第十章:网络安全技术(33~36题)
考点1:数据备份与还原
考点2:加密技术
考点3:防火墙技术--pix
考点4:入侵检测技术(选择+应用题)
考点5:计算机病毒防范
考点6:网络安全评估
网络完全的基本概念
1、网络安全的基本要素
机密性、完整性、可用性、可鉴别性、不可抵赖性
2、信息泄露与纂改
信息传输过程可能存在的4种攻击类型:
截获:信息在传输过程中被非法截获,并且目的结点并没有收到该信息,即信息在中途丢失
窃听:信息在传输过程中被直接或者间接地窃听网络上的特定数据包,通过对其的分析得到所需要的重要信息,数据包仍然能够到达目的结点,其数据并没有丢失
篡改:信息在传输过程中被截获,攻击者修改其截获的特定数据包,从而破坏了数据的完整性,然后再篡改后的数据包发送到目的节点。在目的结点的接收者看来数据似乎为玩获赠没有丢失的,但其实已经被恶意篡改过
伪造:没有任何信息从源信息结点发出,但攻击者伪造信息并冒充源信息节点发出信息,目的结点将收到这个伪造的信息
3、网络攻击
服务攻击(dos):指对网络中提供给某种服务的服务器进行供给,使其“拒绝服务”而造成网络无法正常工作。
非服务攻击(如对设备攻击、源路由攻击、地址欺骗):利用协议操作系统实现协议时的漏洞来达到攻击的目的,它不针对某具体的应用服务,因此非服务攻击是一种跟有效的攻击手段
非授权访问:存储在计算机中的信息或服务被未授权的网络用户非法使用,或者被授权用户越权滥用
网络病毒
4、网络安全模型
网络安全模型:在网络信息传输中,为了保证信息传输的安全性,一般需要一个值得信任的第三方,负责向源节点和目的结点进行秘密信息分发,同时在双方发生争执时,也要起到仲裁的作用。在基本的安全模型中,通信的双方在进行信息传输前,先建立一条逻辑通道,并提供安全的机制和服务,来实现开放网络环境中信息的安全传输
p2dr模型:安全策略(policy)是模型中的防护、检测和响应等部分实施的依据,一个安全的策略体系的建立包括策略的制定、评估、执行。包括安全策略和具体安全规则
防护(protection)防护技术包括:防火墙、操作系统身份认证、数据加密、访问控制、授权、虚拟专用网络技术和数据备份等,它对系统可能出现的安全问题采取预防措施
检测(detection)检测功能使用漏洞评估、入侵检测等系统检测技术,当攻击者穿透防护系统时,发挥作用。
相应(response)相应包括紧急响应和恢复响应,而恢复响应又包括系统恢复和信息恢复,相应系统在检测出入侵时,开始事件处理工作
5、网络安全规范
可信计算机系统评估准则(tcsec)将计算机系统安全等级分为啊A\B\C\D这4类,共有7级。即D,C1,C2,B1,B2,A1,其中,d级系统的安全要求最低,a1级系统的安全要求最高
d级系统属于非安全保护类,它不能用于多用户环境下的重要信息处理。c类系统是用户定义访问控制要求的自主保护类型。b类系统属于强制型安全保护系统,即用户不能分配权限,只有管理员能够为用户分配。一般unix系统通常为c2标准
数据备份方法
1、备份模式
物理备份:物理备份是将磁盘块的数从拷贝到备份介质上的备份过程,它忽略了文件的结构,它也被称为“基于块的备份”和“基于设备的备份”
逻辑备份:逻辑备份顺序地读取每个文件的物理块,并连续第将文件写在备份介质上实现每个文件的恢复,因此,逻辑备份也称为“基于文件的备份”
2、基于策略
完全备份:完全备份即是将用户指定的数据甚至是整个系统的数据进行完全备份
增量备份:增量备份是针对完全备份,在进行增量备份,只有那些在上次完全或则增量备份后被修改了的文件才被备份
差异备份:差异备份是将最近一次完全备份产生的所有数据更新进项备份。差异备份将完全恢复是所涉及到的备份文件数量限制问2个
(使用空间:完全备份>差异备份>增量备份;备份速度:增量备份>差异备份>完全备份;恢复速度:完全备份>差异备份>增量备份)
3、冷备份与热备份
