第十章:網絡安全技術(33~36題)
考點1:數據備份與還原
考點2:加密技術
考點3:防火牆技術--pix
考點4:入侵檢測技術(選擇+應用題)
考點5:計算機病毒防範
考點6:網絡安全評估
網絡完全的基本概念
1、網絡安全的基本要素
機密性、完整性、可用性、可鑑別性、不可抵賴性
2、信息泄露與纂改
信息傳輸過程可能存在的4種攻擊類型:
截獲:信息在傳輸過程中被非法截獲,並且目的結點並沒有收到該信息,即信息在中途丟失
竊聽:信息在傳輸過程中被直接或者間接地竊聽網絡上的特定數據包,通過對其的分析得到所需要的重要信息,數據包仍然能夠到達目的結點,其數據並沒有丟失
篡改:信息在傳輸過程中被截獲,攻擊者修改其截獲的特定數據包,從而破壞了數據的完整性,然後再篡改後的數據包發送到目的節點。在目的結點的接收者看來數據似乎爲玩獲贈沒有丟失的,但其實已經被惡意篡改過
僞造:沒有任何信息從源信息結點發出,但攻擊者僞造信息並冒充源信息節點發出信息,目的結點將收到這個僞造的信息
3、網絡攻擊
服務攻擊(dos):指對網絡中提供給某種服務的服務器進行供給,使其“拒絕服務”而造成網絡無法正常工作。
非服務攻擊(如對設備攻擊、源路由攻擊、地址欺騙):利用協議操作系統實現協議時的漏洞來達到攻擊的目的,它不針對某具體的應用服務,因此非服務攻擊是一種跟有效的攻擊手段
非授權訪問:存儲在計算機中的信息或服務被未授權的網絡用戶非法使用,或者被授權用戶越權濫用
網絡病毒
4、網絡安全模型
網絡安全模型:在網絡信息傳輸中,爲了保證信息傳輸的安全性,一般需要一個值得信任的第三方,負責向源節點和目的結點進行祕密信息分發,同時在雙方發生爭執時,也要起到仲裁的作用。在基本的安全模型中,通信的雙方在進行信息傳輸前,先建立一條邏輯通道,並提供安全的機制和服務,來實現開放網絡環境中信息的安全傳輸
p2dr模型:安全策略(policy)是模型中的防護、檢測和響應等部分實施的依據,一個安全的策略體系的建立包括策略的制定、評估、執行。包括安全策略和具體安全規則
防護(protection)防護技術包括:防火牆、操作系統身份認證、數據加密、訪問控制、授權、虛擬專用網絡技術和數據備份等,它對系統可能出現的安全問題採取預防措施
檢測(detection)檢測功能使用漏洞評估、入侵檢測等系統檢測技術,當攻擊者穿透防護系統時,發揮作用。
相應(response)相應包括緊急響應和恢復響應,而恢復響應又包括系統恢復和信息恢復,相應系統在檢測出入侵時,開始事件處理工作
5、網絡安全規範
可信計算機系統評估準則(tcsec)將計算機系統安全等級分爲啊A\B\C\D這4類,共有7級。即D,C1,C2,B1,B2,A1,其中,d級系統的安全要求最低,a1級系統的安全要求最高
d級系統屬於非安全保護類,它不能用於多用戶環境下的重要信息處理。c類系統是用戶定義訪問控制要求的自主保護類型。b類系統屬於強制型安全保護系統,即用戶不能分配權限,只有管理員能夠爲用戶分配。一般unix系統通常爲c2標準
數據備份方法
1、備份模式
物理備份:物理備份是將磁盤塊的數從拷貝到備份介質上的備份過程,它忽略了文件的結構,它也被稱爲“基於塊的備份”和“基於設備的備份”
邏輯備份:邏輯備份順序地讀取每個文件的物理塊,並連續第將文件寫在備份介質上實現每個文件的恢復,因此,邏輯備份也稱爲“基於文件的備份”
2、基於策略
完全備份:完全備份即是將用戶指定的數據甚至是整個系統的數據進行完全備份
增量備份:增量備份是針對完全備份,在進行增量備份,只有那些在上次完全或則增量備份後被修改了的文件才被備份
差異備份:差異備份是將最近一次完全備份產生的所有數據更新進項備份。差異備份將完全恢復是所涉及到的備份文件數量限制問2個
(使用空間:完全備份>差異備份>增量備份;備份速度:增量備份>差異備份>完全備份;恢復速度:完全備份>差異備份>增量備份)
