网络安全
1、概述:
-
、网络安全的问题:信息泄露、隐私泄露、经济损失、黑客攻击……
- 、影响信息安全的隐患:天灾(自然灾害)、人祸(人为的泄露或不严谨的设置)、先天不足(协议的缺陷、假冒身份、广播易被监听)
-
网络信息系统安全的目标:
- 保密性:信息不被泄露
- 完整性:未经允许不能改变信息
- 可用性:信息科被授权实体访问,并按需求使用
- 抗否认性:用户在事后不能否认自己对信息所做的更改等操作
- 可控性 :可控制对信息的传播等
-
信息安全的主要分支:
- 大数据
- 区块链
- 黑客
- 社会工程学(通过合法聊天干扰别人心理获得信息,电话诈骗)
- 防火墙
- 入侵检测
- 信息隐藏
- 认证
- 密码
- 安全熵
-
信息安全的主要内容:
管理和策略:
安全立法、安全管理、安全策略(为达到一定级别的安全保护所必须遵循的规则)
P2DR模型:核心是策略,系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
P2DR2:响应处理和恢复处理分离
物理安全:
保护计算机、电线等设备安全
运行安全
保障系统功能的安全实现(软件安全、数据安全、运行服务安全(保证网络中个信息系统可以使用并及时提供准确的信息服务))
使服务器可以有效抵御黑客的DDOS攻击(分布式拒绝服务器攻击,使服务器瘫痪)的是运行服务安全。
-
安全模型的分类
- 强制访问控制(MAC):划分安全等级,根据等级授权,用于军事
- 自主访问控制(DAC):主体的某些访问权可自主授予其他客体
- 基于角色的访问控制技术(RBAC):用户通过被分配角色获得相应权限
- 基于属性的访问控制(ABAC):不能直接在主体和客体之间定义授权,而是利用它们关联的属性作为授权决策的基础,并利用属性表达式描述访问策略
- 基于任务的访问控制(TBAC):从任务的角度动态授权´
- 基于对象的访问控制(OBAC):将访问控制列表与受控对象相关联
-
多级安全模型:
- BLP(保密性)模型:基于强制访问控制,5个级别(公开、受限、秘密、机密、高密)、两种规则(上读下写)
- BIBA完整性模型:基于强制访问控制,5个级别、两种规则(下读上写),对数据提供分级别的完整性保护
- Clark-Wilson完整性模型(商用):保证数据完整性、保证数据操作完整性。
-
多边安全模型:
- Lattice安全模型:通过划分安全边界对BLP进行扩充,在不同的安全集束(部门)间控制信息流动,主体可从属多个安全集束,客体仅从属一个安全集束。
- Chinese Wall模型:同等考虑保密性和完整性,主应用商业。VPN
2、消息认证技术和保密技术
- 、认证:通过某种手段确认信息和声称的一样。
- 、网络信息安全的攻击方式:
被动攻击:侦听、截取信息(内容不变)--------------------加密技术
主动攻击:伪造、乱序、篡改、重放信息(内容改变)------认证技术
-
认证(防止主动攻击)的种类
- 身份认证:
- 基于秘密信息:用户独知的密码、答案……
- 基于信任物体:用户拥有的物品,身份证、智能卡……
- 基于生物特征:指纹、人脸……
- 行为认证:利用人的行为特征,习惯、走路风格、步态……
- 权限认证:三要素(角色、用户、权限)
- 消息认证:验证信息是真实来源且未被篡改,验证信息顺序、及时性
- 寄件人:报文源
- 收件人:报文宿
- 寄出时间:报文时间
- 信件内容:报文内容
-
消息认证
- 加密实现消息认证
-
对称密码体制:
对报文源:AB用同一个相互知道的密钥加解密
报文宿:A在报文中加入B的识别码IDB,可确认报文宿
报文内容:加错误检测码F,比较错误检测码可以确认报文内容
-
公钥密码体制:
对报文源:B用A的公钥可以正确解密,可确认来源,但不能保密
报文宿:B可用自己私钥解密,可确认报文宿,单只能保密不能认证
既可加密又可认证:A用私钥KRa加密,再用B的公钥KUb加密得到密文。B用自己私钥KRb解密,再用A的公钥KUa解密得到明文(先用自己的私钥再用对方的公钥)
- 报文时间的鉴别:初始向量法、时间参数法,随机数
-
报文鉴别码
只保证消息完整性,不保证保密性,共享密钥必须仅收发双方共有
-
MAC消息认证码(Message Authentication Code)
利用密钥生成固定长度的数据块,并将其附加到消息之后.
