博主暑期整理了一些网络安全基础相关的问题,以作保研面试之用,在此分享给大家。参考教材《网络安全基础——应用与标准(第6版)》由于我们专业不是信息安全,所以对这门课学得也比较浅,信安专业的同学参考这篇博客可能不太合适。 整理过程中也借鉴了一些网上的其他资料,其中绝大部分已不可考,如有侵权,通知删除。
第一章 引言
1.基本概念 计算机安全:用于保护数据安全和防范黑客的工具集合;网络安全:保护数据传输的方法或措施的总称。两者没有明确的界定。 计算机安全的定义:对某个自动化信息系统的保护措施,其目的在于实现信息系统资源的完整性,可用性以及机密性。
2.CIA三元组:是计算机安全的定义包含的三个目标 (1)机密性 Confidentiality 数据机密性:保证隐私或机密的信息不会被泄露给予未经授权的个体。 隐私性:保证个人可以控制和影响与之相关的信息,这此信息可能被他人利用。 (2)完整性 Integrity 数据完整性,数据未被未授权篡改或者损坏 系统完整性,系统未被非授权操纵,按既定的功能运行 (3)可用性 Availability 保证信息和信息系统随时为授权者提供服务,而不要出现非授权者滥用却对授权者拒绝服务的情况。 (4)真实性 (5)可计量性
3. FIPS199将安全违规对个人或组织的影响,定义成三个等级: ①低级:对组织的运转,资产或者个人的负面影响有限 ②中级:…严重的负面影响。 ③高级:…巨大或者灾难性的负面影响
4.OSI安全体系结构 (1)什么是OSI安全体系结构?它是提供定义安全和刻画安全措施的系统方法。 (2)它主要关注安全攻击、机制和服务。 安全攻击:任何可能危及机构的信息安全的行为。 安全机制:检测、防范安全攻击并从中恢复系统的机制 安全服务:用来增强机构的数据处理系统安全性和信息传递安全性的服务
5.安全攻击:被分为主动攻击和被动攻击 (1)被动攻击:试图学习或者使用来自系统的信息,但并不影响系统的资源 ①消息内容泄露:在网络中传输的数据包含了敏感机密信息,对手就有可能获取这些有用的信息。 ②流量分析攻击:如果采取办法屏蔽消息或者其他流的内容,虽然对手不能从中提取有用的消息,但仍然可以观察消息的模式。 (2)主动攻击:试图改变系统的资源或者影响系统的操作 ①假冒:伪装发生于一个实体假装成为另一个不同的实体的场合。 ②重放:被动捕获数据单元后按照原来的顺序重新传送。(隔了一段时间,再做一遍) ③改写消息:更改合法消息的一部分,或者延迟重新排序消息。 ④拒绝服务:阻止或者禁止通信设备的正常使用或管理。
6.安全服务: 是通信开放系统的协议层提供的,并能确保系统或数据传输足够安全的服务。它的目的是为了对抗安全攻击。 认证:认证是为通信过程中的实体和数据源提供鉴别服务 访问控制:访问控制是保护受保护的资源不被非授权使用 机密性:数据机密性是保护数据不被非授权泄漏 完整性:数据完整性是指确保接收方接收到的数据是发送方所发送的数据 不可抵赖性:非否认是指防止通信中的任一实体否认它过去执行的某个操作或者行为 可用性
7.安全机制 加密:加密技术既能为数据提供机密性,也能为通信业务流信息提供机密性,并且还成为其他安全机制中的一部分起补充作用 数字签名机制:签名技术的数字化 访问控制机制:访问控制是保护受保护的资源不被非授权使用 数据完整性机制:数据完整性是指确保接收方接收到的数据是发送方所发送的数据 认证交换机制:所谓认证交换,就是通过在认证者和被认证者之间通过某些共享信息实现认证功能。 流量填充机制:业务流填充是通过发送额外的数据来掩盖正常通信流量特征,从而达到保护业务流机密性的目的。 路由控制:路由控制是通过对路由过程进行控制,达到安全保护的目的。 公正机制:公正机制是利用可信第三方来实现安全功能。 安全服务和安全机制的关系?一种安全服务可由一种或多种安全机制来提供,一种安全机制可用于提供一种或多种安全服务。