3、冷備份與熱備份
冷備份:冷備份是指“離線”的備份,當進冷備份操作時,將不允許來自用戶與應用對數據更新
熱備份:熱備份是指“在線”的備份,即下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區
數據的備份與軟件安裝
1、常用的備份設備(磁盤陣列、光盤塔、光盤庫、磁帶機、磁帶庫、光盤鏡像服務器)
磁盤陣列部署方式,也稱raid級別,主要是raid0、raid1、raid3、raid5等級別。raid10是raid0和raid1的組合
磁盤陣列需要有磁盤陣列控制器,有些服務器主板中自帶有這個raid控制器,有些主板沒有這種控制器,就必須外加一個raid卡,raid卡通常是scsi接口,有些也提供ide接口和sata接口
2、windows 2003 server備份工具和使用方式
備份權限
備份步驟
windows 2003 備份程序支持的五種備份方式(是否標記)
(副本備份:複製所有選中的文件,但不標記已有的備份;每日備份:複製執行每日備份的當天修改的所有選中文件,不做標記;差異備份:從上次的正常備份或增量備份後,創建或修改的差異備份副本文件,備份不標記爲已備份的文件;增量備份:只備份上一次正常備份或增量備份後創建或改變的文件。備份後標記;正常備份:複製所有選中文件,並且備份後標記每個文件。)
加密技術
1、加密算法與解密算法
基本流程:a發送文件但是不希望被第三者知道這個報文的內容,因此需要設置加密算法,將該報文轉換爲別人無法識別的密文,這個密文即使在傳輸過程中被截獲,一般人也無法解密。當另一端收到時可以利用解密算法與密鑰,將該密文轉換爲原來的報文。
密鑰:加密與解密的操作過程都是在一組密鑰的控制下進行的,這個密鑰可以作爲加密算法中的可變參數,它的改變可以改變明文與密文之間的數學函數關係。
2、對稱密碼體制:對稱密鑰技術既是指加密技術的加密米喲啊與解密密鑰是相同的,或則是有些不同,但同其中一個可以很容易地推導出另一個。
對稱加密算法中n個用戶之間進行加密時,則需要n(n-1)和密鑰。
dns算法時一種迭代的分組密碼,它的輸入與輸出都是64,包括一個56位的密鑰和附加的8位奇偶校驗位。目前比dns算法更安全的對稱算法有:idea、rc2、rc4與skipjack等
3、非對稱密碼體制:加密和解密使用不同的密鑰,加密密鑰位公鑰時可以公開的,而解密密鑰爲私鑰保密的。因此,非對稱密鑰技術被成爲公鑰加密技術
非對稱加密技術中n個用戶之間進行通信加密,僅需要n對(2n)密鑰就可以了。常用的加密算法有rsa算法、dsa算法、pkcs算法與pgp算法。
防病毒技術
1、計算機病毒:計算機病毒時指計算機程序的一段可執行程序代碼,他可以破環計算機的功能甚至破壞數據從而影響計算機的能力。計算機病毒通過對其他程序的修改,可以感染這些程序,使其成爲病毒程序的複製,使之很快的蔓延開來,很難根除。
特徵:非授權可執行性;隱蔽性;傳染性;潛伏性;破壞性;可觸發性;
分類:按寄生分類;按破壞性分類
2、網絡病毒
特徵:傳播方式多樣,傳播速度更快;影響面更廣;破壞性更強;難以控制和根除;編寫方式多樣,病毒變種多樣;病毒智能化,隱蔽化;出現混合病毒
3、惡意代碼
蠕蟲:蠕蟲是一個自我包含的程序,它能夠傳播自身的功能或 拷貝自身的片段到其他計算機系統(通常是通過網絡連接)
木馬:“木馬”通常寄生在用戶計算機系統中,盜用用戶信息,並通過網絡發送給黑客。與病毒不同之處在於沒有自我複製功能。傳播途徑:電子郵件、軟件下載、會話軟件。
防病毒軟件安裝與配置
1、網絡版防病毒系統結構
系統中心:系統中心實時記錄計算機的病毒監控、檢測和清除的信息,實現對整個防護系統的自動控制
服務器端:服務器端爲網絡服務器操作系統應用而設計
