這篇blog總結(jié)了博主大三下學(xué)期的《網(wǎng)絡(luò)安全》課程主要知識(shí)點(diǎn)裳扯,每一點(diǎn)仔細(xì)研究的話都有很多很深很精妙的內(nèi)容负溪。
0x00 網(wǎng)絡(luò)安全的目標(biāo)
網(wǎng)絡(luò)安全的目標(biāo)是保證信息的保密性适篙、真實(shí)性惜浅、完整性、可靠性、可用性、不可否認(rèn)性。了解網(wǎng)絡(luò)安全的定義可以幫助我們提高分析問(wèn)題捷雕、解決問(wèn)題的能力,可以有計(jì)劃壹甥、有方向的針對(duì)其目標(biāo)來(lái)分析網(wǎng)絡(luò)安全救巷。所以,了解這些是必要的句柠。
- 保密性:指網(wǎng)絡(luò)信息不被泄漏給非授權(quán)的用戶浦译、實(shí)體或過(guò)程,即信息只為授權(quán)用戶使用溯职。通常使用的技術(shù)包括物理保密精盅、防竊聽、防輻射(防止有用信息以各種途徑輻射出去)谜酒、信息加密叹俏。
- 真實(shí)性:指用戶的身份是真實(shí)的。涉及到認(rèn)證問(wèn)題甚带。
- 完整性:指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性她肯,即網(wǎng)絡(luò)信息在存儲(chǔ)或傳輸過(guò)程中保持不被偶然或者蓄意地添加佳头、刪除鹰贵、修改晴氨、偽造、亂序碉输、重放等破環(huán)和丟失的特性。主要方法有:
- 良好的協(xié)議
- 密碼校驗(yàn)和方法
- 數(shù)字簽名
- 公正
- 可靠性:指系統(tǒng)能夠在規(guī)定的條件和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性敷钾。衡量的角度有抗毀性阻荒、生存性和有效性挠锥。
- 可用性:指網(wǎng)絡(luò)信息服務(wù)在需要時(shí),可被授權(quán)用戶或?qū)嶓w訪問(wèn)并按需求使用的特性侨赡,或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí)羊壹,仍能為授權(quán)用戶提供有效服務(wù)的特性蓖宦。可用性可通過(guò)如下手段來(lái)保證:
- 身份識(shí)別與確認(rèn)
- 訪問(wèn)控制
- 業(yè)務(wù)流控制
- 路由選擇控制
- 審計(jì)跟蹤
- 不可否認(rèn)性(不可抵賴性):即在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過(guò)程中油猫,確信參與者的真實(shí)同一性。所有參與者都不能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾睬关。
- 可控性:指對(duì)網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性毡证。
0x01 網(wǎng)絡(luò)威脅的來(lái)源有哪些?是什么藐不?
-
協(xié)議本身的缺陷:比如網(wǎng)卡可以設(shè)置成混雜模式秦效、socket跨層傳輸?shù)葐?wèn)題。
明文傳輸
-
IP欺騙:IP地址沒有認(rèn)證
- 使被信任主機(jī)失去工作能力
- 然后連接到目標(biāo)機(jī)的某個(gè)端口來(lái)猜測(cè)ISN基值和增加規(guī)律
- 接下來(lái)把源址址偽裝成被信任主機(jī)挑秉,發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請(qǐng)求連接
- 然后等待目標(biāo)機(jī)發(fā)送SYN+ACK包給已經(jīng)癱瘓的主機(jī)
