一、防火墙
1.定义
防火墙 (Firewall) 是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全和可信赖的,而外部网络是不安全和不可信赖的。
防火墙受保护程度从高到低 内网 DMZ 外网
2.DMZ
通过防火墙将网络划分为三个区域:内网、DMZ区域、外网,DMZ中放给用户提供服务的服务器。
DMZ:隔离区/非军事化区,主要用于隔离内部网络和外部网络之间的通信。
DMZ中可以放置一些必须公开的服务器设施
比如:Web服务器前端、代理服务器、邮件服务器、FTP服务器,论坛等
3.防火墙技术的三个发展阶段
(1)包过滤防火墙
包过滤技术简介
对需要转发的数据包,先获取报头信息和设定的规则比较,根据比较的结果对数据包进行转发或丢弃。
工作层
包过滤基于网络层和传输层,用于控制进出一个网络的数据包。
工作原理
过滤型的防火墙通常直接转发报文,它对用户和应用进程完全透明。
优点
1.对于安全要求低的网络采用路由器自带防火墙功能时,不需要其他设备,实现成本较低。
包过滤通常包含在路由器数据包中
2.处理速度较快
3.包过滤防火墙无法控制传输数据的内容,因为内容是应用层数据。
缺点
不能防范黑客攻击,因为网管不能区分可信网络与不可信网络的界限;
不能处理新的安全威胁。
无法阻止ip欺骗
不支持应用层协议,无法发现基于应用层的攻击
不支持用户认证
(2)应用代理网关防火墙
应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的 TCP 连接,应用层的协议会话过程必须符合代理的安全策略要求。
优点
1.可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。
2.对于用户认证可以设置
3.基于高层协议的攻击可以阻拦。
4.代理技术安全性能较高,可以提高网络性能。
缺点
处理速度非常慢。
(3)状态检测技术防火墙
状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上,提高了代理防火墙的性能。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力,同时也改进了流量处理速度。因为它采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。
一个防火墙系统通常是由过滤路由器和代理服务器组成。
4.防火墙的性能及特点主要由以下两方面所决定
工作层次
这是决定防火墙效率及安全的主要因素。一般来说,工作层次越低,则工作效率越高,但安全性就低了;反之,工作层次越高,工作效率越低,则安全性越高。
防火墙采用的机制
如果采用代理机制,则防火墙具有内部信息隐藏的特点,相对而言,安全性高,效率低;
如果采用过滤机制,则效率高,安全性却降低了。
6.web应用防火墙
某单位网站首页被恶意篡改时,应部署web应用防火墙设备来阻止恶意攻击。
部署web应用防火墙可以有效地识别和阻止针对网站的恶意攻击,保护网站的安全。
7.防火墙不能查毒,不能扫描漏洞
防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找所有的病毒。
二、 病毒
(一)病毒的基本概念
1.计算机病毒的特征
计算机病毒的特征:传播性、隐蔽性、感染性、潜伏性、触发性、破坏性等。
2.常见的计算机病毒
Worm表示蠕虫病毒、Trojan表示特洛伊木马、Backdoor表示后门病毒、Macro表示宏病毒
蠕虫病毒
蠕虫病毒:欢乐时光、熊猫烧香、红色代码、爱虫病毒、震网。
蠕虫病毒利用网络进行自我复制和传播,通过扫描存在漏洞的计算机,并利用这些漏洞感染目标系统。一旦感染成功,蠕虫病毒会在被感染的计算机上复制自身,并继续寻找其他可感染的计算机,形成类似蠕虫般的传播链。