MAC=Ck(M) M:明文 K共享密钥
C:MAC函数(多对一) MAC:消息认证码
-
基于DES的报文鉴别码(最广泛的MAC认证)
采用CBC工作模式
-
报文摘要
-
数字签名
3 身份认证技术(网安第一道防线)
-
基本认证技术
双方认证:
可信第三方认证:
-
基本PKI轻量级认证技术
公钥基础设施PKI,是电子商务的关键和基础,是信息安全技术的核心
基本组成:
- 公钥证书(基本部件):是可信实体签名电子记录
- 认证机构CA(PKI的核心):颁发/作废公钥证书
- 注册机构RA:审核申请者身份
- 证书管理机构(CA+RA=CMA):结合CA和RA
- 数字证书库:存储已签发的数字证书及公钥
- PKI管理标准:定义证书颁发等管理标准
- 密钥备份及恢复:只能备份解密密钥,不能备私钥和签名
- 证书注销系统
信任模型:分级模式、对等模式
-
新型认证技术-----零知识身份认证:无需提供机密信息即可认证
-
非对称密钥认证
-
Kerberos网络用户认证系统(基于对称密码学):
可信的第三方鉴别协议,提供网络安全鉴别
目的:
安全:非法用户不能伪装成合法用户
可靠:用户依靠Kerberos提供服务
透明:用户感受不到认证服务
可扩缩:可支持大量用户和服务器
存在的威胁:
攻击者可假冒用户操作
可变更网络地址,冒充工作站发送请求
可监听信息交换并使用重播攻击
功能:
提供集中认证服务器,用户和服务器相互认证
采用可信第三方密钥分配中心保存密钥
验证用户合法性再审核权限
角色:
认证服务器AS:作为第三方服务器对用户进行身份验证,发TGT给用户
票据许可服务器TGS:通过AS发放票据许可
凭证:票据(秘密向服务器发送用户身份识别),鉴别码
优:安全性高、透明性好,扩展性好
缺:服务器不验证用户真实性
-
密钥的管理:
公钥的分配:
公开发布:通信方可以将自己的公钥发送给通信各方,任何人可伪造发布。例如PGP
公开可访问目录:管理员或可信第三方组织、维护公开目录,管理员的私钥必须保管好
公钥授权:管理员统一管理公钥,访问前向其申请。
公钥证书:使用证书交换密钥
利用公钥分配对称密钥:
简单的密钥分配(易受到攻击):
具有保密性和真实性的密钥分配
Differ-Hellman密钥交换:
目的:使两个用户安全交换密钥,只限密钥交换
系统漏洞及扫描技术
1、漏洞:一切攻击行为与事件的起源
在硬件、软件、协议的具体实现或系统安全策略以及人为因素上存在的缺陷。
漏洞的分类:
-
按成因:
-
程序逻辑结构漏洞(逻辑错误):
-
程序设计不合理、合法程序用途被利用。
-
程序设计错误漏洞:
-
缓冲区溢出漏洞(打补丁)、内存越界
-
开放式协议造成的漏洞:
-
嗅探网络数据包、拒绝服务攻击、修改HTTP数据包的载荷以上传一个网页木马……
-
人为因素的漏洞:
-
口令简单、口令丢失……
-
按发现的先后顺序:
-
已知漏洞:已知危害、已被发现、已打补丁
-
未知漏洞:已存在未被发现
-
0day漏洞:小范围内被发现
-
扫描技术
端口扫描工具基本原理:
端口号大致判断主机提供的服务类型,扫描的出发点---与目标端口建立TCP连接、端口有回应----开放端口
功能(扫描工具本身不具有对漏洞的扫描和检测功能):
扫描目标主机、识别工作状态
识别目标主机端口服务状态(监听/关闭)
识别目标主机系统计划层序的类型和版本
根据已知漏洞信息,分析系统弱点
生成扫描结果
扫描类型:
-
全TCP连接
尝试使用三次握手建立正规连接
连接由系统调用connect()开始,返回-1表示端口不可访问
日志会有大量连续的错误记录和访问请求
-
半打开式扫描
扫描主机向目标主机发送SYN数据段
若目标主机回应SYN=1,ACK=1,说明端口活动,然后扫描主机发送RST给目标主机,拒接TCP连接(敲门--有人---跑了)