- 最后再次偽裝成被信任主機(jī)向目標(biāo)機(jī)發(fā)送的ACK犀概,此時(shí)發(fā)送的數(shù)據(jù)段帶有預(yù)測(cè)的目標(biāo)機(jī)的ISN+1
- 連接建立,發(fā)送命令請(qǐng)求
碎片攻擊:IP首部有兩個(gè)字節(jié)表示整個(gè)IP數(shù)據(jù)包的長(zhǎng)度铛绰,所以IP數(shù)據(jù)包最長(zhǎng)只能為0xFFFF产喉,就是65535字節(jié)。如果有意發(fā)送總長(zhǎng)度超過(guò)65535 的IP碎片这嚣,一些老的系統(tǒng)內(nèi)核在處理的時(shí)候就會(huì)出現(xiàn)問(wèn)題姐帚,導(dǎo)致崩潰或者拒絕服務(wù)障涯。另外,如果分片之間偏移量經(jīng)過(guò)精心構(gòu)造尤莺,一些系統(tǒng)就無(wú)法處理,導(dǎo)致死機(jī)生棍。所以說(shuō)涂滴,漏洞的起因是出在重組算法上。這里有一篇blog寫的很清楚缔杉, 碎片攻擊
-
TCP濫用:SYN flood講的是黑客利用TCP協(xié)議發(fā)送大量的半連接請(qǐng)求去攻擊目標(biāo)服務(wù)器或者主機(jī)搁料,致使目標(biāo)服務(wù)器發(fā)生拒絕服務(wù)郭计,或者藍(lán)屏。
DNS梧乘、FTP庐杨、TELNET等應(yīng)用協(xié)議的安全問(wèn)題
-
惡意攻擊
- 緩沖區(qū)溢出攻擊
- DDoS
- 特洛伊木馬
-
各種應(yīng)用軟件的漏洞
- SQL注入、IIS的漏洞等
接下來(lái)從TCP/I參考模型的不同層次總結(jié)下各種攻擊方法
- 數(shù)據(jù)鏈路層攻擊技術(shù)
- MAC地址欺騙
- 直接修改網(wǎng)卡MAC地址:實(shí)現(xiàn)單機(jī)上網(wǎng)
- 利用MAC地址克孪ⅰ:通過(guò)路由器的克隆MAC地址選項(xiàng)實(shí)現(xiàn)多機(jī)共享上網(wǎng)
- 電磁信息泄漏:指電子設(shè)備的雜散(寄生)電磁能量通過(guò)導(dǎo)線或空間向外擴(kuò)散枝笨。只有強(qiáng)度和信噪比滿足一定條件的信號(hào)才能夠被截獲和還原横浑。因此屉更,可以通過(guò)屏蔽、濾波欺冀、隔離隐轩、合理的接地與良好的搭接渤早、選用低泄漏設(shè)備鹊杖、合理的布局和使用干擾器等防護(hù)措施避免電磁信息泄漏。
- 網(wǎng)絡(luò)監(jiān)聽
- 以太網(wǎng)的工作機(jī)制:HUB相連的網(wǎng)絡(luò)积瞒,通過(guò)設(shè)置網(wǎng)卡為“混雜模式”達(dá)到監(jiān)聽的目的登下。
- Snoop監(jiān)聽工具:可以截獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包被芳,并顯示其內(nèi)容,能方便的收集工作站的信息揩瞪。
- Sniffit監(jiān)聽工具:用戶可以選擇源篓冲、目標(biāo)地址或地址集合,以及監(jiān)聽的端口嗤攻、協(xié)議和網(wǎng)絡(luò)接口等妇菱。eg:
sniffit -a -A . -p 23 -t 11.22.33.@
- Sniffer監(jiān)聽工具:嗅探器闯团,可以形象地理解為打入到敵人內(nèi)部的特工,源源不斷地將地方的情報(bào)送出來(lái)彻舰。有很多現(xiàn)成的運(yùn)行于不同平臺(tái)的嗅探工具候味,如:Linux tcpdump, The Gobbler, LanPatrol, LanWatch, Netmon, Netwatch, Netzhack等白群。Sniffer程序通常運(yùn)行在路由器或有路由器功能的主機(jī)上,以便監(jiān)控大量數(shù)據(jù)笼裳。
