網絡安全技術第一章——計算機網絡安全概述3（常用網絡安全管理技術與蜜罐技術、蜜網技術）

因爲要使用推薦卡，所以這一篇寫的稍微有點長

一、物理安全技術

1.定義：物理安全

是保護計算機網絡設備、設施以及其他介質免遭地震，水災.火災等環境事故以及人爲操作失誤及各種計算機犯罪行爲導致破壞的過程。
它主要包括環境安全、設備安全和介質安全3個方面。

（1）相應的一些國家標準（舉例）

1. 國家標準GB50173-93《電子計算機機房設計規範》
2. 國家標準GB2887-89《計算站場地技術條件》
3. 國家標準GB9361-88《計算站場地安全要求》

總結：

要知道解決安全問題是幾乎不可能的，但是我們要做的就是讓它更安全一些，讓它被破壞入侵的可能性儘量降低。舉個例子吧：我們在門上加一把鎖，很多順手牽羊的就進不來了，我們鎖的等級提高一些，很多低級小偷就進不來了，我們再加上觸發報警裝置，安全性是不是就更高一些了呢。

2.物理隔離的概念

是指內部網不得直接或間接地連接公共網。
物理隔離的目的是保護路由器、工作站，各種網絡服務器等硬件實體和通信鏈路免受自然災害、人爲破壞和搭線竊聽攻擊。

（1）物理隔離技術的基本思想

如果不存在與網絡的物理連接，網絡安全威脅便可大大降低。
爲了確保內部數據和信息的安全。或者限制接入互聯網，或者使用兩個完全獨立的網絡。（但是政府、部隊、銀行等單位不僅要上網，還走在前列，這個時候兩個完全獨立的網絡就不太實用了。而且價格昂貴）
當涉密網絡和非涉密網絡之間通過移動介質(如U盤、移動硬盤等)進行數據傳輸時並不安全。
例如：公安網絡屬於涉密網絡，在公安網絡與互聯網進行數據拷貝時候，使用的就是雙向U盤，

《計算機信息系統國際聯網保密管理規定》第2章第6條中規定:涉及國家祕密的計算機信息系統,不得直接或間接地與國際互聯網或其它公共信息網絡相聯接,必須實行物理隔離。

3. 物理隔離主要可以分爲兩個部分

（1）網絡隔離

網絡隔離就是把被保護的網絡從開放、無邊界。自由的環境中獨立出來。這樣，公共網絡上的攻擊者和計算機病毒將無從入手，保證了被保護系統的安全性。
實現網絡隔離主要採用兩種方式:物理網絡隔離和邏輯網絡隔離。

1. 物理網絡隔高就是使網絡與計算機設備在空間上進行分離，不存在有線或無線的電連接，它是最直觀.簡單。可靠的隔離方法。
2. 邏輯隔離一般通過網絡設備的功能來實現。

（2）數據隔離

不管網絡隔離採用的是物理網絡隔離還是邏輯網絡隔離，如果在使用中出現一臺計算機能夠連接兩個或兩個以上的網絡。那麼所有的網絡隔離也就失去了意義，因爲在同一臺計算機連接多個網絡的過程中沒有把存儲設備隔離開來。
數據隔離是指存儲數據的介質只能針對其中的一種網絡而存在。

物理隔離在安全上需要達到以下3點要求

( 1 )在物理傳輸上使不同網絡之間隔斷,確保不同的網絡不能通過網絡連接而侵入不同的網絡。（比如內網的網絡不能被泄到外網）
( 2 )在物理輻射上隔斷不同網絡，確保不同網絡之間不會通過電磁輻射或耦合方式泄漏信息。
( 3 )在物理存儲介質上隔斷兩個網絡環境，對於斷電後會遺失信息的部件(如內存、CPU等)要在網絡轉換時進行清除處理，防止殘留信息出網;對於斷電非遺失信息的設備(如硬盤等)， 不同網絡的信息應分開存儲。

二、安全隔離

1. 定義：

傳統的以太網絡。信息發送採用的是廣播方式，實際上就給信息“共享”打開了通道。惡意攻擊者只要能夠進入局域網,就可能監聽所有數據通信，竊取機密。
所以呢，安全隔離技術就出來了。
安全隔離技術的目標是在確保把有害攻擊隔離在可信網絡之外。井保證可信網絡內部信息不外泄的前提下，完成不同網絡之間信息的安全交換和共享。
目前出現了五代安全隔離技術：

1. 完全隔離
2. 硬件卡隔離
3. 數據轉播隔離
4. 空氣開關隔離
5. 安全通道隔離

完全隔離：

採用完全獨立的設備、存儲和線路來訪問不同的網絡。做到了完全的物理隔離，但需要多套網絡和系統，建設和維護成本較高，一般僅適用於一些專用網絡。
目前，像公安系統的公安專網、軍隊系統的軍網等專用網絡便是採用安全隔離方式來實現的。