若目标主机回应RST表示端口为‘死端口’
-
秘密扫描(FIN扫描)(判断目标主机操作系统的类型windows不能判断端口开放情况,linux可以)
是一种不被检测工具检测到的扫描技术,依靠发送FIN判断目标主机的指定端口是否活动。
端口关闭:FIN数据包被丢弃,返回RST
端口开放:FIN数据包丢弃,不返回
优:不包含三次握手任何部分,不会被记录,隐蔽性高
可躲藏IDS、防火墙、包过滤器和日志审计
缺:扫描结果不可靠性增加
-
第三方扫描(代理扫描)
利用第三方主机(肉机)代替入侵者进行扫描
常用端口扫描工具:X-Scan,Zenmap,Fluxay,ipscan
Nmap:可输出扫描目标的端口号、协议、服务名与状态。
端口状态:开放、关闭、已过滤(防火墙或过滤器封锁了该端口)、未过滤(探测有回应,但不能确定端口状态)
-
黑客与网络攻击
隐藏位置的途径:
IP欺骗或盗用、MAC地址盗用、代理服务器、、电子邮件(申请无意义的邮箱进行攻击)、盗用他人网络账户、干扰技术、数据加密技术。
攻击:
ARP欺骗:
·ARP协议(网络地址解析):解析为MAC地址
攻击原理:冒充网关
攻击者以间段循环的方式向整个局域网所有计算机发送ARP请求包,让目标机误以为攻击机是网关(路由器),从而让计算机把数据包发给它,由其转发至Internet
预防:静正确的网关的IP--MAC地址对应关系写入自己计算机系统ARP缓存中,可缓解威胁。但网关的MAC地址不能得到及时更新。
·IP欺骗
攻击原理:攻击者伪造的IP地址不可达或根本不存在
主要用于迷惑目标主机上的入侵检测系统,或是对目标主机进行DOS攻击。
攻击者伪造他人的IP地址
利用主机间的信任关系,基于三次握手
实现过程:使被信任主机瘫痪---猜出目标主机的序列号ISN--发送ACK建立连接。
常见工具:
Mendax: 是一种容易使用的TCP序列号预测以及rshd欺骗工具。
IPSpoof: 用于TCP及IP欺骗。
Hunt: 网络嗅探器,同时提供欺骗功能。
Dsniff: 网络计审及工具集
ISNPrint: 查看目标主机当前连接的ISN工具,但不提供ISN预测功能
预防:采取配置路由器方法
·拒绝服务攻击
SYN Flood攻击:利用TCP协议缺陷,发送大量伪造TCP请求,从而使被攻击方资源耗尽。
防御:缩短SYN TimeOut时间,设置SYN Cookie,若短时间内收到连续的IP地址重复的SYN报文,被认为受到攻击,丢弃数据包。
·分布式拒绝服务攻击(DDOS)
原理:从诸多客户机挑选较弱一批的当作‘肉机’,建立远程控制访问,让‘肉机’同时对数据包发起攻击
-
计算机病毒描述
病毒定义:
广义的定义:凡能够引起计算机故障,破坏计算机数据的程序统称为
计算机病毒(Computer Virus)
法律性、权威性的定义:指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用,并能够自我复制的一组计算机指令或者程序代码。
计算机病毒的特性:
- 寄生性(依附在合法程序中)
- 传染性(基本特征)
- 隐蔽性(发作前不易被察觉,存在隐蔽性和传染隐蔽性)
- 潜伏性:侵入系统后不会立即活动
- 可触发性:有触发条件
- 破坏性或表现性:降低工作效率
- 针对性:针对某种程序
新特点
´主动通过网络和邮件系统传播
´传播速度极快
´变种多
´具有病毒、蠕虫和黑客程序的功能
传播途径:
通过不可移动的计算机硬件设备进行传播
´通过硬盘感染传播
通过移动存储设备传播
´软盘、移动硬盘、优盘、光盘等,特别是盗版光盘
通过计算机网络传播
´文件共享、电子邮件、网页浏览、文件下载
´系统漏洞
