網(wǎng)絡(luò)安全概要

這篇blog總結(jié)了博主大三下學(xué)期的《網(wǎng)絡(luò)安全》課程主要知識(shí)點(diǎn)裳扯,每一點(diǎn)仔細(xì)研究的話都有很多很深很精妙的內(nèi)容负溪。

0x00 網(wǎng)絡(luò)安全的目標(biāo)

網(wǎng)絡(luò)安全的目標(biāo)是保證信息的保密性适篙、真實(shí)性惜浅、完整性、可靠性、可用性、不可否認(rèn)性。了解網(wǎng)絡(luò)安全的定義可以幫助我們提高分析問(wèn)題捷雕、解決問(wèn)題的能力,可以有計(jì)劃壹甥、有方向的針對(duì)其目標(biāo)來(lái)分析網(wǎng)絡(luò)安全救巷。所以,了解這些是必要的句柠。

  1. 保密性:指網(wǎng)絡(luò)信息不被泄漏給非授權(quán)的用戶浦译、實(shí)體或過(guò)程,即信息只為授權(quán)用戶使用溯职。通常使用的技術(shù)包括物理保密精盅、防竊聽、防輻射(防止有用信息以各種途徑輻射出去)谜酒、信息加密叹俏。
  2. 真實(shí)性:指用戶的身份是真實(shí)的。涉及到認(rèn)證問(wèn)題甚带。
  3. 完整性:指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性她肯,即網(wǎng)絡(luò)信息在存儲(chǔ)或傳輸過(guò)程中保持不被偶然或者蓄意地添加佳头、刪除鹰贵、修改晴氨、偽造、亂序碉输、重放等破環(huán)和丟失的特性。主要方法有:
    • 良好的協(xié)議
    • 密碼校驗(yàn)和方法
    • 數(shù)字簽名
    • 公正
  4. 可靠性:指系統(tǒng)能夠在規(guī)定的條件和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性敷钾。衡量的角度有抗毀性阻荒、生存性和有效性挠锥。
  5. 可用性:指網(wǎng)絡(luò)信息服務(wù)在需要時(shí),可被授權(quán)用戶或?qū)嶓w訪問(wèn)并按需求使用的特性侨赡,或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí)羊壹,仍能為授權(quán)用戶提供有效服務(wù)的特性蓖宦。可用性可通過(guò)如下手段來(lái)保證:
    • 身份識(shí)別與確認(rèn)
    • 訪問(wèn)控制
    • 業(yè)務(wù)流控制
    • 路由選擇控制
    • 審計(jì)跟蹤
  6. 不可否認(rèn)性(不可抵賴性):即在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過(guò)程中油猫,確信參與者的真實(shí)同一性。所有參與者都不能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾睬关。
  7. 可控性:指對(duì)網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性毡证。

0x01 網(wǎng)絡(luò)威脅的來(lái)源有哪些?是什么藐不?

  1. 協(xié)議本身的缺陷:比如網(wǎng)卡可以設(shè)置成混雜模式秦效、socket跨層傳輸?shù)葐?wèn)題。

    1. 明文傳輸

    2. IP欺騙:IP地址沒有認(rèn)證

      1. 使被信任主機(jī)失去工作能力
      2. 然后連接到目標(biāo)機(jī)的某個(gè)端口來(lái)猜測(cè)ISN基值和增加規(guī)律
      3. 接下來(lái)把源址址偽裝成被信任主機(jī)挑秉,發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請(qǐng)求連接
      4. 然后等待目標(biāo)機(jī)發(fā)送SYN+ACK包給已經(jīng)癱瘓的主機(jī)
      5. 最后再次偽裝成被信任主機(jī)向目標(biāo)機(jī)發(fā)送的ACK犀概,此時(shí)發(fā)送的數(shù)據(jù)段帶有預(yù)測(cè)的目標(biāo)機(jī)的ISN+1
      6. 連接建立,發(fā)送命令請(qǐng)求
    3. 碎片攻擊:IP首部有兩個(gè)字節(jié)表示整個(gè)IP數(shù)據(jù)包的長(zhǎng)度铛绰,所以IP數(shù)據(jù)包最長(zhǎng)只能為0xFFFF产喉,就是65535字節(jié)。如果有意發(fā)送總長(zhǎng)度超過(guò)65535 的IP碎片这嚣,一些老的系統(tǒng)內(nèi)核在處理的時(shí)候就會(huì)出現(xiàn)問(wèn)題姐帚,導(dǎo)致崩潰或者拒絕服務(wù)障涯。另外,如果分片之間偏移量經(jīng)過(guò)精心構(gòu)造尤莺,一些系統(tǒng)就無(wú)法處理,導(dǎo)致死機(jī)生棍。所以說(shuō)涂滴,漏洞的起因是出在重組算法上。這里有一篇blog寫的很清楚缔杉, 碎片攻擊

