0


七、网络安全

(一)网络安全设计

1、网络安全体系设计

(1)物理安全

通信线路的可靠性、硬软件设备的安全性、设备的备份、防灾害防干扰能力、设备的运行环境、不间断电源

eg机房安全

(2)系统安全

操作系统本身的缺陷(身份认证、访问控制、系统漏洞)、病毒、操作系统的安全配置

eg漏洞补丁管理

(3)网络安全

网络层的身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒

eg入侵检测

(4)应用安全

提供服务所采用的应用软件和数据的安全性,包括web服务、电子邮件系统、DNS

eg数据库安全

(5)管理安全

建立安全管理制度、加强人员管理

2、信息安全五要素

完整性、保密性、可用性、不可否认性、可控性,扩展:可审查性、可鉴别性

3、网络安全基本技术

数据加密:数据按照规则打乱,重新组合

数字签名:证明发送者签发,发送者不可否认,接收者可验证但不能编造或篡改,也可证明完整性

身份认证:验证用户合法性

防火墙:控制内外数据进出,阻挡病毒木马

入侵检测:采用异常检测特征保护网络

网络隔离:内外网络分开使用,eg网闸

(二)网络安全威胁

1、安全攻击类型

类型

定义

攻击的安全要素

中断

攻击计算机或网络系统,使其变得不可用或不能用

可用性

窃取

访问未授权的资源

机密性

篡改

截获并修改资源内容

完整性

伪造

伪造信息

真实性

2、常见网络安全威胁

计算机病毒、蠕虫、木马、僵尸网络、拒绝服务DOS(TCP SYN Flooding)、分布式拒绝服务攻击DDOS、垃圾邮件、SQL注入、跨站攻击、端口欺骗(采用端口扫描找到系统漏洞)、IP欺骗攻击(产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人身份)

防范DOS和DDOS方法:根据IP地址对数据包进行过滤、为系统访问提供更高级别的身份认证、使用工具软件检测不正常的高流量

3、恶意代码命名

名称

前缀

解释

引导区病毒

Boot

感染磁盘引导扇区

DOS病毒

DOSCom

通过DOS操作系统进行传播和负载

蠕虫病毒

Worm

震网病毒(攻击真实世界)、震荡波、欢乐时光、熊猫烧香

木马

Trojan

X卧底(感染智能手机)

后门

Backdoor

文件型或系统病毒

Win32、PE、Win95、W32、W95

感染可执行文件(exe、com)、dll文件,CIH病毒

宏病毒

Macro

感染办公软件

脚本病毒

Script、VBS、JS

恶意程序

Harm

恶作剧程序

Joke

(三)加密算法与信息摘要

1、对称加密算法(共享密钥)

类型

密钥长度

分组长度

安全性

特点

DES数据加密标准

56

64

依赖密钥,受穷举法攻击

速度较快,适用于加密大量数据

3DES三重DES加密

112、168

64

军事及,可抗差值等相关分析

执行3次DES加密,第一、三次加密使用同一密钥密钥长度112位,三次加密使用不同密钥,密钥长度168位

AES高级加密标准

128、192、256

128

安全级别高

速度快

IDEA国际数据加密算法

128

64

能抵抗差分密码分析的攻击

RC4流加密算法第四版

可变

2、非对称加密算法(公开密钥)

RSA、DSA、背包算法、ECC椭圆曲线密码编码学、D-H、Elgamal基于离散对数

RSA

基于大素数分解,可用于数字签名和加密算法

加密体系:公钥加密,私钥解密

签名体系:私钥加密,公钥解密

密钥生成过程:

第一步:选出两个大素数p、q

第二步:令n=p×q,z=(p-1)×(q-1)

