11、安全网络架构和保护网络组件

目录

11.1 OSI模型

11.1.1 OSI模型的历史

11.1.3 封装/解封

11.1.4 OSI模型层次

1、物理层

2、数据链路层

3、网络层

4、传输层

5、会话层

6、表示层

7、应用层

11.2 TCP/IP模型

1、传输层协议

 2、网路层协议和IP网络基础

3、通用应用层协议

4、TCP/IP漏洞

5、域名系统

6、DNS中毒

7、域名劫持

11.3 融合协议

11.4 无线网络

 11.4.1 保护无线接入点      

11.4.2 保护SSID

11.4.3 进行现场调查

11.4.4 使用安全加密协议

1、WEP

2、WPA

3、WPA2

4、802.1X/EAP

5、PEAP

6、LEAP

7、MAC过滤器

8、TKIP协议

9、CCMP

11.4.5 天线放置

11.4.6 天线类型

11.4.7 调整功率电平控制

11.4.8 WPS

11.4.9 使用强制门户

11.4.10 一般Wi-Fi安全程序

11.4.11 无线攻击

1、战争驾驶

2、战争粉化

3、重放

4、IV攻击

5、恶意接入点

6、邪恶双胞胎

11.5 安全网络组件

11.5.1 网络访问控制(NAC)

11.5.2 防火墙

1、多宿主防火墙

2、防火墙部署架构

 11.5.3 端点安全

11.5.4硬件的安全操作

11.6 布线、无线、拓扑、通信和传输介质技术

11.6.1 传输介质

11.6.2 网络拓扑

 11.6.3 无线通信与安全 

11.6.4 局域网技术

  1、以太网

2、令牌环

3、光纤分布式数据接口(FDDI)       



11.1 OSI模型

        协议:定义数据如何通过网络介质传输。

11.1.1 OSI模型的历史

       开发 OSI 协议是为给所有计算机系统建立通用的通信结构或标准。

        OSI模型表示:应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。

11.1.3 封装/解封

         封装:是将每个层从上面的层传递到下面的层之前 为每个层接收的数据添加头部,也可能添加尾部。

        解封:数据从物理层到应用层向上移动时的逆操作称为解封。

        应用层、表示层、会话层:数据流。

        传输层:段或数据报。

        网络层:数据包。

        数据链路层:帧。

        物理层:比特。

11.1.4 OSI模型层次

1、物理层

        物理层包含设备驱动程序,它告诉协议如何使用硬件来传输和接收比特。

        物理层运行的网络硬件设备是网卡(NIC)、集线器、中继器、集中器和放大器。

        这些设备执行基于硬件的信号操作,例如从一个连接端口向所有其他端口(集线器)发送信号或 放大信号以支持更大的传输距离(中继器)。

2、数据链路层

        责将来自网络层的数据包格式化为适当的传输格式。

        以太网仍是现代网络中常用的 数据链路层技术。

        对数据链路层内的数据处理包括将硬件源和目标地址添加到帧。硬件地址是 MAC 地址。

        在同一本地以太网广播域中,没有两个设备可拥有相同的 MAC 地址;否则会发生 地址冲突。

        悉地址解析协议(ARP):ARP 用于 将IP 地址解析为 MAC 地址。使用 MAC 地址将网段上的流量从其源系统定向到其目标系统。

        数据链路层运行的网络硬件设备是交换机和网桥。交换机在一个端口上接收帧,并根据目标 MAC 地址将其发送到另一个端口。

3、网络层

        网络层负责给数据添加路由和寻址信息。

        网络层负责提供路由或传递信息,但它不负责验证信息是否传递成功(这是传输层的责任)。网络层还管理错误检测和节点数据流量(即流量控制)。

        网络层运行的网络硬件设备是路由器和桥路由器。

        路由器根据速率、跳数、 首选项等确定数据包传输的最佳路径。路由器使用目标 1P 地址来指导数据包的传输。桥接路由 器主要在第 层工作,但必要时也可在第 层工作,会首先尝试路由,如果路由失败则默认为 桥接。

