CISSP笔记04

6.7网络互联设备

6.7.1中继器：

物理层设备，对信号进行放大；hub是一种多端口的中继器，信号会广播到所有端口。（冲突域和广播域问题）

6.7.2网桥：

链路层设备，将负担过重的网络进行分割，确保更好的带宽和流量控制。广播风暴问题。网桥包括3种类型：本地、远程和翻译。（广播域问题）
转发表：
（1）采用透明桥接技术：加电后能跟踪网络变化，根据查看数据帧以及在其转发表中添加条目。使用生成树算法（STA），确保数据帧不会在网络上转悠，防止网桥故障提供冗余路径。（2）源路由：是指数据包决定它到达目的地的路线，而不是由源和目标计算机之间的路由器决定。源路由在预先定义的路径上通过网络传输数据包。

6.7.3路由器：

网络层设备，用于连接相似或不同网络。基于访问控制列表ACL过滤流量。整个过程如下：
（1）数据帧从路由器的一个接口进入，路由器查看路由数据；
（2）路由器从数据报中取出目标IP网络；
（3）路由器查看路由表，发现哪个端口与请求的目标IP网络相匹配；
（4）没有匹配的话，发出表明消息未达到的ICMP错误消息；
（5）如有的话，TTL值减少1，查看MTU是否与目标网络不同，如果目标网络较小，路由器会对数据报进行分段；
（6）路由器改变数据帧内的首部信息，从而使得达到下一台正确的路由器；如果下一条为目标计算机，那么这个更改则直接到达目标；
（7）随后，路由器将数据帧发送至对应接口的输出队列。

6.7.4交换机（中继器和网桥的结合）：

多端口桥接设备、全双工通信、多层交换机、交换式网络（ARP欺骗）
1第3层和第4层交换机
第3层基本是个路由器，根本区别在于设备进行查看以作出转发或路由决策的首部信息（链路层、网络层或传输层）。
第3层和第4层交换机实用标记，每个目标网络或子网都会被分配标记。当数据包达到交换机时，交换机会比较目标地址与它的标记信息库，标记信息库是所有子网以及对应标记号的列表。这种标记使用方法称为“多协议标签交换MPLS”。
2、VLAN（IEEE802.IQ）
管理员能够基于资源需求、安全性和业务需求为计算机进行逻辑分组。处于物理网络的顶部。
VLAN跳跃攻击使得攻击者可以访问各种VLAN分段中的流量。

6.7.5网关（应用层）

用于在连接两个不同环境的设备上运行软件，充当环境的翻译器。网关能够将（网际数据包交换IPX）协议包翻译成IP包以及FDDI到以太网等,执行协议和格式的翻译。
网络执行的任务比路由器和网桥设备执行的功能要复杂的多。有时候路由器就是网关。
电子邮件网关：Sendmail->X.400标准格式->Microsoft Exchange