8.网络安全模型 书P18 模型要求 设计安全变换的合理算法 生成算法所用的秘密信息(密钥) 开发秘密信息的分发方法 指定一种协议使用这种安全算法和秘密信息
9.补充 ·入侵者:是指怀着不良企图,闯入甚至破坏远程机器系统完整性的人 ·黑客:指对于任何计算机操作系统奥秘都有强烈兴趣的人。 ·计算机安全:对某个自动化信息系统的保护措施,其目的在于实现信息系统资源的完整性,可用性以及机密性 ·网络安全:保护数据传输的方法或措施的总称 ·信息安全:指信息系统受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
第二章 对称加密和消息机密性
1.一个对称加密的方案由5部分组成 书P23
2.对称加密的安全使用有哪几个要求 ①需要一个强加密算法。(知道算法+密文,或者密文+明文,不能得出明文、密钥) ②发送方和接收方必须通过一个安全的方式获得密钥并且保证密钥的安全。 补充:对称加密的安全取决于密钥的保密性,而不是算法的保密性。
3.密码体制的3个分类方法 ①明文转换成密文的操作类型:替换、排列组合 ②使用的密钥数量:对称加密和公钥加密 ③明文的处理方式:流密码和分组密码 流密码:在运行的过程中连续地处理输入元素,每次产生一个输出元素。 分组密码:一次处理一个输入元素分组,产生与该输入分组对应的一个输出分组
4.密码分析:试图找出明文或者密钥的过程称为密码分析。密码分析类型见书P24。密码分析的方法:穷举;算法的弱点。
5.如何知道加密方案是否是计算安全的? ? 破译的成本超过加密信息的价值 ? 破译的时间超过该信息有用的生命周期
6.Feistel密码结构 详见书P25、26图 输入:长为2w比特的明文分组、密钥k 输出:长为2w比特的密文分组 明文分组分为:L0,R0,数据的这两部分通过n(16)循环处理后,再结合起来生成密文分组 每i次循环都以上一循环产生的Li-1和Ri-1和K产生的子密钥Ki作为输入。一般说来,子密钥Ki与K不同,相互之间也不同,它是用子密钥生成算法从密钥生成的
7.DES ①分组加密算法:明文和密文为64位分组长度 ②对称算法:加密和解密除密钥编排不同外,使用同一算法 ③密钥长度:56位 ④采用混乱和扩散的组合,每个组合先替代后置换,共16轮
8.3DES 详细算法见书P29 ①使用3个密钥,执行三次DES算法 ②密钥长度:168位 那么明文和密文长度是多少位呢?64位吧 ③3DES的弱点: DES和3DES的运行速度太慢,开始是由硬件实现的,没有高效的软件代码. 它们使用的是64位分组大小,为效率与安全起见,需要更大的分组
9.AES P30 ①分组大小128比特,密钥长度可以是128/192/256比特 ②AES不是feistel结构 ③加密、解密相似但不对称 ④有较好的数学理论作为基础 ⑤结构简单、速度快
10.随机数和伪随机数 (1)产生的随机数要求:随机性、不可预测性 随机性:数据要均匀分布,且独立 不可预测性:每一个数字在统计上将会独立于其他数字,因此这个数字是不可预测的 (2)伪随机数:由确定性算法产生并通过随机性测试的数字 (3)真随机发生器、伪随机发生器和伪随机函数 ·真随机数发生器:产生一个有效的随机源作为输入端,这个源被称作熵源 ·伪随机数发生器:用来产生一个比特流,可用于流密码。 ·伪随机函数PRF:产生一些固定长度的伪随机比特串,可用于加密的密钥和随机数。
11.分组密码工作模式之电子密码本模式ECB 在此模式下,明文一次被处理b比特,且明文的每一个分组都采用同一个密钥加密。对于给定的密钥,每个b比特的明文分组对应唯一的密文。 特点:①简单和有效;②可以并行实现;③相同明文生成相同密文,同样信息多次出现造成泄漏;④对明文的主动攻击是可能的信息块可被替换、重排、删除、重放;⑤适合于传输短信息
12.补充 密码学:是研究信息系统安全保密的科学. 密码编码学:主要研究对信息进行编码,实现对信息的隐蔽. 密码分析学:主要研究加密消息的破译或消息的伪造.
