第四章 网络安全
本章需要掌握的知识点:4.1恶意代码、4.2******及其预防、4.3防火墙应用配置、4.4 ISA Server应用配置、4.5 IDS与IPS、4.6访问控制技术、4.7 ***技术、4.8 企业网络安全隔离、4.9 公钥基础结构、4.10 文件加密和电子签章、4.11 网络安全应用协议、4.12 桌面安全解决方案、4.13 系统安全、4.14 安全审计、4.15 安全管理制度。
4.1 恶意代码
4.1.1 恶意代码的定义与分类
1、恶意代码的定义
恶意代码:未经用户授权便于干扰或破坏计算机系统/网络的程序或代码被称之为恶意软件(Malware)或恶意代码。
恶意代码的特性:具有恶意的目的;自身是计算程序;通过执行发生作用。
2、恶意代码分类
恶意代码包含的种类很多,主要类型有:计算机病毒、网络蠕虫、特洛伊***、后门、DDoS程序、僵尸程序、Rootkit、******工具、间谍软件、广告软件、垃圾邮件、弹出窗体程序等。
(1)计算机病毒:是一段可以通过自我传播的破坏性程序或代码,需用户的干预来触发执行,通常其使用系统的正常功能进行传播。
(2)网络蠕虫:是一段可以通过网络进行自我传播的破坏性程序或代码,不需客户干预来触发执行。通过系统漏洞进行传播,可直接获得对方系统的控制权而自动执行蠕虫代码或程序。
(3)特洛伊***:是一个程序,表面是有用的或善意的目的,实际上掩盖一些隐藏的恶意功能。通常由被控制端和控制端组成,对用户的个人隐私和机密数据造成极大威胁。
(4)后门:是一个允许***者绕过系统中常规安全控制机制的程序,按照***者自己的意图提供通道。重点是为***者提供进入目标计算机的通道。
(5)DDoS程序:分布式拒绝服务(Distributed Denial of Server,DDoS)是指借助于客户端/服务器技术,将多个计算机联合起来作为***平台,对一个或多个目标发动DDoS***,从而成倍地提高拒绝服务***的威力。
(6)僵尸程序(bot):是秘密运行在被控制计算机中、可以接受指定命令和执行指定功能的程序。僵尸程序和命令控制服务器、控制者一起组成的可通信、可控制的网络被称为僵尸网络(Botnet)。
(7)Rootkit:通过修改现有操作系统软件,使***者获得访问权并隐藏在计算机中。
(8)******工具:是指可以用来协助***者***计算机系统的一系列工具的集合。包括:各种扫描器、Exploit和密码嗅探工具。
(9)间谍软件:是一种能够在用户不知情的情况下,在计算机上安装后门、收集用户信息的软件。
(10)广告软件:是指未经用户允许,下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。
(11)垃圾邮件(spam):凡是未经用户许可就强行发送到用户邮箱中的任何电子邮件都是垃圾邮件。
(12)弹出窗体(popups):通常存在于广告或其他商业服务,它出人意料地弹出到你的屏幕上。
4.1.2 常见的恶意代码命名规则
恶意代码的一般命名格式为:
<恶意代码前缀>.<恶意代码名称>.<恶意代码后缀>
4.1.3 典型的恶意代码
1、计算机病毒
计算机病毒是目前恶意代码中数量及种类最多的程序之一。计算机病毒与其他恶意代码最大区别是计算机病毒可以传播。
(1)计算机病毒的特点:传播性、程序性、破坏性、非授权性、隐蔽性、潜伏性、可触发性、不可预见性。
(2)计算机病毒的生命周期:潜伏阶段、传播阶段、触发阶段、发作阶段。
(3)计算机病毒的传播途径:通过软盘、光盘传播;通过移动存储设备传播;通过网络传播;
(4)计算机病毒的多种状态;静态病毒和动态病毒。静态病毒是指存在于辅助存储介质上的计算机病毒;动态病毒是指进入了计算机内存的计算机病毒。
(5)Windows 环境下的几类常见计算机病毒;Windows PE病毒;脚本病毒;宏病毒;
2、网络蠕虫
网络蠕虫由于不需要用户干预来触发,其传播速度要远远大于网络病毒。
(1)计算机病毒与蠕虫的区别:
(2)基本功能模块:目标搜索或生成模块;***模块;传输模块
(3)扩展功能模块:主机驻留模块;隐藏模块;破坏模块;通信模块;控制模块。
3、特洛伊***
是指附着在应用程序中或者单独存在的一些恶意程序,可利用网络远程控制另一端的安装有服务端程序的主机。***是一种远程管理工具,类似于远端管理软件。***一般远程管理软件的区别在于***具有隐蔽性和非授权性的特性。***程序一般利用TCP/IP协议,采用C/S结构。
4、后门
后门是指那些绕过安全性控制而获取对程序或系统访问权的程序。后门就是就在计算机系统中,供特殊使用者通过某种特殊方式控制计算机系统的途径。
5、网页***
实际上是经过***精心制作的HTML网页文件,用户一旦访问了该网页就会中***。
6、Rootkit程序:所采用的大部分技术和技巧都用于在计算机上隐藏代码和数据。其他特性是用于远程访问和窃听。
7、Exploit与ShellCode
Exploit是一个小程序,可以触发一个软件漏洞并为***者所利用。包含两个部分:用来触发并利用对方系统漏洞的代码和另一段被称为ShellCode的代码。Exploit分为本地和远程。本地Exploit多用来提升权限。远程Exploit多用于发动拒绝服务***或者获得目标主机的控制权。
ShellCode是用来执行shell的字节码。
8、******程序
******程序由于可能对电脑用户的电脑安全造成威胁,因此被各大杀毒软件厂商纳入病毒查杀范围。
9、流氓软件
流氓软件也称灰色软件,是一种介于正常软件和恶意代码之间的软件。通常是由合法公司发布,主要用于商业目的。不会对系统造成破坏但会影响客户使用。流氓软件特点:强制安装、难以卸载、浏览器劫持、广告弹出、恶意手机客户信息、恶意卸载、恶意捆绑、其他侵犯用户知情权和选择权的恶意行为。
4.1.4 典型反病毒技术和常用反病毒软件
1、典型反病毒技术介绍
目前典型的反病毒技术有:特征码技术、虚拟机技术、启发扫描技术、行为监控技术、主动防御技术和病毒疫苗等。