由于蠕虫病毒在网络中的传播速度快、感染范围广,且常常难以被及时发现和清除,因此给网络安全带来了极大的威胁。
木马软件
木马软件:冰河、X卧底
特洛伊木马病毒通过电子邮件、附件、横幅广告、弹出广告、网站链接等方式进行传播,也可能隐藏在自由下载的文件中。一旦运行,木马病毒会自动复制到系统文件夹中,并在注册表、启动组等位置设置好触发条件,接受来自远程攻击者的控制命令。
计算机感染特洛伊木马病毒后的典型现象
未知程序试图建立网络连接:
特洛伊木马病毒的一个主要特征就是试图建立网络连接,以便攻击者可以远程控制受感染的计算机。因此,如果发现计算机上有未知程序尝试建立网络连接,这通常是特洛伊木马病毒感染的迹象。
计算机设置被意外更改:
设备上存在活动特洛伊木马的迹象还包括计算机设置被意外更改等异常活动。
如果发现计算机存在上述异常现象,建议立即断开网络连接,并使用防病毒软件进行扫描和清除。
木马程序的目的
获取对用户系统的访问权限
使网络罪犯能够监视您、盗取您的敏感数据,并开启进入您系统的后门。
作为攻击的载体
利用计算机系统的漏洞或用户的疏忽,潜入用户的计算机系统,并获得管理员权限,从而控制用户的电脑。
用于远程控制
客户端用于发出控制命令,服务端在被控计算机上执行相关操作,如复制文件、删除文件、修改系统配置等。1
本地电脑若是感染木马病毒,则变成服务器,攻击者的PC是客户端。
宏病毒
宏病毒感染的对象主要是文本文档、电子表格等。
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
宏病毒通常隐藏在文档文件中,主要感染以下类型的文件:
Microsoft Office文档
如.doc、.docx、.xls、.xlsx、.ppt、.pptx等。
其他支持宏的文件格式
这些文件类型允许用户在文档中嵌入自动执行的宏代码,从而使宏病毒得以传播和执行恶意操作。
三、网络攻击
(一) 常见的网络攻击
1.拒绝服务攻击(Dos攻击)
目的是使计算机或网络无法提供正常的服务
拒绝服务攻击是不断向计算机发起请求来实现的,是一种网络攻击手段。
攻击者通过向目标服务器发送大量的无效请求,如TCP连接请求、HTTP请求等,使得目标服务器的资源(如CPU、内存、网络带宽等)被耗尽,从而无法为正常的用户请求提供服务,实现攻击的目的。
SYN Flooding攻击是一种Dos攻击。
2.重放攻击
攻击者发送一个目的主机已经接受过的报文来达到攻击目的
攻击者利用网络监听或者其他方式盗取认证凭据,之后再重新发送给认证服务器。
主要用于身份认证过程,目的是破坏认证的正确性。
Kerberos系统
Kerberos系统采用时间截来防止重放攻击
3.口令入侵攻击
使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。
4.特洛伊木马
伪装成程序或游戏,当用户下载了带有木马的软件或附件时,这个程序就会向黑客发起连接请求,建立连接后黑客就实施攻击活动。
5.端口欺骗攻击
采用端口扫描找到系统漏洞从而实施攻击。
6.网络监听
攻击者可以接收某一网段在同一条物理通道上传输的所有信息,使用网络监听可以轻松截取包括账号和口令在内的信息资料。
7.IP欺骗攻击
产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。
ARP 攻击(ARP欺骗)是欺骗攻击的一种,通过伪造IP地址和MAC地址,能够在网络中产生大量的ARP通信量使网络阻塞。
如果伪造网关的IP地址和MAC地址对,则所有发往网关的IP包将因为MAC地址错误而无法到达网关(ARP攻击一般会将MAC地址改为发起 ARP 攻击的主机地址),造成无法跨网段通信。
处理 ARP 攻击的方法为:首先断开 ARP 攻击主机的网络连接,然后用“ap-d”命令清除受攻击影响的 ARP 缓存。