    4. TCP濫用:SYN flood講的是黑客利用TCP協(xié)議發(fā)送大量的半連接請(qǐng)求去攻擊目標(biāo)服務(wù)器或者主機(jī)搁料,致使目標(biāo)服務(wù)器發(fā)生拒絕服務(wù)郭计,或者藍(lán)屏。

      維基百科:SYN flood

    5. DNS梧乘、FTP庐杨、TELNET等應(yīng)用協(xié)議的安全問(wèn)題

  2. 惡意攻擊

    1. 緩沖區(qū)溢出攻擊
    2. DDoS
    3. 特洛伊木馬
  3. 各種應(yīng)用軟件的漏洞

    1. SQL注入、IIS的漏洞等

接下來(lái)從TCP/I參考模型的不同層次總結(jié)下各種攻擊方法

  1. 數(shù)據(jù)鏈路層攻擊技術(shù)
    1. MAC地址欺騙
      1. 直接修改網(wǎng)卡MAC地址:實(shí)現(xiàn)單機(jī)上網(wǎng)
      2. 利用MAC地址克孪ⅰ:通過(guò)路由器的克隆MAC地址選項(xiàng)實(shí)現(xiàn)多機(jī)共享上網(wǎng)
    2. 電磁信息泄漏:指電子設(shè)備的雜散(寄生)電磁能量通過(guò)導(dǎo)線或空間向外擴(kuò)散枝笨。只有強(qiáng)度和信噪比滿足一定條件的信號(hào)才能夠被截獲和還原横浑。因此屉更,可以通過(guò)屏蔽、濾波欺冀、隔離隐轩、合理的接地與良好的搭接渤早、選用低泄漏設(shè)備鹊杖、合理的布局和使用干擾器等防護(hù)措施避免電磁信息泄漏。
    3. 網(wǎng)絡(luò)監(jiān)聽
      1. 以太網(wǎng)的工作機(jī)制:HUB相連的網(wǎng)絡(luò)积瞒,通過(guò)設(shè)置網(wǎng)卡為“混雜模式”達(dá)到監(jiān)聽的目的登下。
      2. Snoop監(jiān)聽工具:可以截獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包被芳,并顯示其內(nèi)容,能方便的收集工作站的信息揩瞪。
      3. Sniffit監(jiān)聽工具:用戶可以選擇源篓冲、目標(biāo)地址或地址集合,以及監(jiān)聽的端口嗤攻、協(xié)議和網(wǎng)絡(luò)接口等妇菱。eg:sniffit -a -A . -p 23 -t 11.22.33.@
      4. Sniffer監(jiān)聽工具:嗅探器闯团,可以形象地理解為打入到敵人內(nèi)部的特工,源源不斷地將地方的情報(bào)送出來(lái)彻舰。有很多現(xiàn)成的運(yùn)行于不同平臺(tái)的嗅探工具候味,如:Linux tcpdump, The Gobbler, LanPatrol, LanWatch, Netmon, Netwatch, Netzhack等白群。Sniffer程序通常運(yùn)行在路由器或有路由器功能的主機(jī)上,以便監(jiān)控大量數(shù)據(jù)笼裳。
      5. 防止網(wǎng)絡(luò)監(jiān)聽:
        1. 加密:TCP/IP協(xié)議并沒有加密的方法侍咱,都采用明文傳輸密幔,因此,可以使用增強(qiáng)的TCP/IP協(xié)議昧廷,如IPv6協(xié)議中提供了內(nèi)置的IPSec可選報(bào)頭木柬,可以以密文方式傳輸數(shù)據(jù)淹办。對(duì)于IPv4為主的網(wǎng)絡(luò),基本采用打補(bǔ)丁的方式速挑,如使用SSH協(xié)議姥宝。
        2. 采用安全拓?fù)浣Y(jié)構(gòu)
  2. 網(wǎng)絡(luò)層攻擊技術(shù)
    1. 網(wǎng)絡(luò)層掃描:典型的被動(dòng)攻擊方法
      1. ping
      2. tracert
      3. rusers腊满、finger、host
    2. IP欺騙
      1. 信任關(guān)系:以IP為信任基礎(chǔ)
      2. IP欺騙的原理胚泌、目的
