当前位置: 首页 > 网络安全基础 > 正文

软考信息安全工程师学习笔记十七(3.4 网络安全防御)

3.4 网络安全防御

一.大纲要求

3.4.1 网络安全防御原则
* 了解最小权限原则、纵深防御原则、防御多样性原则、防御整体性原则、安全性与代价平衡原则、网络资源的等级性原则等
3.4.2 基本防御技术
* 熟悉防火墙技术
* 熟悉入侵检测技术
* 熟悉VPN技术
* 熟悉网络容错技术
* 熟悉安全漏洞扫描技术
* 了解网络蜜罐技术
* 了解匿名网络
3.4.3 安全协议
* 熟悉IPSec协议、SSL协议、PGP协议、TLS协议、IEEE802.1x协议、RADIUS协议、Kerberos协议、X.509协议、S/MIME协议、SSH协议等

二.思维导图

 

三.备考知识要点

防火墙主要是实现网络安全的安全策略,而这种策略是预先定义好的,所以是一种静态安全技术。

大多数防火墙规则中的处理方式主要包括以下几种:

Accept: 允许数据包或信息通过。

Reject: 拒绝数据包或信息通过,并且通知信息源该信息被禁止。

Drop: 直接将数据包或信息丢弃,并且不通知信息源。

缺省规则有两种选择:默认拒绝或者默认允许。

TCPIIP 协议族具有明显的层次特性,由物理接口层、网络层、传输层、应用层四层协议构成,每个层次的作用都不相同,防火墙产品在不同层次上实现信息过滤与控制所采用的策略也不相同。

包过滤技术的优点是简单,处理速度也很快。

包过滤技术可能存在的攻击有:

① IP 地址欺骗:

②源路由攻击:

③微分片攻击:

应用层网关也叫做代理服务器。它在应用层的通信中扮演着一个消息传递者的角色。

第三种防火墙技术是电路层网关。它是负责数据转发的独立系统,类似于网络渡船。电路层网关不允许一个端到端的直接的TCP 连接,它自网关建立两个TCP 连接,一个连接网关与网络内部的TCP 用户,一个连接网关与网络外部的TCP 用户。

防火墙的经典体系结构主要有三种形式:双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。

入侵检测与防护的技术主要有两种:入侵检测系统(IntrusionDetectionSystem , IDS)和入侵防护系统(IntrusionPreventionSystem , IPS) 。

入侵检测技术主要分成两大类望:异常入侵检测和误用入侵检测。

入侵检测系统的体系结构大致可以分为基于主机型(Host-Based) 、基于网络型(Network-Based) 和基于主体型(Agent-Based) 三种。

VPN 即虚拟专用网,它是依靠ISP和其他NSP,在公用网络中建立专用的、安全的数据通信通道的技术。VPN 可以认为是加密和认证技术在网络传输中的应用。

VPN 的数据加密技术:隧道技术、加解密技术、密钥管理技术、身份认证技术等。

隧道协议

三种最常见的也是最为广泛实现的隧道技术是:点对点隧道协议PPTP,第2 层隧道协议L2TP, IP安全协议(IPSec )。除了这三种技术以外还有通用路由封装GRE、L2F 以及SOCK 协议等。

1.点对点隧道协议CPPTP):

  1. 第2 层隧道悔议(L2TP)
  2. IP 安全协议(IPSec)

扫描器是一种自动检测远程或本地主机、网络系统安全性弱点的程序。

漏洞是在暖件、软件、协议的具体实现或系统安全策略上存在的缺陷。

端口扫描:互联网上通信的双方不仅需要知道对方的地址,也需要知道通信程序的端口号。

密码类探测扫描技术(即口令攻击)是黑客进行网络攻击时最常用、最基本的一种形式。

我国也提出了自己的动态安全模型——WPDRRC 模型。该模型有6 个环节和3 大要素。6 个环节是W、P 、D 、R、R、C ,它们具有动态反馈关系。其中, p, D 、R、R与PDRR 模型中出现的保护、检测、反应、恢复等4 个环节相同;W 即预警(waming) ,就是根据己掌握的系统脆弱性以及当前的计算机犯罪趋势,去预测未来可能受到的攻击与危害C (counterattack) 则是反击一一一采用一切可能的高新技术手段,侦察、提取计算机犯罪分子的作案线索与犯罪证据,形成强有力的取证能力和依法打击手段。

WPDRRC 模型中具有层次关系的三大要素分别是人员、政策和技术。

风险分析中要涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性。资产的属性是资产价值:威胁的属性是威胁出现的频率;脆弱性的属性是资产弱点的严重程度。最终,计算出-个量化的风险值。