第三章 公钥密码和消息认证
1.利用常规加密的消息认证,需要掌握 书P48 2.利用非常规加密的消息认证 书P48-50 ①消息认证码MAC ②单向散列函数 ③秘密值 讨论:MAC 函数与加密函数的区别在哪里? – 加密函数必须是可逆的;MAC函数可以是一个单向函数。 ? MAC能够提供数字签名? – 不能,因为收发双方共享密钥。 ? 能不能在没有共享密钥的情况下,也能进行对消息的真实性进行认证? – 用散列函数 消息认证提供了一种证实收到的消息来自可信的源点且未被篡改的过程。 有消息认证码和单向hash函数的方法 消息认证码MAC:使用一个密钥生成一个固定大小的小数据块,并加入到消息中,称消息认证码MAC。(同时认证消息来源和数据) MAC函数与加密函数的区别在哪里? –加密函数必须是可逆的;MAC函数可以是一个单向函数。 ?MAC能够提供数字签名? –不能,因为收发双方共享密钥。 ?能不能在没有共享密钥的情况下,也能进行对消息的真实性进行认证? –用散列函数
单向散列函数:输入为任意长度的消息M,输出为一个固定长度的消息摘要H(M)
使用单向散列函数不使用加密算法的优点: ?加密软件很慢 ?加密硬件的开销很大 ?加密硬件是对大长度数据具有优势 ?加密算法可能受专利保护 ?加密算法可能受出口的限制.
安全散列函数 散列的要求 ?H能用于任意长度的数据块 ?H能产生固定的输出 ?对任何给定的x,计算H(x)相对容易,并且可以用硬件和软件方式实现 ?对任意给定值h,找到满足H(x)=h的x在计算上不可行的,即单向性 ?对任何给定的数据块x,找到满足H(y)=H(x)的y≠x在计算上是不可行的,即抗弱碰撞攻击性 ?找到满足H(x)=H(y)的任意一对(x,y)在计算上是不可行的,即抗强碰撞性
散列函数的安全性 P52表格
SHA-512算法逻辑 ?输入:最大长度为2128位的消息; ?输出:512位消息摘要; ?处理:输入以1024位数据块为单位处理; 步骤1:追加填充比特 步骤2:追加长度。 步骤3:初始化散列缓冲区 步骤4:处理1024比特的数据块消息 步骤5:输出
HMAC简介 HMAC是基于hash函数的消息认证码(MAC)考虑到:MAC
公钥密码学 公钥加密体制组成部分:明文、密文;公钥、私钥,加密、解密算法 公钥密码系统应用: 加密解密数字签名:发送者用自己私钥”签名”消息密钥交换:双方交换会话密钥 公钥密码算法必须满足的条件 ?密钥对的生成在计算上是可行的 ?用公钥加密明文在计算上是可行的 ?用私钥解密密文在计算上是可行的 ?从公钥获得私钥在计算上是不可行的 ?从公钥和密文来获得明文在计算上是不可行的 ‘加密与解密的顺序没有限制(不是必须的)
RSA算法的实现
Diffie-Hellman密钥交换 本原根:
离散对数
第四章 密钥分配和用户认证
1.基于对称加密的密钥分配 (1)基本方法 链路层加密:在通信链路两端加上加密设备。 端对端加密:在端系统中进行,由源主机或终端加密数据。 会话密钥:当两个端系统(主机或终端等)要通信时,建立一个逻辑连接,使用一次性的会 话密钥加密所有的用户数据。 永久密钥:永久密钥在两个实体之间用于分发会话密钥。(用于加密会话密钥) (2)密钥分配的四种方法:(密钥分配问题是对称加密的核心问题) ·密钥由A选择,并亲自交给B (物理传递) ·第三方C选择,并亲自交给A和B (物理传递) ·用最近使用的密钥加密新密钥并发给对方 ·A和B与C都有秘密信道 (3)密钥分发中心(KDC) KDC决定允许哪个系统与其他的系统进行通信。当两个系统建立连接时,KDC为这次连 接提供一个一次性的密钥。(操作过程见书P82)
2.基于非对称加密的密钥分配 公钥证书由公钥、公钥所有者的ID、可信的第三方签名组成。 (1)基于公钥加密的密钥分配并不安全,解决方法:使用公钥基础设施(Public Key Infrastructure PKI),通过加入可信任的第三方CA(certificate authority,认证 中心),可以由政府机构和金融机构来担当,在用户之间建立起高度信任。 (2)公钥证书的使用(书P97的图,不太理解,常考) 使用公钥证书分配常规加密密钥,Bob->Alice的通信过程如下:
- 准备消息
- 使用一次性的会话密钥加密消息(常规加密)
- 使用Alice的公钥加密会话密钥(公钥加密)
- 将加密过的会话密钥添加到消息上,并且向Alice 发送。
3.X.509证书 (1)含义:X.509是x.500标准系列的一部分。 X.509定义了一个使用x.500目录向其用户提供认证服务的框架。该目录可作为一个公钥证书存储库。除此之外,X.509还定义了基于公钥证书的认证协议。 补充:X.509方案的核心是与每个用户相关联的公钥证书。证书由可信证书权威机构(CA)创建,由CA或用户放在目录中。目录服务器不负责公钥的生成或证书函数,它仅提供一个易于访问的位置以便用户获得证书。 (2)证书格式:见书P97 (3)证书特点:①任何可以访问CA公钥的用户都可以验证此经过签名的用户公钥;②除了CA外,任何用户都无法伪造证书或篡改证书的内容而不被发现。(不可伪造) (4)不同CA认证的用户如何获得证书:见书P99 (5)证书撤销 X.509的每个证书都包含一个有效期,超过有效期的证书将不能使用。 但在一些情况下需要将没有过期的证书作废:①用户在旧证书过期之前申请颁发一个新证书 ②用户的私钥被泄漏 ③用户不再被CA信任 ④CA的证书被泄漏 每个CA需要保存一个证书撤销表(CRL),用来保存所有已经撤销但没有过期的证书。
4.公钥基础设施 (1)定义:基于非对称密码体制的用来生成、管理、存储、分配和撤销数字证书的一套硬件、软件、人员、策略和过程。开发一个PKI的主要目标是使安全、方便和高效获取公钥成为可能。 (2)架构模型(具体含义见书:P102)
第六章 传输层安全
6.1 Web安全需求
Web安全的特点 n 1)提供双向的服务,攻击防范能力脆弱 n 2)作为可视化窗口和商业交互平台,提供多种服务,事关声誉 n 3)底层软件庞大,如apache 约10M,历来是漏洞之最,攻击手段最多 n 4)如果被攻破可能导致成为进入企业的跳板 n 5)漫不经心的和未经训练的用户 Web 安全的组成部分 Browser 安全、Web Server 安全、Browser 与Web Server Web 流量安全方法 § 网络层:IPSec 传输层:SSL/TLS 应用层:Kerberos, S/MIME
6.2 传输层安全 SSL(安全套节字层,Secure socket layer )/TLS(传输层安全,Transport layer service ) TLS从SSL发展而来的,(下面的一系列解释TLS和SSL指的是同一种东西)
SSL 连接和 SSL会话 连接:连接一个连接是一个能够提供某种服务的传输载体,对SSL来说,这样的连接是点对点关系而且都是短暂的,每个连接都和一个会话相关。 会话:SSL会话是客户和服务器之间的一种关联。特点如下三点: 1)会话由握手协议创建 2)会话定义了一组可以被多个连接共用的密码安全参数 3)对于每个连接,可以利用会话来避免对新的安全参数进行代价昂贵的协商 在任意一对实体之间,可以有多个安全连接
TLS 记录协议 TLS 记录协议为 TLS 连接提供的服务: 1)机密性:握手协议定义一个可用于TLS载荷的传统加密共享密钥 。 2)消息完整性:握手协议还定义了一个用于生成MAC的共享密钥
TLS记录协议运行流程
1、分段,把每个上层消息分割为不大于2^14字节的块 2、压缩或不压缩,压缩必须是无损的,并且增加长度不能超过1024字节,TLSv2中无压缩 3、在压缩数据的基础上计算消息认证码。TLS使用了HMAC算法,就是将压缩后的消息和计算出的MAC放在一块。MAC计算的字段如下:
4、对3中的得到数据使用对称加密算法进行加密,加密造成的块长度增量不会超过1024字节,所以块的总长度不会超过2^14+2048字节 允许使用:分组密码:AES, 3DES 流密码:RC4-128 5、添加一个有下列域组成的TLS头 内容类型(8bit):用于处理封装分段的高层协议(被定义为修改密码规格、报警、握手和应用数据4种) 主版本号(8bit):表明应用的TLS协议的主版本号。对于TLSv3.0,该值为3 副版本号(8bit):表明应用的TLS协议的副版本号。对于TLSv3.0,该值为0 压缩后的长度(8bit):以字节为单位的明文块(如果使用了压缩,则为压缩后的明文块)长度。最大值为2^14+2048。
SSL修改密码规格协议 由单个报文组成,报文值为1的单个字节;使得挂起状态被改变为当前状态,更新了这个连接将要使用的密码机制 报警协议 用于向对方实体传送TLS相关的报警信息;传输时按照当前状态所规定的处理机制进行压缩和加密
第十章 恶意软件
1.恶意软件定义:隐蔽植入另一段程序的程序,它企图破坏数据,运行破坏性或者入侵性程序,或者破坏受害者数据,应用程序或者操作系统的机密性、完整性和可用性。
2.恶意软件的分类 法1:是否需要驻留在宿主程序中或者独立于宿主程序,可分为2类:①必须依赖实际应用程序、工具或系统程序才可以运行的程序碎片,如病毒、逻辑炸弹和后门;②可以被操作系统调度并运行的独立程序。如蠕虫和僵尸。 法2:是否能够进行自身复制,可以分为2类:①是通过触发而被激活的程序或程序 碎片。如逻辑炸弹、后门和僵尸;②包括程序段(病毒)或独立的程序(蠕虫),这些程序执行的时候产生自身的一个或多个副本,这些副本在合适的时机将在本系统或其他系统内被激活。
3.病毒 (1)定义:病毒是一种可以通过修改某些程序以达到感染其它程序的一段程序。 (2)病毒的四个阶段 休眠阶段,处于休眠,直至被触发 传播阶段,复制自身,传染其他 触发阶段,被特定事件所激活 执行阶段,条件成熟,发作破坏 (3)病毒的结构 病毒可以被放在可执行文件首部、尾部或以其他方式嵌入可执行文件中。病毒执行的关键是被感染的程序在被调用时,将首先执行病毒代码,之后才执行程序的源代码。 (4)病毒的逻辑、压缩过程:见书P257。 (5)病毒的分类:(详见书P258) ①按目标进行分类的病毒:引导扇区病毒、文件感染病毒、宏病毒、混合体病毒 ②按隐藏策略进行分类的病毒:加密病毒、隐形飞机式病毒、多态病毒、变形病毒 (6)宏病毒与脚本病毒 ·什么是宏?宏是一种嵌入到Word文档或其他类型文件中的可执行程序(脚本),典型的应用是用户使用宏自动完成一些重复性的工作,而不必再去重复进行键盘输入。 ·宏病毒具有高危险性的原因:①宏病毒是平台无关的(所以很多硬件平台和操作系统都容易被感染);②宏病毒感染的目标是文档;③宏病毒易于传播;④传统的文件访问控制系统在阻止病毒传播所起的作用有限。
4.蠕虫 (1)定义:网络蠕虫是一种可以自行复制,并通过网络连接将蠕虫副本从一台计算机发送到其他计算机的程序。(一旦进入计算机,蠕虫就会被激活并开始新的传播,并执行一些有害的功能。) (2)蠕虫利用哪些网络媒介进行自身的复制? 电子邮件工具、文件共享、远程执行功能、远程文件访问或传输能力、远程登录能力 (3)蠕虫传播阶段执行以下功能 ①通过检查主机列表或者类似的远程系统地址列表来寻找新的感染对象 ②将其自身复制到远程系统上并开始执行副本。 (4)蠕虫传播模式:慢速开始阶段、快速传播阶段、慢速结束阶段。(详见书P262)
5.其他恶意软件 (1)恶意移动代码:恶意移动代码是指能够不变地植入各种不同平台,执行时有相同语义的软件(脚本、宏或者其他可移动指令)。 (2)客户端漏洞和挂马攻击:当用户浏览一个攻击者控制的网页时,网页包含的代码会攻击浏览器的漏洞,从而在用户不知晓并且没有用户许可的情况下下载恶意软件到该系统并安装。 (3)特洛伊木马(Trojan Horse):是一种有用的,或者是表面上有用的程序或命令过程.它包含隐秘代码段,一旦被调用, 将会执行一些不想要或有害的功能。主要目的实现一些未授权用户无法直接完成的功能;另一个动机是破坏数据。 (4)逻辑炸弹:是嵌入到某些合法程序中的代码段,当遇到某些特定条件时,它便会”爆发”。 (5)后门:也称陷门(Trapdoor),是程序的秘密入口点,知情者可以绕开正常的安全访问机制而直接访问程序。
