邏輯網路分段
邏輯網路分段是指將整個網路系統在網路層(iso/osi模型中的第三層)上進行分段。例如,對於tcp/ip網路,可以把網路分成若干ip子網,各子網必須通過中間裝置進行連線,利用這些 中間裝置的安全機制來控制各子網之間的訪問。
vlan的實施
基於mac的vlan不能防止mac欺騙攻擊。因此,vlan劃分最好基於交換機埠。
vlan的劃分方式的目的是為了保證系統的安全性。因此,可以按照系統的安全性來劃分vlan。
防火牆服務
防火牆是網路互聯中的第一道屏障,主要作用是在網路入口點檢查網路通訊。
從應用上分類:包過濾、**服務期
從實現上分類:軟體防火牆、硬體防火牆
通過防火牆能解決如下問題;
1.保護脆弱服務;
2.控制對系統的訪問;
3.集中的安全管理。防火牆定義的規則可以運用於整個網路,不許在內部網每台計算機上分別定義安全策略;
4.增強的保密性。使用防火牆可以組織攻擊者攻擊網路系統的有用資訊,如finger、dns等;
5.紀錄和統計網路利用資料以及非法使用資料。
6.策略執行;
7.流量控制、防攻擊檢測等
加密技術
加密型網路安全技術的基本思想是不依賴於網路中資料路徑的安全性來實現網路系統的安全,而是通過對網路資料的加密來保障網路的安全可靠性。
加密技術用於網路安全通常有兩種形式,即面向網路或面向應用服務。前者通常工作在網路層或傳輸層,使用經過加密的資料報傳送、認證網路路由及其他網路協議所需的資訊,從而保證網路的連通性不受損害。
數字簽名和認證技術
認證技術主要解決網路通訊過程中通訊雙方的身份認可,數字簽名是身份認證技術中的一種具體技術,同時數字簽名還可用於通訊過程中的不可地來要求的實現。
user name/password認證
該種認證方式是最常用的一種認證方式,用於作業系統登入、telnet、rlogin等,但此種認證方式過程不加密,即password容易被監聽和解密。
使用摘要演算法的認證
radius,ospf,snmp security protocol等均使用共享的security key,加上摘要演算法(md5)進行認證。由於摘要演算法是乙個不可逆的過程,因此,在認證過程中,由摘要資訊不能技術得到共享的security key,敏感資訊不在網路上傳輸。市場上主要採用的摘要演算法有md5和sha-1。
基於pki的認證
使用公開金鑰體系進行認證敬愛公尺。該種方法安全程度較高,綜合採用了摘要演算法、不對陳加密、對稱加密、數字簽名等技術,結合了高效性和安全性。但涉及繁重的證書管理任務。
數字簽名
數字簽名作為驗證傳送者身份和訊息完整性的根據。並且,如果訊息隨數字簽名一同發出,對訊息的任何修改在驗證數字簽名時都會被發現。
vpn技術
網路系統總部和分支機構之間採用公網互聯,其最大弱點在於缺乏足夠的安全性。
完整的vpn安全解決方案,提供在公網上安全的雙向通訊,以及透明的加密方案,以保證資料的完整性和保密性。
區域網安全防護技術(內網)
目前主要使用的2種方式,基於是否有dhcp伺服器而言 言下之意就是電腦主機的數量,因為涉及到繫結主機資訊的過程 數量問題 由於每個廠商的英文簡寫不同,我以中文代替說明具體的意義 源認證 arp檢測 無dhcp dhcp探測 源認證 arp檢測 有dhcp 設想主機需要通訊要完成幾個過程 主機接入 i...
網路安全筆記 14 網路層 路由
跨越從源主機到目標主機的乙個網際網路絡來 資料報的過程 交換機與路由器的對比 路由器交換機 路由器工作在網路層 交換機工作在資料鏈路層 根據路由表 資料 根據mac位址表 資料 路由 根據ip包 硬體 根據幀頭 靜態路由配置conf t ip route 目標網段 子網掩碼 下一跳ip 路由條目 s...
資料鏈路層網路安全防護
提到安全攻擊,往往想到的是來自區域網之外的攻擊,這些攻擊來自網際網路,針對物件為企業內部網路裝置,伺服器等 而企業內部的區域網安全問題往往被忽略,常見的幾種資料鏈路層安全攻擊有 mac位址擴散 arp攻擊與欺騙 dhcp伺服器欺騙與dhcp位址耗盡 ip位址欺騙 1.埠安全 cisco交換機提供一種...