1、TCP/IP安全结构各个层次可采取的安全措施:
网络空间安全体系结构:
物理层:
对于使设备位于防火防水的环境中;备份设备、线路,做好设备防盗,不间断电源保障;
网络层:
对外网进行入网访问控制;使用VPN保证传输安全;使用防火墙、入侵检测系统;对网络资源进行访问控制;
系统层安全:
对系统进行加固;对系统进行备份;对系统进行安全配置:安装杀毒软件等等操作;定期扫描系统漏洞
应用层安全:
加固数据库;使用安全身份认证统一授权;使用防病毒软件
管理层安全:
规范安全管理;进行安全风险评估;合理的人员角色定义;明确部门安全职责划分;制定严格的安全管理制度。
TCP/IP安全结构:
数据链路层:封装成帧、透明传输、差错控制 ,加解密,数字签名
网络接口层包括了物理层和数据链路层,主要的方法就是子网划分,物理隔绝。
网络层:式样包过滤防火墙,VPN等
运输层:使用安全协议SSL/TLS等等
应用层:使用用户安全认证,代理服务防火墙
2、常见的访问控制模型
3、防火墙的各种类型及其特点
这部分应该只用记得有哪些类型的防火墙即可。
3.1、包过滤防火墙
-
原理:工作在网络层,仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。
-
优点:
- 速度快,性能高;对用户透明。
-
缺点:
- 维护比较困难(需要对TCP/IP了解)
- 安全性低(IP欺骗等)
- 不提供有用的日志,或根本就不提供
- 不能处理网络层以上的信息
3.2、 应用层代理防火墙
-
原理:工作在应用层,通过编写不同的应用代理程序,对应用层的协议和服务进行过滤,实现对应用层数据的检测和分析
-
优点
- 对服务进行全面的控制,全控制提供哪些服务
- 火墙可以被配置成唯一的可被外部看见的主机,这样可以保护内部主机免受外部主机的进攻
- 提供很详细的日志和安全审计功能
-
缺点
- 要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件
- 每个应用程序都必须有一个代理服务程序来进行安全控制,每一种应用升级时,一般代理服务程序也要升级
3.3、状态检测防火墙
-
原理:工作在网络层到应用层