通过点对点通信系统和无线信道传播
计算机病毒的分类
·按照感染或者寄生的对象分类
´引导型病毒
´ 藏匿在磁盘片或硬盘的第一个扇区
´ 先于操作系统加载到内存中,获得完全的控制权
´文件型病毒
´ 通常寄生在可执行文件中,如*.BAT,*.COM,*.EXE等
´混合型病毒
´ 既传染磁盘引导扇区又传染可执行文件的病毒
·按照计算机病毒的破坏情况分类
´良性病毒
´ 不会对计算机系统直接进行破坏,只是具有一定表现症状的病毒
´恶性病毒
´ 会对系统产生直接的破坏的作用
´中性病毒
´ 只是疯狂复制自身的病毒,也就是常说的蠕虫型病毒
·按链接方式分类
´源码型病毒
´ 在高级语言所编写的程序编译前插入到源程序中
´入侵型病毒/嵌入型病毒´将自身嵌入到宿主程序中
´外壳型病毒
´ 寄生在宿主程序的前面或后面,并修改程序的第一个执行指令
´操作系统型病毒
´ 用自己的逻辑模块取代操作系统的部分合法程序模块
·从广义病毒定义的角度
´逻辑炸弹
´ 修改计算机程序,使它在某种特殊条件下按某种不同的方式运行。逻辑炸弹也是由程序员插入其它程序代码中间的,但并不进行自我复制。
´特洛伊木马(本身不进行自我复制)
原理:C/S模式,服务器提供服务,客户机接受服务。
传播途径
´电子邮件的附件(木马非自我复制)
´隐藏在用户与其他用户进行交流的文档和其他文件中
´被其他恶意代码所携带,如蠕虫
´会隐藏在从互联网上下载的捆绑的免费软件中
´计算机蠕虫
通过分布式网络来扩散传播特定信息或错误,破坏网络中
的信息或造成网络服务中断的病毒
´主要特点:利用网络中软件系统的缺陷,进行自我复制和主动传播,与病毒在文件之间的传播不同,它们是从一台计算机传播到另一台计算机,从而感染整个系统
´组成
´主程序、引导程序
´宏病毒
是一种存储于文档、模板(pot)或加载宏程序中的计算机病毒
´ 特点:只感染微软数据(文档)文件
手机病毒
´以手机为感染对象,以手机网络和计算机网络为平台,通过病毒短信等形式,对手机进行攻击,从而造成手机异常的一种新型病毒。
´攻击方式:直接攻击手机本身,使手机无法提供服务、攻击WAP服务器,使手机无法接收正常信息。攻击和控制网关,向手机发送垃圾信息。
病毒防范技术:
-
检测技术:是指通过一定的技术手段判定出病毒的技术
´在特征分类的基础上建立的病毒识别技术、通过病毒行为或文件校验和的病毒判定技术。
- 病毒校验和法:可检测各种病毒包括未知病毒,错误率高,无法确认种类
- 搜索法(最普遍的计算机检测方法):用每一种计算机病毒体含有的特定字符串对被检测对象进行扫描。
- 行为监测法:通过检测病毒在感染及破坏时表现出来的行为来判断病毒是否存在。优点:不仅可检测已知病毒,而且可预报未知病毒,有可能误报
- 病毒行为软件模拟法:专门用来对付多态病毒
- 感染实验法:利用病毒最重要的基本特性——传染性。
检测时,先运行可疑系统中的程序,再运行一些确切知道不带毒的正常程序,然后观察这些正常程序的长度和校验和,如果发现有变化,可断言系统中有病毒
- 清除技术
- 免疫技术:´
原理:根据病毒签名来实现。由于有些病毒在感染其他程序时要先判断是否已被感染过,即欲攻击的宿主程序是否已有相应病毒签名,如有则不再感染
- 预防技术:通过对病毒分类和采取监控措施,阻止病毒进入系统,以达到保护系统的目的
对已知病毒的预防采用特征判定技术
对未知病毒的预防采用行为监控技术
-
网络安全协议
´定义:是指通过信息的安全交换来实现某种安全目的所共同约
定的逻辑操作规则。有时也称作密码协议,是以密码学为基础的消息交换协
议
´其目标是在网络环境中提供各种安全服务。
安全协议的种类:
´网络级安全:IPSec
´传输级安全:SSL、TLS
´应用级安全: Kerberos、S/MIME、PGP、SET
