网络空间安全——网络安全与密码参考书目《网络安全》学习笔记(五)

《网络安全》徐国爱

  • 书中已经熟知的概念不再记录,只建立一个框架。
  • 删除线标记的是未弄懂的概念
  • 首先介绍一下“安全模型”的概念(以PPDR动态可适应安全模型为例):
    ①按照P2DR的观点,一个完整的动态安全体系,不仅需要恰当的防护(如操作系统访问控制、防火墙、加密等),而且需要动态的检测机制(如入侵检测、漏洞扫描等),在发现问题时还需要及时响应,这样的体系需要在统一的、一致的安全策略指导下实施,形成一个完备的、闭环的动态自适应安全体系。
    ②PPDR的含义:
    Policy(策略): PPDR安全模型的核心,描述系统哪些资源需要保护,如何实现保护
    Protection(防护):加密机制、数字签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等
    Detection(检测):入侵检测、系统脆弱性机制、数据完整性机制、攻击性检测等
    Response(响应):应急策略、应急机制、应急手段、入侵过程分析、安全状态评估等。
    ③时间特性:系统暴露时间Et=Dt(检测时间)+Rt(响应时间)-Pt(攻击时间)。Et 小于等于0,那么基于PPDR模型,认为系统安全。要达到安全的目标需要尽可能增大保护时间,尽量减少检测时间和响应时间。

第四章 防 火 墙

  • 定义:防火墙是这样一种访问控制技术, 它通过一组设备介入被保护对象和外部网络系统之间, 对发生在被保护者和外部网络系统之间的网络通信进行有选择地限制, 实现对被保护者的保护。

  • 好的防火墙系统应具有以下5 方面的特性:
    ①所有在内部网络和外部网络之间传输的数据都必须通过防火墙
    ②只有被授权的合法数据, 即防火墙系统中安全策略允许的数据, 可以通过防火墙
    ③防火墙本身不受各种攻击的影响
    ④使用目前新的信息安全技术, 比如现代密码技术、一次口令系统和智能卡
    ⑤人机界面良好, 用户配置使用方便, 易管理, 系统管理员可以方便地对防火墙进行设置, 对互联网的访问者、被访问者、访问协议以及访问方式进行控制

  • 防火墙的选购:
    1、防火墙的姿态:拒绝没有特别允许的任何事情(安全不易使用)和允许没有特别拒绝的任何事情(不安全易使用)。
    2、机构的整体安全策略:防火墙并不是独立的, 它只是机构总体安全策略的一部分。安全策略必须建立在精心进行的安全分析、风险评估以及商业需求分析基础之上。
    3、防火墙的费用:简单的包过滤防火墙的费用最低, 因为机构至少需要一个路由器才能连入Internet ,并且包过滤功能包括在标准的路由器配置中。商业的防火墙系统具体价格要看系统的复杂性和要保护的系统的数量。防火墙系统需要管理, 一般性的维护、软件升级、安全上的补漏、事故处理等, 这些都要产生费用。

  • 防火墙主要通过如下的4 种手段来执行安全策略和实现网络控制访问:
    ①服务控制: 确定可以访问的网络服务类型。
    ②方向控制: 确定特定的服务请求可以发起, 并允许通过防火墙。
    ③用户控制: 根据哪个用户尝试访问服务来控制对于一个服务的访问。
    ④行为控制: 控制怎样使用特定的服务。

  • 防火墙分类:
    ①根据防火墙组成组件的不同:软件防火墙和硬件防火墙
    ②根据防火墙技术的实现平台: Windows 防火墙、 Linux 防火墙
    ③根据防火墙被保护的对象的不同:主机防火墙和网络防火墙
    ④根据防火墙自身网络性能和被保护网络系统的网络性能:百兆防火墙、千兆防火墙万兆防火墙
    ⑤根据防火墙自身的体系结构:包过滤型防火墙、双宿网关等
    ⑥根据防火墙所使用的主要技术:基于包过滤的防火墙、应用层代理、电路级网关、地址翻译防火墙和状态检查防火墙等

  • 防火墙的缺陷:
    ①限制有用的网络服务
    ②无法防护内部网络用户的攻击
    ③无法防范通过防火墙以外的其他途径的攻击
    ④无法完全防止传送已感染病毒的软件或文件
    ⑤无法防范数据驱动型的攻击
    ⑥无法防备新的网络安全问题:防火墙是一种被动式的防护手段, 它只能对现在已知的网络威胁起作用。

  • 防火墙结构

  • 包过滤型防火墙:包过滤型防火墙往往可以用一台过滤路由器来实现对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据包, 以便确定其是否与某一条包过滤规则匹配。过滤规则基于IP 包头信息。

  • 包头信息中包括IP 源地址、I P 目标 端地址、内装协议(I CP ,UDP ,I CMP 或I P Tun-nel) 、TCP UDP 目标端口、ICMP 消息类型以及 TCP 包头中的 ACK 位。

  • 优点:处理包的速度快,费用少,包过滤路由器对用户和应用来讲是透明的。缺点:维护比较困难,定义数据包过滤器会比较复杂。一些包过滤网关不支持有效的用户认证。不可能提供有用的日志, 或根本就不提供。随着过滤器数目的增加, 路由器的吞吐量会下降。

  • 双宿网关防火墙:一个双重宿主主机是一种防火墙, 拥有两个连接到不同网络上的网络接口。这种防火墙的最大特点是IP 层的通信是被阻止的,要禁止网络层的路由功能【禁止了会发生什么】, 两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成【啥意思】。一般情况下, 人们采用代理服务的方法。双重宿主主机用两种方式来提供服务, 一种是用户直接登录到双重宿主主机上; 另一种是在双重宿主主机上运行代理服务器。

