6. 实现网络的安全性
-
- 6.1 网络设备
-
- 6.1.1 防火墙
- 6.1.2 负载均衡器(Load balancer)
- 6.1.3 网络扫描器和分析工具
- 6.1.4 IDS(Intrusion detection system/IDS)
- 6.1.5 IPS(Intrusion prevention system/IPS)
- 6.1.6 网络监控系统的类型
- 6.1.7 安全信息和事件管理[Security information and event management(SIEM)]
- 6.1.8 数据丢失/泄露预防[Data loss/leak prevention(DLP)]
- 6.1.9 虚拟个人网络集中器(VPN concentrator)
- 6.1.10 统一威胁管理(Unified threat managment/UTM)
- 6.2 网络设计安全
- 6.3 网络协议和服务安全
- 6.4 无线安全
6.1 网络设备
6.1.1 防火墙
- 基于主机的防火墙:如windows防火墙
- 基于网络的防火墙
- 应用程序防火墙:保护对应用程序的网络访问,如WAF
无状态防火墙(stateless firewall):连接到达防火墙时不会跟踪它的活动状态。
状态防火墙(stateful firewall):连接到达防火墙时跟踪连接的活动状态,并根据与连接状态相关的网络数据包的内容做出决定。
Windows防火墙配置:
1. 入站规则:定义对进入系统的数据执行的操作
2. 出站规则:定义对流出系统的数据执行的操作
3. 连接安全规则:定义允许系统之间进行通讯所有的身份验证类型。
6.1.2 负载均衡器(Load balancer)
负载均衡器调度(scheduling)方式:
- 轮询调度(round robin):按序循环调度
- 关联(affinity):将客户端的流量转发到客户端已经与之建立连接的服务器,目的是减少客户端与服务器之间的开放式网络连接数量。
6.1.3 网络扫描器和分析工具
- 数据包分析器(Packet analyzer)
- 协议分析器(Protocol analyzer)
- 网络枚举器(Networking enumerator):也称网络映射器(Network mapper),用于识别网络的逻辑拓扑。
6.1.4 IDS(Intrusion detection system/IDS)
用于扫描,评估和监控计算机基础设施,查找其中正在进行的攻击迹象的系统
- 网络IDS(Network Intrusion detection system):NIDS主要使用被动硬件传感器来监控网络特定流量,还可以用于流氓系统(rogue system)检测。
流氓系统指连接到网络的任何未知或无法识别的设备。
- 无线IDS(Wireless Intrusion detection system):扫描射频频谱以查找无线网络中可能受到的威胁,如:非法接入点。
- 基于主机的IDS(host-based Intrusion detection system):监控主机系统是否出现意外行为或系统状态是否发生剧烈变化。
6.1.5 IPS(Intrusion prevention system/IPS)
IPS具有IDS的监控能力,也可以主动阻止检测到的威胁。
第一类错误:误报
第二类错误:漏报
- 网络IPS:监控网络上的可疑流量并实时作出反应以阻止流量。
- 无线IPS:扫描射频频谱以查找无线网络中可能受到的威胁,主动阻止恶意流量。
- 基于主机的IPS:主动检测对主机的更改,阻止被识别为恶意的操作。
6.1.6 网络监控系统的类型
- 基于签名的监控:如病毒库
- 基于异常的监控:预先定义事件的可接受