冷备份:冷备份是指“离线”的备份,当进冷备份操作时,将不允许来自用户与应用对数据更新
热备份:热备份是指“在线”的备份,即下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区
数据的备份与软件安装
1、常用的备份设备(磁盘阵列、光盘塔、光盘库、磁带机、磁带库、光盘镜像服务器)
磁盘阵列部署方式,也称raid级别,主要是raid0、raid1、raid3、raid5等级别。raid10是raid0和raid1的组合
磁盘阵列需要有磁盘阵列控制器,有些服务器主板中自带有这个raid控制器,有些主板没有这种控制器,就必须外加一个raid卡,raid卡通常是scsi接口,有些也提供ide接口和sata接口
2、windows 2003 server备份工具和使用方式
备份权限
备份步骤
windows 2003 备份程序支持的五种备份方式(是否标记)
(副本备份:复制所有选中的文件,但不标记已有的备份;每日备份:复制执行每日备份的当天修改的所有选中文件,不做标记;差异备份:从上次的正常备份或增量备份后,创建或修改的差异备份副本文件,备份不标记为已备份的文件;增量备份:只备份上一次正常备份或增量备份后创建或改变的文件。备份后标记;正常备份:复制所有选中文件,并且备份后标记每个文件。)
加密技术
1、加密算法与解密算法
基本流程:a发送文件但是不希望被第三者知道这个报文的内容,因此需要设置加密算法,将该报文转换为别人无法识别的密文,这个密文即使在传输过程中被截获,一般人也无法解密。当另一端收到时可以利用解密算法与密钥,将该密文转换为原来的报文。
密钥:加密与解密的操作过程都是在一组密钥的控制下进行的,这个密钥可以作为加密算法中的可变参数,它的改变可以改变明文与密文之间的数学函数关系。
2、对称密码体制:对称密钥技术既是指加密技术的加密米哟啊与解密密钥是相同的,或则是有些不同,但同其中一个可以很容易地推导出另一个。
对称加密算法中n个用户之间进行加密时,则需要n(n-1)和密钥。
dns算法时一种迭代的分组密码,它的输入与输出都是64,包括一个56位的密钥和附加的8位奇偶校验位。目前比dns算法更安全的对称算法有:idea、rc2、rc4与skipjack等
3、非对称密码体制:加密和解密使用不同的密钥,加密密钥位公钥时可以公开的,而解密密钥为私钥保密的。因此,非对称密钥技术被成为公钥加密技术
非对称加密技术中n个用户之间进行通信加密,仅需要n对(2n)密钥就可以了。常用的加密算法有rsa算法、dsa算法、pkcs算法与pgp算法。
防病毒技术
1、计算机病毒:计算机病毒时指计算机程序的一段可执行程序代码,他可以破环计算机的功能甚至破坏数据从而影响计算机的能力。计算机病毒通过对其他程序的修改,可以感染这些程序,使其成为病毒程序的复制,使之很快的蔓延开来,很难根除。
特征:非授权可执行性;隐蔽性;传染性;潜伏性;破坏性;可触发性;
分类:按寄生分类;按破坏性分类
2、网络病毒
特征:传播方式多样,传播速度更快;影响面更广;破坏性更强;难以控制和根除;编写方式多样,病毒变种多样;病毒智能化,隐蔽化;出现混合病毒
3、恶意代码
蠕虫:蠕虫是一个自我包含的程序,它能够传播自身的功能或 拷贝自身的片段到其他计算机系统(通常是通过网络连接)
木马:“木马”通常寄生在用户计算机系统中,盗用用户信息,并通过网络发送给黑客。与病毒不同之处在于没有自我复制功能。传播途径:电子邮件、软件下载、会话软件。
防病毒软件安装与配置
1、网络版防病毒系统结构
系统中心:系统中心实时记录计算机的病毒监控、检测和清除的信息,实现对整个防护系统的自动控制
服务器端:服务器端为网络服务器操作系统应用而设计
客户端:客户端对当前工作站上的病毒监控、检测和清除并在需要时像系统中心发送病毒检测报告