6.7.6PBX（专用交换分机）

是所有的专用电话交换机。支持数字和模拟信号。
许多公司将调制解调器挂接在PBX上，使得供应商能拨号进入对系统维护访问。
很容易被网络管理员忽略。
网络图

6.7.7防火墙

防火墙能丢弃数据包，重新打包，或对包进行重定向。
DMZ隔离区
防火墙的类型：包过滤、有状态、代理、动态包过滤、内核防火墙
1包过滤防火墙：基于网络级协议首部值作出访问决策的防火墙。配置ACL、控制流进与流出特定网络的流量类型。也叫做：无状态检查防火墙
基本标准：（1）源IP和目的IP（2）源端口与目的端口（3）协议类型（4）进出流量方向
进口过滤、出口过滤
缺点：（1）不能防止攻击利用针对应用程序的脆弱性或功能
（2）日志记录功能有限
（3）不支持高级的用户身份验证方案
（4）不能检测数据包片段攻击
2有状态防火墙：跟踪一个协议连接状态（违反协议规则），存储和更新包内数据的状态和上下文，需要维护状态表。（网络层）
TCP状态全为1时，即为XMAS攻击，目标可能死机或重启
ICMP协议的经典例子：udp为无连接协议，没有首部窗口值，通过ICMP协议来进行控制。
缺点：容易被DoS攻击
3代理防火墙
代理防火墙设在可信任网络和不可信网络之间（中间人方式），断开了通信连接。
1、 配置代理访问网站
2、 防火墙代理接受连接请求（一旦网页被缓存，服务器直接将网页发送用户）
3、 代理代表用户请求网页
4、 Web服务器响应代理服务器的http请求
为每个网络传输都建立两个单独的连接，将双方会话变成四方会话，中间进程模拟两个真正的系统。
电路级代理：工作在会话层，不执行深度检查，类似于包过滤。如SOCKS代理
应用级代理：检查应用层的数据包，他们理解不同的服务和协议以及他们的命令。为每个协议配备一个代理。每个服务配置一个应用级代理。
优点：强大的日志功能、提供身份验证功能、不仅仅在第3层，抵御欺骗和其他复杂攻击。
缺点:不适合高带宽或实时应用、支持新网络和协议能力有限、逐包处理要求，性能问题。
4动态包过滤防火墙（网络层）
在创建连接时添加一个ACL,属于第四代防火墙，可以允许任何类型的流量流出，并且只允许响应流量流入。
5内核代理防火墙（应用层）
第五代防护墙，建立动态的、定制的网络栈。基于代理的防火墙。
当一个数据包达到内核代理防火墙时，防火墙针对该包创建一个新的虚拟网络栈，并只加载必要的协议栈，数据包在栈的每一层都会被检查。
数据链路层、网络层首部、传输层首部、会话层首部等都要评估。所有检查都在内核进行。
6今天的防火墙
7防火墙架构
DMZ架构
堡垒主机:禁用不必要的服务、账户、关闭不必要的端口、删除不用的应用程序、不用的子系统和管理工具。
双宿防火墙：两个接口（1）一个面向外部网络（2）面向内部网络
多宿防火墙：使用不同的DMZ（1）控制不同流量类型，确保http流量只进入web服务器，同时确保DNS进入DNS服务器（2）确保某个DMZ被攻破，攻击者仍然可以访问剩余DMZ系统。
不能只依赖防火墙（1）单点故障（2）缺少纵深防御
被屏蔽主机：一种直接与边缘路由器和内部网络通信的防火墙。此时路由器为屏蔽设备。
被屏蔽子网：在被屏蔽主机架构的基础上添加了一层安全性。（如DMZ）保护的层次越多越安全。
8、虚拟防火墙
一个网络在物理网络上有传统的物理防火墙，在每个虚拟环境内有虚拟防火墙。
9、防火墙须知
最小权原则、伪装、欺骗、DDoS、组包。
片段攻击：IP片段、泪滴攻击、重复片段攻击。
拒绝含有源路由信息的数据包进入网络。（源路由意味着数据包自己决定如何到达目标。）
常见防火墙规则：
（1） 沉默规则（silent）：不对不重要的数据包作出响应，减少日志规模。
（2） 隐形规则：不允许未经授权的系统访问防火墙软件
（3） 清理规则：规则库中的最后一条规则为：放弃并记录任何不符合前面规则的流量。
（4） 否定规则（negate）：用来代替广泛允许的任何规则。
一些不足：（1）使用分布式方法来控制所有网络节点。
（1） 潜在的流量瓶颈和单点故障威胁。
（2） 不能防止恶意软件的侵害
（3） 不能阻止嗅探和恶意的无线接入点。

6.7.8代理服务器

代理服务器介于客户端和服务器之间。首先向代理服务器验证请求是安全的，再向网站发送一个代表用户的请求。还可以缓存之前访问请求所获得的资源
转发代理服务器通常是在内部网络上控制离开网络的流量。（需要指定地址）
反向代理服务器通常是在网络上满足客户请求,处理外部到内部网络的流量.还可以实现负载均衡、加密加速、安全和缓存.（对用户透明）

6.7.9蜜罐

指位于屏蔽子网或DMZ中的计算机。如果一起使用两个或多个蜜罐系统，称为蜜网。
用于识别、定量、定性分析具体的流量类型。
在较小规模内，会使用Tarpits，和蜜罐类似，配置成一个脆弱的服务。
Tarpit：通常配置为模仿脆弱的运行服务的软件。如果受害系统没有响应或响应很慢，自动化攻击会因为协议连接超时而失败。

6.7.10统一威胁管理

单点故障、单点防护、性能问题

6.7.11云计算

结合负载均衡、虚拟化、面向服务架构、应用服务提供、网络融合、分布式计算提出云计算
网络融合：把服务器、存储和网络功能合并到单一的框架中。有助于降低成本和运行复杂度。
基础设施及服务（IaaS）：提供虚拟机、存储器、负载均衡器、网络等。
平台即服务（PaaS）：提供了操作系统、数据库和web服务器平台，作为整体执行环境。
软件即服务（SaaS）：提供特定的应用软件（CRM、电子邮件、游戏等）。