一、防火墙
1.定义
防火墙 (Firewall) 是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全和可信赖的,而外部网络是不安全和不可信赖的。
防火墙的作用是防止不希望的、未经授权地进出被保护的内部网络,通过边界控制强化内部网络的安全策略。
2.DMZ
通过防火墙将网络划分为三个区域:内网、DMZ区域、外网,DMZ中放给用户提供服务的服务器。
DMZ:隔离区/非军事化区,主要用于隔离内部网络和外部网络之间的通信。
Web服务器前端、代理服务器、邮件服务器等部署在DMZ区域
3.防火墙技术的三个发展阶段
(1)包过滤防火墙
包过滤技术简介:
对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。
工作层
包过滤工作在网络层,用于控制进出一个网络的数据包。
工作原理:
当一个数据包到达防火墙时,防火墙会检查这个包的头信息,并与预定义的规则集进行匹配。如果数据包符合任何一个允许规则,则被放行;如果符合任何一个禁止规则,则被阻止或丢弃;如果数据包既不符合允许规则也不符合禁止规则,那么根据防火墙的默认策略(通常是拒绝)来处理这些数据包。
过滤型的防火墙通常直接转发报文,它对用户完全透明,速度较快。
优点
1.对于安全要求低的网络采用路由器自带防火墙功能时,不需要其他设备
包过滤通常被包含在路由器数据包中,所以不需要额外的系统来处理这个特征。
2.处理速度较快
包过滤防火墙的一个主要优点是它的简洁性和效率,因为它仅仅查看数据包的头部信息,并不需要深入到数据包内容,从而减少了处理时间,在高速网络环境中尤为重要。
3.包过滤防火墙但无法控制传输数据的内容,因为内容是应用层数据。
缺点
不能防范黑客攻击,因为网管不可能区分出可信网络与不可信网络的界限;
不能处理新的安全威胁。
无法阻止ip欺骗
路由器的过滤规则的设置和配置十分复杂
不支持应用层协议,无法发现基于应用层的攻击
实施的是静态的、固定的控制,不能跟踪TCP状态
不支持用户认证
(2)应用代理网关防火墙
应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的 TCP 连接,应用层的协议会话过程必须符合代理的安全策略要求。
优点
可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。
而代理对于用户认证可以设置
缺点
难以配置;处理速度非常慢。
(3)状态检测技术防火墙
状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上,提高了代理防火墙的性能。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力,同时也改进了流量处理速度。因为它采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。
一个防火墙系统通常是由过滤路由器和代理服务器组成。
过滤路由器是一个多端口的 IP路由器,它能够拦截和检查所有出站和进站的数据。
代理服务器防火墙使用一个客户程序与特定的中间结点(防火墙) 连接,然后中间结点与期望的服务器进行实际连接。这样,内部与外部网络之间不存在直接连接,因此,即使防火墙发生了问题,外部网络也无法获得与被保护的网络的连接。
典型防火墙的体系结构分为包过滤路由器、双宿主主机、屏蔽主机网关和被屏蔽子网等类型。
4.防火墙的性能及特点主要由以下两方面所决定
工作层次
这是决定防火墙效率及安全的主要因素。一般来说,工作层次越低,则工作效率越高,但安全性就低了;反之,工作层次越高,工作效率越低,则安全性越高。
防火墙采用的机制
如果采用代理机制,则防火墙具有内部信息隐藏的特点,相对而言,安全性高,效率低;
如果采用过滤机制,则效率高,安全性却降低了。
5.防火墙不能查毒
防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找所有的病毒。
二、 病毒
(一)病毒的基本概念
1.计算机病毒的特征
计算机病毒的特征:传播性、隐蔽性、感染性、潜伏性、触发性、破坏性等。
2.常见的计算机病毒
Worm表示蠕虫病毒、Trojan表示特洛伊木马、Backdoor表示后门病毒、Macro表示宏病毒
蠕虫病毒
蠕虫病毒:欢乐时光、熊猫烧香、红色代码、爱虫病毒、震网。
蠕虫病毒利用网络进行自我复制和传播,通过扫描存在漏洞的计算机,并利用这些漏洞感染目标系统。一旦感染成功,蠕虫病毒会在被感染的计算机上复制自身,并继续寻找其他可感染的计算机,形成类似蠕虫般的传播链。