4、传输层

        负责管理连接的完整性并控制会话。会话规则是通过握手过程建立的。

        传输层在两个设备之间建立逻辑连接,并提供端到端传输服务以确保数据传输。该层包括 用于分段、排序、错误检查、控制数据流、纠错、多路复用和网络服务优化的机制。

        常用协议:TCP,UDP,SSL,TLS。

5、会话层

        负责建立、维护和终止两台计算机之间的通信会话。

        3种模式:

        (1)单工模式:通信单方向方向

        (2)半双工模式:通信两个方向发生。但是一次只有一个程序发送消息

        (3)全双工模式:两个方向可以互发

        同传输层的区别:会话层协议控制应用程序到应用程序的通信,而传输层协议控制计算机到计算机的通信。

        会话层协议同进程之间的通信通道。

        常用协议:结构化查询语言(SQL)和运城过程调用(RPC)。

        RPC通常缺乏身份验证或使用弱身份验证,所以应该禁用它的许多功能,防火墙应该配置阻挡这些流量。可以应用Secure RPC,它要求通信之前进行身份验证。

6、表示层

        负责将从应用层接收的数据转换为遵循 OSI 模型的任何系统都能理解的格 式。

        表示层还负责加密和压缩。因此,它充 当网络和应用程序之间的接口。

7、应用层

        负责将用户应用程序、网络服务或操作系统与协议栈连接。

        常用协议:HTTP、FTP、Telnet等

11.2 TCP/IP模型

        TCP/IP模型,也称DARPA或DOD模型,仅有四层组层:应用层(也成为进程)、传输层(主机到主机)、互联网层(网络互联)和链路层。同OSI对应关系如下:

        11、安全网络架构和保护网络组件_第1张图片

TCP/IP协议套件概述

        TCP/IP 几乎支持所有操作系统,但会消耗大量系统资源并且相对容易被入侵,因为它的 设计初衷是易用性而不是安全性。四层协议及组件如下:

11、安全网络架构和保护网络组件_第2张图片

        可使用系统之间的虚拟专用网络(VPN) 链接来保护 TCP/IP VPN 链接经过加密,可增强隐 私、保密性和身份验证,并保待数据完整性。用于建立 VPN 的协议有 PPTP L2TP SSH OpenVPN(SSL LS VPN) IPsec
        提供协议级安全性的另一种方法是使用 TCP 封装器。 TCP  封装器是一种可作为基本防火墙的应用程序,它通过基千用户 ID 或系统 ID 限制对端口和资源 的访问。使用 TCP 封装器是一种基千端口的访问控制。

1、传输层协议

        TCP/IP 的两个主要传输层协议是 TCP 、UDP。

        TCP和UDP都有65536个端口。因为端口号是16位二进制数,2^16= 65536。

        IP 地址和端口号的组合称为套接字。

        这些端口中的前 1024 (0-1023)称为众所周知的端口或服务端口。端口 102 49151 称为己注册的软件端口。端口 49 152-65 535 被称为随机、动态或临时端口

        常用端口:HTTP(80)、Telnet(23)、SMTP(25)。

        TCP报头标志字段值如下表:

        11、安全网络架构和保护网络组件_第3张图片

 2、网路层协议和IP网络基础

        IP为数据包体用路由寻址。IP也是一种不可靠的数据报服务。需要在IP上使用TCP来建立可靠和受控的通信会话。

        IPv4使用32位寻址方案,IPV6使用128位寻址方案。

        IP分类:A类子网支持16777214个主机。B类子网支持65534个主机。C类子网支持254个主机,D类用于多播,E类用于将来使用。

        子网划分的另一个选择是使用无累呗域间路由(CIDR)。CIDR使用掩码位而不是完整的点分十进制表示子网掩码。优势是可以将多个不连续的地址组成一个子网。

        ICMP:因特网控制报文协议。运行在IP层。用于确定网络或特定链路的运行情况。ICMP可用于ping、traceroute、pathping等网络管理工具。由于ICMP的功能能常用于各种形式的基于带宽的DoS攻击,很多网络限制了ICMP的使用,或者限制其吞吐量。

