網路與系統安全筆記 邊界防禦技術

2021-10-16 12:58:39 字數 3079 閱讀 3780

關鍵技術

網路邊界

連線不同安全級別的網路之間的邊界就稱為網路邊界。

邊界防禦技術

常見的有四種:防火牆技術,多重安全閘道器技術,網閘技術,虛擬專用網技術。

是一種高階的網路控制裝置,在不同的網路或者網路安全域之間的一系列部件的組合,也是網路之間的唯一出入口,能按照一定的安全策略(允許,拒絕,監測)控制出入網路的資訊流。特性

分類使用物件不同:企業,個人防火牆。

實現方式不同:軟體,硬體,虛擬防火牆。

部署位置不同:分布式,個人,邊界防火牆。

應用場景不同:web應用,雲應用,工業防火牆。

執行準則

一切未被允許的就是禁止的

預設是禁止的,設定某些規則來對資料放行,一般用於資料的接收。

一切未被禁止的就是允許的

預設是允許的,設定某些規則來限制資料通過,一般用於資料的傳送。功能

控制能力

效能指標(訪問效率)

吞吐量:不丟失資料的情況下能達到的最大**資料報的速率。(網路效能重要指標

時延:從入口進入的輸入幀的最後一位元到從出口發出的輸出幀的第一位元所用的時間間隔。(資料處理能力

丟包率:在特定負載下,由於網路裝置資源耗盡而丟棄幀的百分比。(穩定性和可靠性的指標)

背對背:從空閒狀態開始,以達到傳輸介質最小合法間隔極限的速率傳送固定長度的幀,當出現第乙個幀丟失時所傳送幀數。(快取能力、對網路突發資料流量的處理能力)

併發連線數:穿越防火牆的主機或主機與防火牆間同時建立的最大連線數。(被防火牆建立和維持的tcp連線的效能和防火牆對tcp連線的響應能力)

侷限性

體系結構

包過濾型

常作用於網路層,對每個接收的資料報做允許或者拒絕的決定。通過ip報頭的資訊進行判斷,對比相應的過濾規則進行處理。

雙宿/多宿主機

主機作為閘道器,其具有至少兩個網路介面,分別連線內外部的網路,內外部網路都通過雙宿主主機進行通訊,但是內外部網路之間不能直接通訊,雙宿主主機實現過濾與控制(對ip層的通訊進行擷取)。

兩個網路之間可以通過應用層的**實現通訊。

遮蔽主機

相比於雙宿主結構,遮蔽主機結構在內外部網路之間多設定了乙個路由器來隔開內外部網路,並將所有的外部到內部的連線都路由到堡壘主機上,不讓其直接與內部主機相連。

過濾路由器

安全策略

入站連線:允許資料報先到堡壘主機,然後與內部主機連線,或者直接禁止某種服務資料報的入站連線。

出站連線:允許一些服務直接繞過堡壘主機,通過過濾路由器連線到外部網路。其他服務必須經過堡壘主機,並且在堡壘主機上執行該服務的**伺服器。

堡壘主機

特點

遮蔽子網

在內部網路與外部網路之間建立乙個被隔離的子網,兩個分組路由器分別將子網與內外部網路隔開,內外部網路都可以訪問子網內的主機,但是無法跨過子網直接1相互訪問,子網充當內外部網路之間的緩衝區(dmz,demilitarized zone)(非軍事區)。

dmz

關鍵技術

包過濾

特點:簡單,方便(不用額外安裝軟體,許多路由器都可進行設定)。但是其處理能力有限,只能處理資料報頭部的部分資訊,不能理解通訊的上下文,各個規則之間的衝突關係無法檢驗,維護困難,對於埠動態分配的服務無法進行有效過濾。

應用:雙宿主主機或者路由器。

狀態檢測

主要工作在網路層與傳輸層,其將同屬於乙個連線的所有包作為乙個整體的資料流看待,建立連線狀態表,通過規則表於狀態表協同,動態的決定資料報是否能通過。也稱「動態包過濾技術」。

初始的報文到達時,檢查其是否符合安全過濾規則,如果符合就將該連線記下,並新增相應的過濾規則,凡是屬於該連線的資料,防火牆一律放行(雙向)。通訊結束後防火牆刪除關於這條連線的過濾規則。

應用:遮蔽主機防火牆,遮蔽子網防火牆。

特點:操作簡單,效率高,安全性比靜態包過濾強。但是無法對應用層資料進行過濾。

**伺服器

工作在應用層,根據安全策略處理網路服務的請求,在內外部網路之間,處理其通訊來代替互相直接的通訊。

客戶機先將資料請求發給**伺服器,**伺服器檢驗資料的合法性,如果合法則傳送給相關的伺服器,之後再由**伺服器將資料**給客戶機。**伺服器在客戶機與伺服器之間是透明的。

**伺服器本身由一組以特定應用分類的**伺服器和身份驗證伺服器組成,每個**伺服器本身具有一定的入侵免疫和審計功能,可與身份驗證伺服器一起完成訪問控制和操作級的控制。

特點:隔離內外網,安全性好,可以進行使用者的身份驗證,可以分析資料報內部的應用命令。但是對於不同的應用服務,都要為其設定乙個**軟體來進行安全控制,但是不同網路應用的安全問題各不相同,所以難以實現。

系統安全與網路安全

模組 system safety system cybersecurity 定義指系統不會對生命 財產或環境造成危害的狀態 指系統不允許利用漏洞導致損失的狀態,如財務 運營 隱私或安全損失 示例1不屬於屬於 從駕駛員處獲取個人資訊的娛樂系統 該系統被破壞,不會對司機造成身體傷害該系統被破壞,可能導致...

網路與系統安全筆記 入侵檢測

入侵檢測技術 入侵檢測 通過計算機網路或計算機系統中的若干關鍵點收集資訊並對收集到的資訊進行分析,從而判斷網路或系統中是否有違反安全策略的行為和被攻擊的跡象。完成入侵檢測功能的軟體 硬體及其組合。可以檢測識別和隔離有入侵企圖或者不恰當的未授權使用。相關問題 分類基於主機 hids 執行在檢測的主機之...

作業系統安全防護技術

作業系統概述 是計算機系統軟硬體資源的控制中心。2 20世紀70年代中期出現計算機作業系統。3 特徵 併發性 共享性 虛擬性 非同步性。桌面作業系統 mac osx linux windows 伺服器作業系統 unix系列 linux系列 windows系列 嵌入式作業系統 android ios ...