管理控制台:管理控制台是为了网络管理员的应用而设计的,通过它可以集中管理网络上所有已安装的防病毒系统防护软件的计算机
管理控制台即可以安装到服务器上也可以安装在客户机上,视网络管理员的需要,可以自由安装
2、网路版防病毒系统安装
对于大多数的网络版的防病毒系统,服务器端和客户端通常可以采用本地安装、远程安装、web安装、脚本安装等方式进行安装
控制台的安装通常由两种方式:通过光盘安装控制台、远程安装控制台,系统管理员可以将管理控制台远程安装到其他计算机上。
3、网络版防病毒系统的主要参数配置
系统升级:从网站升级、从上级中心升级、从网站上下载手动数据包
扫描设置
黑白名单设置
端口设置:为了使用网络版防病毒软件的通信数据能够顺利通过防火墙,通常系统都会提供用于数据通信端口设置界面(非固定端口)
防火墙技术
1、防火墙的主要功能:所有的从外部到内部的通信都必须经过它
只有内部访问策略授权的通信才能被允许通过。
具有防攻击能力,保证自身的安全性。
2、防火墙的分类:防火墙在网络之间通过执行控制策略来保护网络系统防火墙包括硬件和软件两部分。防火墙根据其实现技术可以扽为:包过滤路由器、应用网关、应用代理和状态检测4类
包过滤路由器:实现包过滤的关键是制定包过滤规则。包过滤规则路由器分析所接收的包,按照每一条规则加以判断。包过滤规则一般是基于部分或全部的包头内容。例如,源、目ip地址;协议类型;IP选项内容;源目端口号;tck ack标识。
应用及网关:可以实现在应用称上对用户身份认证和访问操作分类检查和过滤。只要能够确定应用程序访问控制规则,就可以采用双宿主主机作为应用及网管,在应用层过滤进出内部网络特定服务的用户请求与响应。
应用代理:应用代理完全接管了用户与服务器的访问,隔离了用户主机与被访问服务器之间的数据包的交换通道。
状态检测:状态检测防火墙保留状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态检测每一个包的检查不仅根据规则表,更考虑数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
对返回受保护网络的数据包进行分析判断,只有那些相应来自受保护网络的请求的数据包才被放行。对于up或者其他rpc等无法连接的协议,检测米快可创建虚拟会话用来进行跟踪。
3、防火墙的系统结构
包过滤结构:包过滤结构是通过专用的包过滤路由器或是安装了包过滤功能的普通路由器来实现的。包过滤结构对进出内部网络的搜有信息进行分析,按照一定的安全策略对着些信息金相分析与限制
双宿主网关结构:双宿主网关结构是一台装有两块网卡的主机作为防火墙,将外部网络与同部网络实现物理上的隔离。应用级网关完全暴漏整个外部网络,人们将处于防火墙关键部位、运行应用级网管软件的极端及系统成为堡垒主机
屏蔽主机结构:屏蔽主机结构将所有的外部主机强制与一个堡垒主机相连,从而不允许他们直接与内部网络的主机相连,因此屏蔽主机结构是由包过滤路由器和堡垒主机组成的
屏蔽子网结构:屏蔽子网结构使用了两个屏蔽路由器和两个堡垒主机。在该系统中,从外部包过滤路由器开始的部分是由网络系统所属的单位组建的,属于内部网络,也称为“dmz网络”。外部包过滤路由器与外部堡垒主机构成了防火墙的过滤子网;内部包过滤路由器和内部堡垒主机则用于对内部网络进行进一步的保护。
防火墙的安装与配置
1、硬件防火墙的网络接口
内网:内网一般包括企业的内部网络或是内部网络的一部分
外网:外网指的是非企业内部的网络或是internet,内网与外网进行通信,要通过防火墙来实现访问限制
dmz(非军事化区):dmz是一个隔离的网络,可以在这个网络中放置web服务器或是e-mail服务器等,外网的用户可以访问dmz
2防火墙的安装与初始化配置
给防火墙加电令它启动。
将防火墙的console口连接计算机的串口上,并通过windows操作系统的超级终端,进入防火墙的特权模式