        IGMP:允许系统支持多播。IGMP的IP报头协议字段值为2(0x02)。

        ARP:用于将IP地址解析为MAC地址。网络上的流量使用MAC地址葱源系统定向到其目标系统。

3、通用应用层协议

        Telnet:远程登录,使用TCP23端口。

        FTP:TCP20和21端口,文件传输。

        TFTP:使用UDP69端口,文件传输。

        SMTP:TCP25端口,电子邮件传输协议。电子邮件从一个服务器到另一个服务器。

        POP3:TCP10端口,电子邮件从服务器拉到客户端。

        IMAP:TCP143端口,电子邮件从服务器拉到客户端,比POP3更安全。

        DHCP:UDP67和68端口,用于为系统分配TCP/IP配置。

        HTTP:TCP80端口,Web页面从服务器到浏览器。

        SSL :TCP443端口,用于HTTP加密。

        LPD:TCP515端口,作业发送到打印机。

        SNMP:UDP161端口,用于监控设备来手机网络运行状况和状态信息。

4、TCP/IP漏洞

        TCP/IP 的漏洞很多。
        在各种操作系统中不正确地实现 TCP/IP 堆栈容易受到缓冲区溢出。
        SYN 洪水攻击、。
        种拒绝服务(DoS) 攻击。
        碎片攻击。
        超大数据包攻击。
        欺骗攻击。
       中间人攻 击、劫持攻击和编码错误攻击。
        网络监控是监控流量模式以 获取有关网络的信息的行为。
        数据包嗅探是从网络捕获数据包的行为,希望从数据包内容中提 取有用信息。有效的数据包嗅探器可以提取用户名、密码、电子邮件地址、加密密钥、信用卡 号、 IP 地址和系统名称等。

5、域名系统

        寻址和命名是使网络通信成为可能的重要组件。

        如果没有寻址方案,联网计算机将无法区 分一台计算机或指定通信目的地。

        同样,如果没有命名方案,人类就必须记住并依赖编号系统 来识别计算机。

        3个不同的层很重要:

        (1)第三层或底层是 MAC 地址。 MAC 地址或硬件地址是“永久“物理地址。

        (2)第二层或中间层是 IP 地址。 IP 地址是在 MAC 地址上分配的“临时“逻辑地址。

        (3)顶层是域名。域名或计算机名是在 IP 地址上分配的“临时“人性友好约定。

        DNS将人性化的域名解析为对应的IP地址。

        ARP将IP地址解析为对应的MAC地址。

6、DNS中毒

        DNS 中毒是伪造客户端用千到达所需系统的 DNS 信息的行为。

        DNS解析IP地址的可能经历:

        (1) 检查本地缓存(包括 HOSTS 文件中的内容)。

        (2) DNS 查询发送到已知的 DNS 服务器。

        (3) 将广播查询发送到任何可能的本地子网 DNS 服务器(此步骤未得到广泛支持)。

        几种攻击技术简介:

        (1)部署流氓DNS服务器(也称为DNS欺骗或DNS域欺骗)。侦听网络流量查找目标站点的DNS查询。把错误IP信息返回客户端。

        (2)执行DNS中毒。把不正确的文件信息放到DNS服务器中,然后错误的数据返回客户端。

        (3)改变HOSTS文件。放置虚假DNS数据修改客户端上的HOSTS文件,使用户定位到错误IP地址上。

        (4)破坏IP配置。使客户端具有错误的DNS服务器定义。

        (5)使用代理伪造。适用Web通信。此攻击将虚假 Web 代理数据植入客户端的浏 览器,然后攻击者操作恶意代理服务器。恶意代理服务器可修改 HTIP 流量包,以将请求重新 路由到黑客想要的任何站点。

        几种基本安全措施,降低威胁程度:
        (1)限制从内部 DNS
服务器到外部 DNS 服务器的区域传输。这是通过阻止入站 TCP 端口

53 (区域传输请求)和 UDP 端口 53 (查询)来实现的。
        (2)限制外部 DNS 服务器从内部 DNS 服务器中拉取区域传输的外部 DNS 服务器。
        (3)部署网络入侵检测系统(NIDS) 以监视异常 DNS 流量。
        (4)正确加固专用网络中的所有 DNS 、服务器和客户端系统。
        (5)使用 DNSSEC 保护 DNS 基础设施。

7、域名劫持

        域名劫持或域名盗窃是在未经所有者授权的清况下更改域名注册的恶意行为。这可通过窃 取所有者的登录凭据,使用 XSRF 、会话劫持,使用 MitM (参见第 21 章)或利用域名注册商系 统中的缺陷来实现。