(1)特征值查毒法:特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。核心是从病毒体中提取病毒特征值构成病毒特征库。
(2)检验和技术:计算正常文件的内容和正常的系统扇区的校验和,将该校验和写入数据库中保持。
(3)启发式扫描技术:主要是分析文件中的指令序列,根据统计知识,判断该文件可能感染或者可能没有感染,从而可能找到未知的病毒。
(4)虚拟机:该技术称为软件模拟法,是一种软件分析器,用软件方法来模拟和分析程序的运行。
(5)行为监控技术:是指通过审核应用程序的操作来判断是否有恶意(病毒)倾向并向用户发出警告。
(6)主动防御技术:是指以“程序行为自主分析判定法”为理论基础,其关键是从反病毒领域普遍遵循的计算机病毒的定义出发,采用动态仿真技术,依据专家分析程序行为、判定程序性质的逻辑,模拟专家判定病毒的机理,实现对新病毒提前防御。
4.2 ******及其预防
4.2.1 ***和******
***(Hacker)有褒贬二重的含义。褒义方面讲:***特指一些特别优秀的程序员或技术专家。他们有一条准则是:永不破坏任何系统。贬义方面讲:***是一些蓄意破坏计算机和电话系统的人。
1、信息的收集
(1)网络监测:一类快速检测网络中电脑漏洞的工具。包括嗅探应用软件,能够在电脑内部或通过网络来捕捉传输过程中的密码等数据信息。
(2)社会工程:运用操纵技巧来获取信息。
(3)公共资源和垃圾:从公开的广告资料甚至是垃圾中收集信息。
(4)后门工具:这是一些工具包。用来掩盖计算机安全已受到威胁的事实。
2、******方式
***主要的***方式:(1)拒绝服务***;(2)缓冲区溢出***;(3)漏洞***;(4)欺骗***。
4.2.2 拒绝服务***与防御
拒绝服务***DOS(Denial of Service)是由人为或非人为发起的行动,使主机硬件、软件或者两者同时失去工作能力,使系统不可访问并因此拒绝合法的用户服务要求。要对服务器实施拒绝服务***,有两种思路:(1)服务器的缓冲区慢,不接收新的请求;(2)使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。这也是Dos***实施的基本思想。
1、传统拒绝服务***分类:内部用户长期占用资源的***;外部***可以通过占用网络连接进行***;
2、分布式拒绝服务***DDoS
分布式拒绝服务DDoS(Distributed Denial of Service)***是对传统DOS***的发展,***者侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务***。分布式拒绝服务***的隐蔽性更强。
3、拒绝服务***的防御方法
(1)加强对数据包的特征识别;(2)设置防火墙监视本地主机端口的使用情况;(3)对通信数据量尽心统计也可获得有关***系统的位置和数量信息。(4)尽可能的修正已经发现的问题和系统漏洞。
4.2.3 缓冲区溢出***与防御
缓冲区溢出***是一种通过往程序的缓冲区写超出其长度的内容,造成缓冲区溢出,从而破坏程序的堆栈,使程序转而执行其他预设指令,以达到***目的的***方法。
1、缓冲区溢出***原理
缓冲区是计算机内存中的一个连续块,保存了给定类型的数据。缓冲区溢出***的基本原理是向缓冲区中放入超长的、预设的内容,导致缓冲区溢出,覆盖其他正常的程序或数据,然后让计算机转去运行这种预设的程序,达到执行非法操作、实现***的目的。
2、缓冲区溢出实例
通常,一个程序在内存中分为程序段、数据段和堆栈三部分。程序段里放着程序的机器码和只读数据;数据段放程序中的静态数据;动态数据则通过堆栈来存放。
3、缓冲区溢出***的防御
缓冲区溢出***的防范是和整个系统的安全分不开。
(1)系统管理上的防范策略;(2)软件开发过程中的防范策略。
4.2.4 程序漏洞***与防御
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使***者能够在未授权的情况下访问或破坏系统。
1、Web程序漏洞***与防御
(1)CGI漏洞***:CGI既公共网关接口,在Web服务器上定义了Web客户请求与应答的一种方式,是外部扩展应用程序与WWW服务器交互的一个标准接口。导致CGI漏洞***的情况:配置错误、边界条件错误、访问验证错误、来源验证错误、输入验证错误、异常情况处理失败、策略错误。
(2)SQL注入***:用户可以提交一段数据库查询代码,根据程序返回的结果获得某些他想得知的数据,这就是所谓的SQL注入。SQL注入***的过程包括:发现SQL注入位置、判断后台数据库类型、确定XP_CMDSHELL可执行情况、发现Web虚拟目录、上次ASP***、得到管理员权限。
2、TCP/IP漏洞
这种***主要利用TCP/IP协议实现中的处理程序错误实施拒绝服务***,即故意错误地设定数据包头的一些重要字段,是用Raw Socket将这些错误的IP数据包发送出去。这些***包括Ping of Death***、Teardrop***、Winnuke***以及Land***等。
(1)Ping of Death***
根据TCP/IP协议的规范,一个包的长度最大为65536字节。尽管一个包的长度最大不能超过5536字节,但是一个包分成多个片段的叠加去能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death***,该***会造成主机死机。
(2)Teardrop***:就是利用IP包的分段/重组输在系统实现中的一个错误,既在组装IP包时只检查了每段数据是否过长,而没有检查包中有效数据的长度是否过小。
(3)Winnuke***:针对Windows系统上一般都开放的139端口,这个端口由NetBIOS使用。只要往该端口发送1字节TCP OOB数据,就可以使Windows系统出现“蓝屏”错误,而且网络功能全部瘫痪。