- 防止網(wǎng)絡(luò)監(jiān)聽:
- 加密:TCP/IP協(xié)議并沒有加密的方法侍咱,都采用明文傳輸密幔,因此,可以使用增強(qiáng)的TCP/IP協(xié)議昧廷,如IPv6協(xié)議中提供了內(nèi)置的IPSec可選報(bào)頭木柬,可以以密文方式傳輸數(shù)據(jù)淹办。對(duì)于IPv4為主的網(wǎng)絡(luò),基本采用打補(bǔ)丁的方式速挑,如使用SSH協(xié)議姥宝。
- 采用安全拓?fù)浣Y(jié)構(gòu)
- MAC地址欺騙
- 網(wǎng)絡(luò)層攻擊技術(shù)
- 網(wǎng)絡(luò)層掃描:典型的被動(dòng)攻擊方法
- ping
- tracert
- rusers腊满、finger、host
- IP欺騙
- 信任關(guān)系:以IP為信任基礎(chǔ)
- IP欺騙的原理胚泌、目的
- 只想隱藏自身的IP地址或者偽造源IP和目的IP相同的不正常包而不關(guān)心是否能收到目標(biāo)主機(jī)的應(yīng)答疮蹦。如IP包碎片攻擊愕乎、Land攻擊(Local Area Network Denial attack,源壁公、目的IP相同)等
- 偽裝成被目標(biāo)主機(jī)信任的友好主機(jī)紊册,并希望得到非授權(quán)的服務(wù)。此時(shí)需要使用正確的TCP序列號(hào)芳绩。
- 碎片攻擊:上文已經(jīng)提到過(guò)
- ICMP攻擊:
- IP地址掃描
- ping of death
- ping flooding 和 smurf:不停的ping妥色,消耗目標(biāo)主機(jī)資源遏片,現(xiàn)代很多主機(jī)設(shè)置了不回應(yīng)ping請(qǐng)求吮便。smurf利用源地址是受害主機(jī),目標(biāo)地址是反彈網(wǎng)絡(luò)的廣播地址许师,以達(dá)到用ICMP回應(yīng)應(yīng)答數(shù)據(jù)包淹沒受害主機(jī)的目的微渠。
- ICMP重定向報(bào)文
- ICMP主機(jī)不可達(dá)和TTL超時(shí)報(bào)文
- 路由欺騙
- RIP路由欺騙
- IP路由欺騙
- ARP欺騙:當(dāng)攻擊者和目標(biāo)主機(jī)在同一局域網(wǎng)內(nèi),攻擊者想要截獲和偵聽目標(biāo)主機(jī)到網(wǎng)關(guān)之間的所有數(shù)據(jù)粗卜。如果由集線器HUB連接各個(gè)節(jié)點(diǎn)续扔,只需要將網(wǎng)卡設(shè)置為混雜模式焕数,就可用鏈路層的監(jiān)聽獲得想要的信息堡赔。如果局域網(wǎng)采用交換機(jī)連接各個(gè)節(jié)點(diǎn)時(shí),交換機(jī)會(huì)根據(jù)目標(biāo)MAC地址查找端口映射表灼捂,確定轉(zhuǎn)發(fā)的某個(gè)具體端口悉稠,而不是向所有端口廣播艘包。此時(shí)想虎,攻擊者首先試探交換機(jī)是否存在失敗保護(hù)模式(Fail-safe mode),當(dāng)網(wǎng)絡(luò)通信出現(xiàn)大量虛假M(fèi)AC地址時(shí)岂却,某些類型的交換機(jī)會(huì)出現(xiàn)過(guò)載情況淌友,轉(zhuǎn)換到失敗保護(hù)模式骇陈,其工作方式和集線器HUB相同你雌,可以使用“macof”工具完成這項(xiàng)攻擊二汛。如果交換機(jī)不存在這種模式肴颊,就需要使用ARP欺騙技術(shù)來(lái)監(jiān)聽了婿着。 維基百科:ARP欺騙
- 網(wǎng)絡(luò)層掃描:典型的被動(dòng)攻擊方法
- 傳輸層攻擊技術(shù)
- 端口掃描