  • 双重宿主主机是惟一的隔开内部网和外部因特网之间的屏障, 如果入侵者得到了双重宿主主机的访问权, 内部网络就会被入侵。

  • 屏蔽主机防火墙:屏蔽主机防火墙由包过滤路由器和堡垒主机组成。在路由器上进行规则配置, 使得外部系统只能访问堡垒主机, 去往内部系统上其他主机的信息全部被阻塞。这个防火墙系统提供的安全等级比包过滤防火墙系统要高, 因为它实现了网络层安全( 包过滤) 和应用层安全( 代理服务)。对路由器的过滤规则进行配置, 使得其只接受来自堡垒主机的内部数据包, 就可以强制内部用户使用代理服务。

  • 在采用屏蔽主机防火墙的情况下, 过滤路由器是否正确配置是这种防火墙安全与否的关键。过滤路由器的路由表应当受到严格的保护, 如果路由表遭到破坏, 则数据包就不会被路由到堡垒主机上, 使堡垒主机被越过。

  • 屏蔽子网防火墙:屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统, 因为在定义了“非军事区( DMZ)”网络后, 它支持网络层和应用层安全功能。内部路由器,保护内部网不受 DMZ和因特网的侵害, 它执行了大部分的过滤工作。外部路由器的一个主要功能是保护 DMZ上的主机, 但这种保护不是很必要, 因为这主要是通过堡垒主机来进行安全保护的。外部路由器还可以防止部分IP 欺骗。在堡垒主机上, 可以运行各种各样的代理服务器。

  • 万一堡垒主机被控制, 如果采用了屏蔽子网体系结构, 入侵者仍然不能直接侵袭内部网络, 内部网络仍受到内部过滤路由器的保护。

  • 防火墙技术

  • 数据包过滤:包过滤可以安装在一个双宿网关上或一个路由器上实现, 当然也可以安装在一台服务器上。数据包过滤可以控制站点与站点、站点与网络、网络与网络之间的相互访问, 但不能控制传输的数据的内容, 因为内容是应用层数据, 不是包过滤系统所能辨认的。

  • 包检查模块能检查包中的所有信息, 一般是网络层的IP 头和传输层的头。包过滤一般要检查:I P 源地址、I P 目标地址、协议类型( TCP 包、UDP 包、ICMP 包)、TCP 或 UDP 的源端口、TCP 或 UDP 的目标端口、TCP 报头中的 ACK 位序列号、IP校验和、分割偏移、I CMP 消息类型。网络空间安全——网络安全与密码参考书目《网络安全》学习笔记(五)_第1张图片

  • 应用层代理:包过滤技术是在网络层拦截所有的信息流, 代理技术是针对每一个特定应用都有一个程序。代理是企图在应用层实现防火墙的功能, 代理的主要特点是有状态性。如果网络管理员没有为某种应用安装代理编码, 那么该项服务就不支持, 并不能通过防火墙系统来转发。提供代理服务的可以是一台双宿网关, 也可以是一台堡垒主机。允许用户访问代理服务是很重要的, 但是用户是绝对不允许注册到应用层网关中的。网络空间安全——网络安全与密码参考书目《网络安全》学习笔记(五)_第2张图片

  • 应用层网关适应Internet 的通用用途和需要,但不能处理Internet 上的各种类型的传输, 不能满足新的商业需求, 不能胜任对网络高带宽和安全性的需要。

  • 电路级网关:应用层代理为一种特定的服务( 如 FTP 、Telnet 等) 提供代理服务。代理服务器不但转发流量而且对应用层协议做出解释。而电路级网关也是一种代理, 但是只是建立起一对数据包只起转发的作用。电路级网关只依赖于 TCP 连接, 并不进行任何附加的包处理或过滤。

  • 这种代理的优点是可以对各种不同的协议提供服务, 但这种代理需要改进客户程序。

  • 地址翻译技术: (NAT ,Net work Address Translation) 就是将一个IP 地址用另一个IP 地址代替。主要用在两个方面:①网络管理员希望隐藏内部网络的IP 地址,②内部网络的I P 地址是无效的IP 地址(因为IP 地址不够用造成的)。

  • 应用网关防火墙可以部分解决这个问题,但存在某些缺陷(不透明、增加网关开销、只支持TCP等)。地址翻译可以提供一种透明、完善的解决方案。网络管理员可以决定哪些内部的IP地址需要隐藏, 哪些地址需要映射成为一个对互联网可见的IP 地址。地址翻译可以实现一种“单向路由”, 这样就不存在从互联网到内部网( 或主机) 的路由。网络空间安全——网络安全与密码参考书目《网络安全》学习笔记(五)_第3张图片

  • NAT 有 3 种 类 型: 静 态 NAT( static NAT) 、NAT 池( pooled NAT) 和 端 口 NAT
    ( PAT) 。NAT 池是动态分配IP地址,PAT是把内部地址映射到外部网络的一个I P 地址的不同端口上。

  • 状态检测技术:状态检测组合了很多动态包过滤、电路网关和应用网关的功能。状态检测包过滤有一个根本的能力, 即检查所有 OSI 七层的信息。

  • 优点:提供检测所有OSI 七层的能力, 而不改变目前的直接连接模式,提供完整的动态包过滤功能, 而且能够提供较快的速度。缺点:安全性不高,单线程的状态检测对性能影响很大。

  • 防火墙技术比较网络空间安全——网络安全与密码参考书目《网络安全》学习笔记(五)_第4张图片

你可能感兴趣的:(网络空间安全——网络安全与密码参考书目《网络安全》学习笔记(五))