(4)Land***:是一个十分有效的***工具、对当前流行的大部分操作系统及一部分路由都具有相当的***能力。
4.2.5 欺骗***与防御
1、ARP欺骗
(1)ARP欺骗原理
ARP原理:某机器A要向主机C发送报文,会查询本地的ARP缓存表,找到C的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播一个ARP请求报文(携带主机A的IP地址Ia-物理地址),请求IP地址为为Ic的主机C回答物理地址Pc。网上所有主机包括C都收到ARP请求,但只有主机C识别自己的IP地址,给A发回一个ARP响应报文,A收到C的应答后,就会更新本地ARP缓存。本地高速缓存的这个ARP表示本地网络流通的基础,而且这个缓存是动态的。
(2)ARP欺骗的防范措辞
1、在winxp下输入命令 arp-s gate-way-ip gate-way-mac 固化arp表,阻止arp欺骗
2、使用ARP服务器,确保ARP服务器不被黑;
3、采用双向绑定的方法解决并且防止ARP欺骗;
4、ARP防护软件——ARP Guard。
2、DNS欺骗
DNS欺骗是一种比较常见的***手段。
(1) DNS欺骗原理:首先是冒充域名服务器,然后把查询的IP地址设为***者的IP地址,用户上网就是只能看到***者的主页,而不是用户想要看到的网站主页。
(2) DNS欺骗的检测:根据检测手段的不同,将其分为被动监听检测、虚假报文探测和交叉检查查询三种。
被动监听检测:通过旁路监听的方式,捕获所有DNS请求和应答数据包,并为其建立一个请求应答映射表。
虚假报文探测:采用主动发送探测包的手段来检测网络内是否存在DNS欺骗***者。
交叉检查查询:在客户端收到DNS应答之后,向DNS服务器反向查询应答包中返回的IP地址对应的DNS名字,如果二者一致说明没有受到***,否则说明被欺骗。
(3) IP欺骗:通过编程的方法可以随意改变发出的包的IP地址。预防IP欺骗***可以删除UNIX中所有的/etc/hosts.equiv、$HOME/.rhosts文件,修改/etc/inetd.conf文件,使得RPC机制无法应用。另外,还可以通过设置防火墙过滤来自外部而信源地址却是内部IP的报文。
4.2.6 端口扫描
端口扫描时***者搜集信息的几种常见手法之一,也最容易使***者暴露自己的身份和意图。
端口扫描有如下目的:判断目标主机上开放了哪些服务;判断目标主机的操作系统。
(1) 端口扫描原理:端口是专门为计算机通信而设计的,不是硬件,不同于计算机中的“插槽”,是一个“软插槽”。一个计算机中有上万个端口。
(2) 扫描原理分类:全TCP连接:这种扫描方法使用三次握手,与目标计算机建立标准的TCP连接;半打开式扫描(SYN扫描):扫描主机自动向目标计算机的指定端口发送SYN数据段;FIN扫描:依靠发送FIN来判断目标计算机的指定端口是否活动;第三方扫描:利用第三方主机来代替***者进行扫描。
4.2.7、强化TCP/IP堆栈以抵御拒绝服务***
1、同步包风暴(SYN Flooding):是当前最流行的DoS与DDoS的方式之一。
2、ICMP***:ICMP协议是TCP/IP协议集中的一个子协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。
3、SNMP***:SNMP是TCP/IP网络中标准的管理协议,允许网络中的各种设备和软件,包括交换机、路由器、防火墙、集线器,甚至操作系统,服务产品和部件等,能与管理软件通信,汇报其当前的行为和状态。SNMP还能被用于控制这些设备和产品,重定向通信流。
4.2.8、系统漏洞扫描
系统漏洞扫描是对重要计算机信息系统进行检查,发现其中可能被***利用的漏洞。
1、 基于网络的漏洞扫描:通过网络来扫描远程计算机中的漏洞。
2、 基于主机的漏洞扫描:通常在目标系统上安装一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。
优点:扫描漏洞多;集中化管理;网络流量负载小。
4.3 防火墙应用配置
4.3.1 防火墙技术概述
1、防火墙的定义
防火墙是设置在两个或多个网络之间的安全阻隔,用于保证本地网络资源的安全,通常是包含软件部分和硬件部分的一个系统或多个系统的组合。
防火墙一般安放在被保护网络的边界,必须做到以下几点:(1)所有进出被保护网络的通信都必须通过防火墙;(2)所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权;(3)防火墙本身是不可侵入的。
2、防火墙的分类及技术
(1)按防火墙的软硬件形式分类:防火墙可以分为硬件防火墙(预装有软件的硬件设备)、软件防火墙(能够安装在操作系统和硬件平台上的防火墙软件包)和嵌入式防火墙(内嵌与路由器或交换机的防火墙)。
(2)按防火墙采用的技术分类:包过滤型防火墙(工作在OSI网络参考模型的网络层和传输层,根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许数据包通过);应用层网关防火墙(在OSI/RM应用层上建立协议过滤和转发功能);代理服务型防火墙(是针对数据包过滤和应用层网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。)
4.3.2、防火墙体系结构
防火墙体系结构主要有三种形式:双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。
堡垒主机:指可能直接面对外部用户***的主机系统,在防火墙体系结构中,特指那些处于内部网络的边缘,并且暴露于外部网络用户面前的主机系统。
双重宿主主机:指通过不同网络接口接入多个网络的主机系统
周边网络:指在内部网络、外部网络之间增加的一个网络,一般来说,对外提供服务的各种服务器都可以放在这个网络里。