- TCP connect掃描:入侵者不需要任何權(quán)限醋界、速度快(打開多個(gè)套接字形纺、使用非阻塞I/O、設(shè)置低連接時(shí)間)蜗字,但容易被發(fā)覺并被過(guò)濾掉挪捕。
- TCP SYN掃描:半開掃描戏羽,發(fā)送SYN數(shù)據(jù)包始花,如果收到SYN/ACK孩锡,說(shuō)明端口開放躬窜,這時(shí)再發(fā)送一個(gè)RST來(lái)關(guān)閉連接荣挨;如果收到RST,說(shuō)明端口未處于偵聽狀態(tài)此虑。但是必須具有root權(quán)限才能建立自己的SYN數(shù)據(jù)包朦前。
- TCP FIN掃描:FIN掃描的基本思想是通常關(guān)閉的端口會(huì)用RST來(lái)回復(fù)FIN數(shù)據(jù)包,而打開的端口會(huì)忽略FIN數(shù)據(jù)包春哨,不做回復(fù)赴背。但并非所有系統(tǒng)都這樣做晶渠。
- Franmentation掃描:將將要發(fā)送的數(shù)據(jù)包大包成非常小的IP包乱陡,通過(guò)TCP包頭分成幾段憨颠,放入不同的IP包中,使得過(guò)濾程序難以過(guò)濾养盗。
- UDP端口掃描:主機(jī)向未打開的UDP端口發(fā)送數(shù)據(jù)包是往核,會(huì)返回ICMP_PORT_UNREACH錯(cuò)誤報(bào)文嚷节,從而判斷哪個(gè)端口時(shí)關(guān)閉的硫痰。但是這種掃描可靠性不高效斑。
- 慢速掃描:放慢掃描速度來(lái)躲避檢查。
- TCP初始序號(hào)預(yù)測(cè)
- 64KB規(guī)則:當(dāng)主機(jī)啟動(dòng)后序列號(hào)初始化為1(由tcp_init確定)奇昙,初始序列號(hào)ISN每秒增加128000储耐,如果有連接出現(xiàn)蠢挡,每次連接將把計(jì)數(shù)器的數(shù)值增加64000。用于表示ISN的32位計(jì)數(shù)器在沒有連接的惡情況下9.32小時(shí)復(fù)位一次涧卵。
- 與時(shí)間相關(guān)的生產(chǎn)規(guī)則
- 偽隨機(jī)數(shù)產(chǎn)生規(guī)則
- 第一柳恐、二種方法使得容易預(yù)測(cè)序列號(hào)热幔,因?yàn)槠渑c時(shí)間相關(guān)绎巨、變化不大场勤。
- SYN flooding:當(dāng)前最流行且最有效的DoS方式之一。攻擊主機(jī)需要保證偽造的數(shù)據(jù)包源IP地址是可路由格遭、但不可達(dá)的主機(jī)地址拒迅。
- TCP欺騙:在IP地址欺騙和TCP初始序號(hào)預(yù)測(cè)的基礎(chǔ)上進(jìn)行璧微,目的是偽裝成其他主機(jī)與受害者通信帝牡,獲取更多信息和利益靶溜。
- 非盲攻擊:攻擊者和被欺騙的目標(biāo)主機(jī)在同一個(gè)網(wǎng)絡(luò)上懒震,攻擊者可以簡(jiǎn)單地使用嗅探器捕獲TCP報(bào)文段个扰,從而獲得需要的序列號(hào)递宅。
- 盲攻擊:不在同一個(gè)網(wǎng)絡(luò)上,比較難以實(shí)現(xiàn)烘绽,但可以通過(guò)路由欺騙技術(shù)把盲攻擊轉(zhuǎn)換成非盲攻擊安接。
- 端口掃描
- 應(yīng)用層攻擊技術(shù)
- 緩沖區(qū)溢出:指當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過(guò)了緩沖區(qū)本身的容量盏檐,溢出的數(shù)據(jù)覆蓋了其他程序或系統(tǒng)的合法數(shù)據(jù)胡野。
- 口令攻擊
- 猜測(cè)簡(jiǎn)單口令
- 字典攻擊
- 強(qiáng)行攻擊:窮舉
- 電子郵件攻擊