配置ethernet的参数
配置内外网卡的ip地址、指定外部地址范围和要进行转换的内部地址。
设置指向内网与外网的缺省路由
配置静态IP地址映射
设置需要控制的地址、所作用的端口和连接协议等控制选项并设置允许telnet远程登陆防火墙的IP地址。
保存配置
3、基本配置方法
访问模式:(非特权模式:pix防火墙开机自检后,就是处于这种模式。系统显示 pixfirewall>
特权模式:输入enable进入特权模式。可以改变当前配置。显示 pixfierwall#
配置模式:输入configure terminal进入此模式。绝大部分二点系统配置都在这里进行。显示为pixfirewall(config)#
监视模式:pix防火墙在开机或重启过程中,按住escape键或发送一个“break”字符,进入监视模式。这里可以更新操作映像和口令恢复,显示为 monitor>
配置命令:(namef:配置防火墙接口的名字,并指定安全级别。如:pix525(config)#nameif ethernet0 outside security 0(外部接口0安全级别为0)
在缺省配置中,以太网口0被命名为外部接口(outside)安全级别为0;以太网口1被命名为内部接口(inside),安全级别为100。dmz默认安全级别为50。安全级别取值范围为1到99,数字与伟大安全级别越高
interface:配置以太网参数。如pix525(config)#interface Ethernet0 auto //设置以太网接口0为auto模式,auto模式为系统网卡自适应模式,这样该接口会自动在10/100、单双半之间切换。interface Ethernet1 100 full//设置接口1的速率为100 全双工
ip adress:配置内外网卡的IP地址。如:IP adress outside 66.144.34.55 255.255.255.248
nat:指定要进行转换的内部地址
nat命令配置语法:nat(if_name)nat_id local_id [netmark]//其中(if_name)表示被网络接口名称、nat_id表示全局地址池,使他与其相应的global命令相匹配。local_ip表示内网络被分配的IP地址。例如0.0.0.0表示内网所有主机都可以访问外网。【】表示内网IP地址的掩码
global:指顶一个外网IP地址或一段地址范围。global命令配置语法:golbal(if_name)nat_id IP_address-ip address [子网掩码]//nat_id与nat相对应的地址池
route:设置指向内网和外网的静态路由
route命令配置语法:route(name)0 0 gateway_ip [metric]//gateway_ip表示网关路由器的IP地址。【】表示gateway的跳数,通常缺省为1
static:掌握概念与作用:配置静态nat,如果从外网发起一个会话,会话的目的地址十一个内网的IP地址,atatic九八内部地址翻译称一个指定的全局地址,允许这个会话建立;语法:static(internalname,extname)outip intip//注意相反
conduit(管道命令):使用static命令可以在一个本地IP地址和一个全局IP地址之间创建一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(asa)阻挡,conduit命令允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,类如允许dmz到内部。
对于内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。说的通俗一点管道命令(condt)就相当于往的cisco设备的访问控制列表(acl).