1、 双重宿主主机体系结构:是指以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。
2、 被屏蔽主机体系结构:指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内部、外部网络的隔离和对内网的保护。
3、 被屏蔽子网体系结构:将防火墙的概念扩充至一个由两台路由器包围起来的特殊网络——周边网络(DMZ区),并且将容易受到***的堡垒主机都置于这个周边网络中。
4、 其他体系结构:合并内部和外部路由器;合并堡垒主机和外部路由器;合并堡垒主机和内部路由器;多台内部路由器;多台外部路由器;多个周边网络。
4.3.3 分布式防火墙技术
1、分布式防火墙技术产生的背景
传统的边缘防火墙只对企业网络的周边提供保护。边缘防火墙对从外部网络进入企业内部局域网的流量进行过滤和审查,并不能确保企业内部网络之间的安全访问。60%的***和越权访问来自内部。
2、分布式防火墙的结构
分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护,按功能划分为:
网络防火墙(Network Firewall):是用于内部网与外部网之间,以及内部网各子网之间的防护。
主机防火墙(Host Firewall):用于对网络中的服务器和桌面机进行防护,达到应用层的安全防护,比起网络层更加彻底。
中心管理系统(Central Management System):是分布式防火墙管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。
3、分布式防火墙的主要特点:主机驻留、嵌入操作系统内核、安全策略的统一管理与部署。
4、分布式防火墙的主要优势:增强了系统安全性、提高了系统性能、系统的扩展性、实施主机策略、应用更为广泛,支持***通信。
4.3.4、防火墙应用规则
硬件防火墙在网络中的应用主要有:(1)控制因特网用户对内部网络的访问;(2)控制局域网内部不同部门网络之间的访问;(3)控制对服务器中心的网络访问。
1、企业网络体系结构
(1)在企业网络体系结构中,通常有三个区域:(1)边界网络:通过路由器直接面向Internet,以基本网络通信筛选的形式提供初始层面的保护。(2)外围网络:通常称为DMZ或边缘网络,将用户连接到Web服务器或其他服务器。(3)内部网络:连接各个内部服务器(企业OA服务器、数据库服务器、ERP服务器和PDM服务器)和内部用户。
(2)企业组织中的防火墙及其功能:常常有两个不同的防火墙——外围防火墙和内部防火墙。外围防火墙主要提供对不受信任的外部用户的限制;内部防火墙主要防止外部用户访问内部网络并且限制内部用户可以执行的操作。
(3)选择防火墙时要考虑的因素:(1)预算方面的考虑;(2)现有设备的考察;(3)可用性的考虑;(4)可扩展性的考虑;(5)所需功能的考虑。
2、控制因特网用户对内部网络的访问
控制因特网用户对内部网络的访问是防火墙的一种最基本、最广泛的应用。
(1)网络结构中划分不同的安全级别:(1)内部网络:包括全部的企业内部网络设备及用户主机;(2)外部网络:包括外部因特网用户主机和设备。这个区域为防火墙的非可信网络区域;(3)DMZ区域:是从企业内部网络中划分出来的一个逻辑区域,其中包括内部网络中用于公众服务的外部服务器,如Web服务器、邮件服务器、FTP服务器和外部DNS服务器等,都是为因特网公众用户提供某种信息服务。
(2)设置安全策略:根据用户需求,对不同的安全区域设置不同的安全策略。对于大部分内部网络,一般情况下禁止所有来自因特网用户的访问;对于DMZ区,在一定程度上,没有内部网络限制那么严格,如Web服务器通常允许任何人进行正常的访问。必要时可在防火墙中配置NAT对外屏蔽内部网络结构。
3、控制内部网络不通部门之间的访问:一种方法是通过配置VLAN实现逻辑隔离;另一种有效的方法是采用防火墙进行隔离。通过防火墙隔离后,尽管同属于一个内部局域网,但其他用户的访问需要经过防火墙的过滤,符合条件的用户才能访问。在防火墙中可以设置ACL(访问控制列表)允许那些用户可以访问。
4、控制对服务器中心的网络访问:一个服务器中心需要对第三方(合作伙伴、因特网用户)开放,归属于不同的用户,其安全策略各不相同。需分别设置DMZ。可以有两种实施方案:(1)为每个企业用户的服务器或服务器群单独配置一个独立的防火墙;(2)采用虚拟防火墙方式,利用可网管交换机的VLAN(虚拟局域网)功能,为每一台连接在交换机上的企业用户服务器群配置成一个单独的VLAN子网,通过高性能防火墙针对每个VLAN子网配置过滤策略和安全规则,相当于将一个高性能防火墙划分为多个虚拟防火墙。
4.3.5、内部防火墙系统应用设计
1、网络上的用户分类:(1)信任用户:(指企业的雇员);(2)部分信任用户(指企业的业务合作伙伴);(3)不信任用户:(外部网络用户)。
2、防火墙的类别选择及考虑事项:
3、内部防火墙规则
内部防火墙监视外围区域和信任的内部区域之间的通信。内部防火墙规则如下:(1)默认情况下,阻止所有数据包;(2)在外围接口上,阻止看起来好像来自内部IP地址的传入数据包,以阻止欺骗;(3)在内部接口上,阻止看起来好像来自外部IP地址的传出数据包,以限制内部***;(4)允许从内部DNS服务器到DNS解析程序Bastion主机的基于UDP的查询和响应;(5)允许从DNS解析程序Bastion主机到内部DNS服务器的基于UDP的查询和响应;(6)允许从内部DNS服务器解析程序Bastion主机的基于TCP的查询,包括对这些查询的响应;(7)允许从DNS解析程序Bastion主机到内部DNS服务器的基于TCP的查询,包括对这些查询的响应。(8)允许DNS广告商Bastion主机和内部DNS服务器主机之间的区域传输;(9)允许从内部SMTP邮件服务器到出站SMTP Bastion主机的传出邮件;(10)允许从入站SMTP Bastion主机到内部SMTP邮件服务器的传入邮件;(11)允许来自***服务器后端的通信到达内部主机并且允许响应返回到***服务器;(12)允许验证通信到达内部网络上的RADIUS服务器并且允许响应返回到***服务器;(13)来自内部客户端的所有出站Web访问将通过代理服务器,并且响应将返回客户端;(14)在外围域和内部域的网段之间支持Windows server 2000/2003域验证通信;(15)至少支持5个网段,在所有加入的网段之间执行数据包的状态检查;(16)支持高可用×××,如状态故障转移;(17)在所有连接的网段之间路由通信,而不使用网络地址转换。