SSL协议
协议的设计目标
´ 使用TCP连接提供一个可靠地端到端的安全服务,为两
个通讯个体之间提供保密性和可靠性(身份认证)
´ 优势:它与应用层协议独立无关,高层的应用层协议能透明的
建立于SSL协议之上。
体系结构:底层:记录协议
´上层:握手协议、告警协议、修改密文规约协议
两个重要概念
´SSL连接(connection)
´ 连接是提供合适服务类型的一种传输(OSI模型)
´ SSL的连接是端对端的关系
´ SSL连接是暂时的,每一个SSL连接和一个SSL会话关联
´SSL会话(session)
´ 一个客户端和服务器间的关联。SSL会话由握手协议创建,SSL会话定义了一组可供多个SSL连接共享的密码安全参数。´SSL会话用以避免为每一个SSL连接提供新的安全参数,从而减少了昂贵的协商代价
修改密文规约协议
´目的:为了表示密码策略的变化
告警协议
´当握手过程或数据加密等操作出错或发生异常情况时,向对方发出警告或中止当前连接。
IPSec协议
´IETF提出,一个用于保证通过IP网络进行安全的秘密通信的开放式标准框架。
´IPSec架构
´它是提供网络层通信安全的一个协议簇
´IPSec只是一个开放的结构,通过在主IP报头后面接续扩展报头,为目前流行的数据加密或认证算法的实现提供统一的数据结构
´需求:身份认证、数据完整性和保密性
´IPSec在IPv6中是强制的,在IPv4中是可选的。
IPSec的应用方式
´端到端(end-end):主机到主机的安全通信
´端到路由(end-router):主机到路由之间的安全通信´
路由到路由(router-router):路由到路由之间的安全通信,常用于在两个网络之间建立虚拟专用网(VPN)
IPSec的优点
´对应用、对最终用户透明
´在防火墙和路由器中实现时:可以对所有穿越边界的流量实施强安全性,而公司内部或工作组不必承担与安全相关处理的负担。
´可以防止IP旁路
´需要时IPSec可以提供个人安全性
´弥补IPv4在协议设计时缺乏安全性考虑的不足
IPSec的内容
´协议部分
´AH(认证头,Authentication Header):提供完整性保护和抗
重放攻击
´ESP(封装安全载荷,Encapsulating Security Payload):提供
机密性、完整性保护和抗重放攻击
´密钥管理(Key Management)
´SA(Security Association)
´ISAKMP定义了密钥管理框架
´IKE是目前正式确定用于IPSec的密钥交换协议
IPSec的工作模式
´传输模式:将上层协议部分封装
´隧道模式:将整个IP分组封装
ESP协议
´机制:通过将整个IP分组或上层协议部分(即传输层协议数据)封装到一个ESP载荷之中,然后对此载荷进行相应的安全处理,实现对通信的机密性或/和完整性保护
´加密算法和认证算法由SA指定
´根据ESP封装的载荷内容不同´传输模式、隧道模式
ESP协议传输模式
´优点:内网的其他用户也不能理解通信主机之间的通信内容、分担了IPSec处理负荷(与隧道传输相比)
´缺点:不具备对端用户的透明性,用户为获得ESP提供的安全服务,必须付出内存、处理时间等代价、不能使用私有IP地址、暴露了子网的内部拓扑
ESP协议隧道模式
´优点:保护子网中的所有用户都可以透明地享受由安全网关提供的安全保护、子网内部可以使用私有IP地址、子´缺点:增大了安全网关的处理负荷,容易形成通信瓶颈、对内部的诸多安全问题将不可控
AH协议
´为IP包提供数据完整性、数据源身份认证和抗重放攻击服务
´利用MAC码实现认证,双方必须共享一个密钥
´认证算法由SA指定´认证范围:整个包
´两种工作模式:传输模式、隧道模式
AH和ESP的联合使用
