第十章 信息安全
1.防火墙
1.防火墙是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全的和可信赖的,外部网络是不安全的和不可信赖的。防火墙的作用是防止不希望的、未经授权地进出被保护的内部网络。
2.防火墙从高到低排列为内网、DMZ、外网,层次越高工作效率越低,安全性越高。其中DMZ为缓冲区,通常把web服务器、FTP服务器、E-mail服务器置于此。
3.防火墙技术经历了包过滤、应用代理网关和状态检测技术三个发展阶段
| 防火墙技术 | 描述 |
|---|---|
| 包过滤防火墙 | 通常直接转发报文,它对用户完全透明、速度较快,其优点是防火墙对每条传入和传出网络的包实行低水平控制。缺点是不能防范黑客攻击、不支持应用层协议、访问控制粒度太粗糙。它对数据包的过滤依据包括:源IP地址、目标地址、协议、端口号等。包过滤防火墙对网络层的数据报文进行检查 |
| 应用代理网关防火墙 | 它是内网和外网的隔离点,彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户,它对应用层的通信数据流进行监控和隔离。它的优点是对数据包的检测能力比较强,缺点是难以配置处理速度慢。 |
| 状态检测技术防火墙 | 它结合了代理防火墙的安全和包过滤防火墙的高速度,在不损失安全性的基础上,提高了代理防火墙的性能。摒弃包过滤防火墙仅考查数据包的ip地址等而不关心数据包连接状态变化的缺点。典型防火墙的体系结构分为包过滤路由器、双宿主主机、屏蔽主机网关和被屏蔽子网等类型。 |
4.防火墙具备记录访问过程、包过滤(控制进出网络的数据包和数据流向)、代理、提供流量信息的日志和审计、隐藏内部IP以及网络结构细节功能,不具备查毒和漏洞扫描功能。
2.病毒
1.计算机病毒的特征包括:传播性、隐蔽性、感染性、潜伏性、触发性、破坏性
2.Worm表示蠕虫病毒、Trojan表示特洛伊木马(未知程序试图建立网络连接,客户端在攻击者机器上服务端在被攻击机器上)、Backdoor表示后门病毒、Macro表示宏病毒
宏病毒感染的对象主要是文本文档(DOC)、电子表格(word、excel)等;木马软件:冰河,X卧底病毒通过木马形式感染智能手机;蠕虫病毒:欢乐时光、熊猫烧香、红色代码、爱虫病毒、震网;Sniffer是监听工具
安装并及时升级防病毒软件有效防止计算机病毒
3.网络攻击
| 网络攻击 | 具体描述 |
|---|---|
| *拒绝服务攻击(Dos攻击) | 目的是使计算机或网络无法提供正常的服务,拒绝服务攻击是不断向计算机发起请求来实现的。SYN flooding攻击属于Dos攻击。 |
| *重放攻击 | 攻击者发送一个目的主机已经接受过的报文来达到攻击目的,攻击者利用网络监听或者其他方式盗取认证凭据,之后再重新发送给认证服务器。主要用于身份认证过程,目的是破坏认证的正确性。 |
| 口令入侵攻击 | 使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。 |
| 特洛伊木马 | 被伪装成程序或游戏,当用户下载了带有木马的软件或附件时,这个程序就会向黑客发起连接请求,建立连接后黑客就实施攻击活动。 |
| 端口欺骗攻击 | 采用端口扫描找到系统漏洞从而实施攻击。 |
| 网络监听 | 攻击者可以接收某一网段在同一条物理通道上传输的所有信息,使用网络监听可以轻松截取包括账号和口令在内的信息资料。 |
| IP欺骗 | 产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。 |
| Sql注入攻击 | 是黑客对数据库进行攻击的常用手段之一,没有对用户输入数据的合法性进行判断(即username和password在后面加上or 1的条件就无论输什么都满足条件),使应用程序存在安全隐患,登录后攻击者可以提交一段数据库查询代码,根据程序返回的结构获取某些他想得知的数据。首先获取数据库的权限,就可以获取用户账号和口令信息,以及某些数据修改等。Sql注入攻击的首要目标是获得数据库的权限。 |
| 入侵检测技术 | 专家系统、模型检测、简单匹配 |
ARP攻击(ARP欺骗):通过伪造IP地址和MAC地址,能够在网络中产生大量的ARP通信量使网络阻塞,如果伪造网关的IP地址和MAC地址,则发往网关的IP包将因为MAC地址错误而无法到达网关,造成无法跨网段通信,处理ARP攻击的方法为首先断开ARP攻击主机的网络连接,然后用arp-d命令清除受攻击影响的ARP缓存
防范网络监听最有效的方法是数据加密
漏洞扫描系统可以获取某FTP服务器中是否存在可写目录的信息
身份验证安全机制有4种验证方法,安全级别由高到低:集成Windows身份验证、摘要式身份验证、.NET Passport身份验证、基本身份验证
4.网络安全
1.安全协议
| 安全协议 | 具体描述 |
|---|---|
| SSL | 是传输层安全协议,用于实现Web安全通信,SSL3.0已经成为一个事实上的Web安全标准,端口号为43。 |
| TLS | 是传输层安全协议,是IETF制定的协议,建立在SSL3.0基础之上,SSL的后续版本。 |
| SSH | 终端设备与远程站点之间建立安全连接的协议,是由IETF制定的建立在应用层和传输层基础以上的安全协议,SSH是专为远程登录会话和其他网络服务提供安全性的协议,利用SSH协议可以有效防止远程管理过程中的信息泄露问题,SSH最初是UNIX上的程序。 |
| HTTPS | 以安全为目标的HTTP通道,即使用SSL加密算法的HTTP,默认端口号为443。HTTP是不安全的,端口号是80。 |
| MIME | 是一个互联网标准,扩展了电子邮件标准,使其能够支持非ASCII字符文本,非文本格式附件(声音、图像),由多部分组成的消息体,包含非ASCII字符的头信息。它与安全电子邮箱服务无关。 |
| PGP | 是一个基于RSA公钥加密体系的邮件加密软件,可以用它对邮件保密以防止非授权者阅读,还能对邮件加上数字签名从而使收信人可以确认邮件的发送方。 |
| IPSec | 为IP数据报文进行加密,而PP2P是为链路进行加密。 |
公共端口号是0-1023,establish是已经建立成功的意思。
POP3(邮件收取协议);SMTP(简单电子邮件协议)
内部网关协议:RIP、OSPF、IS-IS、IGRP、EIGRP
外部网关协议:BGP
2.信息安全包括5个基本要素:机密性、完整性、可用性、可控性与可审查性
| 信息安全 | 具体描述 |
|---|---|
| 机密性 | 确保信息不暴露给未授权的实体或进程 |
| 完整性 | 只有得到允许的人才能修改数据,并且能够判别出数据是否已经被篡改 |
| 可用性 | 得到授权的实体在需要时可访问数据,即攻击者不能占用所有的数据而阻碍授权者的工作 |
| 可控性 | 可用控制授权范围的信息流向及行为方式 |
| 可审查性 | 对出现的信息安全问题提供调查的依据和手段 |