4、内部防火墙的可用性需求:(1)没有冗余组件的单一防火墙;(2)具有冗余组件的单一防火墙,具有容错功能,提高了可用性;(3)容错防火墙集——防火墙冗余对;
5、内部容错防火墙集配置:(1)“主动/被动内部容错防火墙集”:一个设备(也称为活动节点)将处理所有通信,而另一个设备(被动节点)既不转发也不执行筛选,只是保持活动;(2)“主动/主动内部容错防火墙集”:两个或多个节点主动侦听发送到每个节点共享的虚拟IP地址的所有请求,与服务器双机容错方案中的“热备份”。
6、内部防火墙系统设计的其他因素要求:安全性、可伸缩性、整合、标准的支持。
4.3.6、外围防火墙系统应用设计
(外围防火墙系统与内部防火墙系统相似)
4.3.7、防火墙与DOS/DDoS
DoS/DDoS***是一种非常有效的进攻方式,能够利用大量的服务请求来占用过多的服务资源,从而使合法用户无法得到正常服务。常见的DoS/DDoS***可以分为两大类:一类是针对系统或协议漏洞的***,如ping of Death、TearDrop等;另一类***是消耗计算机或网络中匮乏的、有限的资源,如占用大量网络带宽,如:UDP flood、SYN flood和ICMP flood等。
1、防火墙抵御DoS/DDoS***原理:(1)基于状态的资源控制,保护防火墙资源;(2)智能TCP代理有效防范SYN Flood;(3)利用Netflow对Dos***和病毒进行监测。
2、防火墙抵御DoS/DDoS***配置示例
(1)资源控制的配置
当TCP半连接达到最高水位线时,防火墙开始清除超过的半连接,一直清到最低水位线为止。TCP每分钟半连接也是一样的处理机制。
(2)限制主机的最大连接数
(3)适应特殊主机的需求
网络内部存在一些特殊连接需求的主机,连接请求超过一般主机,需对这些特殊的主机执行特殊的流限制。
(4)对服务器资源的保护
通过IP Inspect对目的主机的保护,主要用于对内部主机保护的情况。如果需要保护DMZ区域的服务器资源,采用以下配置:
3、使用防火墙防御SYN Flood***
(1)两种主要类型防火墙的防御原理
应用代理防火墙的防御方法:
包过滤防火墙的防御方法:
(2)防御SYN Flood***的防火墙设置
针对SYN Flood***,防火墙通常有三种防护方式:SYN网关、被动式SYN网关和SYN中继。
4.4 ISA Server应用配置
(无知识考点)
4.5 IDS与IPS
4.5.1、***检测系统概述
1、IDS的定义
***检测系统(Intrusion Detection System,IDS)是一种主动保护自己,使网络和系统免遭非法***的网络安全技术,依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种***企图、***行为或***结果,以保证网络系统资源的机密性、完整性和可用性。
2、IDS的作用:
3、IDS的组成
一个IDS系统通常由探测器(Sensor)、分析器(Analyzer)、响应单元(Response Units)和事件数据库(Event Database)组成。
4、IDS的类型及技术
(1)根据数据来源和系统结构的不同,***检测系统可以分为基于主机、基于网络和混合性***检测系统三类。
基于主机的***检测:在被重点监测的主机上运行一个代理程序,用于监视、检测对于主机的***行为,通知用户并进行响应。
基于网络的***检测:数据源是网络上的数据包,在这种类型的***检测系统中,将一台机器的网卡设置与混杂模式,监听所有本网段内的数据包并进行判断。
混合型式基于主机和基于网络的***检测系统的结合,为前两种方案提供了互补。
(2)根据***检测所采用的技术,分为异常检测和误用检测两类。
异常检测(Abnormal Detection)能够根据异常行为和使用计算机资源的情况监测出***。
4.5.2 ***检测系统实例
(本节无考点)
4.5.3 ***防御系统
1、***防御系统概述
***防御系统(Instrusion Prevention System,IPS)提供主动、实时的防护,其设计旨在对网络流量中的恶意数据包进行检测,对***性的流量进行自动拦截,使它们无法造成损失。
IPS系统根据部署方式可以分为三类:基于主机的***防护(HIPS)、基于网络的***防护(NIPS)和应用***防护(AIP)
从IPS的功能模式来看,必须具备如下技术特征。
2、***防御系统的原理
IPS是通过直接嵌入到网络流量中来实现这一功能,通过一个端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。
3、 IPS的检测技术:(1)基于特征的匹配技术;(2)协议分析技术;(3)抗DDoS/DoS技术;(4)智能化检测技术;(5)蜜罐技术。
4、 IPS存在的问题:(1)单点故障;(2)性能瓶颈;(3)误报率和漏报率;(4)规则库更新。
4.6 访问控制技术
4.6.1 访问控制技术概述
访问控制的目的是为了保护企业在信息系统中存储和处理的信息的安全。
1、访问控制的基本模型