客戶端:客戶端對當前工作站上的病毒監控、檢測和清除並在需要時像系統中心發送病毒檢測報告
管理控制檯:管理控制檯是爲了網絡管理員的應用而設計的,通過它可以集中管理網絡上所有已安裝的防病毒系統防護軟件的計算機
管理控制檯即可以安裝到服務器上也可以安裝在客戶機上,視網絡管理員的需要,可以自由安裝
2、網路版防病毒系統安裝
對於大多數的網絡版的防病毒系統,服務器端和客戶端通常可以採用本地安裝、遠程安裝、web安裝、腳本安裝等方式進行安裝
控制檯的安裝通常由兩種方式:通過光盤安裝控制檯、遠程安裝控制檯,系統管理員可以將管理控制檯遠程安裝到其他計算機上。
3、網絡版防病毒系統的主要參數配置
系統升級:從網站升級、從上級中心升級、從網站上下載手動數據包
掃描設置
黑白名單設置
端口設置:爲了使用網絡版防病毒軟件的通信數據能夠順利通過防火牆,通常系統都會提供用於數據通信端口設置界面(非固定端口)
防火牆技術
1、防火牆的主要功能:所有的從外部到內部的通信都必須經過它
只有內部訪問策略授權的通信才能被允許通過。
具有防攻擊能力,保證自身的安全性。
2、防火牆的分類:防火牆在網絡之間通過執行控制策略來保護網絡系統防火牆包括硬件和軟件兩部分。防火牆根據其實現技術可以扽爲:包過濾路由器、應用網關、應用代理和狀態檢測4類
包過濾路由器:實現包過濾的關鍵是制定包過濾規則。包過濾規則路由器分析所接收的包,按照每一條規則加以判斷。包過濾規則一般是基於部分或全部的包頭內容。例如,源、目ip地址;協議類型;IP選項內容;源目端口號;tck ack標識。
應用及網關:可以實現在應用稱上對用戶身份認證和訪問操作分類檢查和過濾。只要能夠確定應用程序訪問控制規則,就可以採用雙宿主主機作爲應用及網管,在應用層過濾進出內部網絡特定服務的用戶請求與響應。
應用代理:應用代理完全接管了用戶與服務器的訪問,隔離了用戶主機與被訪問服務器之間的數據包的交換通道。
狀態檢測:狀態檢測防火牆保留狀態連接表,並將進出網絡的數據當成一個個的會話,利用狀態表跟蹤每一個會話狀態。狀態檢測每一個包的檢查不僅根據規則表,更考慮數據包是否符合會話所處的狀態,因此提供了完整的對傳輸層的控制能力。
對返回受保護網絡的數據包進行分析判斷,只有那些相應來自受保護網絡的請求的數據包才被放行。對於up或者其他rpc等無法連接的協議,檢測米快可創建虛擬會話用來進行跟蹤。
3、防火牆的系統結構
包過濾結構:包過濾結構是通過專用的包過濾路由器或是安裝了包過濾功能的普通路由器來實現的。包過濾結構對進出內部網絡的搜有信息進行分析,按照一定的安全策略對着些信息金相分析與限制
雙宿主網關結構:雙宿主網關結構是一臺裝有兩塊網卡的主機作爲防火牆,將外部網絡與同部網絡實現物理上的隔離。應用級網關完全暴漏整個外部網絡,人們將處於防火牆關鍵部位、運行應用級網管軟件的極端及系統成爲堡壘主機
屏蔽主機結構:屏蔽主機結構將所有的外部主機強制與一個堡壘主機相連,從而不允許他們直接與內部網絡的主機相連,因此屏蔽主機結構是由包過濾路由器和堡壘主機組成的
屏蔽子網結構:屏蔽子網結構使用了兩個屏蔽路由器和兩個堡壘主機。在該系統中,從外部包過濾路由器開始的部分是由網絡系統所屬的單位組建的,屬於內部網絡,也稱爲“dmz網絡”。外部包過濾路由器與外部堡壘主機構成了防火牆的過濾子網;內部包過濾路由器和內部堡壘主機則用於對內部網絡進行進一步的保護。
防火牆的安裝與配置
1、硬件防火牆的網絡接口
內網:內網一般包括企業的內部網絡或是內部網絡的一部分
外網:外網指的是非企業內部的網絡或是internet,內網與外網進行通信,要通過防火牆來實現訪問限制
dmz(非軍事化區):dmz是一個隔離的網絡,可以在這個網絡中放置web服務器或是e-mail服務器等,外網的用戶可以訪問dmz
2防火牆的安裝與初始化配置
給防火牆加電令它啓動。