8.Sql注入攻击
是黑客对数据库进行攻击的常用手段之一。
没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。
攻击者可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。首先,获取数据库的权限,就可获取用户账号和口令信息,以及对某些数据修改等。
9.入侵检测技术
专家系统、模型检测、简单匹配。
(二)主动攻击和被动攻击
计算机网络的通信方面临两大类威胁:即被动攻击和主动攻击
被动攻击
是指攻击者从网络上窃听他人的通信内容,通常把这类攻击称为截获。
主动攻击
1.篡改:攻击者故意篡改网络上传送的报文。这里包括彻底中断传送的报文,甚至是把完全伪造的报文传送给接收方
2.恶意程序:计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹、后门入侵以及流氓软件等等;
3.拒绝服务Dos(Denialof Service):指攻击者向互联网上的某个服务器不停地发送大量分组,使该服务器无法提供正常服务甚至完全瘫痪。
重放、IP地址欺骗
四、 加密技术与认证技术
(一)安全威胁
1.安全威胁的分类
1.窃听:攻击者监听网络中的数据传输以获取敏感信息。
2.篡改:第三方篡改A发送给B的消息。
3.假冒:伪造 虚假 报文 信息 , 在网络中传递 ;
4.否认:
2.安全威胁的解决办法
窃听:加密
篡改:摘要(认证技术)
假冒:数字签名、数字证书(认证技术)
否认:数字签名 (认证技术)
(二)加密技术
主要用于解决窃听的问题。
1.对称加密(私有密钥加密、共享密钥加密)
加密和解密是同一把密钥。
存在密钥分发的问题,即将密钥只传送给接收者。
缺点:密钥分发有缺陷
优点:加密、解密速度很快,适合加密大量明文数据
2.非对称加密(公开密钥加密)
加密、解密的密钥不是同一把。一共有两把密钥:公钥、私钥。
特点:
用公钥加密,只能用私钥解密;用私钥加密,只能用公钥解密。
不能通过一把推出另一把。
比如:
A给B发信息,用A的公钥加密
B给A回信息,用B的私钥解密
优点:秘钥分发没有缺点
缺点:加密、解密速度很慢
公钥体系(非对称加密体系)
公钥体系密钥分为公钥与私钥。
公钥一般是公开的,公钥用于加密和认证
私钥只有密钥拥有者自己知道,私钥用于解密和签名
3.混合加密(对称加密、非对称加密的混合)
在混合加密中,数据使用对称密钥进行加密,然后使用公钥对对称密钥进行加密。
这样,接收方首先使用自己的私钥解密对称密钥,然后使用对称密钥解密数据。
优点:
对称密钥加密中密钥分发没有问题
提高了加密和解密的速度。
(三)加密算法
1.对称加密算法
IDEA/RC4
适用于数字加密传输
RC5
RC5适用对大量明文进行加密并传输。
2.非对称加密算法
分组加密 DES AES
RSA
RSA算法使用一对密钥:公钥和私钥。
公钥用于加密,而私钥用于解密。
RSA主要用于对数字摘要进行数字签名。
(四)认证技术
解决:篡改,假冒,否认
1.信息摘要(解决篡改)
信息摘要的定义
信息摘要就是原数据通过HASH算法生成的一个固定长度的单向Hash值,这段值就被称为消息的摘要。
要发送的明文 + 哈希算法 = 信息摘要
摘要防止数据被篡改
A使用B的公钥对计算出来摘要进行加密,并将摘要和消息一并发送给B。
发送方:A
要发送的明文(信息) + 哈希算法 = 信息摘要
将信息摘要(加上B的公钥)和明文(信息)一起发送给B
接收方:B
将收到的密文用B的私钥解密得到明文;
解密后的明文 + 哈希算法 = 信息摘要
将得到的信息摘要和收到的信息摘要进行对比,若是一致,则没有篡改;否则,有篡改。
摘要算法
常见的摘要算法有MD5、SHA-1、SHA-256 等。
MD5摘要算法对任意输入都可以得到128位结果。
