合肥 网站建设常平到东莞

合肥 网站建设,常平到东莞,图片上传分享平台,电商网站开发计划书文章目录 一、网络安全概述 1.1 定义1.2 信息安全特性1.3 网络安全的威胁1.4 网络安全的特征 二、入侵方式 2.1 黑客 2.1.1 入侵方法2.1.2 系统的威胁 2.2 IP欺骗与防范 2.2.1 TCP等IP欺骗基础知识2.2.2 IP欺骗可行的原因2.2.3 IP欺骗过程2.2.4 IP欺骗原理2.2.5 IP欺骗防范 2.…文章目录一、网络安全概述1.1 定义1.2 信息安全特性1.3 网络安全的威胁1.4 网络安全的特征二、入侵方式2.1 黑客2.1.1 入侵方法2.1.2 系统的威胁2.2 IP欺骗与防范2.2.1 TCP等IP欺骗基础知识2.2.2 IP欺骗可行的原因2.2.3 IP欺骗过程2.2.4 IP欺骗原理2.2.5 IP欺骗防范2.3 Sniffer 探测与防范2.3.1 Sniffer原理2.3.2 Sniffer防范回顾知识交换机、路由器、集线器2.4 端口扫描技术2.4.1 原理2.4.2 分类2.4.3 ping命令2.5 特洛伊木马2.5.1 木马与病毒的区别2.5.2 木马的组成2.5.3 木马攻击过程2.5.4 传播方式三、防火墙技术3.1 防火墙基础3.1.1 基本概念3.1.2 访问控制机制1. 包过滤防火墙2. 状态检测防火墙3. 应用代理防火墙4. 复合型防火墙5. 核检测防火墙小结3.2 防火墙设计原则及优缺点3.2.1 设计原则3.2.2 优缺点3.3 防火墙体系结构3.4 硬件防火墙的性能指标1. 吞吐量2. 延时3. 丢包率4. 背靠背5. 最大并发连接数6. 每秒新建连接数3.4 分布式防火墙3.4.1 定义四、密码学基础4.1 定义4.2 对称和非对称加密对比两类密码攻击法常见密码分析攻击数字签名4.3 加密算法参考《系统安全与网上支付》 深圳大学 周天薇一、网络安全概述1.1 定义信息安全:为数据处理系统建立和采用的技术和管理的安全保护保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。网络安全防止未授权的用户访问信息防止未授权而试图破坏与修改信息1.2 信息安全特性可用性确保授权用户在需要时可以访问信息并使用相关信息资产完整性保护信息和信息的处理方法准确而完整机密性 确保只有经过授权的人才能访问信息1.3 网络安全的威胁主动攻击以各种方式有选择地破坏信息添加、修改、删除、伪造、重放、乱序、冒充、病毒等被动攻击不干扰网络信息系统正常工作侦听、截获、窃取、破译和业务流量分析及电磁泄露等恶意攻击特洛伊木马、黑客攻击、后门、计算机病毒、拒绝服务攻击、内外部泄密、蠕虫、逻辑炸弹、信息丢失篡改销毁黑客攻击黑客使用计算机作为攻击主体发送请求被攻击主机成为攻击对象的远程系统进而被窃取信息。特洛伊木马特洛伊木马通过电子邮件或注入免费游戏一类的软件进行传播当软件或电子邮件附件被执行后特洛伊木马被激活。特洛伊密码释放他的有效负载监视计算机活动安装后门程序或者向黑客传输信息。拒绝服务攻击DoS指故意的攻击网络协议实现的缺陷或直接通过暴力手段耗尽被攻击对象的资源目的是让目标计算机或网络无法提供正常的服务或资源访问使目标系统停止响应甚至崩溃。这些服务资源包括网络带宽文件系统空间容量开放的进程或者允许的连接。最常见的DoS攻击有对计算机网络的带宽攻击和连通性攻击。1带宽攻击指以极大的通信量冲击网络使得所有可用网络资源都被消耗殆尽最后导致合法的用户请求无法通过。2连通性攻击指用大量的连接请求冲击计算机使得所有可用的操作系统资源都被消耗殆尽最终计算机无法再处理合法用户的请求。分布式拒绝服务攻击 DDoS1被攻击主机上有大量等待的TCP连接;2 网络中充斥着大量的无用的数据包;3源地址为假,制造高流量无用数据 造成网络拥塞使受害主机无法正常和外界通讯;4利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求使主机无法处理所有正常请求;5严重时会造成系统死机。病毒寄生在宿主文件中将病毒代码嵌入到宿主文件中针对本地程序或文件宿主程序运行时被触发进传染。防治的关键是将病毒代码从宿主文件中摘除。