        1. 只想隱藏自身的IP地址或者偽造源IP和目的IP相同的不正常包而不關(guān)心是否能收到目標(biāo)主機(jī)的應(yīng)答疮蹦。如IP包碎片攻擊愕乎、Land攻擊(Local Area Network Denial attack,源壁公、目的IP相同)等
        2. 偽裝成被目標(biāo)主機(jī)信任的友好主機(jī)紊册,并希望得到非授權(quán)的服務(wù)。此時(shí)需要使用正確的TCP序列號(hào)芳绩。
    3. 碎片攻擊:上文已經(jīng)提到過(guò)
    4. ICMP攻擊:
      1. IP地址掃描
      2. ping of death
      3. ping flooding 和 smurf:不停的ping妥色,消耗目標(biāo)主機(jī)資源遏片,現(xiàn)代很多主機(jī)設(shè)置了不回應(yīng)ping請(qǐng)求吮便。smurf利用源地址是受害主機(jī),目標(biāo)地址是反彈網(wǎng)絡(luò)的廣播地址许师,以達(dá)到用ICMP回應(yīng)應(yīng)答數(shù)據(jù)包淹沒受害主機(jī)的目的微渠。
      4. ICMP重定向報(bào)文
      5. ICMP主機(jī)不可達(dá)和TTL超時(shí)報(bào)文
    5. 路由欺騙
      1. RIP路由欺騙
      2. IP路由欺騙
    6. ARP欺騙:當(dāng)攻擊者和目標(biāo)主機(jī)在同一局域網(wǎng)內(nèi),攻擊者想要截獲和偵聽目標(biāo)主機(jī)到網(wǎng)關(guān)之間的所有數(shù)據(jù)粗卜。如果由集線器HUB連接各個(gè)節(jié)點(diǎn)续扔,只需要將網(wǎng)卡設(shè)置為混雜模式焕数,就可用鏈路層的監(jiān)聽獲得想要的信息堡赔。如果局域網(wǎng)采用交換機(jī)連接各個(gè)節(jié)點(diǎn)時(shí),交換機(jī)會(huì)根據(jù)目標(biāo)MAC地址查找端口映射表灼捂,確定轉(zhuǎn)發(fā)的某個(gè)具體端口悉稠,而不是向所有端口廣播艘包。此時(shí)想虎,攻擊者首先試探交換機(jī)是否存在失敗保護(hù)模式(Fail-safe mode),當(dāng)網(wǎng)絡(luò)通信出現(xiàn)大量虛假M(fèi)AC地址時(shí)岂却,某些類型的交換機(jī)會(huì)出現(xiàn)過(guò)載情況淌友,轉(zhuǎn)換到失敗保護(hù)模式骇陈,其工作方式和集線器HUB相同你雌,可以使用“macof”工具完成這項(xiàng)攻擊二汛。如果交換機(jī)不存在這種模式肴颊,就需要使用ARP欺騙技術(shù)來(lái)監(jiān)聽了婿着。 維基百科:ARP欺騙
  3. 傳輸層攻擊技術(shù)
    1. 端口掃描
      1. TCP connect掃描:入侵者不需要任何權(quán)限醋界、速度快(打開多個(gè)套接字形纺、使用非阻塞I/O、設(shè)置低連接時(shí)間)蜗字,但容易被發(fā)覺并被過(guò)濾掉挪捕。
      2. TCP SYN掃描:半開掃描戏羽,發(fā)送SYN數(shù)據(jù)包始花,如果收到SYN/ACK孩锡,說(shuō)明端口開放躬窜,這時(shí)再發(fā)送一個(gè)RST來(lái)關(guān)閉連接荣挨;如果收到RST,說(shuō)明端口未處于偵聽狀態(tài)此虑。但是必須具有root權(quán)限才能建立自己的SYN數(shù)據(jù)包朦前。
      3. TCP FIN掃描:FIN掃描的基本思想是通常關(guān)閉的端口會(huì)用RST來(lái)回復(fù)FIN數(shù)據(jù)包,而打開的端口會(huì)忽略FIN數(shù)據(jù)包春哨,不做回復(fù)赴背。但并非所有系統(tǒng)都這樣做晶渠。
      4. Franmentation掃描:將將要發(fā)送的數(shù)據(jù)包大包成非常小的IP包乱陡,通過(guò)TCP包頭分成幾段憨颠,放入不同的IP包中,使得過(guò)濾程序難以過(guò)濾养盗。