11.3 融合协议

        融合协议是专业协议与标准协议的结合。

        常见融合协议常见示例:

        (1)以太网光纤通道(FCoE)。可以将IP替换为标准以太网网络的有效载荷。

        (2)多协议标签交换(MPLS)。是一种高吞吐量的高性能 网络技术,它基于短路径标签而不是更长的网络地址来引导网络上的数据。因此,网络不仅限于和 TCP/IP 兼容。

        (3)Internet 小型计算机系统接口。

        (4)网络电话(VoIP)。

          (5)软件定义网络(SDN)。

        内容分发网络(CDN):CDN 通过 分布式数据主机的概念提供客户所需的多媒体性能质盖。不是将媒体内容存储在单个位置以传 输到互联网的所有位置,而将其分发到互联网上的多个位置。这实现了地理和逻辑上的负载均 衡。在所有资源请求的高负载场景下,任何一台服务器或服务器集群的资源都不会紧张,并且 托管服务器更靠近请求客户。

11.4 无线网络

       从历史上看,无线网络相当不安全,主要是因为最终用户和组织缺乏 知识以及网络设备不安全的默认设置。

        除了远程窃听、数据包嗅探以及新形式的 DoS 和入侵之外,无线网络还会遇到与任何有线

网络相同的漏洞、威胁和风险。

 11.4.1 保护无线接入点      

         无线蜂窝是无线设备可连接到无线接入点的物理环境中的区域。无线蜂窝可在安全环境之 外泄露,并允许入侵者轻松访问无线网络。你应调整无线接入点的强度,以最大限度地提高授 权用户访问权限并最大限度地减少入侵者访问。这样做可能需要独特的无线接入点放置、屏蔽 和噪声传输。

        802.1 是用于无线网络通信的 IEEE 标准。后续修订版,802.11 标准的每个版本或修订都提供了更高的吞吐量。

11.4.2 保护SSID

        为无线网络分配 SSID (即 BSSID ESSID) 以将一个无线网络与另一个无线网络区分开。如 果在同一无线网络中涉及多个基站或无线接入点,则定义 ESSID 。

11.4.3 进行现场调查

        用于发现非预期无线访问的物理环境区域的一种方法是执行现场调查。

11.4.4 使用安全加密协议

        IEEE 802.11 标准定义了无线客户端可在无线链路上发生正常网络通信之前用于向 WAP 进行身份验证的两种方法。

     (1)开放系统身份验证(OSA)。意味着无需身份验证,没有保密性、安全性。

        (2)共享密钥身份验证(SKA)。网络通信前需要验证。包括WEP、WPA、WPA2等。

1、WEP

        有线等效保密协议(WEP)) IEEE802.ll 标准定义。它旨在提供与有线网络相同级别的无线网络 全性和加密。 WEP 提供针对无线传输的数据包嗅探和窃听的保护。
        WEP 的第二个好处是可防止未经授权的无线网络访问。使用预定义的静态共享密钥,使用散列值保护完整性。
        已被破解。60秒内完成破解,不应该被使用。
        WEP加密采用RC4(对称流密码)。由于 RC4 的设计和实施存在缺陷, WEP 在几个方面都很薄弱,其中两个主要方面是静态公共密钥的使用和 (初始向量)的不合理实现。

2、WPA

        Wi-Fi 受保护访问 (   WPA) 被设计为 WEP 的替代品。一个临时版本,至今仍然被广泛使用。
        攻击者可简单地对 WPA 网络进行蛮力猜测攻击,以发现通行证短语。

3、WPA2

        最终,开发了一种保护无线的新方法,该方法通常仍被认为是安全的。它是一种新的加密方案,称为 CCMP, 它基千 AES 加密方案。

4、802.1X/EAP

        WPA WPA2 都支持称为 802.lX/EAP 的企业身份验证,这是一种基千端口的标准网络访 问控制,可确保客户端在进行正确身份验证之前无法与资源通信。实际上 802.lX 是一种切换系 统,允许无线网络利用现有网络基础设施的身份验证服务。

