第七章-网络安全设计
第七章 网络安全设计
1.网络安全体系结构?结合分层模型,每一层结构、协议、威胁、三维图
(安全机制、设计原则)之间的关系、安全模型是什么
结构:OSI参考模型、安全服务、安全机制----------呈三维分布
设计原则:IATF(信息保障技术框架) 标准强调人、技术和操作三个核心原则,IATF模型最重要的设计思想是在网络中进行不同等级的区域划分与网络边界保护。
安全模型:在IATF模型中,局域网包括涉密网络(红网,如财务网)、专用网络(黄网,如内部办公网络)、公共网络(白网,如公开信息网站)和网络设备,这一部分主要由企业建设和管理。网络支持性基础设施包括专用网络(如VPN)、公共网络(如Internet)、通信网等基础电信设施(如城域传输网),这一部分主要由电信服务商提供。
2.协议安全中每一层安全威胁以及相关对策和网路攻击
TCP/IP各层受到的威胁及应对:
物理层面临的安全威胁有搭线窃听,电磁辐射信号还原、物理临近等。(金属屏蔽)。
网络层的安全威胁主要有数据包窃听、ARP欺骗、流量攻击、拒绝服务攻击等。网络层的安全技术有IP路由安全机制、IPSec(IP安全协议)和防火墙技术。
传输层主要的安全协议有SSL(Secure Sockets LayeF,安全套接层协议)。
应用层的安全问题主要有操作系统漏洞、应用程序BUG、非法访问、病毒木马程序攻击等。应用层采用的安全技术有加密、用户级认证、数字签名等。
网络安全和攻击的技术:IATF标准认为有5类攻击方法被动攻击、主动攻击、物理临近攻击
内部人员攻击和分发攻击。
常用网络攻击原理,电磁泄漏、分布式拒绝服务DDOS、ARP攻击
电磁泄漏:电磁泄漏是指信息系统的设备在工作时能经过地线、电源线、信号线、寄生电磁信号或谐波等辐射出去,产生电磁泄漏。这些电磁信号如果被接收下来,经过提取处理,就可恢复出原信息,造成信息失密。
分布式拒绝服务:DDoS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。分布式拒绝服务攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
ARP攻击:ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
3.信息加密算法分几类?分别用在哪些场合?
1)对称加密。对称加密是加密和解密都使用相同密钥的加密算法。它的优点在于加解密的高
速度和使用长密钥时的难以破解性。(2)非对称加密。非对称加密是加密和解密使用不同密钥的加密算法。(3)Hash加密。Hash(哈希)算法是一种单向函数,可以通过Hash算法对目标信息生成一段特定长度的唯一Hash值,却不能通过这个Hash值重新获得目标信息,常见的Hash算法有MD5(消息摘要)等。
4.防火墙工作原理?接口特性?结构,案例分析 P165
工作原理:防火墙是内部网络与外部网络通信的唯一途径。也就是说,所有从内网到外网或从外网到内网的通信都必须经过防火墙,否则,防火墙将无法起到保护作用。网络工程师在防火墙中制订一套完整的安全策略,只有经过安全策略证实的数据流,才可以完成通信,防火墙本身应当是一个安全、可靠、防攻击的可信任系统,它自身应有足够的可靠性和抵御外界对防火墙的任何攻击。
接口特性:硬件防火墙最少有三个接口
内网接口,用于连接内部网络设备
外网接口,相当于主机接口,用于连接边界路由器等外部网关设备
DMZ接口,用于连接DMZ区的网络设备。很多防火墙扩展了接口的数量。
结构,案例分析(P165):1.单防火墙DMZ网络结构
如图7-4所示,单防火墙DMz结构将网络划分为三个区域,内网(LAN)、外网(lnternet)和
DMZ.DMz是外网与内网之间附加的一个安全层,这个安全区域也称为屏蔽子网、过滤子网等。这种网络结构的构建成本低,多用于小型企业网络设计。
2.双防火墙DMZ网络结构
防火墙通常与网络中的边界路由器一起协同工作,边界路由器是网络安全的第·道屏障,通常的做法是在路由器中设置数据包过滤和NAT功能,让防火墙完成特定的端口阻塞和数据包检査,这样在整体上提高了网络性能。
5.入侵检测系统(IDS)
工作原理:IDS(入侵检测系统)通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件并能够采取行动阻止可能的破坏。
部署策略:(1)IDS系统安装在网络边界区域。 (2)IDS系统安装在服务器群区域。(3)IDS系统安装在网络主机区域。(4)网络核心层。由于网络核心层带宽非常高,因此不适宜布置IDS.如果必须使用IDS,么不能对IDS设置太多策略,能够达到检测简单攻击的目的即可。
IDS设备在网络中采用旁路式连接。
6.入侵防御系统(IPS)
工作原理:IPS一般部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击
包丢掉或采取措施将攻击源阻断,它可以阻击由防火墙漏掉的或IDS检测到而不能处理的网络攻击,从而减少因网络攻击而受到的损失。
部署策略:而ipS设备在网络中采用串接式连接。串接工作模式保证所有网络数据都必须经过iPS设备,ips检测数据流中的恶意代码、核对策略,在未转发到服务器之前,将信息包或数据流阻截。ips是网关型设备,最好串接在网络出口处。ips经常部写在网关出口的防火墙和路由器之间,监控和保护内部网络
6.ACL工作原理,案例:依据需求描述出访问控制策略
工作原理:
ACL采用包过滤技术,在路由器中读取第三层和第四层数据包头中的信息,如源地址、目的地址、源端口、目的端口等,然后根据网络工程师预先定义好的ACL规则,对数据包进行过滤,从而达到访问控制的目的。
请简述访问控制列表的实现机制。
答案:
(1)首先根据用户需求定义一组用于控制和过滤数据包的访问控制列表。 (2)然后再将其应用在路由器的不同接口的不同方向上。
(3)如果指定接口(该接口已应用指定的访问控制列表)指定方向(该方向上已应用指定的访问控制列表)上有数据包通过时,路由器将根据设定的访问控制列表的规则(逐条进行匹配,如果规则中上一条语句匹配,则下面所有的语句将被忽略)对数据包进行过滤,从而确定哪些数据包可以接收,哪些数据包需要拒绝。
7.VPN工作原理,本质,建立在公网和私网上
使用IP机制仿真出一个私有的广域网。通过私有的隧道技术在公共数据网络上仿真出一条点对点的专线技术。虚拟是指用户不需要实际的长途数据线路,而是利用internet的数据传输线路;专用网络是指用户可以为自己制定一个最符合自己需求的网络。VPN在internet上临时建立安全、专用的虚拟网络。
工作原理:vpN隧道技术是在Internet上建立一条数据通道(隧道),让数据包通过这条隧道进行安全传输。被封装的数据包在隧道的两个端点之间通过Internet进行路由。被封装的数据包在公共互联网上传递时所经过的逻辑路径称为隧道。数据包一旦到达隧道终点,将被解包并转发到最终目的主机。