CISSP笔记04

6.7网络互联设备

6.7.1中继器:

物理层设备,对信号进行放大;hub是一种多端口的中继器,信号会广播到所有端口。(冲突域和广播域问题)

6.7.2网桥:

链路层设备,将负担过重的网络进行分割,确保更好的带宽和流量控制。广播风暴问题。网桥包括3种类型:本地、远程和翻译。(广播域问题)
转发表:
(1)采用透明桥接技术:加电后能跟踪网络变化,根据查看数据帧以及在其转发表中添加条目。使用生成树算法(STA),确保数据帧不会在网络上转悠,防止网桥故障提供冗余路径。(2)源路由:是指数据包决定它到达目的地的路线,而不是由源和目标计算机之间的路由器决定。源路由在预先定义的路径上通过网络传输数据包。

6.7.3路由器:

网络层设备,用于连接相似或不同网络。基于访问控制列表ACL过滤流量。整个过程如下:
(1)数据帧从路由器的一个接口进入,路由器查看路由数据;
(2)路由器从数据报中取出目标IP网络;
(3)路由器查看路由表,发现哪个端口与请求的目标IP网络相匹配;
(4)没有匹配的话,发出表明消息未达到的ICMP错误消息;
(5)如有的话,TTL值减少1,查看MTU是否与目标网络不同,如果目标网络较小,路由器会对数据报进行分段;
(6)路由器改变数据帧内的首部信息,从而使得达到下一台正确的路由器;如果下一条为目标计算机,那么这个更改则直接到达目标;
(7)随后,路由器将数据帧发送至对应接口的输出队列。

6.7.4交换机(中继器和网桥的结合):

多端口桥接设备、全双工通信、多层交换机、交换式网络(ARP欺骗)
1第3层和第4层交换机
第3层基本是个路由器,根本区别在于设备进行查看以作出转发或路由决策的首部信息(链路层、网络层或传输层)。
第3层和第4层交换机实用标记,每个目标网络或子网都会被分配标记。当数据包达到交换机时,交换机会比较目标地址与它的标记信息库,标记信息库是所有子网以及对应标记号的列表。这种标记使用方法称为“多协议标签交换MPLS”。
2、VLAN(IEEE802.IQ)
管理员能够基于资源需求、安全性和业务需求为计算机进行逻辑分组。处于物理网络的顶部。
VLAN跳跃攻击使得攻击者可以访问各种VLAN分段中的流量。

6.7.5网关(应用层)

用于在连接两个不同环境的设备上运行软件,充当环境的翻译器。网关能够将(网际数据包交换IPX)协议包翻译成IP包以及FDDI到以太网等,执行协议和格式的翻译。
网络执行的任务比路由器和网桥设备执行的功能要复杂的多。有时候路由器就是网关。
电子邮件网关:Sendmail->X.400标准格式->Microsoft Exchange

6.7.6PBX(专用交换分机)