- 電子郵件系統(tǒng)中的安全漏洞
- 電子郵件攻擊:欺騙硫豆、炸彈
- DNS欺騙
- SQL注入:動(dòng)態(tài)構(gòu)造了SQL語(yǔ)句,代碼與用戶的輸入結(jié)合恭应,從而導(dǎo)致用戶執(zhí)行期望之外的命令昼榛。
- 網(wǎng)絡(luò)病毒與木馬
- 病毒
- 危害:直接破環(huán)計(jì)算機(jī)數(shù)據(jù)信息胆屿、大量占用磁盤空間偶宫、運(yùn)行時(shí)搶占系統(tǒng)資源纯趋,影響計(jì)算機(jī)的運(yùn)行速度吵冒、計(jì)算機(jī)病毒的錯(cuò)誤導(dǎo)致不可預(yù)見的危害痹栖。
- 特征:人為的特制程序、具有自我復(fù)制能力疗我、很強(qiáng)的感染性】一定的潛伏性吴裤、特定的觸發(fā)性嚼摩、很大的破壞性枕面。
- 網(wǎng)絡(luò)病毒:蠕蟲
- 特洛伊木馬
- 病毒
- 拒絕服務(wù)式攻擊
- 原理:耗盡系統(tǒng)資源使得受害主機(jī)無(wú)法處理新的請(qǐng)求導(dǎo)致拒絕服務(wù)。
- 分布式拒絕服務(wù)攻擊
0x02 防范
- 身份認(rèn)證
- 口令認(rèn)證
- 靜態(tài)口令
- 動(dòng)態(tài)口令:手機(jī)令牌琼开、短信密碼柜候、硬件令牌
- IC卡認(rèn)證
- 基于生物特征的認(rèn)證
- 指紋識(shí)別
- 掌紋識(shí)別
- 視網(wǎng)膜識(shí)別
- 虹膜識(shí)別
- 人臉識(shí)別
- 語(yǔ)音識(shí)別
- 擊鍵識(shí)別
- 筆跡識(shí)別
- DNA識(shí)別
- 網(wǎng)絡(luò)身份認(rèn)證
- 對(duì)稱密碼:也稱私鑰密碼渣刷,常見的有DES辅柴、IDEA碌嘀、3DES歪架、AES
- 非對(duì)稱密碼:也稱公共密鑰密碼和蚪,常見的有RSA攒霹、EGamal剔蹋、DSS辅髓、DiffieHellman
- 單點(diǎn)登錄:實(shí)質(zhì)就是安全上下文或憑證在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。
- 基于經(jīng)紀(jì)人(Broker-based)的SSO模型
- 基于代理(Agent-based)的SSO模型
- 基于網(wǎng)關(guān)(Gateway-based)的SSO模型
- 基于令牌(Token-based)的SSO模型
- 口令認(rèn)證
- 訪問(wèn)控制:防止非法用戶進(jìn)入系統(tǒng)和合法用戶對(duì)系統(tǒng)資源的非法使用凯沪。
- 自主訪問(wèn)控制(Discretionary Access Control妨马,DAC):基于對(duì)主體(用戶,進(jìn)程)的識(shí)別來(lái)限制對(duì)客體(文件杀赢,數(shù)據(jù))的訪問(wèn)烘跺,而且是自主的。所謂自主是指具有授予某種訪問(wèn)權(quán)限的主題能夠自主地將訪問(wèn)權(quán)限或其子集授予其他主體脂崔,因此滤淳,DAC又稱基于主體的訪問(wèn)控制。
- 缺點(diǎn):訪問(wèn)控制資源比較分散砌左、用戶關(guān)系不易管理脖咐、訪問(wèn)授權(quán)是可傳遞的汇歹、在大型系統(tǒng)中屁擅,主體、客體的數(shù)量龐大产弹,造成系統(tǒng)開銷巨大派歌。
- 應(yīng)用:Windows Server、UNIX系統(tǒng)取视、防火墻(ACL)等