將防火牆的console口連接計算機的串口上,並通過windows操作系統的超級終端,進入防火牆的特權模式
配置ethernet的參數
配置內外網卡的ip地址、指定外部地址範圍和要進行轉換的內部地址。
設置指向內網與外網的缺省路由
配置靜態IP地址映射
設置需要控制的地址、所作用的端口和連接協議等控制選項並設置允許telnet遠程登陸防火牆的IP地址。
保存配置
3、基本配置方法
訪問模式:(非特權模式:pix防火牆開機自檢後,就是處於這種模式。系統顯示 pixfirewall>
特權模式:輸入enable進入特權模式。可以改變當前配置。顯示 pixfierwall#
配置模式:輸入configure terminal進入此模式。絕大部分二點系統配置都在這裏進行。顯示爲pixfirewall(config)#
監視模式:pix防火牆在開機或重啓過程中,按住escape鍵或發送一個“break”字符,進入監視模式。這裏可以更新操作映像和口令恢復,顯示爲 monitor>
配置命令:(namef:配置防火牆接口的名字,並指定安全級別。如:pix525(config)#nameif ethernet0 outside security 0(外部接口0安全級別爲0)
在缺省配置中,以太網口0被命名爲外部接口(outside)安全級別爲0;以太網口1被命名爲內部接口(inside),安全級別爲100。dmz默認安全級別爲50。安全級別取值範圍爲1到99,數字與偉大安全級別越高
interface:配置以太網參數。如pix525(config)#interface Ethernet0 auto //設置以太網接口0爲auto模式,auto模式爲系統網卡自適應模式,這樣該接口會自動在10/100、單雙半之間切換。interface Ethernet1 100 full//設置接口1的速率爲100 全雙工
ip adress:配置內外網卡的IP地址。如:IP adress outside 66.144.34.55 255.255.255.248
nat:指定要進行轉換的內部地址
nat命令配置語法:nat(if_name)nat_id local_id [netmark]//其中(if_name)表示被網絡接口名稱、nat_id表示全局地址池,使他與其相應的global命令相匹配。local_ip表示內網絡被分配的IP地址。例如0.0.0.0表示內網所有主機都可以訪問外網。【】表示內網IP地址的掩碼
global:指頂一個外網IP地址或一段地址範圍。global命令配置語法:golbal(if_name)nat_id IP_address-ip address [子網掩碼]//nat_id與nat相對應的地址池
route:設置指向內網和外網的靜態路由
route命令配置語法:route(name)0 0 gateway_ip [metric]//gateway_ip表示網關路由器的IP地址。【】表示gateway的跳數,通常缺省爲1
static:掌握概念與作用:配置靜態nat,如果從外網發起一個會話,會話的目的地址十一個內網的IP地址,atatic九八內部地址翻譯稱一個指定的全局地址,允許這個會話建立;語法:static(internalname,extname)outip intip//注意相反
conduit(管道命令):使用static命令可以在一個本地IP地址和一個全局IP地址之間創建一個靜態映射,但從外部到內部接口的連接仍然會被pix防火牆的自適應安全算法(asa)阻擋,conduit命令允許數據流從具有較低安全級別的接口流向具有較高安全級別的接口,類如允許dmz到內部。
對於內部接口的連接,static和conduit命令將一起使用,來指定會話的建立。說的通俗一點管道命令(condt)就相當於往的cisco設備的訪問控制列表(acl).