      5. UDP端口掃描:主機(jī)向未打開的UDP端口發(fā)送數(shù)據(jù)包是往核,會(huì)返回ICMP_PORT_UNREACH錯(cuò)誤報(bào)文嚷节,從而判斷哪個(gè)端口時(shí)關(guān)閉的硫痰。但是這種掃描可靠性不高效斑。
      6. 慢速掃描:放慢掃描速度來(lái)躲避檢查。
    2. TCP初始序號(hào)預(yù)測(cè)
      1. 64KB規(guī)則:當(dāng)主機(jī)啟動(dòng)后序列號(hào)初始化為1(由tcp_init確定)奇昙,初始序列號(hào)ISN每秒增加128000储耐,如果有連接出現(xiàn)蠢挡,每次連接將把計(jì)數(shù)器的數(shù)值增加64000。用于表示ISN的32位計(jì)數(shù)器在沒有連接的惡情況下9.32小時(shí)復(fù)位一次涧卵。
      2. 與時(shí)間相關(guān)的生產(chǎn)規(guī)則
      3. 偽隨機(jī)數(shù)產(chǎn)生規(guī)則
      4. 第一柳恐、二種方法使得容易預(yù)測(cè)序列號(hào)热幔,因?yàn)槠渑c時(shí)間相關(guān)绎巨、變化不大场勤。
    3. SYN flooding:當(dāng)前最流行且最有效的DoS方式之一。攻擊主機(jī)需要保證偽造的數(shù)據(jù)包源IP地址是可路由格遭、但不可達(dá)的主機(jī)地址拒迅。
    4. TCP欺騙:在IP地址欺騙和TCP初始序號(hào)預(yù)測(cè)的基礎(chǔ)上進(jìn)行璧微,目的是偽裝成其他主機(jī)與受害者通信帝牡,獲取更多信息和利益靶溜。
      1. 非盲攻擊:攻擊者和被欺騙的目標(biāo)主機(jī)在同一個(gè)網(wǎng)絡(luò)上懒震,攻擊者可以簡(jiǎn)單地使用嗅探器捕獲TCP報(bào)文段个扰,從而獲得需要的序列號(hào)递宅。
      2. 盲攻擊:不在同一個(gè)網(wǎng)絡(luò)上,比較難以實(shí)現(xiàn)烘绽,但可以通過(guò)路由欺騙技術(shù)把盲攻擊轉(zhuǎn)換成非盲攻擊安接。
  4. 應(yīng)用層攻擊技術(shù)
    1. 緩沖區(qū)溢出:指當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過(guò)了緩沖區(qū)本身的容量盏檐,溢出的數(shù)據(jù)覆蓋了其他程序或系統(tǒng)的合法數(shù)據(jù)胡野。
    2. 口令攻擊
      1. 猜測(cè)簡(jiǎn)單口令
      2. 字典攻擊
      3. 強(qiáng)行攻擊:窮舉
    3. 電子郵件攻擊
      1. 電子郵件系統(tǒng)中的安全漏洞
      2. 電子郵件攻擊:欺騙硫豆、炸彈
    4. DNS欺騙
    5. SQL注入:動(dòng)態(tài)構(gòu)造了SQL語(yǔ)句,代碼與用戶的輸入結(jié)合恭应,從而導(dǎo)致用戶執(zhí)行期望之外的命令昼榛。
  5. 網(wǎng)絡(luò)病毒與木馬
    1. 病毒
      1. 危害:直接破環(huán)計(jì)算機(jī)數(shù)據(jù)信息胆屿、大量占用磁盤空間偶宫、運(yùn)行時(shí)搶占系統(tǒng)資源纯趋,影響計(jì)算機(jī)的運(yùn)行速度吵冒、計(jì)算機(jī)病毒的錯(cuò)誤導(dǎo)致不可預(yù)見的危害痹栖。
      2. 特征:人為的特制程序、具有自我復(fù)制能力疗我、很強(qiáng)的感染性】一定的潛伏性吴裤、特定的觸發(fā)性嚼摩、很大的破壞性枕面。
    2. 網(wǎng)絡(luò)病毒:蠕蟲
    3. 特洛伊木馬
  6. 拒絕服務(wù)式攻擊
    1. 原理:耗盡系統(tǒng)資源使得受害主機(jī)無(wú)法處理新的請(qǐng)求導(dǎo)致拒絕服務(wù)。
    2. 分布式拒絕服務(wù)攻擊

