1、配置网络安全技术
网络的组成部分
设备:
路由器(网络层)、代理服务器(反向代理拦截外部流量=》Nginx反向代理)、交换机(数据链路层)、防火墙(隐式拒绝:默认拒绝所有流量)、负载均衡器(平衡工作负荷=》调度:轮询调度=》流量依次转发到每个服务器,关联=》转发到与客户端建立连接的服务器)
媒介、网络适配器、网络操作系统、协议。
网络扫描器和分析工具
数据包分析器、协议分析器、网络枚举器。
入侵检测系统(IDS)
查找计算机基础设施中正在被攻击的迹象。
入侵防御系统(IPS)
查找计算机基础设施中正在被攻击的迹象并阻止。
网络监控系统的类型
基于签名=》hash值
基于异常
基于行为
启发式
2、保护网络设计要素
安全信息和事件管理
对网络硬件和应用程序生成的安全警报提供实时分析。
数据丢失/泄露防御(DLP)
检测和防止敏感信息被盗或以其他方式落入不法之徒手中。
虚拟专用网VPN
在公共网络上建立隧道来拓展私有网络。
安全网关
确保对入站和出站的网络流量应用控制措施
可以应用几种不同的控制措施
邮件网关:
垃圾邮件过滤器拒绝携带已知垃圾邮件内容的入站电子邮件信息
DLP方案阻止数据泄露到网络外部
当数据离开网络时,加密确保了数据的机密性和完整性
安全措施还能应用于电子邮件流量之外的更多方面
例子:媒体网关转换来自或进入网络的流媒体
加密和DLP有助于保持语音和知识产权流量安全
统一威胁管理(UTM)
将各种安全技术集中到一台设施中的系统
配置网络安全技术的准则
熟悉构成网络的常见设备,以及它们的安全问题
实施网络扫描技术
实施网络入侵检测系统
了解入侵防御技术的风险
考虑实施DLP解决方案
实施VPN技术,认证并加密流量
考虑在更复杂的环境中使用VPN集中器
将安全网关应用到网络中控制入站和出站的流量
考虑使用UTM来简化网络安全设备的管理
网络访问控制
管理设备网络互连访问权限的收集协议,策略和硬件
非军事区
对公共访问可用的私有网络的一部分
网络隔离
将网络彼此分开的一种实践
空隙:从物理上将一个网络与其他所有网络分离的一种隔离做法
分段/子网划分:将一个网络分成多个子网的隔离做法
作用:攻击者无法轻易从一个网段移动到另外一个网段
限制攻击造成的损害数量和范围
虚拟局域网VLAN
在数据链路层分割网络的逻辑方法(交换机)
网络地址转换
在不同的IP寻址机制之间进行转换的一种服务,面向公共的IP和私有的IP(隐藏内部网络拓扑)
负载均衡器
轮询调度,关联
开放系统互联OSI
互联网协议套件TCP/IP
域名系统DNS
互联网和私有IP网络上的主要域名解析服务,递归和迭代
一般客户机和服务器之间为递归查询 ,客户机会一直查到找到正确的dns服务器并返回结果;
一般服务器与服务器之间为迭代查询,客户机发送请求给dns1,dns1不能解析,则dns1把dns2的ip给客户机,客户机自动跳转到dns2,直到查询到为止。
超文本传输协议
http:不安全,明文,无连接
3、实施安全的联网协议和服务
安全套接字层/传输层安全
SSL+TLS
HTTP安全
HTTP的安全版本,支持加密通信。
SSL+TLS加密(安全套接字+传输层安全)
安全SHELL(SSH隧道)
用于安全远程访问和安全数据传输的协议。
FTP首选协议,会话加密
网际控制报文协议ICMP
ping
互联网协议安全IPsec
保护在网络上传输的数据,使用不同的协议提供安全服务,在网络层。
文件传输协议
FTP、SFTP(不安全)、TFTP、基于SSH的FTP(安全)、SCP、FTP-SSL。
电子邮件协议
POP、IMAP
MIME、S/MIME
端口
21 FTP
22 SSH
53 DNS
80 HTTP
443 HTTPS
3389 RDP
4、保护无线流量
无线加密协议
WEP不安全
WPA
WPA2
无线认证协议
EAP:客户端-》服务端认证框架
IEEE 802.1X
PEAP
RADIUS联合+IEEE 802.1X基于端口认证
无线客户端认证方法
WPA/2个人、WPA/2-PSK
WPA/2企业、RADIUS+802.1X认证
WPS=》PIN
无线访问点安全性
MAC过滤
禁用SSID广播
信号配置
瘦AP-》中央设备、胖AP-》降低复杂性
强制网络门户
要求客户端连接到无线网络通过网页进行身份验证
天翼校园网
瘦AP-》中央设备、胖AP-》降低复杂性
站点勘察
收集某个位置上的信息,以便以最佳方式构建无线网络
保护无线流量准则
选择合适的无线类型
选择合适的802.1X协议
使用WPA2
使用不同的无线认证协议
避免使用WPS的PIN
禁用SSID且MAC过滤
实施强制网络门户