1.防火墙的基本类型和原理
1.1防火墙技术
防火墙技术是一个网络安全设备或由多个硬件设备和相应软件组成的系统,位于不可信的网络和被保护的内部网络之间,目的是保护内部网络不遭受来自外部网络的攻击和执行规定的访问控制策略
1.2防火墙的特点
- 所有内网到外网与外网到内网的通信都经过它
- 只有满足内部访问控制策略的通信才允许通过
- 系统本身具有较高的计算和通信处理能力
1.3防火墙的功能
1.3.1过滤不安全的服务和通信
- 禁止对外部的ping
- 禁止内部网络违规开设的信息服务
- 防止信息泄露
1.3.2禁止未授权用户访问内部网络
- 不允许来自特殊地址的通信
- 对外部连接进行认证
1.3.3控制对内网的访问方式
- 只允许外部访问链接网内的www、FTP和邮件服务器而不允许访问其他主机
- 记录相关的访问事件
1.4防火墙的基本内容
1.4.1包过滤防火墙
- 定义
通过检查协议类型控制各个协议下的通信,通过P地址控制来自特定源地址或发往特定目的地址的通信,由于TCP/IP网络的服务和端口是对应的,因此包过滤防火墙可以通过检查端口控制对外部服务的访问和内部服务的开设。包过滤防火墙的操作者负责制定这些规则并且将它们配置到防火墙系统中去。
- 优缺点
1.4.2代理网关
1. 定义
—般认为来自外部网络的连接请求是不可靠的,代理网关是执行连接代理程序的网关设备或系统,设置它的目的是为了保护内部网络,它按照一定的安全策略判断是否将外部网络对内部网络的访问请求提交给相应的内部服务器如果可以提交,代理程序将代替外部用户与内部服务器进行连接,也代替内部服务器与外部用户连接。
2. 回路代理层
回路层代理亦称电路级代理,建立在传输层上。
3.应用代理层
应用层代理针对不同的应用或服务具体设计。
1.4.3包检查防火墙
在包过滤防火墙的基础上,检查对象不限于IP包的包头还可能检查TCP包头或TCP包的数据,因此可以在一定的计算代价下实施更多、更灵活的安全策略。
1.4.4混合型防火墙
集成了多种防火墙技术,其中:
- IP包过滤防火墙可以用于底层控制通信;
- 包检查型防火墙可以用于增加可实施的安全策略;
- 回路层代理用于保证建立连接时的安全;
- 应用层代理用于保障应用安全。
2.入侵检测技术
2.1定义
入侵检测是用于检测损害或企图损害系统的机密性、完整性或可用性等行为的一类安全技术。这类技术通过在受保护网络或系统中部署检测设备来监视受保护网络或系统的状态与活动,根据所采集的数据,采用相应的检测方法发现非授权或恶意的系统及网络行为,并为防范入侵行为提供支持手段。
2.2三种方式
- 采集网络和系统中的数据、提取描述网络和系统行为的特征
- 根据数据和特征,高效准确判断网络和系统的行为性质
- 对网络和系统入侵提供响应手段
2.3入侵检测(IDS)系统结构
2.4入侵检测(IDS)的类型
- 基于主机的IDS:
运行在被检测的主机或单独的主机上,根据主机的审计数据和系统日志发现可疑迹象。 - 基于网络的IDS:
根据网络流量、单台或者多台主机的审计数据和日志检测入侵。
2.5分析检测的方法
2.5.1误用检测
建立各类入侵的行为模式,对他们进行标识或编码,建立误用模式库对来自数据源的数据进行分析检测,检查是否存在已知的误用模式
缺点∶只能检测已知的攻击
2.5.2异常检测
判断系统行为或用户行为与正常使用描述(NUP)的偏离程度,对超出阈值或变化范围的行为作出响应
2.5.3其他检测
- 生物免疫系统
- 自适应检测系统
2.6入侵相应
2.6.1被动响应
被动响应:检测到攻击后进行报警,为管理者或用户提供信息,由他们决定要采取的措施
2.6.2主动响应
主动响应:按照配置的策略阻断攻击过程,或者以其他方式影响、制约攻击过程或攻击的再次发生。
3.“蜜罐”技术的原理
3.1定义
蜜罐技术是指一类对攻击、攻击者信息的收集技术,通过诱使攻击者入侵蜜罐,系统搜集、分析相关的信息。
3.2分类
- 应用型 研究型
- 低交互 高交互
- 真实型 虚拟型
3.3步骤
伪装和引入>>信息控制>> 数据捕获和分析
4.应急响应的一般步骤
4.1响应应急技术
网络和信息系统设施可能由于各种因素遭到破坏,因qian此需要在这种破坏到来前后采取相应的预防和应对措施,这些被统称为应急响应。
- 前期响应:系统没被攻击前,预先做的分流
- 中期响应:系统正在被攻击时,处理方式包括蜜罐技术和停止系统运行等
- 后期响应:系统被攻击后,恢复系统
4.2应急响应系统构建
5.简答题
1.什么是防火墙?功能是什么?
2.防火墙的基本类型有哪些?
3.什么是入侵检测技术?
4.什么是蜜罐技术?
5.什么是应急响应技术?