SSL 协议以对称密码技术和公开密码技术相结合,提供了如下三种基本安全服务:

①秘密性SSL:协议能够在客户端和服务器之间建立起一个安全通道,所有消息都经过加密处理以后进行传输,网络中的非法黑客无法窃取。

②完整性SSL:利用密码算法和散列(HASH) 函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户端之间的信息受到破坏。

③认证性:利用证书技术和可信的第三方认证,可以让客户端和服务器相互识别对方的身份。

SSL 协议位于应用层和传输层之间,独立于应用层协议,即建立在SSL 之上的应用层协议可以透明地传输数据。

PGP 可以在电子邮件和文件储存应用中提供保密和认证服务,防止非授权者阅读,还能对邮件和文件加上数字签名,从而使收件人确信发送者是谁。

安全传输层协议TLS

IEEE802.1x 是IEEE (美国电气电子工程师学会) 802 委员会制定的LAN标准中的一个,是一种应用于LAN 交换机和无线LAN 接入点的用户认证技术。

WEP 协议原理:WEP 基于RC4 算法用相同的密钥加密和解密,用开放系统认证和共享密钥认证进行认证。

WEP 是数据加密算法,它不是一个用户认证机制。

ADIUS 协议是一种提供在网络接入服务器和共享认证服务器间传送认证、授权和配置信息等服务的褂议。

Kerberos 是一种应用于分布式网络环境、以对称密码体制为基础,对用户及网络连接进行认证的增强网络安全的服务。

X.509 是由国际电信联盟CITU-T) 制定的数字证书标准。

  1. 509 是基于公钥密码体制和数字签名的服务。

X.509 给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。

SSH (SecureShell) 协议是在传输层与应用层之间的加密隧道应用协议,它从几个不同的方面来加强通信的完整性和安全性。

蜜罐(Honeypot) 技术是)种主动助御技术,是入侵检测技术的一个重要发展方向。

蜜罐的优点有:

①使用简单:

②资源占用少:

③数据价值高:

蜜罐的缺点有:

①数据收集面狭窄:

②给使用者带来风险:

蜜罐有四种不同的配置方式:

  • 诱骗服务C DeceptionService)
  • 弱化系统C WeakenedSystem)

.强化系统C HardenedSystem)

  • 用户模式服务器CUserModeServer)

用于备份的设备有硬盘、光盘、磁带三种。

备份方式有三种:完全备份、增量备份、差异备份。

完全备份就是对服务器上的所有文件完全进行归档。

增量备份是指只把最近新生成的或者新修改的文件拷贝到备份设备上。

差异备份与增量备份很相似。两者所不同的是,差异备份对上次备份后所有发生改变的文件都进行备份(包括删除文件的信息),并且不是从上次备份的时间开始计算。

NAS (NetworkAttachedStorage) 通常译为”网络附加存储”或”网络连接存储”。意思是连接在网络上的存储设备。

SAN (StorageAreaN etwork) 通常译为”存储区域网络”。它是使用光纤通道。

网络安全防范意识与策略:

1.保证通信安全

对链路、信息进行加密,实行访问控制。

  1. 保证信息安全

采取技术、管理等措施,保护信息,使信息的保密性、完整性和可用性得到保障。

  1. 加强安全保障

加强信息安全保障措施,协同加强信息安全。主要包括三个方面的措施:

①检测:对系统的脆弱性、外部入侵、内部入侵、滥用、误用进行检测,及时发现、修补漏洞。

②响应:对各种安全事件及时晌应,把不安全因素消灭在萌芽状态。

③恢复:制定完整的恢复计划,使得在网络万一不能提供服务时,能够及时、完整地恢复。

局域网的安全风险主要有以下4个方面:

1、计算机病毒的破坏。

2、恶意攻击。

3、人为失误。

4、软件本身的漏洞。

局域网的安全防范策略有:

(1)物理安全策略

(2) 划分VLAN 防止网络侦昕

(3)网络分段

(4) 以交换机代替共享式集线器

(5) 访问控制策略

(6) 使用数字签名

(7)用户管理策略

(8) 使用代理服务器

(9) 防火墙控制

(10) 入侵检测系统

(11)定期进行漏洞安全扫描

(12) 建立完善的网络安全应急响应机制

(3) 使用VPN

本文固定链接: https://www.moondream.cn/?p=550 | 月梦工作室

该日志由 moondream 于2018年05月18日发表在 网络安全基础 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 软考信息安全工程师学习笔记十七(3.4 网络安全防御) | 月梦工作室
关键字:

软考信息安全工程师学习笔记十七(3.4 网络安全防御):等您坐沙发呢!

发表评论

快捷键:Ctrl+Enter