0x02 防范

  1. 身份認(rèn)證
    1. 口令認(rèn)證
      1. 靜態(tài)口令
      2. 動(dòng)態(tài)口令:手機(jī)令牌琼开、短信密碼柜候、硬件令牌
    2. IC卡認(rèn)證
    3. 基于生物特征的認(rèn)證
      1. 指紋識(shí)別
      2. 掌紋識(shí)別
      3. 視網(wǎng)膜識(shí)別
      4. 虹膜識(shí)別
      5. 人臉識(shí)別
      6. 語(yǔ)音識(shí)別
      7. 擊鍵識(shí)別
      8. 筆跡識(shí)別
      9. DNA識(shí)別
    4. 網(wǎng)絡(luò)身份認(rèn)證
      1. 對(duì)稱密碼:也稱私鑰密碼渣刷,常見的有DES辅柴、IDEA碌嘀、3DES歪架、AES
      2. 非對(duì)稱密碼:也稱公共密鑰密碼和蚪,常見的有RSA攒霹、EGamal剔蹋、DSS辅髓、DiffieHellman
    5. 單點(diǎn)登錄:實(shí)質(zhì)就是安全上下文或憑證在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。
      1. 基于經(jīng)紀(jì)人(Broker-based)的SSO模型
      2. 基于代理(Agent-based)的SSO模型
      3. 基于網(wǎng)關(guān)(Gateway-based)的SSO模型
      4. 基于令牌(Token-based)的SSO模型
  2. 訪問(wèn)控制:防止非法用戶進(jìn)入系統(tǒng)和合法用戶對(duì)系統(tǒng)資源的非法使用凯沪。
    1. 自主訪問(wèn)控制(Discretionary Access Control妨马,DAC):基于對(duì)主體(用戶,進(jìn)程)的識(shí)別來(lái)限制對(duì)客體(文件杀赢,數(shù)據(jù))的訪問(wèn)烘跺,而且是自主的。所謂自主是指具有授予某種訪問(wèn)權(quán)限的主題能夠自主地將訪問(wèn)權(quán)限或其子集授予其他主體脂崔,因此滤淳,DAC又稱基于主體的訪問(wèn)控制。
      1. 缺點(diǎn):訪問(wèn)控制資源比較分散砌左、用戶關(guān)系不易管理脖咐、訪問(wèn)授權(quán)是可傳遞的汇歹、在大型系統(tǒng)中屁擅,主體、客體的數(shù)量龐大产弹,造成系統(tǒng)開銷巨大派歌。
      2. 應(yīng)用:Windows Server、UNIX系統(tǒng)取视、防火墻(ACL)等
    2. 強(qiáng)制訪問(wèn)控制(Mandatory Access Control硝皂,MAC):所有主體和客體都被分配了安全標(biāo)簽,安全標(biāo)簽標(biāo)識(shí)一個(gè)安全等級(jí)作谭,通過(guò)比較主體和客體的安全級(jí)別來(lái)決定是否允許主體訪問(wèn)客體稽物。其兩個(gè)關(guān)鍵原則是不向上讀和不向下寫,即信息流只能從低安全級(jí)向高安全級(jí)流動(dòng)折欠。
      1. 缺點(diǎn):對(duì)用戶惡意泄漏信息無(wú)能為力贝或、基于MAC的應(yīng)用領(lǐng)域比較窄、完整性方面控制不夠锐秦、過(guò)于強(qiáng)調(diào)保密性咪奖,對(duì)系統(tǒng)的授權(quán)管理不便,u夠靈活酱床。
      2. 應(yīng)用:軍方系統(tǒng)
    3. 基于角色的訪問(wèn)控制(Role-based Access Control):在用戶和訪問(wèn)許可權(quán)之間引入角色(Role)的概念羊赵,用戶與特定的一個(gè)或多個(gè)角色相聯(lián)系,角色與一個(gè)或多個(gè)訪問(wèn)許可權(quán)相聯(lián)系。
      1. 核心RBAC的基本元素集合有五類:用戶集昧捷、角色集闲昭、客體集、操作集靡挥、許可集序矩。基本關(guān)系有:用戶指派(UA)和許可指派(PA)跋破。
      2. 應(yīng)用:操作系統(tǒng)簸淀、數(shù)據(jù)庫(kù)管理系統(tǒng)、公鑰基礎(chǔ)設(shè)施(PKI)毒返、工作流管理系統(tǒng)租幕、Web服務(wù)等
    4. 使用控制模型(UCON):可變屬性(Mutable Attribute,MA)的引入是UCON模型與其他模型的最大差別饿悬,可變屬性會(huì)根據(jù)訪問(wèn)對(duì)象的結(jié)果而改變令蛉,而不可變屬性僅能通過(guò)管理行為改變。UCON不僅包含了DAC狡恬、MAC珠叔、RBAC,還包含了數(shù)字版權(quán)管理(DRM)弟劲、信任管理等祷安,被稱作下一代訪問(wèn)控制模型。
      1. 三個(gè)基本元素:主體兔乞、客體汇鞭、權(quán)限
      2. 三個(gè)與授權(quán)有關(guān)的元素:授權(quán)規(guī)則、條件庸追、義務(wù)
  3. Firewall:防火墻是設(shè)置在用戶網(wǎng)絡(luò)和外界之間的一道屏障霍骄,防止不可預(yù)料的、潛在的破壞侵入用戶網(wǎng)絡(luò)淡溯《琳基本功能有過(guò)濾、管理咱娶、日志米间、告警。
    1. 集中式防火墻:一般位于網(wǎng)絡(luò)的邊界膘侮。
      1. 優(yōu)點(diǎn):
        • 允許網(wǎng)絡(luò)管理員定義一個(gè)中心“遏制點(diǎn)”來(lái)防治非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)屈糊。
        • 保護(hù)網(wǎng)絡(luò)中脆弱的服務(wù)
        • 通過(guò)防火墻,用戶可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性琼了,并產(chǎn)生報(bào)警信息
        • 集中安全性
        • 增強(qiáng)隱私性
        • 防火墻是審計(jì)和記錄網(wǎng)絡(luò)流量的最佳地方
      2. 缺點(diǎn):
        • 限制有用的網(wǎng)絡(luò)服務(wù)
        • 不能有效防護(hù)內(nèi)部網(wǎng)絡(luò)用戶的攻擊
        • 對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)依賴大
        • 防火墻不能完全阻止傳送已感染病毒的軟件或文件
