【无标题】
网络空间安全 ----> Cyberspace
概念:一个由信息基础设施组成的互相依赖的网络。(2003年美国提出的)
我国官方文件定义:网络空间为继海、陆、空、天以外的第五大人类活动领域。
网络安全发展过程:
通讯保密阶段 ----> 计算机安全阶段 ----> 信息系统安全 ----> 网络空间安全
APT攻击 --- 高级持续性威
常见安全风险:
应用层:漏洞、缓冲区溢出攻击。web应用的攻击、病毒以及木马......
传输层:TCP欺骗、TCP拒绝服务、UDP拒绝服务、端口扫描。
网络层:IP欺骗、Smurf攻击、ICMP攻击、地址扫描
数据链路层:MAC欺骗、MAC泛洪、ARP欺骗
物理层:设备破坏、线路侦听
网络的基本攻击模式:
截获: 嗅探(sniffing)
监听(eavesdropping
篡改:数据包篡改(tampering)
中断:拒绝服务(dosing)
伪造:欺骗(spoofing)
常见的针对攻击的防御手段:
物理层:物理攻击
1、物理设备破坏
指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者网络的传输通信设施等
设备破坏攻击的目的主要是为了中断网络服务
2、物理设备窃听
光纤监听
红外监听
链路层:MAC洪范攻击、ARP欺骗
1、交换机中存在着一张记录着MAC地址的表,为了完成数据的快速转发,该表具有自动学习机制;
2、泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机,填满整个MAC表,此时交换机只能进行数据广播,攻击者凭此获得信息。
链路层:ARP欺骗
当A与B需要通讯时:
A发送ARP Request询问B的MAC地址
Hacker冒充B持续发送ARP Reply给A(此时,A会以为接收到的MAC地址是B的,但是实际上是Hacker的)之后A发送给B的正常数据包都会发给Hacker。常见的针对攻击的防御手段:传输层 -- TCP SYN FLood攻击
SYN报文是TCP连接的第一个报文,攻击者会通过大量发送SYN报文,造成大量未完全建 立的TCP连接,占用被攻击者的资源。 ---- 拒绝服务攻击
手段:
1、设立代理防火墙(风险转嫁 - 将服务器的部分风险分担给防火墙)
设立阈值:①、每目标IP代理阈值
②、每目标IP丢包阈值
2、首包丢包:丢掉客户端请求的第一个SYN;因为黑客攻击发送一次SYN会改变一次IP地址。服务器会检测到异常,从而达到拦截效果。
3、SYN cookie:对TCP[服务器](https://baike.baidu.com/item/服务器/100571?fromModule=lemma_inlink)端的[三次握手协议](https://baike.baidu.com/item/三次握手协议/6042714?fromModule=lemma_inlink)作一些修改,专门用来防范SYN Flood攻击的一种手段
DDoS:分布式拒绝服务攻击(纯流量攻击,检测不出来病毒)
防护方案:
1、网络设备资源充裕 -- 防火墙,路由器,交换机有多余的
2、异常流量清洗 -- 通过抗D设备清洗异常流量
3、分布式集群 -- 每个节点分配足够资源数据回发瘫痪
ASPF
FTP --- 文件传输协议
FTP协议是一个典型的C/S架构的协议
Tftp --- 简单文件传输协议
1,FTP相较于Tftp存在认证动作
2,FTP相较于Tftp拥有一套完整的命令集
FTP工作过程中存在两个进程,一个是控制进程,另一个是数据的传输进程,所以,需要使用
两个端口号20,21
并且,FTP还存在两种不同的工作模式 --- 主动模式,被动模式
ASPF --- 针对应用层的包过滤 --- 用来抓取多通道协议中协商端口的关键数据包,之后,将端
口算出,将结果记录在sever-map表中,相当于开辟了一条隐形的通道。
防火墙的用户认证
防火墙管理员登录认证 --- 检验身份的合法性,划分身份权限
用户认证 --- 上网行为管理的一部分用户,行为,流量 --- 上网行为管理三要素用户认证的分类
上网用户认证 --- 三层认证 --- 所有的跨网段的通信都可以属于上网行为。正对这些行为,我们希望将行为和产生行为的人进行绑定,所以,需要进行上网用户认证。
入网用户认证 --- 二层认证 --- 我们的设备在接入网络中,比如插入交换机或者接入wifi后,需要进行认证才能正常使用网络。
接入用户认证 --- 远程接入 --- VPN --- 主要是校验身份的合法性的认证方式
本地认证 --- 用户信息在防火墙上,整个认证过程都在防火墙上执行
服务器认证 --- 对接第三方服务器,防火墙将用户信息传递给服务器,之后,服务器将 认证结果返回,防火墙执行对应的动作即可
单点登录 --- 和第三方服务器认证类似
登录名 --- 作为登录凭证使用,一个认证域下不能重复
显示名 --- 显示名不能用来登录,只用来区分和标识不同的用户。如果使用登录名区分,则也
可以不用写显示名。显示名可以重复。
账号过期时间 --- 可以设定一个时间点到期,但是,如果到期前账号已登录,到期后,防火墙
不会强制下线该用户。
允许多人同时使用该账号登录
私有用户 --- 仅允许一个人使用,第二个人使用时,将顶替到原先的登录
公有用户 --- 允许多个人同时使用一个账户
IP/MAC绑定 --- 用户和设备进行绑定(IP地址/MAC地址)
单向绑定 --- 该用户只能在这个IP或者这个MAC或者这个IP/MAC下登录,但是,其他
用户可以在该设备下登录
双向绑定 --- 该用户只能在绑定设备下登录,并且该绑定设备也仅允许该用户登录。
安全组和用户组的区别 --- 都可以被策略调用,但是,用户组在调用策略后,所有用户组成员
以及子用户组都会生效,而安全组仅组成员生效,子安全组不生效。
认证策略:
Portal --- 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网
认证,仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证。
免认证 --- 需要在IP/MAC双向绑定的情况下使用,则对应用户在对应设备上登录时,就可以
选择免认证,不做认证。
匿名认证 --- 和免认证的思路相似,认证动作越透明越好,选择匿名认证,则登录者不需要输
入用户名和密码,直接使用IP地址作为其身份进行登录。
防火墙的NAT
静态NAT --- 一对一 动态NAT --- 多对多
NAPT --- 一对多的NAPT --- easy ip --- 多对多的NAPT
服务器映射
源NAT --- 基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT,NAPT都属于源
NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网
目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为了保证公网用户可以访问内部的服务器
双向NAT --- 同时转换源IP和目标IP地址
源NAT是在安全策略之后执行