- 強(qiáng)制訪問(wèn)控制(Mandatory Access Control硝皂,MAC):所有主體和客體都被分配了安全標(biāo)簽,安全標(biāo)簽標(biāo)識(shí)一個(gè)安全等級(jí)作谭,通過(guò)比較主體和客體的安全級(jí)別來(lái)決定是否允許主體訪問(wèn)客體稽物。其兩個(gè)關(guān)鍵原則是不向上讀和不向下寫,即信息流只能從低安全級(jí)向高安全級(jí)流動(dòng)折欠。
- 缺點(diǎn):對(duì)用戶惡意泄漏信息無(wú)能為力贝或、基于MAC的應(yīng)用領(lǐng)域比較窄、完整性方面控制不夠锐秦、過(guò)于強(qiáng)調(diào)保密性咪奖,對(duì)系統(tǒng)的授權(quán)管理不便,u夠靈活酱床。
- 應(yīng)用:軍方系統(tǒng)
- 基于角色的訪問(wèn)控制(Role-based Access Control):在用戶和訪問(wèn)許可權(quán)之間引入角色(Role)的概念羊赵,用戶與特定的一個(gè)或多個(gè)角色相聯(lián)系,角色與一個(gè)或多個(gè)訪問(wèn)許可權(quán)相聯(lián)系。
- 核心RBAC的基本元素集合有五類:用戶集昧捷、角色集闲昭、客體集、操作集靡挥、許可集序矩。基本關(guān)系有:用戶指派(UA)和許可指派(PA)跋破。
- 應(yīng)用:操作系統(tǒng)簸淀、數(shù)據(jù)庫(kù)管理系統(tǒng)、公鑰基礎(chǔ)設(shè)施(PKI)毒返、工作流管理系統(tǒng)租幕、Web服務(wù)等
- 使用控制模型(UCON):可變屬性(Mutable Attribute,MA)的引入是UCON模型與其他模型的最大差別饿悬,可變屬性會(huì)根據(jù)訪問(wèn)對(duì)象的結(jié)果而改變令蛉,而不可變屬性僅能通過(guò)管理行為改變。UCON不僅包含了DAC狡恬、MAC珠叔、RBAC,還包含了數(shù)字版權(quán)管理(DRM)弟劲、信任管理等祷安,被稱作下一代訪問(wèn)控制模型。
- 三個(gè)基本元素:主體兔乞、客體汇鞭、權(quán)限
- 三個(gè)與授權(quán)有關(guān)的元素:授權(quán)規(guī)則、條件庸追、義務(wù)
- 自主訪問(wèn)控制(Discretionary Access Control妨马,DAC):基于對(duì)主體(用戶,進(jìn)程)的識(shí)別來(lái)限制對(duì)客體(文件杀赢,數(shù)據(jù))的訪問(wèn)烘跺,而且是自主的。所謂自主是指具有授予某種訪問(wèn)權(quán)限的主題能夠自主地將訪問(wèn)權(quán)限或其子集授予其他主體脂崔,因此滤淳,DAC又稱基于主體的訪問(wèn)控制。
- Firewall:防火墻是設(shè)置在用戶網(wǎng)絡(luò)和外界之間的一道屏障霍骄,防止不可預(yù)料的、潛在的破壞侵入用戶網(wǎng)絡(luò)淡溯《琳基本功能有過(guò)濾、管理咱娶、日志米间、告警。
- 集中式防火墻:一般位于網(wǎng)絡(luò)的邊界膘侮。
- 優(yōu)點(diǎn):
- 允許網(wǎng)絡(luò)管理員定義一個(gè)中心“遏制點(diǎn)”來(lái)防治非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)屈糊。
- 保護(hù)網(wǎng)絡(luò)中脆弱的服務(wù)
- 通過(guò)防火墻,用戶可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性琼了,并產(chǎn)生報(bào)警信息
- 集中安全性
- 增強(qiáng)隱私性
- 防火墻是審計(jì)和記錄網(wǎng)絡(luò)流量的最佳地方
- 缺點(diǎn):
- 限制有用的網(wǎng)絡(luò)服務(wù)
- 不能有效防護(hù)內(nèi)部網(wǎng)絡(luò)用戶的攻擊