硬件卡隔離

在客戶端增加一塊硬件卡，這樣客戶端硬盤或其他存儲設備先連接到硬件卡，然後再轉接到主板上。控制客戶端硬盤或其他存儲設備，在選擇不同的硬盤的時候，同時選擇了該卡上不同的網絡接口連接到不同的網絡。
簡單點：
內網硬盤工作時，只有內網網線接入。
外網硬盤工作時，只有外網網線接入。
內網數據與外網數據不存在電氣通道相互完全物理隔離。

數據轉播隔離

利用轉播系統分時複製文件的途徑來實現隔離。該方法切換時間較長，甚至需要手工完成,不僅大大降低了訪問速度，更不支持常見的網絡應用，只能完成特定的基於文件的數據交換。

空氣開關隔離

該技術是通過使用單刀雙擲開關，通過內外部網絡分時訪問臨時緩存器來完成數據交換的。

初高中的感覺有沒有，哈哈哈哈哈
這個傳輸速度慢，支持類型不多，硬件故障率也比較高。

空氣通道隔離

1. 空氣通道隔離
   通過專用通信設備、專有安全協議和加密驗證機制及應用層數據提取和鑑別認證技術，進行不同安全級別網絡之間的數據交換，徹底阻斷了網絡間的直接TCP/IP連接。
   同時對網間通信的雙方、內容， 過程施以嚴格的身份認證、內容過濾、安全審計等多種安全防護機制，從而保證了網間數據交換的安全、可控，杜絕了由於操作系統和網絡協議自身漏洞帶來的安全風險。
2. 網絡分段
   網絡分段是指網絡的分離或隔離(通常使用一個或多個防火牆)。
   在政府或者軍方可能意味着出於安全原因，物理隔離網絡、斷開網絡與其他網絡或者互聯網的連接。
   網絡分段是保證安全的一項重要措施，其根本目的在於將非法用戶與網絡資源相互隔離,從而達到限制用戶非法訪問的目的。.

三、入侵檢測和防禦

1.入侵檢測(Intrusion Detection)

通過在計算機網絡或計算機系統的關鍵點採集信息進行分析，從中發現網絡或系統中是否有違反安全策略的行爲和被攻擊的跡象。
入侵檢測所使用的軟件與硬件的組合便是入侵檢測系統(IDS )。
#### 分類

1. 基於主機的入侵檢測系統( HIDS )
   HIDS就是以系統日誌、應用程序日誌等作爲數據源，保護的一般是HIDS所在的系統。
2. 基於網絡的入侵檢測系統( NIDS )
   NIDS的數據源是網絡上的數據包,一般NIDS擔負着保護整個網絡的任務。

2.入侵防禦(Intrusion Prevention)

入侵防禦系統( IPS )屬於網絡交換機的一個子項目，爲有過濾攻擊功能的特種交換機。- 般佈於防火牆和外來網絡的設備之間。
依靠對數據包的檢測進行防禦(檢查入網的數據包，確定數據包的真正用途，然後決定是否允許其進入內網) .

總結：

1.物理隔離的概念
是指內部網不得直接或間接地連接公共網。
2.物理隔離的基本思想
如果不存在與網絡的物理連接，網絡安全威脅便可大大降低。
3.安全隔離技術經過的五個發展階段
(1)完全隔離
(2)硬件卡隔離
(3)數據轉播隔離
(4)空氣開關隔離
(5)安全通道隔離
4.入侵檢測系統IDS和入侵防禦系統IPS
IDS的概念
IDS的分類
IPS的概念

四、蜜罐

熊出沒裏面熊二最喜歡的就是蜂蜜，蜂蜜一般都是存在蜜罐裏面對吧。
so：什麼是蜜罐？誰又是熊二呢？
信息時代的到來，網絡安全防護也漸漸的由被動防禦轉移到了主動防禦。

1.蜜罐定義：

1. 在計算機網絡系統中，蜜罐是一種被偵聽、被攻擊或已經被入侵的資源，使用和配置蜜罐的目的，是使系統處於被偵聽，被攻擊狀態。
2. 因此習慣可以理解爲蜜罐是一臺無人使用但卻被嚴密監控的網絡主機，它包含虛假的高價值資源和一些漏洞。以此吸引入侵者(黑帽子黑客)攻擊主機，並且在被入侵的過程中。實時記錄和審計攻擊者的攻擊流量、行爲和數據。以此瞭解攻擊者的方式、手段、目的。以及後續的攻擊溯源，取證等等進一步的工作。
3. 蜜罐是一種安全資源，其價值在於被掃描、攻擊和攻陷。
4. 蜜罐系統的概念：蜜罐系統是一一個包含漏洞且運行於互聯網上的計算機系統。它通過模擬一個或多個易受攻擊的系統，給攻擊者提供一個包含洞洞並容易被攻破的攻擊目標。
   重點來了; 網絡安全中蜜罐指的是一種專門設計的“陷阱”系統，吸引井“誘騙”的是那些試圖非法入侵他人計算機系統的人。