6.防护措施(详见书P272) 反病毒方法:检测、识别、清除 反病毒软件的发展:①第一代:简单扫描器 ②第二代:启发式扫描器 ③第三代:活动陷阱 ④第四代:全功能防护 行为阻断软件、分布式蠕虫检测:见书P273 蠕虫防护措施:①基于签名的蠕虫扫描过滤 ②基于过滤器的蠕虫防范 ③基于有效载荷分类的蠕虫防范 ④阈值随机漫步的扫描检测 ⑤速率限制 ⑥速率中断
7.分布式拒绝服务攻击 (1)拒绝服务(DoS)攻击:试图阻止某种服务的合法用户使用该服务。 DDoS攻击:试图消耗目标设备的资源,使其不能够提供服务。 DDoS攻击使得被淹没的服务器、网络甚至终端用户系统在无用流量的网络中无法与计算机系统取得联系,从而合法用户也无法获得这些资源的访问权限。 (2)按照所消耗的网络资源进行分类 ①内部资源攻击:实例见书P277 ②通过消耗数据传送资源进行攻击:实例见书P277 (3)按照攻击手段进行分类 ①直接DDoS ②反射DDoS (4)DDoS攻击角色 ①黑客以及黑客亲自操作的主机(attacker)其作用是向主僵尸发送各种命令,包括攻击指令等。 ②数量较少的主僵尸(Master Zombie)它会监听来自黑客的指令,并向网络上分布的各个守护进程 端发布攻击命令,使其真正开始攻击。 ③为数众多的从僵尸(Slave Zombie)它会接收和响应来自主控端的命令,是真正实施攻击的前锋。 ④受害者(Victim) 被攻击的目标主机 (5)DDoS的攻击方法和防范措施 攻击方法:攻击者使用僵尸软件感染大量机器,要求:可以执行DDoS攻击的软件;存在大量系统漏洞;定位存在漏洞机器的策略,一种方法称作扫描 DDoS的防范;攻击预防和先占;攻击检测和过滤;攻击源回溯和鉴定
第12章 防火墙
1.定义:防火墙是一种保护本地系统或者系统网络不受基于网络的安全威胁的有效方法,同 时支持通过广域网和互联网访问外部世界。
2.防火墙的设计目标(满足条件) (1)所有入站和出站的网络流量都要经过防火墙。 (2)只有经过授权的网络流量,防火墙才允许通过。 (3)防火墙本身不能被攻破,必须建立在安全的操作系统之上。
3.防火墙的功能 (1)定义一个必经之点,把未授权的用户阻止在受保护的网络之外。 (2)提供监视安全相关事件的场所。(审计、报警) (3)可以作为一个与安全性不相关的互联网功能的便利平台,如:地址转换功能、网络管理功能。 (4)可以作为IPSec平台。
4.防火墙的局限性 (1)有些攻击会绕开防火墙,防火墙对此无能为力。如:通过电话拨号上网可以绕开防火墙 (2)防火墙不能完全防止内部威胁。 (3)防火墙不能防止被病毒感染的程序,如:文件、邮件。
5.防火墙的类型 包过滤防火墙、状态检测防火墙、应用层网关、链路层网关
6.包过滤防火墙 (1)基本思想:对每个接收和发送的IP包应用一些规则,然后决定转发或者丢弃该包。 (2)如何过滤:过滤的规则以IP和传输层的头中域(字段)为基础,包括源和目标IP地址、源和目标端口号、 IP协议域和接口。 (3)默认策略: ·默认丢弃:没有明确准许的流量将被阻止(比较保守,根据需要,逐渐开放) ·默认转发:没有明确阻止的流量将被准许(管理员必须针对每一种新出现的攻击,制定新的规则) (4)在网络层上进行监测,通常在路由器上实现。 优点:实现简单、对用户透明、效率高; 缺点:①正确制定规则不容易;②包过滤防火墙不检查上层数据,无法防范利用特定应用漏洞的攻击;③可用信息有限,提供的日志功能也十分有限;④不支持高级用户认证方案;⑤易受TCP/IP协议栈漏洞攻击,如IP地址欺骗;⑥对由于不恰当设置引起的安全威胁防范有限。 (5)针对包过滤防火墙的攻击及对策 ·IP地址假冒,例如,假冒内部的IP地址(对策:在外部接口上禁止内部地址) ·源路由攻击,即由源指定路由(对策:丢弃所有使用该选项的包) ·细小帧攻击,利用IP分片功能把TCP头部切分到不同的分片中(对策:丢弃分片太小的分片)
7.状态检测防火墙 网上查的资料:状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。(????)