        可扩展身份验证协议(EAP),是一个身份验证框架。

5、PEAP

        受保护的可扩展身份验证协议(Protected Extensible Authentication Protocol, PEAP) EAP 法封装在提供身份验证和可能加密的 TLS 隧道中。由于 EAP 最初设计用于物理隔离通道,因 此假定为安全通道,因此EAP 通常不加密。 PEAP 可为 EAP 方法提供加密。

6、LEAP

       轻量级可扩展身份验证协议(Lightweight Extensible Authentication Protocol, LEAP)是针对

WPA TKlP 的思科专有替代方案。这是为了解决在 802.lli/WPA2 系统作为标准之前的 TKlP 中存在的缺陷。

7、MAC过滤器

        MAC 过滤器是授权无线客户端接口 MAC 地址的列表,无线接入点使用该 MAC 地址来阻 止对所有未授权设备的访问。

8、TKIP协议

        TKlP 被设计为 WEP 的替代品,不需要替换传统的无线硬件。

        TKlP 改进包括密钥混合功能,该功能将初始化向量(即随 机数)与秘密根密钥组合,然后使用该密钥与 RC4 进行加密;序列计数器用于防止数据包重放 攻击;并使用了名为 Michael 的强大完整性检查。

        TKlP WPA 2004 年被 WPA2 正式取代。

9、CCMP

        创建 CCMP 以替换 WEP TKlP/WPA CCMP 使用带有 128 位密钥的 AES (高级加密标准)。 CCMP 802.lli 指示的 802.11 无线网络的首选标准安全协议。到目前为止,还没有针对 AES/CCMP 加密的攻击获得成功。

11.4.5 天线放置

        部署无线网络时,天线放置应该是一个问题。在寻求最佳天线放置时,请考虑以下准则:
        (1)使用中心位置。
        (2)避免固体物理障碍。
        (3)避免反光或其他扁平金属表面。
          (4)避免电气设备。

11.4.6 天线类型

        各种天线类型可用于无线客户端和基站。许多设备可将其标准天线替换为更强的天线(即信
号增强)。

        标准直线或极天线是全向天线,可在垂直于天线的所有方向上发送和接收信号。

11.4.7 调整功率电平控制

        一些无线接入点提供天线功率电平的物理或逻辑调整。功率电平控制通常由制造商设置为 适合大多数情况的值。

        调整功率级别时,请进行微调,而不是尝试最大化或最小化设置。

11.4.8 WPS

        Wi-Fi 保护设置(Wi-Fi Protected Setup, WPS)是无线网络的安全标准。

11.4.9 使用强制门户

        强制网络门户是一种身份验证技术,可将新连接的无线 Web 客户端重定向到门户网站访问 控制页面。

11.4.10 一般Wi-Fi安全程序

        根据无线安全和配置选项的详细信息,以下是部署 Wi-Fi 网络时要遵循的一般指南或步骤。

11.4.11 无线攻击

1、战争驾驶

        战争驾驶(war driving)是使用检测工具寻找无线网络信号的行为。通常,战争驾驶指寻找本 来无权访问的无线网络的人。

2、战争粉化

        战争粉化(war chalking)是一种极客涂鸦,一些无线黑客在无线早期使用(1997 2002 年)。 这是一种用无线网络存在的信息来物理标记一个区域的方法。闭合圆圈表示封闭或安全的无线 网络,两个背靠背半圈表示开放网络。战争粉化通常用于向他人透露无线网络的存在,以便共 享已发现的互联网连接。

        现在已经不存在。

3、重放

        重放攻击(replay attack)是捕获通信的重传,以期获得对目标系统的访问。

4、IV攻击

       IV 代表初始化向量 。 IV 攻击的一个例子 是破解无线等效保密(Wireless Equivalent Privacy, · WEP)加密。它基于 RC4 。但是,由于其设计和实施方面的 错误, WEP 的主要缺陷与其 IV 有关。 WEP的 IV 只有 24 位长,以明文形式传输。