第三步:设e为公钥,d为私钥,满足e×d%z=1

3、报文摘要算法

类型

密钥长度

分组长度

MD5信息摘要算法

128

512

SHA安全散列算法

160

512

(四)数字签名技术

1、数字签名

数字签名用于确认发送者身份和消息完整性。

满足三个条件:接收者能够核实发送者,发送者事后不能抵赖,接收者不能伪造签名

2、数字证书

数字证书是对用户公钥的认证,确保公钥可信任性,

  • CA证书颁发机构,CA的私钥对用户的数字证书签名
  • RA证书注册机构
  • X.509:国际电信联盟ITU-T指定的数字证书标准

(五)密钥管理

1、密钥管理体系

(1)KMI:密钥管理基础设施,第三方KDC(密钥分发中心),秘密物理通道,适用于封闭的内网

(2)PKI:公钥基础设施,不依赖秘密物理通道,适用于开放的外网

(3)SPK:适用于规模化专用网

2、Kerberos协议

应用层安全协议。是一项利用一次性密钥和时间戳的认证服务。第四代加时间戳,第五代加序列号。

防重放,保护数据完整性。

使用kerberos协议,用户只需输入一次身份认证信息,就可以凭借此验证获得票据访问多个服务,进行单点登录。

(1)kerberos使用两个服务器:

认证服务器AS:密钥分配中心,同时负责用户的AS注册、分配账号和密码,确认用户,发布用户和TGS之间的会话密钥,类似于税务局

票据授予服务器TGS:发行服务器方的票据,提供用户和服务器之间的会话密钥,类似于公司财务

(2)Kerberos流程

(3)基于Kerberos的网关模型

用户初始登录后,用户名和密码长期保存在内存中,用户登录新应用申请新票据时,系统会自动提取用户名和密码,用户不需要再输入。

3、SET协议安全电子交易协议

采用公钥密码体制和X.509数字证书标准,主要用于保障网上购物信息的安全性

(六)VPN虚拟专用网络

1、VPN特点

  1. 建立在公网上
  2. 虚拟性,没有专用物理连接
  3. 专用性,非VPN用户无法访问

2、VPN四个关键技术

隧道技术、加解密技术、密钥管理技术、身份认证技术

3、VPN三种应用解决方案

  1. 内联网VPN:企业内部用于连通和分布各个LAN
  2. 外联网VPN:企业外部用于实现企业与客户、银行、供应商互通
  3. 远程接入VPN:解决远程用户出差访问企业内部网络

4、VPN在七层协议中使用的技术

5、PPTP点对点隧道协议和L2TP第二层隧道协议对比

  1. PPTP只使用IP网络,L2TP适用各种网络
  2. PPTP只能建立一条隧道,L2TP建立两条
  3. PPTP包头占6字节,L2TP包头占4字节
  4. PPTP不支持隧道验证,L2TP支持

L2TP封装

IP(传输)

UDP(传输)

L2TP(封装)

PPP(承载)

6、IPSec因特网协议安全性

工作在网络层,通过加密与数据源验证来保证数据包传输安全

IPSec包括:

  1. 认证头AH:用于数据完整和数据源认证,防重放,不支持数据加密
  2. 封装安全负荷ESP:提供数据加密、数据完整性确认,辅助防重放
  3. 密钥交换协议IKE:生成分发密钥

IPSec两种工作模式:传输模式和隧道模式

正常数据包

原IP头

TCP

数据

传输模式下的数据包

原IP头

AH

TCP

数据

隧道模式下的数据包

新IP头

AH

原IP头

TCP

数据

7、MPLS多协议标记交换

工作在2.5层

MPLS技术实现核心就是把IP数据包封装在MPLS数据包中,MPLS将IP地址映射为简单、固定长度的标签,根据标签对分组进行转换

(七)SSL、HTTPS

1、SSL安全套接层协议

SSL处于应用层和传输层之间,与TLS传输层安全标准是双胞胎,使用RC4加密算法

SSL协议栈

SSL握手协议

SSL修改密文协议

SSL警告协议

HTTP

SSL记录协议

TCP

IP

SSL和IPSec的区别

IPSec在网络层建立隧道,适用于固定的VPN,SSL通过应用层的web连接建立,适用移动用户远程访问公司的VPN

IPSec工作在网络层,灵活性小,SSL工作在传输层,灵活性大

2、HTTPS安全超文本传输协议

应用于传输层,使用TCP的443端口,SSL+HTTP=HTTPS

3、S-HTTP(已淘汰)