8.应用层网关 (1)优缺点 优点:代理服务器工作于应用层,比包过滤技术更加安全,它对应用层数据有更多地了解,可以对每个特定的网络应用服务使用特定的数据安全策略;易于记录日志。 缺点:带来了额外的处理开销,导致牺牲一些系统性能。 对代理服务器的处理资源(处理器、内存等)要求较高。 (2)两个代理服务器的实现例子 ·MSP – Microsoft Proxy Server/ISA (wingate) ·squid 关于代理服务器的网络资料:主要在应用层实现。当代理服务器收到一个客户的连接请求时,先核实该请求,然后将处理后的请求转发给真实服务器,在接受真实服务器应答并做进一步处理后,再将回复交给发出请求的客户。代理服务器在外部网络和内部网络之间,发挥了中间转接的作用。所以,代理服务器有时也称作应用层网关。 代理服务器可对网络上任一层的数据包进行检查并经过身份认证,让符合安全规则的包通过,并丢弃其余的包。它允许通过的数据包由网关复制并传递,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。 代理服务器型防火墙,则是利用代理服务器主机将外部网络和内部网络分开。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部的网卡一样,从而可以达到隐藏内部网络结构的作用。内部网络的主机,无需设置防火墙为网关,只需直接将需要服务的IP地址指向代理服务器主机,就可以获取Internet资源。 关于代理服务器和网关区别的网络资料:代理服务器和网关都会把网络内部的数据发送到因特网上。如果把网关比作一扇通向因特网的门,代理服务器就是一堵墙,能够避免暴露网络内部的一些重要信息。代理服务器会过滤一些网络连接,只允许那些可以访问的通过。而网关却不做任何的过滤。
9.链路层网关 本质上也是一种代理服务器。不允许点到点的TCP连接,而是由网关建立两个TCP连接。 实例:socks。
10.防火墙的载体 防火墙可以被安装在一台独立机器上运行流行的操作系统(linux,unix),也可以作为一个独立的模块在一个路由器或局域网交换机中实现。下面介绍一些其他的防火墙实现载体。 (1)堡垒主机(Bastion Host):对外部网络暴露,同时也是内部网络用户的主要连接 点,可以充当应用层网关和链路层网关的平台。 (2)主机防火墙:用来保护个人主机的软件模块,可以对数据包进行过滤和限制,一般位于服务器中。(为什么用于保护个人主机,但是位置却在服务器中?) (3)个人防火墙:用于控制一边是个人计算机或工作站,而另一边是因特网或者企业网络之间的通信。基本功能是防止未经认证的远程接入计算机;还可以阻止蠕虫和病毒。
11.防火墙的位置和配置 (1)停火区网段:在内部防火墙和外部防火墙之间有一个或者多个网络设备,该区域被称为停火区网段。 (2)内部防火墙的作用:①与外部防火墙相比,内部防火墙过滤能力更严格,保护内部网络免于攻击;②内部防火墙提供了与DMZ相关的双向保护;③多个内部防火墙可以用来对内部网络各部分之间进行保护。 (3)虚拟专用网VPN:虚拟专用网VPN可以通过IPSec实现。执行IPSec的一种逻辑方法是在防火墙中。(建议再看,再扩充一下) (4)分布式防火墙:分布式防火墙是包含在中心管理控制之下在一起工作的独立防火墙和主机防火墙。
12.防火墙的发展 ·分布式防火墙 ·应用层网关的进一步发展(认证机制、智能代理) ·与其他技术的集成 (比如NAT、VPN(IPSec)、IDS,以及一些认证和访问控制技术、防火墙自身的安全性和稳定性)
|