        • 防火墻無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊
        • 不能防備新的網(wǎng)絡(luò)安全問(wèn)題
        • 不能解決信息保密性問(wèn)題
      3. 體系結(jié)構(gòu)
        1. 包過(guò)濾防火墻
        2. 雙宿網(wǎng)關(guān)防火墻:擁有兩個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻
          1. 用戶直接登錄到雙重宿主主機(jī)上來(lái)提供服務(wù)
          2. 一般采用代理方式提供服務(wù)逻锐,采用代理服務(wù)的雙宿主機(jī)稱為代理服務(wù)器
            1. 應(yīng)用層代理
            2. 傳輸層代理
            3. SOCKS代理:MS Proxy、NS Proxy、WinGate等流行的代理服務(wù)器產(chǎn)品
        3. 屏蔽子網(wǎng)防火墻:對(duì)代理服務(wù)器的改進(jìn)谦去,在內(nèi)網(wǎng)和外網(wǎng)之間建立一個(gè)子網(wǎng)以進(jìn)行隔離慷丽。這個(gè)子網(wǎng)區(qū)域稱為邊界網(wǎng)絡(luò)(Perimeter Network)、非軍事區(qū)(De-Militarized Zone)鳄哭。
          1. 內(nèi)部路由器主要功能:
            • 負(fù)責(zé)管理DMZ到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)
            • 僅接收來(lái)自堡壘主機(jī)的數(shù)據(jù)包
            • 完成防火墻的大部分過(guò)濾工作
          2. 外部路由器主要功能:
            • 防范通常的外部攻擊
            • 管理Internet到DMZ的訪問(wèn)
            • 只允許外部系統(tǒng)訪問(wèn)堡壘主機(jī)
          3. 堡壘主機(jī)
            • 進(jìn)行安全防護(hù)
            • 運(yùn)行各種代理服務(wù),如WWW纲熏、FTP妆丘、Telnet等
    2. 分布式防火墻:每個(gè)桌面計(jì)算機(jī)都通過(guò)安全策略機(jī)制進(jìn)行控制,這些安全策略來(lái)自于策略服務(wù)器局劲,系統(tǒng)管理員設(shè)置統(tǒng)一的安全管理策略勺拣,由各桌面計(jì)算機(jī)的通信模塊進(jìn)行自動(dòng)下載并更新本地策略。這里的分布式防火墻與個(gè)人防火墻不同鱼填,個(gè)人防火墻多為安裝在主機(jī)上的軟件防火墻药有,以及今年出現(xiàn)的主機(jī)版上整合的硬件防火墻,雖然也是由各主機(jī)實(shí)施策略苹丸,但是其策略是由主機(jī)用戶自行定義愤惰,缺乏集中統(tǒng)一的管理。
      1. 存在防火墻和操作系統(tǒng)的功能悖論赘理,即純保護(hù)誰(shuí)的問(wèn)題宦言。
    3. 嵌入式防火墻:硬件實(shí)現(xiàn)分布式防火墻的策略的執(zhí)行模塊。
  4. VPN:指在用戶計(jì)算機(jī)和VPN服務(wù)器之間點(diǎn)到點(diǎn)的連接商模,由于數(shù)據(jù)通過(guò)一條仿真專線傳輸奠旺,用戶感覺不到公共網(wǎng)絡(luò)的實(shí)際存在,卻能夠像在專線上一樣處理內(nèi)部信息施流。
    1. VPN的功能:數(shù)據(jù)封裝响疚、認(rèn)證、數(shù)據(jù)完整性和合法性認(rèn)證瞪醋、數(shù)據(jù)加密
    2. 數(shù)據(jù)鏈路層VPN---L2TP(Layer 2 Tunneling Protocol)/PPTP(Point-to-Point Tunneling Protocol):IPSec出現(xiàn)前最主要的VPN類型忿晕,通常用于支持撥號(hào)用戶遠(yuǎn)程接入企業(yè)或機(jī)構(gòu)的內(nèi)部VPN服務(wù)器。
      1. 優(yōu)點(diǎn):簡(jiǎn)單易行
        1. PPTP/L2TP對(duì)使用微軟操作系統(tǒng)的用戶來(lái)說(shuō)很方便趟章,因?yàn)槲④浺寻阉鳛槁酚绍浖囊徊糠?/li>
        2. 位于數(shù)據(jù)鏈路層杏糙,包括IPv4在內(nèi)多種網(wǎng)絡(luò)協(xié)議都可以采用它們作為鏈路協(xié)議,支持流量控制
        3. 通過(guò)減少丟包來(lái)減少重傳蚓土,改善網(wǎng)絡(luò)性能
      2. 缺點(diǎn):安全程度差
        1. 對(duì)PPP協(xié)議本身沒做修改宏侍,只是將用戶的PPP幀基于GRE封裝成IP報(bào)文
        2. 不對(duì)兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制
        3. 限制同時(shí)最多只能連接255個(gè)用戶,可擴(kuò)展性不強(qiáng)蜀漆,不適合于向IPv6的轉(zhuǎn)移
        4. 端用戶需要在連接前手工建立加密信道
        5. 沒有提供內(nèi)在的安全機(jī)制谅河,認(rèn)證和加密受到限制,沒有強(qiáng)加密和認(rèn)證支持
        6. 不支持企業(yè)與外部客戶及供應(yīng)商之間會(huì)話的保密性需求,不支持外聯(lián)網(wǎng)VPN
    3. 網(wǎng)絡(luò)層VPN---IPSec:一個(gè)范圍廣泛绷耍、開放的虛擬專用網(wǎng)安全協(xié)議吐限,是第三層VPN標(biāo)準(zhǔn)
      1. 傳輸模式:適合點(diǎn)到點(diǎn)的連接,即主機(jī)與主機(jī)之間的VPN可以用傳輸模式褂始,其數(shù)據(jù)分組中原始IP報(bào)頭不動(dòng)诸典,在后面插入AH認(rèn)證頭或ESP的頭部和尾部,僅對(duì)數(shù)據(jù)凈荷進(jìn)行認(rèn)證或加密崎苗。
      2. 隧道模式:適用于VPN安全網(wǎng)關(guān)之間的連接狐粱,即用于路由器、防火墻胆数、VPN集中器等網(wǎng)絡(luò)設(shè)備之間肌蜻,發(fā)送端的VPN安全網(wǎng)關(guān)對(duì)原始IP報(bào)文整體加密,再在前面加入一個(gè)新的IP包頭必尼,用新的IP地址(接收端VPN地址)將數(shù)據(jù)分組路由到接收端蒋搜。