使用TCP的80端口

(七)RADIUS远程用户拨号认证系统

目前应用最广的授权、计费和认证协议

(九)网络隔离

1、防火墙

位于两个或多个网络之间,执行访问控制策略,过滤出数据包的一种软件或硬件设备

(1)防火墙的要求

  1. 所有进出网络的通信流量都必须经过防火墙
  2. 只有内部访问策略授权的通信才能允许通过
  3. 防火墙本身具有很强的高可靠性

(2)防火墙的功能

  1. 主要功能:访问控制功能、内容控制功能、全面的日志功能、集中管理功能、自身的安全功能
  2. 附加功能:流量控制、网络地址转换NAT、虚拟专用网VPN、隐藏内部网络拓扑
  3. 注意:防火墙能进行包过滤、记录访问过程、代理,不能查毒

(3)防火墙的局限性

  1. 控制局限于传输层以下的攻击
  2. 适合小网络隔离,不适合大型、双向访问业务网络隔离
  3. 关闭限制了一些服务,带来不便
  4. 对内部的攻击无能为力
  5. 带来传输延迟单点失效

(4)防火墙分类(按技术)

1.包过滤防火墙(静态访问控制列表ACL、检查源地址、目的地址、协议,不检查有效载荷)

2.代理防火墙

3.状态化包过滤防火墙(动态访问控制列表ACL)

Cisco PIX防火墙中,给定的数字越大,安全级别越高

(5)防火墙的体系结构

  1. 双宿主机模式:防火墙具有两个网卡接口,通过包过滤代理访问网络,根据IP地址和端口号进行过滤。比较简单。
  2. 屏蔽子网模式:又叫过滤子网模式。两个包过滤路由器中间建立一个隔离的子网,定义为DMZ网络,也称为非军事化区域。

(6)防火墙的工作模式

  1. 路由模式:防火墙以第三层对外连接(接口具有IP地址)
  2. 透明模式:防火我通过第二层对外连接(接口无IP地址)
  3. 混合模式:防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP,某些接口无IP)

(7)防火墙的三种接口

  1. 内部接口Inbound:连接内网和内网服务器
  2. 外部接口Outbound:连接外部公共网络
  3. 中间接口DMZ:连接对外开放服务器

安全级别:内部接口>中间接口>外部接口

(8)防火墙的访问规则

  1. 内部接口可以访问任何外部接口和中间接口区域
  2. 中间接口可以访问外部接口区域
  3. 外部接口访问中间接口需配合static(静态地址转换)
  4. 内部接口访问中间接口需配合ACL访问控制列表

2、UTM多重安全网关/统一威胁管理

能做到从网络层到应用层的全面检测

3、VLAN划分

避免了广播风暴,详见无线基础知识

4、人工策略

断开网络物理连接,使用人工方式交换数据,安全性最好

(十)入侵检测

1、IDS入侵检测系统

IDS是位于防火墙之后的第二道安全屏障,包括专家系统、模型检测、简单匹配、漏洞扫描。通过对网络关键点收集信息并分析,检测到违反安全策略的行为和入侵的迹象,做出自动反应,在系统损坏或数据丢失之前阻止入侵者的进一步行动。

部署安装位置:

服务器区域的交换机上

因特网接入路由器之后的第一台交换机上

其他重点保护网段的的交换机上

2、IPS入侵防御系统

IPS是位于防火墙之后的第二道安全屏障。通过对网络关键点收集信息并分析,检测到攻击企图,就会自动将攻击包丢掉或采取措施阻挡攻击源,切断网络。

3、IPS、IDS、防火墙区别

防火墙一般只检测网络层和传输层的数据包,不能检测到应用层的内容

IPS、IDS可以检测字节内容。连接在需要把交换机端口配置成镜像端口上,可以检测全网流量

IDS入侵检测系统通常是并联,不断网

IPS入侵防御系统通常是串联,会断网

标签: 网络

本文转载自: https://blog.csdn.net/wow0524/article/details/129917639
版权归原作者 五五六六0524 所有, 如有侵权,请联系我们删除。

“七、网络安全”的评论:

还没有评论