conduit命令配置语法:conduit permit|deny global_ip port[-port] protcol foreign_ip[netmask]//其中permit|deny为允许|拒绝访问,golbal_ip指的是及先前由global或static命令定义的全局IP地址,如果global为0,就用any代替;如果global是一台主机,就用host命令参数。port指的是服务器所作用的端口,例如www使用80,smtp使用25等等,我们可以同构服务器名称或端口数字来指定端口。protocal指的是连接协议,比如:tcp、udp、icmp等。foreign_ip表示访问global的外部ip。对于任意主机可以用any表示。如果foreign是一台主机,就用host命令参数。如:conduit permit tcp host 192.3.3.3 eq www any
fixup掌握概念与作用:fixup命令作用是启用、禁用、改变一个服务器或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙侦听的服务。pix525(config)#fixup protocol ftp 21//启用ftp协议,并指定ftp的端口号为21
redistribute:同分布
入侵检测技术
入侵检测系统(ids)是对计算机和网络资源的恶意使用行为检测的系统(被动;入侵防护是主动)
1、入侵检测系统的功能
监控、分析用户和系统的行为
检查系统的配置和漏洞
评估重要的系统与数据文件的完整性
对异常行为统计分析,识别供给类型,并向网络管理人员报警
对操作系统进项审计、跟踪管理,识别违反授权的用户活动
2、入侵检测系统的结构
事件发生器
时间分析器
响应单元
事件数据库
3、入侵检测技术的分类
分为异常检测和误用检测两种
4、入侵检测系统的分类 (基于主机的入侵检测,基于网络的入侵检测系统)
按照检测的数据来源,入侵检测系统可以分为:基于主机的入侵检测系统(系统日志和应用程序日志数据来源)和基于网络的入侵检测系统(网卡设置为混合模式,原始的数据帧是其数据来源)
5、分布式入侵检测系统
分布式入侵检测系统的三种类型为层次型(存在单点失效)、协议型(存在单点失效)、对等型(无单点失效)
6、入侵防护系统(ips)
入侵防护系统(ips)整合了防护技术和入侵检测技术,采用in-line工作模式
入侵防护系统的基本结构:入侵防护系统包括:嗅探器、检测分析组件、策略执行组件、状态开关、日志系统和控制台6个不部件
入侵防护系统的基本分类
基于主机的入侵防护系统(hips):安装在受保护的主机系统中,检测并阻止正对本机照成的威胁和供给
基于网络的入侵防护系统(nips):布置于网络出口处,一般串联与防火墙与路由器之间,网络进程的数据都必须通过它。从而保护整个网络的安全,。如果检测到一个恶意的数据包时,系统不但发出报警,还将采取相应措施(如丢弃含由攻击性的数据包或阻拦连接)阻断攻击。nips对攻击的误报会导致合法的通信被阻断。
应用入侵防护系统(aips):一般部署于应用服务器前端,从而将基于主机的入侵防护系统功能延申到服务器之前的高性能网络设备上,进而保证了应用服务器的安全性。防止的入侵包括cookie篡改、sql注入等。
网络入侵检测系统的部署
1、网络入侵检测系统的组成结构(控制台、探测器)
2、入侵检测系统常用的部署方法:
网络接口卡与交换设备的监控端口相连,通过交换机设备的span/mirror功能将流向端口的数据复制一份给监控端口。
在网络中增加一台集线器改变为网络拓扑结构,通过集线器(共享式监听方式)获取数据包
入侵检测传感器通过一个tap(分路器)设备对交换式网络中的数据包进行分析和处理。tap是一种容错方案,他提供全双工或半双工观察流量的手段,其优点为:tap是容错的,如果发生电源故障。原先监控的网段上的信息不受影响。tap不会影响数据流。tap阻止建立入侵检测系统的直接连接,从而保护它不受攻击
入侵检测系统与防火墙联合部署
网络安全评估
网络安全评估系统是一种集网络安全检测、风险评估、修复、统计分析和网络安全风险集中控制管理功能与一体的网络安全设备。
网络安全评估分析技术
1、基于应用的技术(被动)
2、基于网络的技术(主动)网络安全风险评估技术通常用来进行穿透实验和安全审计
网络安全评估分析系统结构
通常采用控制台和代理相结合的结构。
utm部署在网络出口处,保护目标网络。