5、恶意接入点

        在站点调查期间通常发现的安全问题是存在恶意无线接入点。

6、邪恶双胞胎

       邪恶双胞胎是一种攻击,其中黑客操作虚假接入点,该接入点将根据客户端设备的连接请 求自动克隆(或李生)接入点的身份。

        要防御邪恶的双胞胎攻击,请注意设备连接的无线网络。如果你的设备连接到一个明知道

不在附近的无线网络,则可能表示你受到攻击。请断开连接并连接其他可信的网络。

11.5 安全网络组件

11.5.1 网络访问控制(NAC)

        NAC指通过严格遵守和实施安全策略来控制对环 境的访问。 NAC 的目标如下:

        (1)防止/减少零日攻击。
        (2)在整个网络中实施安全策略。
        (3)使用标识执行访问控制。

11.5.2 防火墙

        防火墙是管理和控制网络流量的重要工具。防火墙是用于过滤流量的网络设备。

        防火墙根据一组定义的规则过滤流量。它们基本上是一组指令,用于区分授权流量与未授权和/或恶意流量。 只允许授权流量穿过防火墙提供的安全屏障。

        防火墙可用于阻止或过滤流量。大多数防火墙提供广泛的日志记录、审计和监视 功能,以及警报和基本入侵检测系统(IDS) 功能。

防火墙不能做到以下几点:

        (1)阻止通过其他授权通信渠道传输的病毒或恶意代码(即,防 火墙通常不像反病毒扫描程序那样扫描流量)。

        (2)防止用户未经授权蓄意或无意间泄露信息。

        (3)防止 恶意用户攻击防火墙后面的设施,或在数据传出或进入专用网络后保护数据。

 防火墙的几种基本类型:

(1)静态数据包过滤防火墙

        静态数据包过滤防火墙通过检查消息头中的数据来过滤流量。称为 第一代防火墙;它们在 OSI 模型的第3 层(网络层)运行。它们也可以称为筛选路由器。

         通 常,规则涉及源、目标和端口地址。使用静态过滤,防火墙无法提供用户身份验证或判断数据 包是来自私有网络内部还是外部,它很容易被假冒的数据包所欺骗。

 (2)应用级防火墙

        应用级网关防火墙也称为代理防火墙。代理是一种将数据包从一个网 络复制到另一个网络的机制;复制过程还会更改源和目标地址以保护内部或专用网络。

       应用级网关称为第二代防火墙,它们在 OSI 模型的应用层(第 7层)运行。

       应用级 网关防火墙根据用于传输或接收数据的 Internet 服务(即应用程序)过滤流量。每种类型的应用程 序都必须拥有自己唯一的代理服务器因此,应用级网关防火墙包括许多单独的代理服务器。这 种类型的防火墙会对网络性能产生负面影响,因为每个数据包在通过防火墙时都必须进行检查 和处理。

(3)电路级防火墙

        电路级网关防火墙用于在可信赖的合作伙伴之间建立通信会话。

       它们 OSI 模型的会话层(第 5层)上运行。电路级网关防火墙被认为是第二代防火墙,因为它们代表了对应用级网关防火墙概念的修改。

        SOCKS(来自 Socket Secure, 如在 TCPllP 端口中)是电路级 网关防火墙的常见实现方式。电路级网关防火墙也称为电路代理,管理基于电路的通信,而不是 流量的内容。它们根据通信线路的端点名称(即源和目标地址以及服务端口号)允许或拒绝转发。

(4)状态检查防护墙

        状态检查防火墙,也称为动态数据包过滤防火墙评估网络流量的状态或 上下文。

        被称为第三代防火墙,在 OSI 模型的网络和传输层(第3 层和第 4层)上运行。

        通过检查源和目标地址、应用程序使用清况、来源以及当前数据包与同一会话的先前 数据包之间的关系,状态检查防火墙能为授权用户和活动授予更广泛的访问权限,并主动监视 和阻止未经授权的用户和活动。状态检查防火墙通常比应用级网关防火墙更有效地运行。

(5)深度数据包检测防火墙(DPI)

        是一种过滤机制,通常在应用程序层 运行,以便过滤通信的有效内容(而不仅是报头值)。         DPI也可称为完整的数据包检查和信息提 取(IX) DPI 过滤能够阻止有效通信负载中的域名、恶意软件、垃圾邮件或其他可识别元素。 DPI 通常与应用层防火墙和/或状态检测防火墙集成在一起。