    4. 傳輸層VPN—SSL:SSL VPN指采用SSL協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的VPN技術(shù)
      1. 優(yōu)點(diǎn):簡(jiǎn)單、安全判莉、可擴(kuò)展豆挽、訪問(wèn)控制、成本低
      2. 不足:必須依靠Internet進(jìn)行訪問(wèn)骂租、依賴反代理技術(shù)訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)祷杈,對(duì)復(fù)雜Web技術(shù)提供的支持有限、通常只基于Web瀏覽器工作渗饮、只對(duì)通信雙方的某個(gè)應(yīng)用加密而非所有通信加密
    5. 會(huì)話層VPN—SOCKS
  5. IDS(Intrusion Detection System)/IPS(Intrusion Protection System)
    1. NIDS但汞、HIDS
    2. 異常檢測(cè)、誤用檢測(cè)
    3. 誤報(bào)率互站、漏報(bào)率
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末私蕾,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子胡桃,更是在濱河造成了極大的恐慌踩叭,老刑警劉巖,帶你破解...
    沈念sama閱讀 217,509評(píng)論 6 504
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件翠胰,死亡現(xiàn)場(chǎng)離奇詭異容贝,居然都是意外死亡,警方通過(guò)查閱死者的電腦和手機(jī)之景,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,806評(píng)論 3 394
  • 文/潘曉璐 我一進(jìn)店門斤富,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人锻狗,你說(shuō)我怎么就攤上這事满力』啦危” “怎么了?”我有些...
    開封第一講書人閱讀 163,875評(píng)論 0 354
  • 文/不壞的土叔 我叫張陵油额,是天一觀的道長(zhǎng)叠纷。 經(jīng)常有香客問(wèn)我,道長(zhǎng)潦嘶,這世上最難降的妖魔是什么涩嚣? 我笑而不...
    開封第一講書人閱讀 58,441評(píng)論 1 293
  • 正文 為了忘掉前任,我火速辦了婚禮衬以,結(jié)果婚禮上缓艳,老公的妹妹穿的比我還像新娘。我一直安慰自己看峻,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,488評(píng)論 6 392
  • 文/花漫 我一把揭開白布衙吩。 她就那樣靜靜地躺著互妓,像睡著了一般。 火紅的嫁衣襯著肌膚如雪坤塞。 梳的紋絲不亂的頭發(fā)上冯勉,一...
    開封第一講書人閱讀 51,365評(píng)論 1 302
  • 那天,我揣著相機(jī)與錄音摹芙,去河邊找鬼灼狰。 笑死,一個(gè)胖子當(dāng)著我的面吹牛浮禾,可吹牛的內(nèi)容都是我干的交胚。 我是一名探鬼主播,決...
    沈念sama閱讀 40,190評(píng)論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼盈电,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼蝴簇!你這毒婦竟也來(lái)了?” 一聲冷哼從身側(cè)響起匆帚,我...
    開封第一講書人閱讀 39,062評(píng)論 0 276
  • 序言:老撾萬(wàn)榮一對(duì)情侶失蹤熬词,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后吸重,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體互拾,經(jīng)...
    沈念sama閱讀 45,500評(píng)論 1 314
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,706評(píng)論 3 335
  • 正文 我和宋清朗相戀三年嚎幸,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了颜矿。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 39,834評(píng)論 1 347
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡鞭铆,死狀恐怖或衡,靈堂內(nèi)的尸體忽然破棺而出焦影,到底是詐尸還是另有隱情,我是刑警寧澤封断,帶...
    沈念sama閱讀 35,559評(píng)論 5 345
  • 正文 年R本政府宣布斯辰,位于F島的核電站,受9級(jí)特大地震影響坡疼,放射性物質(zhì)發(fā)生泄漏彬呻。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,167評(píng)論 3 328
  • 文/蒙蒙 一柄瑰、第九天 我趴在偏房一處隱蔽的房頂上張望闸氮。 院中可真熱鬧,春花似錦教沾、人聲如沸蒲跨。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,779評(píng)論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)或悲。三九已至,卻和暖如春堪唐,著一層夾襖步出監(jiān)牢的瞬間巡语,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 32,912評(píng)論 1 269
  • 我被黑心中介騙來(lái)泰國(guó)打工淮菠, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留男公,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 47,958評(píng)論 2 370
  • 正文 我出身青樓合陵,卻偏偏與公主長(zhǎng)得像枢赔,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子曙寡,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,779評(píng)論 2 354

