信息安全概论———网络防御

网络防御

一个常见的网络防御体系包括:防火墙，入侵检测系统(IDS),VLAN，防病毒技术；

防火墙

位于内网和外网间，保护内网免受入侵的系统，是用于这个用途的一系列措施的总称。

硬件/软件防火墙；企业/个人防火墙；

功能:

• 流量过滤（安全功能）:对数据进行过滤；
• 网络审计监控(控制功能)：对访问进行监控和审计，得到网络的数据；
• 支持NAT(网络地址翻译)：缓解地址空间短缺；
• DMZ(访问松弛功能):隔离区，放置一些公开的服务器设施，以免完全封闭；
• VPN（多局域网连接）:将不同的内网连在一起，突破地域的限制；

用途分类:

• 包过滤防火墙:：针对数据包，而忽略应用类别，工作在网络层和传输层。
• 代理防火墙：采用代理技术，使防火墙不只关注数据和流量，而是关注每个连接的协议，了解其本质，再进行审查。主要工作在应用层；
• 个人防护墙是一种针对单个主机的保护软件；

技术:

1. ACL ：允许和拒绝匹配的规则，会针对源IP，目的IP，协议，源端口，目的端口等给出规则。流量过滤时使用；根据ACL是否固定，分为静态过滤和动态过滤。静态是指规则提前全部制定好，不会根据谁来访问而修改。动态是指合法用户是根据当前的访问情况来设置的规则，对于那些合法的请求，如果当前没有请求，也是不会在ACL中声明；
2. 应用代理网关：防火墙不只是监听，而是直接用代理服务器替代内外网来建立连接，一切内外网都直接与防火墙联系；性能较低；
3. 电路级网关:在代理的基础上，只检测传输层，而不深入具体的应用；
4. NAT:将私有地址转换为IP地址；隐藏内部主机；静态NAT:内部IP与外部IP一一对应，隐藏作用大于扩展作用；动态NAT：根据内部的当前的需要动态分配地址，也可以动态分配端口，即不同主机的不同端口可以对应同一个IP地址的不同端口；
5. VPN：在不同的局域网中建立信任的隧道，使得彼此联通。VPN是加密的隧道，即使在广域网中也不会泄露信息；分为三种，access VPN（拨号），在公网中拨号连接局域网内；Instranet VPN（内联局域网），总分的大型局域网间；Extranet VPN（外联局域网），权限会相应受限；

入侵检测系统（IDS）

对内部网络的监视和审查，并负责相应的系统；

CIDF通用模型:事件产生器(E)；事件分析器(A)；事件数据库(D),相应单元（R）

主要工作:

1. 信息收集：从感应器中得到网络信息和从主机上得到系统信息；
2. 信息分析 ：检测引擎会通过模式匹配，统计分析和完整性分析进行分析；
3. 结果处理：报警或联动相应等；

分类:
数据源:

1. 主机入侵检测系统（HIDS）:信息主要来源于计算机的日志记录等；
2. 网络型入侵检测系统(NIDS)：主要从部署在网络关键位置的感应器来获取信息；利用独立的检测计算机完成，无需增加业务主机的负载；

检测技术:

1. 基于误用(知识)的IDS:简单的模式匹配，从已知的入侵特征中匹配；包括专家系统(希望得到全部整体知识)，模式匹配(根据某些特征，而非整体匹配)，状态转换(根据系统状态定义入侵行为，之后用这个行为来一步步检测)，完整性检测(看具体的对象是否被改变，但难以实时处理)
2. 基于异常的IDS:根据系统的状态与正常状态的异常偏差来判定是否为入侵；误报率高，可以检测未知入侵；包括统计分析（忽略了顺序，对依赖顺序的攻击难以检测），预测模型（关注顺序，预测之后的情况，来做出处理）；系统调用检测(检测特权程序系统调用的情况，这往往是入侵行为的手段)；人工智能技术(如数据挖掘，可以根据整体得到特征模式，而不再只是一组异常模式）
3. 入侵诱骗技术：主动出击的手段；吸引攻击，保护其他人并且分析其特征；蜜罐技术，密网技术，虚拟密网(单台主机使用虚拟机构造密网)

实例:snort系统:轻量级IDS
CIDF模型，误用检测技术；从物理链路层获取原始数据包；支持TCP,UDP,ICMP和IP协议；

VLAN

虚拟局域网:在局域网基础上（或者不用），将其网段划分为不同的组，来构成一些互不相关的逻辑组，在逻辑上形成了局域网。每个VLAN都有一组工作站和自己的标号。

划分标志:

• 端口划分:根据交换机的端口划分，则不同VLAN占用的端口将无法通信，由交换机控制；但用户在端口间移动就成了对VLAN做更改；
• MAC划分:网卡划分，即使到了很远的地方也是在同一局域网中。
• IP划分

VLAN的安全作用:

1. 控制广播风暴:随着网络规模太大，广播会显著增多；局域网的作用就是有这种作用，而VLAN更灵活，可以有效缩小广播域；将通信频繁的用户放在同一VLAN，其他通信另做处理；
2. 信息隔离:有效隔离基于广播的信息泄露；
3. 控制IP盗用:不同VLAN间的IP有效控制着；

IPS

采用串联的方式连接在内外网的关键路径上，工作方式是基于包过滤的存储转发机制；

IPS与IDS:

• 同时有检测和防御功能，而不只是检测，且从入口就开始检测；
• IPS是在应用层上内容的安全检查；
• IPS具有实时性，而IDS往往是批操作；
• 具有双向检测功能，而不只是对内网的攻击；

IMS

IMS不只关注入侵时，还完善了入侵前和入侵后的阶段 。整体把握网络安全；
有规模部署，入侵预警，精确定位和监管结合四大特征；入侵预警是核心；精确预警要求对内精确到设备，对外精确到边界；监管结合就是加入管理的成分来完善系统；

云安全

客户端负责扫描和防护入侵的功能，但是对这些处理是在服务器（云端）同一计算，再把解决方案分发到各个客户端。云杀毒应用较多；