(6)下一代防火墙

        下一代防火墙是一种多功能设备(M开)),除防火墙外,还包含多种安全功 能;集成组件可包括 IDS 、入侵预防系统(IPS) TLS/SSL 代理、 Web 过滤、 QoS 管理、带宽限 制、 NAT 转换、 VPN 和反病毒。

1、多宿主防火墙

        某些防火墙系统具有多个接口。例如,多宿主防火墙必须至少有两个接口来过滤流量(也称 为双宿主防火墙)。
        
        所有多宿主防火墙都应具有 1P 转发功能,可自动将流量发送到另一个接口 或禁用。这将强制过滤规则控制所有流量,而不是简单地在一个接口和另一个接口之间转发流 量。
        
        堡垒主机是在互联网上公开的计算机或设备,通过删除所有不必要的元素(如服务、程序、 协议和端口)来加固。
        屏蔽主机是一个受防火墙保护的系统,逻辑上位千专用网络内。所有入站 流量都被路由到屏蔽主机,而后者又充当专用网络内所有可信系统的代理。它负责过滤进入专 用网络的流量以及保护内部客户端的身份。
        
        屏蔽子网在概念上类似于屏蔽主机,子网位于两个路由器或防火墙之间,并且堡垒主机位 于该子网内。所有入站流量都定向到堡垒主机,只有授权流量才能通过第二个路由器/防火墙进 入专用网络。

2、防火墙部署架构

        有三种常见的防火墙部署体系结构:单层、两层和三层(也称为多层)。

        单层部署将专用网络置于防火墙后面,然后通过路由器连接到 Internet (或 其他一些不受信任的网络)。单层部署仅对通用攻击很有用。该架构仅提供最小的保护。
        双层部署体系结构有两种设计。一种使用具有三个或更多接口的防火墙。另一种使用两个 防火墙。这允许 DMZ (隔离区) 或可公开访问的外联网。
11、安全网络架构和保护网络组件_第4张图片

         

        三层部署体系结构是在专用网络和由防火墙隔离的 Internet 之间部署多个子网。

11、安全网络架构和保护网络组件_第5张图片

11、安全网络架构和保护网络组件_第6张图片

 11.5.3 端点安全

        端点安全性是每个单独的设备必须保持本地安全性的概念,无论其网络或电信信道是否也 提供安全性。有时这表示为“终端设备负责其自身的安全性”。
        
        每个系统都应该是 本地主机防火墙、反恶意软件扫描程序、身份验证、授权、审核、垃圾邮件过滤器和 IDS/IPS 等服务的适当组合。

11.5.4硬件的安全操作

        构建网络时常用的硬件设备:

        (1)中继器、集中器和放大器。

        用于加强电缆通信信号以及连接 使用相同协议的网段。
        (2)集线器
        集线器用于连接多个系统并连接使用相同协议的网段。集线器在 OSI 层运行。大多数组织都采用无中心安全策略来限制或降低嗅探攻击的风险,会首选交换机,因为集线器是过时技术。
        (3)调制解调器
        
        是一种通信设备,它覆盖或调制模拟载波信号 和数字信息,以支待公共交换电话网 线路的 计算机通信。
        (4)网桥
        网桥用千将两个网络(甚至是不同拓扑结构、布线类型和速率的网络)连接在一起, 以便连接使用相同协议的网段。桥接器将流量从一个网络转发到另一个网络。使用不同传输速 度连接网络的网桥可能具有缓冲区来存储数据包,直到它们可转发到较慢的网络。
        (5)交换机
        
        可考虑用交换机或智能集线器来替代集线器。交换机知道每个出站端口上连接的系统的地址。交换机不是在每个出站端口上重复流量,而仅在已知目的地的端口重复流量。交换机为流量传输提供更高效率,创建单独的冲突域,并提高数据的整体吞吐量。
         交换机用于连接使用相同协议的网段。
        (6)路由器
        
        路由器用千控制网络上的流量,通常用千连接类似的网络并控制两者之间的流量。 它们可使用静态定义的路由表运行,也可使用动态路由系统。
        (7)桥路由器
        
        桥路由器是包括路由器和桥接器的组合设备。桥路由器首先尝试路由,但如果 失败,则默认为桥接。因此,桥路由器主要在第 层运行,但在必要时可在第 层运行。
        (8)网关
        