2.蜜罐技術的發展歷史

1. 第一階段
   九十年代初，蜜罐實質上是一些真正被入侵者所攻擊的主機和系統。
2. 第二階段
   蜜罐又稱爲虛擬蜜罐，即開發的蜜罐工具能夠模擬成虛擬的操作系統和網絡服務，井對攻擊者的攻擊行爲做出迴應，從而欺騙攻擊者。
3. 第三階段
   2000年之後，更傾向於使用真實的主機、操作系統和應用程序搭建蜜罐，融入了更強大的數據捕獲、數據分析和數據控制的工具，井且將蜜罐納入到一個完整的蜜網體系中。

3、蜜罐的使用價值

1. 密罐是用來被探測、被攻擊甚至最後被攻陷的，蜜罐不會修補任何問題，它們僅爲使用者提供額外的。有價值的信息。所以蜜罐不會直接提高計算機網絡安全。但它卻是其他安全策路所不可替代的一種主動攻擊技術。無論用戶如何建立和使用蜜罐，只有蜜罐受到攻擊。它的作用才能發揮出來。
2. 蜜罐作爲一種研究工具,但同時有着真正的商業應用，它常常被用來跟蹤殭屍網絡或是收集惡意代碼等.
3. 蜜罐還可以爲安全專家們提供一個學習各種攻擊的平臺。

4.蜜罐的分類

1. 根據其部署目的
   （1）產品型蜜罐
   用於攻擊檢測，預警防禦和取證，爲一個組織的網絡提供安全防護。它般採用虛擬的操作系統和應用程序來構建系統，部署在一個部門的內部網絡環境。
   部署簡單，成本低，容易維護，捕獲的信息少。
   （2）研究型蜜罐
   主要是用於研究攻擊的特徵和發展趨勢，對攻擊行爲進行追蹤和分析。瞭解攻擊者所使用的攻擊工具和方法幫助安全組織研究系統所面臨的威脅，以便更好地抵抗這些威脅。
   一般使用真實的主機、操作系統和應用程序部署在網絡系統的各個網段上。
   部署難，成本高，維護困難，捕獲的信息多，所以只適合於研究。

2. 根據其與攻擊者的交互程度（交換數據的程度）
   低交互蜜罐
   模擬操作系統和網絡服務
   中交互蜜罐
   模擬真正操作系統的各種行爲
   高交互蜜罐
   完全向攻擊者提供真實的操作系統和網絡服務

4.蜜罐功能模塊

1. 攻擊誘騙
   欺騙攻擊者，引誘攻擊者，來對蜜罐發動各種攻擊以便採集到有關數據。
2. 數據捕獲
   蜜罐的核心功能，對攻擊過程進行全面記錄，包括網絡流量數據捕獲以及主機上系統行爲的捕獲。
   流量捕獲結合入侵檢測系統，配置相關敏感信息的檢測規則，觸發檢測規則時，立即記錄流量行爲
3. 數據控制
   蜜罐必須能夠控制攻擊者的行爲，以防止攻擊者利用蜜網主機作爲跳板來攻擊其他應用系統，從而引發法律等名種風險

五、蜜網

蜜網的概念

蜜網技術是在蜜罐技術上逐漸發展起來的一個新的概念，又可稱爲誘捕網絡。

1. 蜜網技術實質上是一類研究型的高交互蜜罐技術，寶網構成了一個攻擊誘捕的網絡體系架構。
2. 該體系架構中可以包含一個或多個密罐。並提供多種工具以方便對攻擊信息的採集和分析.
3. 技術角度：同時保證網絡的高度可控性。

蜜網的體系結構

宿主系統就是：物理主機，他接着虛擬出來了很多虛擬主機，虛擬主機搞操作系統啊啥的。
咱們學這個搭建幾個虛擬機是少不了的，這個技術也需要掌握一下。
連接控制器這個是核心：防止跳板攻擊。控制數據交互程度。
圖中連接控制器右邊那個就是防火牆，畢竟做戲做全套。

蜜網作用

捕獲殭屍網絡
捕獲垃圾郵件
蠕蟲和病毒樣本
捕獲網絡釣魚

對計算機網絡安全概述做一個總結，就是這1.2.3節的總結吧

1. 網絡安全研究的動因
2. 網絡安全的相關概念
3. 網絡安全威脅的類型
4. 安全策略和安全等級
5. 網絡安全技術
   （1）物理安全技術
   （2）安全隔離
   （3）入侵檢測和防禦
   （4）蜜罐和蜜網技術

希望我寫的能夠對大家有用