本篇文章讲解网络防御技术
网络防御技术
由被动防御向主动防御发展
包含:信息加密、访问控制、防火墙、入侵防御、恶意代码防范和安全审计。
综合运用这些技术才能有效形成网络安全防御的解决方案。
信息加密
网络安全的核心技术和传输安全的基础是数据加密、消息摘要、数字签名和密钥交换。
访问控制:基于身份认证,规定了用户和进程对系统和资源访问的限制
身份认证:用户要向系统证明他就是他所声称的用户
①身份识别:明确访问者的身份,如身份证的信息
②身份验证:对其身份进行确认,如验证身份证信息的正确性
单机环境认证是基于口令的认证、基于智能卡的认证、基于生物特征的认证
网络环境认证(防止通过网络传输的身份信息被攻击者窃取和重放)分为挑战握手认证、Kerberos认证协议和TLS认证协议
访问控制技术分为自主访问控制、强制访问控制和基于角色的访问控制
访问控制系统
主体:发出访问操作和存取要求的主动方,用户或进程
客体:主体试图访问的一些资源
安全访问策略:一套规则,确定主体是否对客体拥有访问能力
防火墙(在不同网络间对网络流量或访问行为实施访问控制的一系列安全组件)
基本条件。
①内网和外网之间的所有数据流必须经过防火墙
②只有符合安全策略的数据流才能通过防火墙
①服务控制:只允许子网间相互交换与特定服务有关的信息
②方向控制:只允许由某个特定子网的终端发起的与特定服务相关的信息通过
③用户控制:为每个用户设定访问权限,对访问资源的用户进行认证
④行为控制:对访问资源的操作行为进行控制和记录
基本原则 一切未被允许的都是禁止的,一切未被禁止的都是允许的。
网络防护的第一道闸门,与其它安全技术结合才能有效地保护网络的安全
入侵防御(IPS)
入侵:未经授权蓄意访问、篡改数据,使网络系统不可使用的行为
入侵防御:对行为、安全日志、审计数据或其他网络上可以获得的信息进行操作,检测到对系统
的入侵或入侵企图,并及时采取行动阻止入侵
主要功能
①识别常用入侵和攻击手段
②监控并记录网络异常通信
③鉴别对系统漏洞或后门的利用
④实时对检测到的入侵进行报警
恶意代码(一种在一定环境下可以独立执行的指令集或嵌入到其他程序中的代码)
①不具有复制能力的依附性恶意代码,如木马、逻辑炸弹、后门
②不具有复制能力的独立性恶意代码,如木马、后门、Rootkits
③具有自我复制能力的依附性恶意代码是病毒
④具有自我复制能力的独立性恶意代码,如蠕虫、恶意脚本
恶意代码防范
①基于特征的扫描技术
反病毒引擎最常用的技术
建立恶意代码的特征文件,在扫描时根据特征进行匹配查找
②校验和法
在系统未被感染前,对待检测的正常文件生成其校验和值
周期性地检测文件的改变情况
③沙箱技术
根据可执行程序需要的资源和拥有的权限建立程序的运行沙箱,每个程序都运行在自己的沙箱中,无法影响其它程序的运行,且在沙箱中可以安全检测和分析恶意代码的行为
④基于蜜罐的检测技术
虚拟系统,伪装成有许多服务的主机以吸引攻击
安装强大的监测系统,用于监测恶意代码的攻击过程
安全审计与查证(实时收集和监控网络各组件的安全状态和安全事件,以便集中报警、分析和处理)
主要作用
①对潜在攻击者起到震慑或警告作用
②对已发生的系统破坏行为提供有效证据
③提供有价值的日志,帮助管理员发现系统入侵行为或潜在系统漏洞
④提供系统运行的统计日志,发现系统性能的脆弱点
主要内容
①网络设备审计:路由器等设备的配置信息、用户权限、链路带宽。
②日志文件审计:日志记录了系统运行情况,通过它可以发现攻击痕迹
③安全威胁审计:未经授权的资源访问、数据修改和操作。
由于作者水平有限,其中难免有错误和疏漏之处,还望各位网友指正并补充,谢谢大家。