第七章 網路安全設計

2021-07-25 09:22:25 字數 4079 閱讀 2830

第七章  網路安全設計

1.網路安全體系結構?結合分層模型,每一層結構、協議、威脅、三維圖

(安全機制、設計原則)之間的關係、安全模型是什麼

設計原則:iatf(資訊保障技術框架) 標準強調人、技術和操作三個核心原則,iatf模型最重要的設計思想是在網路中進行不同等級的區域劃分與網路邊界保護。

安全模型:在iatf模型中,區域網包括涉密網路(紅網,如財務網)、專用網路(黃網,如內部辦公網路)、公共網路(白網,如公開資訊**)和網路裝置,這一部分主要由企業建設和管理。網路支援性基礎設施包括專用網路(如vpn)、公共網路(如internet)、通訊網等基礎電信設施(如城域傳輸網),這一部分主要由電信服務商提供。

2.協議安全中每一層安全威脅以及相關對策和網路攻擊

tcp/ip各層受到的威脅及應對:

物理層面臨的安全威脅有搭線竊聽,電磁輻射訊號還原、物理臨近等。(金屬遮蔽)。

網路層的安全威脅主要有資料報竊聽、

arp欺騙、流量攻擊、拒絕服務攻擊等。網路層的安全技術有ip

路由安全機制、

ipsec(ip

安全協議

)和防火牆技術。

傳輸層主要的安全協議有ssl(secure sockets layef,

安全套接層協議

)。應用層的安全問題主要有作業系統漏洞、應用程式

bug、非法訪問、病毒木馬程式攻擊等。應用層採用的安全技術有加密、使用者級認證、數字簽名等。

網路安全和攻擊的技術:iatf標準認為有5類攻擊方法被動攻擊、主動攻擊、物理臨近攻擊

內部人員攻擊和分發攻擊。

常用網路攻擊原理電磁洩漏、分布式拒絕服務ddos、arp攻擊

電磁洩漏:電磁洩漏是指資訊系統的裝置在工作時能經過地線、電源線、訊號線、寄生電磁訊號或諧波等輻射出去,產生電磁洩漏。這些電磁訊號如果被接收下來,經過提取處理,就可恢復出原資訊,造成資訊失密

分布式拒絕服務:ddos

攻擊通過大量合法的請求占用大量網路資源,以達到癱瘓網路的目的。分布式拒絕服務

攻擊指借助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平台,對乙個或多個目標發動ddos攻擊,從而成倍地提高拒絕服務攻擊的威力。

arp攻擊:arp攻擊就是通過偽造

ip位址和

mac位址實現

arp欺騙,能夠在網路中產生大量的arp通訊量使網路阻塞

,攻擊者只要持續不斷的發出偽造的arp響應包就能更改目標主機

arp快取中的ip-mac條目,造成網路中斷或中間人攻擊

3.資訊加密演算法分幾類?分別用在哪些場合?

1)對稱加密。對稱加密是加密和解密都使用相同金鑰的加密演算法。它的優點在於加解密的高

速度和使用長金鑰時的難以破解性。(2)非對稱加密。非對稱加密是加密和解密使用不同金鑰的加密演算法。(3)hash加密。hash(雜湊)演算法是一種單向函式,可以通過hash演算法對目標資訊生成一段特定長度的唯一hash值,卻不能通過這個hash值重新獲得目標資訊,常見的hash演算法有md5(訊息摘要)等。

4.防火牆工作原理?介面特性?結構,案例分析 p165

工作原理:防火牆是內部網路與外部網路通訊的唯一途徑。也就是說,所有從內網到外網或從外網到內網的通訊都必須經過防火牆,否則,防火牆將無法起到保護作用。網路工程師在防火牆中制訂一套完整的安全策略,只有經過安全策略證實的資料流,才可以完成通訊,防火牆本身應當是乙個安全、可靠、防攻擊的可信任系統,它自身應有足夠的可靠性和抵禦外界對防火牆的任何攻擊。

介面特性:硬體防火牆最少有三個介面

內網介面,用於連線內部網路裝置

外網介面,相當於主機介面,用於連線邊界路由器等外部閘道器裝置

dmz介面,用於連線dmz區的網路裝置。很多防火牆擴充套件了介面的數量。

結構,案例分析(p165):1.單防火牆dmz網路結構

如圖7-4所示,單防火牆dmz結構將網路劃分為三個區域,內網(lan)、外網(lnternet)和

dmz.dmz是外網與內網之間附加的乙個安全層,這個安全區域也稱為遮蔽子網、過濾子網等。這種網路結構的構建成本低,多用於小型企業網路設計。

2.雙防火牆dmz網路結構

防火牆通常與網路中的邊界路由器一起協同工作,邊界路由器是網路安全的第·道屏障,通常的做法是在路由器中設定資料報過濾和nat功能,讓防火牆完成特定的埠阻塞和資料報檢查,這樣在整體上提高了網路效能。

