前言:
受刺激,決心細心研究網絡安全。之前研究的很是粗獷,符合東北人的性格,但不符合技術人的風格。所以以此博文來敘,鞭策自己同時,願與大家共享。但是因爲本人技術能力的限制,很多認識非常的幼稚,希望大家不同看法或者我認知錯誤的地方,狠狠的批評指正!多謝!
一、網絡安全認識
談到對網絡安全的認識,網絡安全的涵蓋面非常之廣泛,幾乎有信息化的地方就有網絡安全。但是概而言之,分爲技術層面和管理層面。
管理層面,包括安全風險的識別、風險的控制。至於怎樣識別,怎樣控制,那麼就到達了技術層面。
技術層面,包括物理環境安全,網絡的架構安全,系統安全,數據安全,應用安全。
以上是我對網絡安全的簡單認識。
二、網絡安全技術
因爲本人不才,沒有管理的資質和經驗,雖然對安全管理有一些看法,但是暫時(是暫時)不做探討。暫時(是暫時)僅討論網絡安全技術。
網絡安全技術剛纔已經寫到,包括物理環境的安全,包括網絡安全架構,包括系統安全架構,包括數據安全,包括應用安全。下面分別談論一下。
(一)、網絡安全架構
1、防火牆:這個非常熟悉的設備或者名詞,幾乎已經成爲網絡安全的代名詞。談到網絡安全,第一個想到的就是防火牆。但是防火牆不是萬能的,沒有防火牆是萬萬不能的。它能幹什麼?或者它主要是幹什麼的?答曰:訪問控制!!!其他的功能都是其次的。它的核心是什麼?安全策略。根據防火牆技術的分類,可以分爲包過濾(基本過時)、狀態檢測(當紅!)、應用代理(明日之星)防火牆。至於分類,到底什麼是包過濾,什麼是狀態檢測,什麼是應用代理,我就不說了,也不說他們的區別,可以到www.google.com.hk進行查詢。
2、IDS/IPS: ***檢測/***防禦系統。IPS就是比IDS多了個防禦的功能,IDS就好像是電子狗,只能報警,但是不能咬人。而IPS是大狼狗,不僅能嗷嗷叫,而且還能咬人!而且部署模式不同,IDS,一般都是旁路部署,將mirror的數據包進行檢查,報警而已。而IPS要block或者drop數據包,所以它要串接到網絡當中。也就是電子狗放到門旁邊就行,有紅外遙感。而讓狗咬人,必須要拴在門中間,要麼嚇死你,要麼咬死你。不敢說玩過幾款IPS,我始終感覺“玩”這詞不好,顯得不夠對技術的尊重,人家都費死勁的研究,你玩,顯得你多聰明?那麼輕鬆就搞定?也不敢說仔細研究過,仔細研究就研究到這種程度?太笨了!就是學習過幾款IPS,都是國外的。原理都是一樣的,但是偏重點不一樣,基本都是根據***數據包的特徵碼進行匹配,來判斷是否是惡意的數據包。或者根據一種行爲進行分析,來判斷是否是惡意的***行爲。進而來採取動作是否進行阻斷或者丟棄數據包,來達到防護的效果。現在要主要考驗設備特徵碼的來源和數量,以及設備的性能。
3、二層/三層(路由交換)安全:雖然路由交換我們一般不會把它們定義爲安全設備,但是對它們進行良好的安全部署,啓用一些適合的安全功能,是非常重要的。接入交換機部分,現在一般比較流行的是根據802.1x等協議進行准入控制。來保證客戶端的安全管理。比較落後的做法是做MAC+端口綁定。再有就是對一些互聯接口定義廣播包比例、啓用STP、DHCP snooping、等等來做到一定的安全防護作用。在三層設備上面,一般要做必要的access-list來做些簡單的訪問控制,在覈心骨幹設備上就不要寫太多了,這個是要降低轉發性能做代價的。另外在傳輸過程中,如果在非信任網絡中傳輸,要採用***技術進行數據加密傳輸。運行動態路由協議時注意設備之間認證,採取必要的NAT來隱藏真實IP等等在某些環境中都是增強安全性的辦法。
4、無線網絡安全:現在無線網絡應用越來越廣泛,無線網絡安全方面主要是安全加密方式,當前比較主流的加密方式有WEP、WAP,還有采用准入控制。無論怎樣,就是防止未被授權的客戶端非法接入無線網絡來做壞事。
(二)、系統安全
1、windows系統安全:windows server系統都比較熟悉,因爲熟悉,所以不安全!呵呵。系統的漏洞比較多,總是提示系統更新各種漏洞補丁,很讓人崩潰。 賬戶權限的控制(admin)權限、記得要給系統安裝防病毒軟件,以及打開系統防火牆。文件共享的安全,經常習慣用\\aa.bb.cc.dd\d$共享的要注意了。很多的非必須的服務端口都建議關閉。IIS以及註冊表的安全,註冊表最好要能夠備份出來一個。日誌的審計等等,這些都涉及到windows 的系統安全。
2、linux、