網(wǎng)絡(luò)安全的兩個威脅:
用戶入侵
包括芬位,利用軟件系統(tǒng)漏洞進(jìn)行未授權(quán)登錄阔馋,或者授權(quán)用戶非法獲取更高級別權(quán)限晚胡;軟件入侵:
包括歼培,網(wǎng)絡(luò)傳播病毒、蠕蟲和特洛伊木馬履恩,拒絕服務(wù)攻擊羽圃;
一梯浪、防火墻
一種訪問控制技術(shù)牛曹,通過嚴(yán)格控制進(jìn)出網(wǎng)絡(luò)邊界的分組佛点,禁止任何不必要的通信,從而減少潛在入侵的發(fā)生黎比,盡可能降低這類安全威脅所帶來的安全風(fēng)險超营。
1. 出現(xiàn)原因
降低外部潛在攻擊者入侵的可能性。
2. 介紹
防火墻是一種特殊的路由器焰手,安裝在一個網(wǎng)店和網(wǎng)絡(luò)的其余部分之間糟描,目的是實施網(wǎng)絡(luò)控制策略怀喉。
1)策略制定:由防火墻的單位自行制定书妻,以適合本單位需要;
2)防火墻的位置
位于互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間躬拢,防火墻內(nèi)部的網(wǎng)絡(luò)稱為 “可信的網(wǎng)絡(luò)”躲履,防火墻外面的網(wǎng)絡(luò)稱為 “不可信的網(wǎng)絡(luò)”;
3. 防火墻技術(shù)的分類
1)分組過濾路由器
一種具有分組過濾功能的路由器聊闯,它根據(jù)過濾規(guī)則對進(jìn)出內(nèi)部挽留過的分組海之星轉(zhuǎn)發(fā)或者丟棄操作(過濾)工猜。
- 依據(jù):源/目的 IP地址、源/目的端口菱蔬、協(xié)議類型(TCP篷帅,UDP)史侣;
- 優(yōu)點:簡單、搞笑魏身、對用戶透明惊橱;
- 缺點:不支持針對某個用戶,某個特定應(yīng)用進(jìn)行某個特定操作的限制箭昵;不支持應(yīng)用層用戶鑒別税朴;
- 解決辦法:應(yīng)用網(wǎng)關(guān);
2)應(yīng)用網(wǎng)關(guān)(代理服務(wù)器)
是一個代理服務(wù)器家制,在應(yīng)用層扮演中繼的角色正林;
- 作用:可實現(xiàn)基于應(yīng)用層數(shù)據(jù)的過濾和高層用戶鑒別;
- 屬性:所有進(jìn)出網(wǎng)絡(luò)的應(yīng)用程序報文都必須通過應(yīng)用網(wǎng)關(guān)颤殴,
- 操作過程:
① 某應(yīng)用客戶進(jìn)程向服務(wù)器發(fā)送一份請求報文觅廓,到達(dá)應(yīng)用網(wǎng)關(guān);
② 應(yīng)用網(wǎng)關(guān)在應(yīng)用層打開該報文涵但,查看請求是否合法哪亿;(依據(jù):應(yīng)用層用戶標(biāo)識 ID 或 其他應(yīng)用層信息)
③ 請求合法,應(yīng)用網(wǎng)關(guān)以客戶進(jìn)程的身份將請求報文轉(zhuǎn)發(fā)給原始服務(wù)器贤笆。(不合法蝇棉,丟棄)
④ 服務(wù)器收到請求后,反饋給應(yīng)用網(wǎng)關(guān)芥永;
⑤ 應(yīng)用網(wǎng)關(guān)再反饋給服務(wù)器篡殷;
二、入侵檢測系統(tǒng) (IDS)
1. 出現(xiàn)原因
防火墻并不能隔絕所有的入侵埋涧,為了進(jìn)一步保證網(wǎng)絡(luò)的安全板辽;(第二道防線)
2. 作用
在入侵已經(jīng)開始,但還沒有造成更大危害之前棘催,及時檢測到入侵劲弦,以便盡快阻止入侵,把危害降低到最小醇坝。
3. 原理
1)IDS 對進(jìn)入網(wǎng)絡(luò)的分組執(zhí)行深度分組檢查邑跪;
2)觀察到可疑分組時,向網(wǎng)絡(luò)管理員發(fā)出告警呼猪,或執(zhí)行阻斷操作画畅;(誤報率較高,通常不自動阻斷)
4. 應(yīng)用
可用于檢測多種網(wǎng)路攻擊:端口映射宋距、端口掃描轴踱、DOS攻擊、蠕蟲和病毒谚赎、系統(tǒng)漏洞攻擊淫僻;
5. 分類
1)基于特征
- 原理:維護(hù)一個所有已知攻擊標(biāo)志性特征的數(shù)據(jù)庫诱篷。當(dāng)發(fā)現(xiàn)該特征,即認(rèn)定是與該特征相匹配的攻擊雳灵;
- 用法:由網(wǎng)絡(luò)安全專家生成兴蒸,機(jī)構(gòu)的網(wǎng)絡(luò)管理員定制并將其加入到數(shù)據(jù)庫中;
- 缺點:只能檢測已知攻擊细办,無法應(yīng)對未知攻擊橙凳;
- 挑戰(zhàn):警告的門限過高,可能導(dǎo)致漏掉部分攻擊笑撞;門限過低岛啸,警告太多,管理員無法處理茴肥,可能忽略部分攻擊坚踩;
2)基于異常
- 原理:通過觀察正常運(yùn)行的網(wǎng)絡(luò)流量,學(xué)習(xí)正常流量的統(tǒng)計特征和規(guī)律瓤狐,當(dāng)檢測到網(wǎng)絡(luò)中流量的某種統(tǒng)計規(guī)律不符合正常的情況瞬铸,則認(rèn)為可能發(fā)生了入侵行為;
- 舉例:ICMP ping 報文突然大量增加础锐;
- 現(xiàn)狀:難以區(qū)分正常和異常的流量嗓节,更多是基于特征的檢測;