5.入侵檢測系統(ids)

工作原理:ids(入侵檢測系統)通過抓取網路上的所有報文,分析處理後,報告異常和重要的資料模式和行為模式,使網路安全管理員清楚地了解網路上發生的事件並能夠採取行動阻止可能的破壞。

部署策略:(1)ids系統安裝在網路邊界區域。 (2)ids系統安裝在伺服器群區域。(3)ids系統安裝在網路主機區域。(4)網路核心層。由於網路核心層頻寬非常高,因此不適宜布置ids.如果必須使用ids,麼不能對ids設定太多策略,能夠達到檢測簡單攻擊的目的即可。

ids裝置在網路中採用旁路式連線。

6.入侵防禦系統(ips)

工作原理:ips一般部署在網路的進出口處,當它檢測到攻擊企圖後,會自動地將攻擊

包丟掉或採取措施將攻擊源阻斷,它可以阻擊由防火牆漏掉的或ids檢測到而不能處理的網路攻擊,從而減少因網路攻擊而受到的損失。

部署策略:而ips裝置在網路中採用串接式連線。串接工作模式保證所有網路資料都必須經過ips裝置,ips檢測資料流中的惡意**、核對策略,在未**到伺服器之前,將資訊包或資料流阻截。ips是閘道器型裝置,最好串接在網路出口處。ips經常部寫在閘道器出口的防火牆和路由器之間,監控和保護內部網路

6.acl工作原理,案例:依據需求描述出訪問控制策略

工作原理:

acl採用包過濾技術,在路由器中讀取第三層和第四層資料報頭中的資訊,如源位址、目的位址、源埠、目的埠等,然後根據網路工程師預先定義好的acl規則,對資料報進行過濾,從而達到訪問控制的目的。

請簡述訪問控制列表的實現機制。

答案:

(1)首先根據使用者需求定義一組用於控制和過濾資料報的訪問控制列表。 (2)然後再將其應用在路由器的不同介面的不同方向上。 

(3)如果指定介面(該介面已應用指定的訪問控制列表)指定方向(該方向上已應用指定的訪問控制列表)上有資料報通過時,路由器將根據設定的訪問控制列表的規則(逐條進行匹配,如果規則中上一條語句匹配,則下面所有的語句將被忽略)對資料報進行過濾,從而確定哪些資料報可以接收,哪些資料報需要拒絕。

7.vpn工作原理,本質,建立在公網和私網上

使用ip機制**出乙個私有的廣域網。通過私有的隧道技術在公共資料網路上**出一條點對點的專線技術。虛擬是指使用者不需要實際的長途資料線路,而是利用internet的資料傳輸線路;專用網路是指使用者可以為自己制定乙個最符合自己需求的網路。vpn在internet上臨時建立安全、專用的虛擬網路。

工作原理:vpn隧道技術是在internet上建立一條資料通道(隧道),讓資料報通過這條隧道進行安全傳輸。被封裝的資料報在隧道的兩個端點之間通過internet進行路由。被封裝的資料報在公共網際網路上傳遞時所經過的邏輯路徑稱為隧道。資料報一旦到達隧道終點,將被解包並**到最終目的主機。

網路管理員學習筆記 第七章 網路安全 002

1.防火牆簡介 a.防火牆位於兩個不同信任度網路之間,負責進行通訊控制,強制實施統一的安全策略,防止對重要資訊資源的非法行為。b.防火牆可以是軟甲也可以是硬體裝置,或者兩者的組合。c.作用 隔離內,外網路。d.主要功能 過濾資料報 對網路攻擊行為檢測和報警 記錄通過防火牆的資訊內容和活動 控制和封堵...

網路管理員學習筆記 第七章 網路安全 002

1.安全套接層ssl 1 ssl 提供了了兩台計算機之間的安全連線,對整個會話進行加密,保證安全傳輸。2 ssl 工作在 應用層 和傳輸層 3 ssl層 包括 ssl 握手協議 ssl 修改密文協議 ssl告警協議 ssl 記錄協議。4 ssl 的3個基本功能 a.驗證身份 b.資料的機密性 c.報...

python第七章 python教程(第七章)

字典和集合 字典是python中唯一,乙個對映型別 如何建立乙個字典,如下 dict dict 滲透 網路安全 怎麼理解字典呢?現實生活中的字典可以通過首字母進行查詢要查詢的漢子,python也可以這樣理解,通過 前的元素查詢到冒號後的元素。為什麼說字典是唯一乙個對映型別呢?看圖。對映型別區別與序列...