访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素:主体、客体和控制策略。主体:是可以对其他实体施加动作的主动实体;客体:是接受其他实体访问的被动实体;控制策略(KS):是主体对客体的操作行为集合约束条件集。
访问控制的实现首先要考虑对合法用户进行验证,然后是对控制策略的选用与管理,最后要对没有非法用户或是越权操作进行管理。所以,访问控制包括认证、控制策略实现和审计三方面。
2、访问控制的实现技术
(1)访问控制矩阵(Access Control Matrix,ACX)是通过矩阵形式表示访问控制规则和授权用户权限的方法。
(2)访问控制表(Access Control Lists,ACLs)是系统中每一个有权访问这个客体的主体的信息。
(3)能力表(Capabilities Lists)每个主体有一个能力表,是该主体对系统中每一个客体的访问权限信息。使用能力表实现的访问控制系统可以很方便地查询某一个主体的所有访问权限。
(4)授权关系表:对应访问矩阵中每一个非空因素的实现技术——授权关系表(authorization relations)。
3、访问控制表介绍
访问控制列表是路由器接口的指令列表,用来控制端口进出的数据包。
(1)ACL的作用:(1)可以限制网络流量、提高网络性能;(2)提供对通信流量的控制手段;(3)是提供网络安全访问的基本手段;(4)可以在路由器端口处决定那种类型的通信流量被转发或被阻塞。
(2)ACL的执行过程:
(3)ACL的分类:标准ACL和扩展ACL。标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。
(4)ACL配置
4.6.2 传统访问控制技术
1、自主型访问控制:允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。自主访问控制又称为任意访问控制。
2、强制型访问控制(Mandatory Access Control Model,MAC Model):是一种多级访问控制策略,主要特点是系统对访问主体和受控对象实行强制访问控制。
4.6.3基于角色的访问控制技术
基于角色的访问控制(Role-based Access,RBAC)模型的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。
4.6.4 基于任务的访问控制模型(Task-based Access Control Model,TBAC Model)是从应用和企业层角度来解决安全问题,以面向任务的观点,从人物的角度来建立安全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理。
4.7 ***技术
***(Virtual Private Network,虚拟专用网)是指利用公共网络建立私有专用网络。
4.7.1 IPSec
IPSec协议是Internet工程任务组为保证IP及其上层协议的安全而制定的一个开放安全标准,IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证头(Authentication Header,AH)协议、封装安全载荷(Encapsulating Security Payload,ESP)协议、密钥管理(Internet Key Exchange,IKE)协议和用于网络认证及加密的一些算法等。
1、IPSec 协议体系结构
IPSec体系结构的第一个主要的部分是安全结构。IPSec使用两个协议提供数据包的安全:认证头和封装安全载荷。AH协议支持访问控制、数据源认证、无连接的完整性和抗重放***。ESP协议提供访问控制、数据机密性、无连接的完整性、抗重放***和有限的通信流机密性等安全服务。AH协议和ESP协议都是接入控制的手段,建立在加密密钥的分配和这些安全协议相关的通信流量管理的基础上。
对于IPSec数据流处理而言,有两个必要的数据库:安全关联数据库(Securtiy Association Database,SAD)和安全策略数据库(Security Policy Database,SPD)。SAD包含活动的SA参数;SPD指定了用于到达或者源自特定主机或者网络的数据流的策略。对于SPD和SAD,都需要单独的输入和输出数据库。
2、安全关联
安全管理(Security Association,SA)是IPSec的基础,是两个应用IPSec系统(主机、路由器)间的一个单向逻辑连接,是安全策略的具体化和实例化,它提供了保护通信的具体细节。
3、安全策略
IPSec提供的具体服务内容是由系统的安全策略决定的。策略位于安全检查规范的最高一级,是决定系统的安全要素。安全策略定义了系统中哪些行为是允许的,哪些是不允许的。IPSec协议体系中包括一个安全策略数据库,对安全策略应包的一些属性进行了概念性的描述,但并没有规定安全策略的具体字段、如何表达等。
4、AH和ESP
IPSec基本协议包括AH和ESP。
(1) AH协议:提供数据源认证、数据完整性和反重放保证。AH的工作原理是在每一个数据包上添加一个身份验证报头。
(2) ESP协议:提供数据保密、数据源认证、无连接完整性、抗重播服务和有限的数据流保密。
4.7.2 MPLS ***
基于MPLS的***是***的一种解决方案。在MPLS中,网络供应商为每个***提供一个唯一的***标识符(***-ID),称之为路由识别符(Route Distinguisher,RD),这个标识符在服务提供商的网络中是独一无二的。转发表中包括一个独一无二的地址,叫作***-IP地址,是由RD和用户的IP地址连接形成。每一个***用户只能与自己的***网络中的成员进行通信,且只有***的成员才有权进入该***。
4.7.3、VPDN