conduit命令配置語法:conduit permit|deny global_ip port[-port] protcol foreign_ip[netmask]//其中permit|deny爲允許|拒絕訪問,golbal_ip指的是及先前由global或static命令定義的全局IP地址,如果global爲0,就用any代替;如果global是一臺主機,就用host命令參數。port指的是服務器所作用的端口,例如www使用80,smtp使用25等等,我們可以同構服務器名稱或端口數字來指定端口。protocal指的是連接協議,比如:tcp、udp、icmp等。foreign_ip表示訪問global的外部ip。對於任意主機可以用any表示。如果foreign是一臺主機,就用host命令參數。如:conduit permit tcp host 192.3.3.3 eq www any
fixup掌握概念與作用:fixup命令作用是啓用、禁用、改變一個服務器或協議通過pix防火牆,由fixup命令指定的端口是pix防火牆偵聽的服務。pix525(config)#fixup protocol ftp 21//啓用ftp協議,並指定ftp的端口號爲21
redistribute:同分布
入侵檢測技術
入侵檢測系統(ids)是對計算機和網絡資源的惡意使用行爲檢測的系統(被動;入侵防護是主動)
1、入侵檢測系統的功能
監控、分析用戶和系統的行爲
檢查系統的配置和漏洞
評估重要的系統與數據文件的完整性
對異常行爲統計分析,識別供給類型,並向網絡管理人員報警
對操作系統進項審計、跟蹤管理,識別違反授權的用戶活動
2、入侵檢測系統的結構
事件發生器
時間分析器
響應單元
事件數據庫
3、入侵檢測技術的分類
分爲異常檢測和誤用檢測兩種
4、入侵檢測系統的分類 (基於主機的入侵檢測,基於網絡的入侵檢測系統)
按照檢測的數據來源,入侵檢測系統可以分爲:基於主機的入侵檢測系統(系統日誌和應用程序日誌數據來源)和基於網絡的入侵檢測系統(網卡設置爲混合模式,原始的數據幀是其數據來源)
5、分佈式入侵檢測系統
分佈式入侵檢測系統的三種類型爲層次型(存在單點失效)、協議型(存在單點失效)、對等型(無單點失效)
6、入侵防護系統(ips)
入侵防護系統(ips)整合了防護技術和入侵檢測技術,採用in-line工作模式
入侵防護系統的基本結構:入侵防護系統包括:嗅探器、檢測分析組件、策略執行組件、狀態開關、日誌系統和控制檯6個不部件
入侵防護系統的基本分類
基於主機的入侵防護系統(hips):安裝在受保護的主機系統中,檢測並阻止正對本機照成的威脅和供給
基於網絡的入侵防護系統(nips):佈置於網絡出口處,一般串聯與防火牆與路由器之間,網絡進程的數據都必須通過它。從而保護整個網絡的安全,。如果檢測到一個惡意的數據包時,系統不但發出報警,還將採取相應措施(如丟棄含由攻擊性的數據包或阻攔連接)阻斷攻擊。nips對攻擊的誤報會導致合法的通信被阻斷。
應用入侵防護系統(aips):一般部署於應用服務器前端,從而將基於主機的入侵防護系統功能延申到服務器之前的高性能網絡設備上,進而保證了應用服務器的安全性。防止的入侵包括cookie篡改、sql注入等。
網絡入侵檢測系統的部署
1、網絡入侵檢測系統的組成結構(控制檯、探測器)
2、入侵檢測系統常用的部署方法:
網絡接口卡與交換設備的監控端口相連,通過交換機設備的span/mirror功能將流向端口的數據複製一份給監控端口。
在網絡中增加一臺集線器改變爲網絡拓撲結構,通過集線器(共享式監聽方式)獲取數據包
入侵檢測傳感器通過一個tap(分路器)設備對交換式網絡中的數據包進行分析和處理。tap是一種容錯方案,他提供全雙工或半雙工觀察流量的手段,其優點爲:tap是容錯的,如果發生電源故障。原先監控的網段上的信息不受影響。tap不會影響數據流。tap阻止建立入侵檢測系統的直接連接,從而保護它不受攻擊
入侵檢測系統與防火牆聯合部署
網絡安全評估
網絡安全評估系統是一種集網絡安全檢測、風險評估、修復、統計分析和網絡安全風險集中控制管理功能與一體的網絡安全設備。
網絡安全評估分析技術
1、基於應用的技術(被動)
2、基於網絡的技術(主動)網絡安全風險評估技術通常用來進行穿透實驗和安全審計
網絡安全評估分析系統結構
通常採用控制檯和代理相結合的結構。
utm部署在網絡出口處,保護目標網絡。