传输邻接、传输隧道束
IKE协议
´使用两个交换阶段
´阶段一,建立IKE SA
´阶段二,利用已建立的IKE SA为IPSec协商具体的一个或多个
安全关联,即建立IPSec SA
SET协议
´安全电子交易协议(Secure Electronic Transaction,
SET)
´它是为了在Internet上进行在线交易时保证信用卡支付的安全而设计的一个开放的规范。
´具有保证交易数据的完整性,交易的不可抵赖性等
种种优点
-
防火墙技术
定义:防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合。
核心思想:在不安全的网际网环境中构造一个相对安全的子网环境
(硬件、软件皆可)
防火墙需要满足的条件
´内部和外部之间的所有网络数据流必须经过防火墙
´只有符合安全策略的数据流才能通过防火墙
´防火墙自身应对渗透(peneration)免疫(不受各种攻击的
影响)
功能
´网络安全的屏障(可定制)
´过滤不安全的服务:(两层含义)
´内部提供的不安全服务
´内部访问外部的不安全服务
´集中式安全保护(非军事化区)
´阻断特定的网络攻击(联动技术的产生)
防火墙的发展:
第几代 | 基于什么 | 特点 | 功能 | 缺点 |
第一代防火墙 ´´ | 基于路由器的防火墙(网络访问控制功能通过路由控制来实现 ) | 以访问控制表(ACL)方式实现对分组的过滤´过滤判决的依据可以是地址、端口号、IP标志等 | 只有分组过滤功能 | 路由协议本身就具有安全漏洞,外部网络要探测内部网络十分容易 ´路由器上分组过滤规则的设置和配置存在安全隐患 ´最大的隐患:攻击者可以“假冒”IP地址 |
第二代 | 用户化防火墙工具套 | ´将分组过滤功能从路由器中独立出来,并加上审计和告警功能、针对用户需求,提供模块化的软件包 | 软件可通过网络发送,用户可自己动手构造防火墙 | ·配置和维护过程复杂、费时 ·对用户的技术要求高 ·全软件实现,安全性和处理速度均有局限 ·实践表明,使用中出现差错的情况很多 |
第三代 | 建立在通用操作系统上的商用防火墙产品 | 批量上市的专用防火墙 ·装有专用的代理系统,监控所有协议的数据和指令 ·保护用户编程空间和用户配置内核参数的设置 ·安全性和速度大为提高 | 包括分组过滤或者借用路由器的分组过滤功能 | 作为基础的操作系统及其内核往往不为防火墙管理者所知。源码保密,安全性不知 ·系统厂商不会对防火墙中使用的操作系统的安全性负责 ·用户必须依赖防火墙厂商和操作系统厂商支持 |
第四代 | 具有安全操作系统的防火墙 | 对安全内核实现加固定处理。 ´对每个服务器、子系统都作安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其他部分构成威胁 | 在功能上包括分组过滤、应用网关、电路级网关,且具有加密与 认证功能 ´透明性好,易使用 防火墙厂商具有操作系统的源代码,并可实现安全内核 |
常见的几种防火墙:
- 分组过滤防火墙:又称包过滤防火墙或屏蔽路由器
特点:屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。实现IP层的安全
缺点:是网络中的“单失效点”、不支持有效的用户认证,不提供有用
的日志、安全性低
- 双宿主主机防火墙:就是用一台装有两块网卡的堡垒主机做防火墙。两块网卡分别与内部网和外部网相连。(代理服务器)
堡垒主机的作用:阻止IP层通信、实现应用层安全、中间转接作用。
优缺点:堡垒主机的系统软件可用于身份认证和维护系统日志,有利于
进行安全审计、仍然是“单失效点”、隔离了一切内部网与Internet的直接连接
代表产品:ISA防火墙