- 對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)依賴大
- 防火墻不能完全阻止傳送已感染病毒的軟件或文件
- 防火墻無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊
- 不能防備新的網(wǎng)絡(luò)安全問(wèn)題
- 不能解決信息保密性問(wèn)題
- 體系結(jié)構(gòu)
- 包過(guò)濾防火墻
- 雙宿網(wǎng)關(guān)防火墻:擁有兩個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻
- 用戶直接登錄到雙重宿主主機(jī)上來(lái)提供服務(wù)
- 一般采用代理方式提供服務(wù)逻锐,采用代理服務(wù)的雙宿主機(jī)稱為代理服務(wù)器
- 應(yīng)用層代理
- 傳輸層代理
- SOCKS代理:MS Proxy、NS Proxy、WinGate等流行的代理服務(wù)器產(chǎn)品
- 屏蔽子網(wǎng)防火墻:對(duì)代理服務(wù)器的改進(jìn)谦去,在內(nèi)網(wǎng)和外網(wǎng)之間建立一個(gè)子網(wǎng)以進(jìn)行隔離慷丽。這個(gè)子網(wǎng)區(qū)域稱為邊界網(wǎng)絡(luò)(Perimeter Network)、非軍事區(qū)(De-Militarized Zone)鳄哭。
- 內(nèi)部路由器主要功能:
- 負(fù)責(zé)管理DMZ到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)
- 僅接收來(lái)自堡壘主機(jī)的數(shù)據(jù)包
- 完成防火墻的大部分過(guò)濾工作
- 外部路由器主要功能:
- 防范通常的外部攻擊
- 管理Internet到DMZ的訪問(wèn)
- 只允許外部系統(tǒng)訪問(wèn)堡壘主機(jī)
- 堡壘主機(jī)
- 進(jìn)行安全防護(hù)
- 運(yùn)行各種代理服務(wù),如WWW纲熏、FTP妆丘、Telnet等
- 內(nèi)部路由器主要功能:
- 優(yōu)點(diǎn):
- 分布式防火墻:每個(gè)桌面計(jì)算機(jī)都通過(guò)安全策略機(jī)制進(jìn)行控制,這些安全策略來(lái)自于策略服務(wù)器局劲,系統(tǒng)管理員設(shè)置統(tǒng)一的安全管理策略勺拣,由各桌面計(jì)算機(jī)的通信模塊進(jìn)行自動(dòng)下載并更新本地策略。這里的分布式防火墻與個(gè)人防火墻不同鱼填,個(gè)人防火墻多為安裝在主機(jī)上的軟件防火墻药有,以及今年出現(xiàn)的主機(jī)版上整合的硬件防火墻,雖然也是由各主機(jī)實(shí)施策略苹丸,但是其策略是由主機(jī)用戶自行定義愤惰,缺乏集中統(tǒng)一的管理。
- 存在防火墻和操作系統(tǒng)的功能悖論赘理,即純保護(hù)誰(shuí)的問(wèn)題宦言。
- 嵌入式防火墻:硬件實(shí)現(xiàn)分布式防火墻的策略的執(zhí)行模塊。
- 集中式防火墻:一般位于網(wǎng)絡(luò)的邊界膘侮。
- VPN:指在用戶計(jì)算機(jī)和VPN服務(wù)器之間點(diǎn)到點(diǎn)的連接商模,由于數(shù)據(jù)通過(guò)一條仿真專線傳輸奠旺,用戶感覺不到公共網(wǎng)絡(luò)的實(shí)際存在,卻能夠像在專線上一樣處理內(nèi)部信息施流。
- VPN的功能:數(shù)據(jù)封裝响疚、認(rèn)證、數(shù)據(jù)完整性和合法性認(rèn)證瞪醋、數(shù)據(jù)加密