虚拟专用网(Virtual Private Dialup Network,VPDN)是基于拨号用户的虚拟专用拨号网业务,利用IP网络的承载功能,结合相应的认证和授权机制,可以建立安全的虚拟专用网络。VPDN利用隧道技术,通过在公用网络上建立逻辑隧道、网络层的加密以及采用口令保护、身份验证、权限设置、防火墙等措施,保证数据的完整性,避免被非法窃取。
VPDN的技术核心主要在于隧道技术和安全技术,网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。
***可以分为拨号***和专线***。而拨号***又可分为客户发起的VPDN和NAS发起的VPDN。
4.8、企业网络安全隔离
4.8.1、网络隔离技术概述
网络隔离(Network Isolation)技术的目标是确保把有害的***隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。主要形式有:物理隔离、协议隔离和***隔离等。
4.8.2、划分子网隔离
子网划分是进行网络隔离的常用办法,子网划分不仅仅是为了子网隔离,可能是为了减轻系统的拥堵状况、方便使用多种媒体介质、方便查找网络错误、限制广播信息传播范围等。
4.8.3、VLAN隔离
1、VLAN隔离的概念
VLAN是一种划分相互隔离子网的技术,通过将网内设备逻辑地而不是物理第划分成一个个网络从而实现虚拟工作组。VLAN一方面为了避免当一个网络系统的设备数量增加到一定规模后,大量的广播报文消耗大量的网络带宽,从而影响有效数据的传递;另一方面确保部分安全性比较敏感的部门不被随意访问浏览。
2、VLAN隔离的作用和优点
VLAN隔离技术的缺点:要求管理员必须明确交换机的每一个物理端口上所连接的设备的MAC地址或者IP地址,根据需求划分不同的工作组并对交换机进行配置。
VLAN的优点:(1)增加了网络的连接灵活性;(2)控制网络上的安全;(3)增加网络的安全性;
3、VLAN隔离技术的分类:(1)基于端口的VLAN;(2)基于MAC地址的VLAN;(3)基于第三层的VLAN;(4)基于策略的VLAN。
4.8.4 、逻辑隔离
1、防火墙:是通过提供访问控制服务来实现对内部网络的安全防护的,在Internet上得到广泛的应用。防火墙技术不仅可融入加密传输技术和认证技术,而且可结合安全协议,以提供更高的网络安全。
2、多重安全网关:也称为UTM(统一威胁管理),实现从网络层到应用层的全面检查。多重安全网关的检查分为如下几个层次:(1)FW:网络层的ACL;(2)IPS:防***行为;(3)AV:防病毒***;(4)可扩充功能:自身放DoS***、内容过滤和流量×××等。
3、交换网络:是在两个隔离的网络之间建立一个网络交换区域,负责数据的交换。交换我那个了的两端可以采用多重网关,也可以采用网闸。
4.8.5、物理隔离
1、物理隔离的概念
物理隔离的原理是:每一次数据交换,物理隔离都经历了数据的写入、数据读出两个过程;内网与外网(或内网与专网)永不连接;内网和外网(内网与专网)在同一时刻最多只有一个同物理隔离设备建立非TCP/IP协议的数据连接。
2、物理隔离技术的发展
物理隔离的发展先后经历了5代隔离技术:(1)完全隔离;(2)硬件卡隔离;(3)数据转播隔离;(4)空气开关隔离;(5)安全通道隔离。
4.9 公钥基础结构
4.9.1、公钥密码
1、公钥密码的思想
PKI所依赖的核心思想是公钥密码。公钥算法是基于数学函数而不是基于替换和置换。公钥密码学是非对称的,依赖于一个公开密钥和一个与之在数学上相关但不相同的私钥,且根据密码算法和公开密钥来确定私钥在计算上是不可行。公开密钥用加密和签名认证,私钥则对应地用于解密和签名。
2、公钥加密算法
3、数字签名算法
数字签名是利用一套规则和一个参数集对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性,这里的数据计算通常是密码变换。
4.9.2 PKI组成
1、PKI的概念
公钥基础设施(Public Key Infrastructure,PKI)是一个采用公钥概念和技术来提供安全服务的具有普适性的安全基础设施,是目前网络安全建设的基础与核心。PKI由公开密钥密码技术、数字证书、证书发放机构和关于公开密钥的安全策略等基本成本共同组成的。
PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性和有效性。
4.10 文件加密和电子签章
4.10.1 文件加密技术
文件加密是一种常见的密码学应用。文件加密技术是密码技术、操作系统、文件分析技术的结合。利用以上技术,文件加密主要包括以下内容:(1)文件的内容加密,通常采用二进制加密的方法;(2)文件的属性加密;(3)文件的输入输出和操作工程的加密,即动态文件加密。
4.10.2 EFS概述
加密文件系统(Encrypting File System,EFS),与NTFS紧密集成,给敏感数据提供深层保护。当文件被EFS加密后,只有加密用户和数据恢复代理用户才能解密加密文件,其他用户即使取得该文件的所有权也不能解密。
4.10.3 电子印章的概念
电子签章(electronic signature)也叫电子签名。从法律角度,所谓电子签章,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据;从技术角度,电子签章泛指所有以电子形式存在,依附在电子文件并与其逻辑关联,可用以辨识电子文件签署者身份,保证文件的完整性,并表示签署者同意电子文件所陈述事实的内容。
4.10.4 数字签名
1、可用的数字签名的条件:(1)签名是可信的;(2)签名不可伪造;(3)签名不可重用;(4)签名的文件是不可改变的;(5)签名是不可抵赖的。
4.10.6 数字水印技术
1、数字水印的概念和原理
数字水印是一种有效的数字产品版权和数据安全维护技术,是信息隐藏技术研究领域的一个重要分支,也是电子签章的主要技术之一。它用信号处理的方法在数字化的多媒体数据中嵌入隐藏的标记,这种标记通常是不可见的,只有通过专用的检测器或阅读器才能提取。
2、数字水印的特征和分类