- 屏蔽主机防火墙:
分组过滤路由器连接外部网络
运行网关软件的堡垒主机安装在内部网络
提供了较高的安全等级
过滤路由器是否正确配置,是防火墙安全与否的关键
路由表应受到严格保护
- 屏蔽子网防火墙(最安全的防火墙):在内部网络和外部网络之间建立一个被隔离的子网(DMZ),也称为屏蔽子网
通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中
堡垒主机通常是黑客集中攻击的目标,如果没有DMZ,入侵者将可以监听整个内部网络;有了DMZ,堡垒主机不再是“单一失效点”
防火墙的几种常用技术:
-
数据包过滤技术:依据在系统内设置的过滤规则(通常称为访问控制表)对数据流中每个数据包包头中的参数或它们的组合进行检查,以确定是否允许该数据包进出内部网络。常检查IP和TCP/UDP的源/目的端口、协议类型、TCP中的ACK位等
按地址过滤、按服务器过滤
-
动态包过滤技术:允许指定用户暂时访问,访问完后恢复接口(一般结合身份认证)
-
状态检测技术
动态状态表
´跟踪每一个网络会话的状态,对每一个数据包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态
´检测模块(检测引擎)
´状态检测防火墙采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。
特点:既能够提供代理服务的控制灵活性,又能够提供包过滤的高效性,是二者的结合
主要优点:高安全性(工作在数据链路层和网络层之间;“状态感知”
能力)
´高效性(对连接的后续数据包直接进行状态检查)
´应用范围广(支持基于无连接协议的应用)
´主要缺点
´状态检测防火墙在阻止DDoS攻击、病毒传播问题以及高级应用入侵问题(如实现应用层内容过滤)等方面显得力不从心
-
网络地址转换技术(NAT)
将一个IP地址用另一个IP地址替代,隐藏内部网络地址
SNAT & DNAT
´ 静态(Static)网络地址转换和动态(Dynamic)网络地址转换
源(Source)网络地址转换和目标(Destination)网络地址转换
NAT的三种方式
´M-1:多个内部地址翻译到一个IP地址
´1-1:一个内部地址翻译到一个IP地址
´M-N:多个内部地址翻译到N个IP地址
-
入侵检测技术(审计技术发展而来)
指通过若干关键节点收集信息进行分析
入侵检测系统IDS
入侵检测分类:
根据采用的分析方法(检测原理):
- 异常检测(统计分析):检测异常行为(误报率高,漏报率低)
- 误用/滥用检测(模式匹配、专家系统滥用检测):根据已有的模式判断(误报率低,漏报率高)
根据数据来源:
- 基于主机的IDS(HIDS):数据来自主机,保护主机正常运行
- 基于网络的IDS(NIDS):检测数据包,数据来源传输数据包,保护网络正常运行
据体系结构:
- 集中式IDS:只有一个中央入侵检测服务器,多个不同主机的审计程序
- 分布式IDS:中央检测任务分给多个HIDS
根据系统工作方式:
- 离线检测:事后分析,非实时
- 在线监测:实时,反应快
相关技术
-
入侵诱骗:
蜜罐技术:本身不安全
蜜网技术
-
入侵响应
主动响应:记录并阻断入侵
被动响应:仅记录入侵
IDS通用模型:
事件数据库:存放中间和最终数据,还有判断规则
事件产生器:收集各种原始数据,转换为事件(关键节点信息)
事件分析器:分析事件判断是否为入侵或异常事件,结果转为告警信息
分析方法:模式匹配(与已知的攻击进行比较)´统计分析(确定对象的异常行为)´完整性分析(常用于事后分析)
响应单元:根据告警信息作出反应,是IDS中的主动武器
强烈反应:切断连接、改变文件属性等´
简单的报警:给管理员发送短信等。