安全知识点

安全知识

规范用语
信息安全行业
信息系统安全,网络安全
网络系统安全和数据安全
攻击与防御

产品形式
软件,硬件,安全网关等

 

4A是指:认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为统一安全管理平台解决方 案。即将身份认证、授权、审计和账号(即不可否认性及数据完整性)定义为网络安全的四大组成部分,从而确立了身份认证在整个网络安全系统中的地位与作用。

 

3A

认证方案与认证模式

AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。当组合认证模式使用不认证时,不认证(none)必须放在最后。
授权方案与授权模式

AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode hwtacacs local none。RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。
计费方案与计费模式

AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。

 

 

 

TPM(Trusted Platform Module)安全芯片,是指符合TPM(可信赖平台模块)标准的安全芯片,它能有效地保护PC、防止非法用户访问。

1999年10月,多家IT巨头联合发起成立可信赖运算平台联盟(Trusted Computing Platform Alliance,TCPA),初期加入者有康柏、HP 、IBM、Intel、微软等,该联盟致力于促成新一代具有安全且可信赖的硬件运算平台。2003年3月,TCPA增加了诺基亚 、索尼等厂家的加入,并改组为可信赖计算组织(Trusted Computing Group,TCG),希望从跨平台和操作环境的硬件和软件两方面,制定可信赖电脑相关标准和规范,并提出了TPM规范,目前最新版本为1.2。
符合TPM的芯片首先必须具有产生加解密密钥的功能,此外还必须能够进行高速的资料加密和解密,以及充当保护BIOS和操作系统不被修改的辅助处理器。

TPM安全芯片用途十分广泛,配合专用软件可以实现以下用途:
1. 存储、管理BIOS开机密码以及硬盘密码
TPM安全芯片除了能进行传统的开机加密以及对硬盘进行加密外,还能对系统登录、应用软件登录进行加密。比如MSN、QQ、网游以及网上银行的登录信息和密码,都可以通过TPM加密后再进行传输,这样就不用担心信息和密码被人窃取。

 


防火墙与防水墙

广义防火墙
大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样,
应用型的,基于硬件的,有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。
以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。

防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互连网(US5606668(A)1993-12-15)。它是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(FireWall)。
其实与防火墙一起起作用的就是“门”。门就相当于我们这里所讲的防火墙的“安全策略”
防火墙可以是一种硬件、固件或者软件,
例如专用防火墙设备、就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。
防火墙从诞生开始,已经历了四个发展阶段:
基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。
常见的防火墙属于具有安全操作系统的防火墙,例如NETEYE、NETSCREEN、TALENTIT等。
从结构上来分,防火墙有两种:即代理主机结构和路由器+过滤器结构,
从原理上来分,防火墙则可以分成4种类型:
特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙
防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构,
三种配置,单独的防火墙,前置机+防火墙(只接受来自前置机的流量),防火墙+前置机+防火墙(即DMZ区)

网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。利用封包的多样属性来进行过滤
例如:来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型(如 HTTP 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段等属性来进行过滤。
可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。

攻击类型
源地址我们不相信,源端口也信不得了
IP选项中的源路由攻击和ICMP碎片攻击
DNS的伪造比IP地址欺骗
syn攻击


应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作 即常说的七层防火墙
应用层防火墙具备更细致的防护能力,21的数据流,80的数据流,53的数据流等
应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。
一般的Internet服务对所有的通信都只使用一对端口号,FTP程序在连接期间则使用两对端口号
自从Gartner提出下一代防火墙概念以来,信息安全行业越来越认识到应用层攻击成为当下取代传统攻击,最大程度危害用户的信息安全,
而传统防火墙由于不具备区分端口和应用的能力,以至于传统防火墙仅仅只能防御传统的攻击,基于应用层的攻击则毫无办法。

防火墙是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
传统意义上的防火墙技术分为三大类
“包过滤”(Packet Filtering)、“应用代理”(Application Proxy)和“状态监视”(Stateful Inspection),
无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。

win7自带防火墙 ICF被视为状态防火墙
linux自带iptables
topsec通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,把所有服务器上的接口利用起来,不同的协议与流量走不同的网段

防火墙通过隔离来防止外部网对内部网进行攻击,它被动地检查所有流过的网络数据包,以阻断违反安全策略的通信。
防火墙的工作都基于一个基本假设:它位于内外网的接入点,并且内外网间不存在其它旁路,正是基于这个假设,防火墙才成为内网的保护神。
对于内部的安全问题,防火墙无能为力

如何将非法入侵者拒之门外、如何防止内部信息外泄
这种为外部着火
这种为内部漏水
如果说防火是指防止外部威胁向内部蔓延的话,防水就是指防止内部信息的泄漏。
可见,防水墙是对这样的内网监控系统非常形象的一种称呼。

防水墙是一个内网监控系统,处于内部网络中,随时监控内部主机的安全状况。

最简单的防水墙由探针和监控中心组成。

各个厂家的防水墙的功能类似,但并不尽相同
山丽防水墙
网康科技上网行为管理
苏富特内网监控系统

同时应该与AD和RADIUS、单点登录、智能卡等结合完善接入用户的认证
防水墙是对防火墙、虚拟专用网、入侵检测系统等多种安全设备,所提供安全服务的有效补充

 

过滤    双向过滤根据五员组
snat    nat代理上网
dnat    端口映射

尽管IPS有着这样一个冠冕堂皇的名字和供应商永无休止的营销炒作,但如果网络入侵防御系统没有一种方法来检测攻击,那么它就什么都不是——而检测机制就来自IDS领域。网络IPS通常只是增加了一些额外的设施来处理线内流量并回应攻击。

你可能感兴趣的:(安全知识点)