是所有的专用电话交换机。支持数字和模拟信号。
许多公司将调制解调器挂接在PBX上,使得供应商能拨号进入对系统维护访问。
很容易被网络管理员忽略。
网络图

6.7.7防火墙

防火墙能丢弃数据包,重新打包,或对包进行重定向。
DMZ隔离区
防火墙的类型:包过滤、有状态、代理、动态包过滤、内核防火墙
1包过滤防火墙:基于网络级协议首部值作出访问决策的防火墙。配置ACL、控制流进与流出特定网络的流量类型。也叫做:无状态检查防火墙
基本标准:(1)源IP和目的IP(2)源端口与目的端口(3)协议类型(4)进出流量方向
进口过滤、出口过滤
缺点:(1)不能防止攻击利用针对应用程序的脆弱性或功能
(2)日志记录功能有限
(3)不支持高级的用户身份验证方案
(4)不能检测数据包片段攻击
2有状态防火墙:跟踪一个协议连接状态(违反协议规则),存储和更新包内数据的状态和上下文,需要维护状态表。(网络层)
TCP状态全为1时,即为XMAS攻击,目标可能死机或重启
ICMP协议的经典例子:udp为无连接协议,没有首部窗口值,通过ICMP协议来进行控制。
缺点:容易被DoS攻击
3代理防火墙
代理防火墙设在可信任网络和不可信网络之间(中间人方式),断开了通信连接。
1、 配置代理访问网站
2、 防火墙代理接受连接请求(一旦网页被缓存,服务器直接将网页发送用户)
3、 代理代表用户请求网页
4、 Web服务器响应代理服务器的http请求
为每个网络传输都建立两个单独的连接,将双方会话变成四方会话,中间进程模拟两个真正的系统。
电路级代理:工作在会话层,不执行深度检查,类似于包过滤。如SOCKS代理
应用级代理:检查应用层的数据包,他们理解不同的服务和协议以及他们的命令。为每个协议配备一个代理。每个服务配置一个应用级代理。
优点:强大的日志功能、提供身份验证功能、不仅仅在第3层,抵御欺骗和其他复杂攻击。
缺点:不适合高带宽或实时应用、支持新网络和协议能力有限、逐包处理要求,性能问题。
4动态包过滤防火墙(网络层)
在创建连接时添加一个ACL,属于第四代防火墙,可以允许任何类型的流量流出,并且只允许响应流量流入。
5内核代理防火墙(应用层)
第五代防护墙,建立动态的、定制的网络栈。基于代理的防火墙。
当一个数据包达到内核代理防火墙时,防火墙针对该包创建一个新的虚拟网络栈,并只加载必要的协议栈,数据包在栈的每一层都会被检查。
数据链路层、网络层首部、传输层首部、会话层首部等都要评估。所有检查都在内核进行。
6今天的防火墙
7防火墙架构
DMZ架构
堡垒主机:禁用不必要的服务、账户、关闭不必要的端口、删除不用的应用程序、不用的子系统和管理工具。
双宿防火墙:两个接口(1)一个面向外部网络(2)面向内部网络
多宿防火墙:使用不同的DMZ(1)控制不同流量类型,确保http流量只进入web服务器,同时确保DNS进入DNS服务器(2)确保某个DMZ被攻破,攻击者仍然可以访问剩余DMZ系统。
不能只依赖防火墙(1)单点故障(2)缺少纵深防御
被屏蔽主机:一种直接与边缘路由器和内部网络通信的防火墙。此时路由器为屏蔽设备。
被屏蔽子网:在被屏蔽主机架构的基础上添加了一层安全性。(如DMZ)保护的层次越多越安全。
8、虚拟防火墙
一个网络在物理网络上有传统的物理防火墙,在每个虚拟环境内有虚拟防火墙。
9、防火墙须知
最小权原则、伪装、欺骗、DDoS、组包。
片段攻击:IP片段、泪滴攻击、重复片段攻击。
拒绝含有源路由信息的数据包进入网络。(源路由意味着数据包自己决定如何到达目标。)
常见防火墙规则:
(1) 沉默规则(silent):不对不重要的数据包作出响应,减少日志规模。
(2) 隐形规则:不允许未经授权的系统访问防火墙软件
(3) 清理规则:规则库中的最后一条规则为:放弃并记录任何不符合前面规则的流量。
(4) 否定规则(negate):用来代替广泛允许的任何规则。
一些不足:(1)使用分布式方法来控制所有网络节点。
(1) 潜在的流量瓶颈和单点故障威胁。
(2) 不能防止恶意软件的侵害
(3) 不能阻止嗅探和恶意的无线接入点。

6.7.8代理服务器

代理服务器介于客户端和服务器之间。首先向代理服务器验证请求是安全的,再向网站发送一个代表用户的请求。还可以缓存之前访问请求所获得的资源
转发代理服务器通常是在内部网络上控制离开网络的流量。(需要指定地址)
反向代理服务器通常是在网络上满足客户请求,处理外部到内部网络的流量.还可以实现负载均衡、加密加速、安全和缓存.(对用户透明)

6.7.9蜜罐

指位于屏蔽子网或DMZ中的计算机。如果一起使用两个或多个蜜罐系统,称为蜜网。
用于识别、定量、定性分析具体的流量类型。
在较小规模内,会使用Tarpits,和蜜罐类似,配置成一个脆弱的服务。
Tarpit:通常配置为模仿脆弱的运行服务的软件。如果受害系统没有响应或响应很慢,自动化攻击会因为协议连接超时而失败。

6.7.10统一威胁管理

单点故障、单点防护、性能问题

6.7.11云计算

结合负载均衡、虚拟化、面向服务架构、应用服务提供、网络融合、分布式计算提出云计算
网络融合:把服务器、存储和网络功能合并到单一的框架中。有助于降低成本和运行复杂度。
基础设施及服务(IaaS):提供虚拟机、存储器、负载均衡器、网络等。
平台即服务(PaaS):提供了操作系统、数据库和web服务器平台,作为整体执行环境。
软件即服务(SaaS):提供特定的应用软件(CRM、电子邮件、游戏等)。

你可能感兴趣的:(网络安全,cissp)