2.数字签名(解决假冒、否认)
用公钥对数据加密,用私钥去解密,这是加密; 用私钥对数据加密,用公钥去解密,这是签名。
签名及验证过程(无摘要)
更高效的数字签名
将摘要算法和非对称加密结合使用。
发送方A:
先用摘要算法计算明文数据的摘要值,再对这个摘要值用A的私钥加密。这样得到了原始信息的签名;
摘要+A的私钥加密=签名 将数字签名和密文(原文一起发送给B。
接收方B:
先用相同的摘要算法计算原始信息的摘要值,再用A的公钥对签名解密(验证),得到收到的摘要值,最后对比这两个摘要值判断是否相等。如果不相等说明数据不可信。
数字签名提供的服务
若是验证成功则该消息没有被假冒且不能否认,否则该消息为假冒发送。
因A的私钥是唯一的,若是验证成功,则A不可否认。
数字签名无法验证接受者的合法性
3.数字证书
数字证书的工作原理(身份认证)
数字证书采用公钥密码体制PKI,利用一对互相匹配的密钥对(公钥和私钥)进行加密、解密和数字签名。
公钥用于加密数据和验证数字签名,私钥用于解密数据和生成数字签名。每个用户都有一个唯一的私钥,用于签名和解密,而公钥则可以公开,用于加密和验证签名。
问题:
A和B相互发送公钥的时候,都被C篡改,收到的都是C的公钥。
此时,若是A想要给B发送消息,想要B的公钥加密,其实用的是C的公钥加密。
第三方C:
获取密文,并解密为明文。
篡改数字签名,并替换
篡改密文,并替换
CA电子商务认证中心
CA是一个受信任的第三方机构,负责验证实体的身份并为其颁发数字证书。数字证书包含了证书主题的信息(如个人、组织或设备)、公钥、证书有效期等。CA使用自己的私钥对证书进行签名,任何拥有CA公钥的人都可以验证该证书。
数字证书的工作步骤
发送方A:
A生成一对密钥(公钥和私钥)。私钥保密保存,而公钥可以被公开使用。
A将A的公钥和身份信息一起提交给可信任的CA机构,向CA机构申请数字证书。
CA机构的认证
证书颁发机构接收到用户的请求后,首先会对用户的身份进行验证。一旦用户的身份被确认,CA机构将使用自己的私钥对A的公钥和身份信息进行加密,并创建一个数字证书。(CA对数字证书签名)CA机构会留有数字证书的备份。
验证证书(网站)的真伪需要用CA的公钥验证CA的签名,验证信息的真实性需要用用户A的公钥验证用户A的签名,
不同用户向不同CA求到证书,不同用户互信的条件
同一机构
用户可在CA处取得认证自身身份的数字证书,与该用户在同一机构取得的数字证书可通过相互的公钥认证彼此的身份;
不同机构
当两个用户所使用的证书来自于不同的认证机构时,用户双方要相互确定对方的身份之前,首先需要确定彼此的证书颁发机构的可信度。即两个CA之间的身份认证,需交换两个CA的公钥以确定CA的合法性,然后再进行用户的身份认证。
接收方B:
用CA的公钥解密数字证书,得到A的公钥和个人信息;
用数字证书得到的A的公钥,来验证之前A发送的公钥是否正确。
4.PKI 体系
Public Key Infrastructure ,PKI是公开密钥基础设施。
PKI 其主要功能是绑定证书持有者的身份和相关的密钥对
PKI 既不是一个协议,也不是一个软件,它是一个标准,在这个标准之下发展出的为了实现安全基础服务目的的技术统称为 PKI。
PKI 主要包括四个部分:X.509 格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2);CA 操作协议;CA 管理协议;CA 政策制定。
X.509证书推荐的密码算法是RSA。
国密SM2数字证书采用的公钥密码算法是ECC。
证书吊销机制
在 PKI体系中,为了避免证书被恶意使用或泄露造成损失,引入证书吊销机制,即当证书被撤销时,应及时向证书颁发机构(CA)发起吊销请求,将该证书列入证书吊销列表(CRL)中。此外,还可以使用在线证书状态协议(OCSP)查询证书是否被吊销。