蠕虫独立存在的程序个体通过自身拷贝进行传染。针对网络上的其他计算机通过系统漏洞进行传染。防治的关键是为系统打补丁。漏洞指硬件、软件或策略上的缺陷这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限。有了这种访问权限非法用户就可以为所欲为从而造成对网络安全的威胁。区别于后门。后门是软硬件制造者为了进行非授权访问而在程序中故意设置的万能访问口令这些口令无论是被攻破还是只掌握在制造者手中都对使用者的系统安全构成严重的威胁。漏洞与后门是不同的漏洞是难以预知的后门则是人为故意设置的。TCP劫持攻击A尝试和B建立加密会话黑客劫持通讯假装是B然后和A交换密钥然后假装是A和B建立会话。IP欺骗黑客更改原地址欺骗防火墙防火墙允许数据包通过将其误认为合法的通信欺骗后的数据包进入内联网进行破坏。1.4 网络安全的特征保密性网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。保密性是在可靠性和可用性基础之上保障网络信息安全的重要手段常用的保密技术(1)物理保密:利用各种物理方法如限制、隔离、掩蔽、控制等措施保护信息不被泄露(锁好柜、关好门、看好人)(2)防窃听:使对手侦收不到有用的信息(3)防辐射:防止有用信息以各种途径辐射出去,例:防窥。(4)信息加密:在密钥的控制下用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息完整性网络信息在存储或传输过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性完整性是一种面向信息的安全性它要求保持信息的原样即信息的正确生成、正确存储和正确传输保障完整性的方法1良好的协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段2密码校验和方法:它是抗窜改和传输失败的重要手段3数字签名:保障信息的真实性保证信息的不可否认性4公证:请求网络管理或中介机构证明信息的真实性可靠性1系统能够在规定条件和时间内完成规定功能的特性是所有网络信息系统的运行和建设的基本目标。2通过抗毁性生存性与有效性进行衡量。3可靠性是在给定的时间间隔和给定条件下系统能正确执行其功能的概率。4提高可靠性需要强调减少系统中断(故障)的次数。可用性1网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时允许授权用户或实体 使用的特性或者是网络部分受损或需要降级使 用时仍能为授权用户提供有效服务的特性2可用性是系统在执行任务的任意时刻能正常工作的概率一般用系统正常使用时间和整个工作时间之比来度量3提高可用性需要强调减少从灾难中恢复的时间4是产品可靠性、维修性和维修保障性的综合反映。不可否认性1也称作不可抵赖性在网络信息系统的信息交互过程中确信参与者的真实同一性2所有参与者都不可能否认或抵赖曾经完成的操作和承诺保证不可否认性的方法1利用信息源证据可以防止发信方不真实地否认已发送信息 利用递交接收证据可以防止收信方事后否认已经接收的信息2数字签名技术是解决不可否认性的手段之一可控性对信息的传播及内容具有控制能力防止不良内容的传播二、入侵方式2.1 黑客黑客(hacker) :指技术上的行家或热衷于解决问题, 克服限制的人骇客(cracker):是那些喜欢进入其他人系统的人骇客和黑客之间最主要的不同是:黑客们创造新东西骇客们破坏东西。2.1.1 入侵方法1物理侵入:侵入者绕过物理控制而获得对系统的访问。对主 有物理进入权限 (比如他们能使用键盘) 。 方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。2系统侵入: 已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁就会给侵入者提供一个利用漏洞获得系统管理员权限的机会3远程侵入:通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。