- 數(shù)據(jù)鏈路層VPN---L2TP(Layer 2 Tunneling Protocol)/PPTP(Point-to-Point Tunneling Protocol):IPSec出現(xiàn)前最主要的VPN類型忿晕,通常用于支持撥號(hào)用戶遠(yuǎn)程接入企業(yè)或機(jī)構(gòu)的內(nèi)部VPN服務(wù)器。
- 優(yōu)點(diǎn):簡(jiǎn)單易行
- PPTP/L2TP對(duì)使用微軟操作系統(tǒng)的用戶來(lái)說(shuō)很方便趟章,因?yàn)槲④浺寻阉鳛槁酚绍浖囊徊糠?/li>
- 位于數(shù)據(jù)鏈路層杏糙,包括IPv4在內(nèi)多種網(wǎng)絡(luò)協(xié)議都可以采用它們作為鏈路協(xié)議,支持流量控制
- 通過(guò)減少丟包來(lái)減少重傳蚓土,改善網(wǎng)絡(luò)性能
- 缺點(diǎn):安全程度差
- 對(duì)PPP協(xié)議本身沒做修改宏侍,只是將用戶的PPP幀基于GRE封裝成IP報(bào)文
- 不對(duì)兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制
- 限制同時(shí)最多只能連接255個(gè)用戶,可擴(kuò)展性不強(qiáng)蜀漆,不適合于向IPv6的轉(zhuǎn)移
- 端用戶需要在連接前手工建立加密信道
- 沒有提供內(nèi)在的安全機(jī)制谅河,認(rèn)證和加密受到限制,沒有強(qiáng)加密和認(rèn)證支持
- 不支持企業(yè)與外部客戶及供應(yīng)商之間會(huì)話的保密性需求,不支持外聯(lián)網(wǎng)VPN
- 優(yōu)點(diǎn):簡(jiǎn)單易行
- 網(wǎng)絡(luò)層VPN---IPSec:一個(gè)范圍廣泛绷耍、開放的虛擬專用網(wǎng)安全協(xié)議吐限,是第三層VPN標(biāo)準(zhǔn)
- 傳輸模式:適合點(diǎn)到點(diǎn)的連接,即主機(jī)與主機(jī)之間的VPN可以用傳輸模式褂始,其數(shù)據(jù)分組中原始IP報(bào)頭不動(dòng)诸典,在后面插入AH認(rèn)證頭或ESP的頭部和尾部,僅對(duì)數(shù)據(jù)凈荷進(jìn)行認(rèn)證或加密崎苗。
- 隧道模式:適用于VPN安全網(wǎng)關(guān)之間的連接狐粱,即用于路由器、防火墻胆数、VPN集中器等網(wǎng)絡(luò)設(shè)備之間肌蜻,發(fā)送端的VPN安全網(wǎng)關(guān)對(duì)原始IP報(bào)文整體加密,再在前面加入一個(gè)新的IP包頭必尼,用新的IP地址(接收端VPN地址)將數(shù)據(jù)分組路由到接收端蒋搜。
- 傳輸層VPN—SSL:SSL VPN指采用SSL協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的VPN技術(shù)
- 優(yōu)點(diǎn):簡(jiǎn)單、安全判莉、可擴(kuò)展豆挽、訪問(wèn)控制、成本低
- 不足:必須依靠Internet進(jìn)行訪問(wèn)骂租、依賴反代理技術(shù)訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)祷杈,對(duì)復(fù)雜Web技術(shù)提供的支持有限、通常只基于Web瀏覽器工作渗饮、只對(duì)通信雙方的某個(gè)應(yīng)用加密而非所有通信加密
- 會(huì)話層VPN—SOCKS
- IDS(Intrusion Detection System)/IPS(Intrusion Protection System)
- NIDS但汞、HIDS
- 異常檢測(cè)、誤用檢測(cè)
- 誤報(bào)率互站、漏報(bào)率