如果服务器证书被撤销,那么客户端无法再信任服务器。客户端在建立 SSL/TLS连接时,会验证服务器证书的有效性,如果证书被撤销,则无法验证证书的合法性,此时可能会出现安全漏洞,导致网络攻击。因此,证书被撤销将会影响到客户端与服务器之间的通信安全。
5.Windows lS服务支持的身份认证方式
Windows lS服务支持的身份认证方式有.NETPassport身份验证、集成Windows身份验证、摘要式身份验证和基本身份验证。
集成Windows身份验证:以Kerberos票证的形式通过网络向用户发送身份验证信息,并提供较高的安全级别。
Windows集成身份验证使用Kerberos版本5NTLM身份验证。
摘要式身份验证:将用户凭据作为MD5哈希或消息摘要在网络中进行传输,这样就无法根据哈希对原始用户名和密码进行解码。
·NET Passport身份验证:对IS的请求必须在查询字符串或Cookie中包含有效的.NETPassport凭据,提供了单一登录安全性,为用户提供对Internet上各种服务的访问权限。
基本身份验证:用户凭据以明文形式在网络中发送。这种形式提供的安全级别很低,因为几乎所有协议分析程序都能读取密码。
五、其他网络安全控制技术
(一) 漏洞扫描
漏洞扫描对信息系统和服务器进行定期扫描可以发现高危风险和安全漏洞
漏洞扫描系统
漏洞扫描系统是一种自动检测目标主机安全弱点的程序
漏洞扫描系统的原理是根据系统漏洞库对系统可能存在的漏洞进行验证。
黑客利用漏洞扫描系统可以发现目标主机的安全漏洞从而有针对性的对系统发起攻击;
系统管理员利用漏洞扫描系统可以查找系统中存在的漏洞并进行修补从而提高系统的可靠性。
(二) 网络安全工具
1.入侵防御系统
入侵防御系统是一种网络安全防护工具,旨在监测、识别和阻断各种网络攻击行为,保护计算机系统和网络的安全。
常见的入侵防御系统包括入侵检测系统、入侵防火墙等。
1.监测并分析用户和系统的网络活动
入侵防御系统可以监测并记录所有用户和系统的网络活动,然后进行分析,以便及时发现可疑的行为。
2.匹配特征库识别已知的网络攻击行为
入侵防御系统通常会维护一个特征库,其中包含名种已知的网络攻击行为的特征信息。当系统检测到一个可疑的行为时,会将其与特征库进行匹配,以便及时发现和阻断已知的网络攻击行为。
4.检测僵尸网络,木马控制等僵尸主机行为
入侵防御系统可以检测并阻断各种僵尸网络、木马控制等僵尸主机的行为,从而保护计算机系统和网络的安全。
2.web应用防火墙
Web 应用防火墙是一种安全工具,可以在 Web 应用程序和互联网之间建立一道屏障,防止恶意攻击者利用已知或未知的漏洞进行各种攻击操作。常见的攻击方式包括登录口令暴力破解、恶意注册、抢票机器人等。
登录口令暴力破解是指攻击者使用暴力破解工具,尝试使用不同的用户名和密码组合
对 Web 应用进行登录,从而窃取用户的敏感信息。
恶意注册则是指攻击者利用漏洞或自动化工具,批量注册大量虚假账号,用于发送垃圾邮件、网络钓鱼等恶意行为。
抢票机器人则是指攻击者利用自动化工具,模拟人工操作来实现对抢票系统的快速抢票。
这些攻击方式都可以通过 Web应用防火墙进行有效防护。
但是,流氓软件并非 Web 应用防火墙所能有效防护的范畴。
流氓软件是指那些没有明确安装许可的、不良软件或广告软件,常常会通过欺骗、搭便车等方式侵入用户计算机系统,窃取用户信息或广告推销等。与 Web 应用防火墙不同,流氓软件需要通过杀毒软件、反恶意软件等安全工具来进行检测和清除。
六、安全措施
在网络设计和实施过程中要采取多种安全措施
设备防雷击属于物理线路安全措施
入侵检测和流量控制属于网络安全措施
漏洞发现与补丁管理属于系统安全措施
扫一扫
962
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