推薦閱讀更多精彩內(nèi)容

  • 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件糠爬、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受到破壞举庶、更改执隧、泄露,系統(tǒng)連...
    不吃土豆的洋芋閱讀 3,249評(píng)論 0 42
  • 晨讀材料:公眾號(hào)《清晨朗讀會(huì)》 領(lǐng)讀人:王淵源John 寫在前面:方法是次要的户侥,重要的是開始镀琉。我們的從來(lái)都是認(rèn)真搞...
    書童阿雷閱讀 776評(píng)論 0 0
  • 昨天去影院看了加長(zhǎng)版的大話西游,滿眼都是美得不可方物的紫霞仙子和有些痞帥無(wú)賴的至尊寶蕊唐∥菟ぃ看著朱茵一幀幀的鏡頭,我就在...
    安歌北潯閱讀 309評(píng)論 0 0
  • 今天是2016年的最后一天替梨,馬上就開始新的一年了钓试,回想起這一年装黑,自己經(jīng)歷了很多事情,改變也很大弓熏,總覺得自己成熟了恋谭,...
    嘟嘟1108閱讀 177評(píng)論 0 0
  • 我知道生活中不如意事十之八九,也知道夫妻之間免不了柴米油鹽般細(xì)碎的碰撞和摩擦挽鞠,及由此而產(chǎn)生無(wú)窮無(wú)盡的爭(zhēng)吵甚至離別疚颊。...
    江南西子閱讀 164評(píng)論 0 0