据传输方式，tcp或udp。

3类型有本地或远程两种，说明攻击的来源。

4最重要的是操作，当然要禁止从这个端口的攻击。

5有些端口是不能禁止的。

7.2.4入侵检测系统

入侵检测系统（intrusiondetectionsystem，ids）就是进行入侵检测的软件与硬件的组合。

1.入侵检测技术

（1）入侵检测的内容与作用

入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”，包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持等内容。

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

（2）入侵检测的分类

按照检测对象，入侵检测可以划分为：

1基于主机的检测：系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统是由代理（agent）来实现对所在主机系统的保护，代理是运行在目标主机上的小的可执行程序。

2基于网络的检测：系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台计算机，用于探测网络上的数据包。

3混合型检测：基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。

2.检测系统模型

应该使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位对所关注的网络作全面的评估，然后提出可行的全面解决方案。

3.入侵检测软件

（1）netwatch网络监控与入侵检测系统专业版