        网关连接使用不同网络协议的网络。网关负责通过将该流量的格式转换为与每个网络使用的协议或传输方法兼容的形式,将流量从一个网络传输到另一个网络。
         网关通常在 OSI 层运行。
        (9)代理
        
        代理是一种不跨协议转换的网关形式。相反,代理充当网络的调解器、过滤器、缓 存服务器甚至 NAT/PAT 服务器。代理执行功能或代表另一个系统请求服务,并连接使用相同协 议的网段。代理最常用千在私有网络上为客户端提供互联网访问,同时保护客户端的身份。
        (10)LAN扩展器
        
        LAN 扩展器是一种远程访问的多层交换机,用千在广域网链路上连接远程 网络。

11.6 布线、无线、拓扑、通信和传输介质技术

      不仅要解决管理操作系统,还要解决物理问题。

11.6.1 传输介质

        每种电缆类型都有独特的有效传输距离、吞吐率和连接要求。

1、同轴电缆

        同轴电缆具有由一层绝缘层包围的铜线芯,该绝缘层又由导电编织屏蔽层包围并封装在最 终绝缘护套中。

2、基带和宽带电缆

        基带电缆一次只能传输一个信号,宽带电缆可以同时传输多个信号。

3、双绞线

        双绞线布线非常轻便灵活。

4、导线

        基于导体的网络布线的距离限制源千用作导体的金属的电阻。铜是最受欢迎的导体,是目
前市场上最好、最便宜的室温导体之一。但它仍然存在电阻。该电阻导致信号强度和质量随电
缆长度的增加而降低。

11.6.2 网络拓扑

网络的物理布局有四种基本拓扑:环形、总线、星形和网状。

 11.6.3 无线通信与安全 

1 、通用无线概念

        无线通信使用无线电波在一定距离上传输信号。

2、手机

        蜂窝电话无线通信包括在特定的一组无线电波频率上使用便携式设备以与蜂窝电话运营商 的网络以及其他蜂窝电话设备或互联网进行交互。
3、蓝牙(802.15)
        蓝牙或 IEEE 802.15 个人局域网 (PAN) 是无线安全问题的另一个领域。用千手机、鼠标、键 盘全球定位系统(GPS) 设备以及许多其他接口设备和外围设备的耳机通过蓝牙连接。
4、RFID
        射频识别(Radio Frequency Identification, RFID) 是一种用放置在磁场中的天线产生的电流为 无线电发射机供电的跟踪技术。
5、NFC
    
        近场通信(Near-field communication, NFC) 是在非常接近的设备之间建立无线电通信的标准 (如无源 RFID 的几英寸与英尺)。
6、无线电话

        经常被忽视的问题是有人可以轻易地窃听无线电话上的对话,因为它的信号很少被加密。使用频率扫描仪,任何人都可收听你的对话。

7、移动设备        

        手机。

11.6.4 局域网技术

        LAN 技术有三种主要类型:以太网、令牌环和 FDDI

  1、以太网

        以太网是一种共享介质 LAN 技术(也称为广播技术)。这意味着它允许多个设备通过相同的 介质进行通信,但要求设备轮流通信并检测冲突和避免冲突

2、令牌环

        令牌环使用令牌传递机制来控制哪些系统可通过网络介质传输数据。令牌在 LAN 的所有 成员之间以逻辑循环行进。令牌环可用千环形或星形网络拓扑。令牌环性能有限,与以太网相 比成本较高,部署和管理难度较大,因此大多数网络在十年前就不使用令牌环了。

3、光纤分布式数据接口(FDDI)       

        FDDI 是一种高速令牌传递技术,它采用两个环,其流量方向相反。 FDDI 通常用作大型企 业网络的主干。它的双环设计允许通过从环路中移除故障段并从剩余的内环和外环部分创建单 个环来进行自我修复。 FDDI 很昂贵,但是在快速以太网和千兆以太网出现之前经常用千校园 环境。一个较便宜的、距离有限的和较慢的版本,称为铜线分布式数据接口(CDDI), 使用双绞 线电缆。但 CDDI 更容易受到干扰和窃听。

你可能感兴趣的:(网络)