数字水印应具备的特征:(1)不可感知性,或隐蔽性;(2)隐藏位置的安全性;(3)鲁棒性;
数字水印技术可以从不同的角度进行划分:
(1) 按特性划分:分为鲁棒数字水印和脆弱数字水印两类。
(2) 按水印所附载的媒体划分:图像水印、音频水印、视频水印、文本水印以及用于三维网格模型的网络水印等。
(3) 按检测过程划分:可以将数字水影划分为明文水印和盲水印。
(4) 按内容划分:可以将水印划分为有意义水印和无意义水印。
(5) 按用途划分:可以将数字水印划分为票据防伪水印、版权保护水印、篡改提示水印、隐藏标识水印。
4.10.7 密钥管理
1、密钥生产
密钥在概念上被分成两大类:数据加密密钥(DK)和密钥加密密钥(KK)。前者直接对数据进行操作,后者用于保护密钥,使之通过加密而安全传递。
密钥生产需要考虑的因素:(1)增大密钥空间;(2)选择强钥;
(3)密钥的随机性。
2、对称密钥分配
密钥分配需要解决的问题:一是引进自动分配密钥机制,以提高系统的效率;二是尽可能减少系统中驻留的密钥量。
4.11 网络安全应用协议
4.11.1 SSL协议
1、SSL协议概述
SSL协议是网景公司提出的基于Web应用的安全协议。SSL协议指定了一种在应用层协议和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证,可以在两个通信应用程序之间提供数据的加密性和可靠性。
SSL协议的基本特性:(1)连接安全;(2)身份认证;(3)可靠性连接。
SSL协议主要包括记录协议、告警协议和握手协议。
2、SSL记录协议
SSL本身是一个分层协议,每一层的消息块都包含有长度、描述和内容。
3、告警协议
告警协议用来为对等实体传递SSL的相关警告,用于标识在什么时候发生了错误或两个主机之间的会话在什么时候终止。
4、握手协议
SSL握手协议是SSL中最复杂的部分。SSL握手协议位于SSL记录协议层上,用于产生会话状态的密码参数,允许服务器和客户机相互验证、协商加密和MAC算法及秘密密钥,用来保护在SSL记录中传送的数据。
4.11.2HTTPS
1、 HTTPS 的概念
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer,基于SSL协议的HTTP)是一个安全通信通道,用于在客户计算机和服务器之间交换信息。它使用安全套接字层进行信息交换,所有的数据在传输过程中都是加密的。
4.12 系统安全
4.12.1 DMZ
DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。
4.12.2 物理安全
1、保证机房环境安全
信息系统中的计算机硬件、网络设备及其运行环境是信息系统的最基本因素,其安全性对信息系统的安全有着十分重要的作用。物理安全是指在物理介质层次上对存储和传输的网络信息进行安全保护,是网络信息安全的基本保障。物理安全包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、电力供应和电磁防护等方面的内容。
2、选用可是的传输介质:屏蔽式双绞线的抗干扰能力更强;光纤是超长距离和高容量传输系统最有效的途径。
3、保证供电安全可靠:计算机网络机房供配电系统应该是一个独立的系统,通常由计算机网络设备供电、机房辅助设备供电和其他供电三部分组成。
4.13.3 主机系统安全
主机系统安全主要包括操作系统安全、数据库系统安全、系统访问控制安全、安全审计和主机运行安全。
4.14 安全审计
4.14.1 安全审计的内容
1、安全审计概述
安全审计包括识别、记录、存储、分析与安全相关行为的信息,审计记录用于检查与安全相关的活动和负责人。安全审计是指将系统的各种安全机制和措施与预定的安全目标和策略进行一致性比较,确定各项控制机制是否存在和得到执行,对漏洞的防范是否有效,评价系统安全机制的可依赖程度。
目前已广泛用于评估一个系统的安全性的CC标准对于网络安全审计定义了一套完整的功能,内容包括安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储和安全审计事件选择等。
2、安全审计的功能
安全审计系统就是根据一定的安全策略记录和分析历史操作事件及数据,发现能够改进系统运行性能和系统安全的地方。安全审计的作用包括对潜在的***者起到震慑或警告的作用、检测和制止对安全系统的***、发现计算机的滥用情况、为系统管理员提供系统运行的日志,从而能发现系统***行为和潜在的漏洞及对已经发生的系统***行为提供有效的追究证据。
4.15 安全管理制度
4.15.1 信息安全管理制度的内容
信息安全制度是通过维护信息的机密、完整性和可用性,来识别、评估、管理和保护组织所有的信息资产,制定和实施安全策略、安全标准、安全方针和安全措施的一种体制。
安全管理制度主要包括管理制度、制定和发布、评审和修订。
4.15.2 安全风险管理
信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生所造成的影响。信息安全风险评估,则是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
4.15.3、信息安全策略
信息安全策略是信息安全管理的重要组成部分,在制定信息安全策略时必须遵循三个原则:严格的法律、法规是保障信息系统安全的坚强后盾;先进的网络技术与安全产品是信息安全的根本保证;先进严格的安全管理是确保信息安全策略实施的基础。
1、物理安全策略
物理安全是指物理介质层次上对存储和传输的网络信息进行安全保护,是网络信息安全的基本保障。
2、网络安全策略;
3、系统安全策略;
4、数据加密策略;
5、信息安全组织管理策略。
微信扫一扫,打赏作者吧~- 本文固定链接: https://www.jayjaydream.com/?p=744
- 转载请注明: jacky 于 鹿鸣天涯 发表