由于蠕虫病毒在网络中的传播速度快、感染范围广,且常常难以被及时发现和清除,因此给网络安全带来了极大的威胁。
木马软件
木马软件:冰河、X卧底
特洛伊木马病毒通过电子邮件、附件、横幅广告、弹出广告、网站链接等方式进行传播,也可能隐藏在自由下载的文件中。一旦运行,木马病毒会自动复制到系统文件夹中,并在注册表、启动组等位置设置好触发条件,接受来自远程攻击者的控制命令。
计算机感染特洛伊木马病毒后的典型现象包括:
未知程序试图建立网络连接:
特洛伊木马病毒的一个主要特征就是试图建立网络连接,以便攻击者可以远程控制受感染的计算机。因此,如果发现计算机上有未知程序尝试建立网络连接,这通常是特洛伊木马病毒感染的迹象。
计算机设置被意外更改:
设备上存在活动特洛伊木马的迹象还包括计算机设置被意外更改等异常活动。
请注意,这些只是特洛伊木马病毒感染的一些可能迹象,并非绝对。如果发现计算机存在上述异常现象,建议立即断开网络连接,并使用防病毒软件进行扫描和清除。同时,保持防病毒软件的更新,并遵循良好的计算机使用习惯,如不轻易打开未知来源的邮件附件或下载链接,以减少感染特洛伊木马病毒的风险。
木马程序的目的通常包括以下几点:
获取对用户系统的访问权限
使网络罪犯能够监视您、盗取您的敏感数据,并开启进入您系统的后门。
作为攻击的载体
利用计算机系统的漏洞或用户的疏忽,潜入用户的计算机系统,并获得管理员权限,从而控制用户的电脑。
用于远程控制
客户端用于发出控制命令,服务端在被控计算机上执行相关操作,如复制文件、删除文件、修改系统配置等。1
本地电脑若是感染木马病毒,则变成服务器,攻击者的PC是客户端。
宏病毒
宏病毒感染的对象主要是文本文档、电子表格等。
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
宏病毒通常隐藏在文档文件中,主要感染以下类型的文件:
Microsoft Office文档
如.doc、.docx、.xls、.xlsx、.ppt、.pptx等。
其他支持宏的文件格式
这些文件类型允许用户在文档中嵌入自动执行的宏代码,从而使宏病毒得以传播和执行恶意操作。
三、网络攻击
(一) 常见的网络攻击
1.拒绝服务攻击(Dos攻击)
目的是使计算机或网络无法提供正常的服务
拒绝服务攻击是不断向计算机发起请求来实现的,是一种网络攻击手段。
攻击者通过向目标服务器发送大量的无效请求,如TCP连接请求、HTTP请求等,使得目标服务器的资源(如CPU、内存、网络带宽等)被耗尽,从而无法为正常的用户请求提供服务,实现攻击的目的。
2.重放攻击
攻击者发送一个目的主机已经接受过的报文来达到攻击目的
攻击者利用网络监听或者其他方式盗取认证凭据,之后再重新发送给认证服务器。
主要用于身份认证过程,目的是破坏认证的正确性。
3.口令入侵攻击
使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。
4.特洛伊木马
伪装成程序或游戏,当用户下载了带有木马的软件或附件时,这个程序就会向黑客发起连接请求,建立连接后黑客就实施攻击活动。
5.端口欺骗攻击
采用端口扫描找到系统漏洞从而实施攻击。
6.网络监听
攻击者可以接收某一网段在同一条物理通道上传输的所有信息,使用网络监听可以轻松截取包括账号和口令在内的信息资料。
7.IP欺骗攻击
产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。
ARP 攻击(ARP欺骗)是欺骗攻击的一种,通过伪造IP地址和MAC地址,能够在网络中产生大量的ARP通信量使网络阻塞。
如果伪造网关的IP地址和MAC地址对,则所有发往网关的IP包将因为MAC地址错误而无法到达网关(ARP攻击一般会将MAC地址改为发起 ARP 攻击的主机地址),造成无法跨网段通信。
处理 ARP 攻击的方法为:首先断开 ARP 攻击主机的网络连接,然后用“ap-d”命令清除受攻击影响的 ARP 缓存。
8.Sql注入攻击
是黑客对数据库进行攻击的常用手段之一。
没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。
攻击者可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。首先,获取数据库的权限,就可获取用户账号和口令信息,以及对某些数据修改等。
9.入侵检测技术
专家系统、模型检测、简单匹配。
扫一扫
905
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