如果在他和受害主机之间有防火墙存在侵入就复杂得多2.1.2 系统的威胁软件bug软件bug存在于服务器后台程序, 客户程序 操作系统网络协议栈。系统配置1缺省配置:许多系统交付给客户的时候采用的缺省的易用的配置2懒惰的系统管理员:惊人数量的主机被配置成没有系统管理员口令3生成的漏洞:事实上所有的程序可能被配置成一个非安全的模式4信任的关系:侵入者常用“跳板”的方法利用信任关系攻击网络。一个互相信任主机的网络和他们最脆弱的环节一样安全。口令解密字典攻击:字典攻击可以利用重复的登陆或者收集加密的口令并且试图同加密后的字典中单词匹配暴力破解(Brute Force Attacks): 同字典攻击类似 侵入者可能尝试所有的字符组合方式监听不安全的通信1共享媒体: 传统的以太网中, 你只要在线上启动 Sniffer就可以看到在一个网段的所有通信2服务器监听: 在一个交换的网络里如果入侵者可以在一个服务器(特别是做路由器的)安装sniffer程序入侵者就可以使用得到的信息来攻击客户主机和信任主机。比如你可能不知道某个用户的口令通过在他登陆的时候监听Telnet会话就可以得到他的口令3远程监听:大量的主机可以远端网络监控且使用缺省的community设计的缺点TCP/IP 协议缺点系统设计缺点2.2 IP欺骗与防范IP欺骗就是伪造数据包源IP地址的攻击它基于两个前提:TCP/IP网络在路由数据包时不对源IP地址进行判断— 可以伪造待发送数据包的源IP地址。目前黑客入侵攻击的重要手段之一。主机之间有信任关系存在—基于IP地址认证不再需要用户账户和口令。2.2.1 TCP等IP欺骗基础知识1. TCP数据报首部标志域 URG:紧急数据标志指明数据流中已经放置紧急数据紧急指针有效;ACK:确认标志用于对报文的确认; PSH:推标志通知接收端尽可能的将数据传递给应用层在telnet登陆时会使用到这个标志; RST:复位标志用于复位TCP连接;SYN:同步标志用于三次握手的建立提示接收TCP连接的服务端检查序号;FIN:结束标志表示发送端已经没有数据再传输了希望释放连接 但接收端仍然可以继续发送数据。2. TCP三次握手过程A发送带有SYN标志的数据段通知B需要建立TCP连接。并将TCP报头中的sequence number 设置成自己本次连接的初始值ISN。B回传给A一个带有SYSACK标志的数据段并告诉A自己的ISN并确认A发送来的第一个数据段将acknowledge number设置成A的ISN1。A确认收到的B的数据段将acknowledge number设置成B的ISN1。3. 信任与认证1基于口令的认证:如SMTP(TCP 25)和远程登录 Telnet(TCP 23)只通过帐号/口令认证用户;2基于IP地址的认证(即信任):登录主机的地址受到被登录服务器信任则从该主机登录不要口令;如远程登录rlogin(TCP 513)首先是基于信任关系的认证其次才进行口令认证。2.2.2 IP欺骗可行的原因在TCP/IP协议组中IP协议是非面向连接非可靠传输的协议IP数据包是进行松散发送的并不是连续发送的所以可以在源地址和目的地址中间放入满足要求的IP地址(也就是说可以进行虚假IP 地址的提供)在TCP/IP协议簇中 TCP是面向连接提供可靠传输。面向连接是两个主机首先必须建立连接然后才能进行数据交换。可靠性是有数据包中的多位控制字来提供其中有 两个是SYN和ACK2.2.3 IP欺骗过程IP欺骗步骤选定目标主机利用端口扫描网络监听工具看有哪些机器和目标主机进行TCP/IP连接寻找目标主机信任的主机选择好进攻的目标主机后必须寻找到目标主机信任的主机可以尝试显示目标主机的文件系统在哪里被export, 或者使用rpcinfo来分析有用信息或者尝试目标主机的相邻IP地址获取有价值信息控制被信任的主机黑客向被信任的主机的TCPA发送大量SYN请求 使得被信任主机的TCP/IP链接达到队列的最上限 从而无法响应目标主机的SYN请求采样目标主机的TCP序列号猜测数据包序列号尝试建立连接在此期间黑客就有机会伪装成被信任主机的IP地址将SYN请求返回给目标主机黑客利用网络监听和抓包软件采样目标主机的 TCP序列号并猜测目标主机的数据包序列号 尝试建立与目标主机的基于地址验证的应用连接。建立连接种植后门一旦与目标主机建立TCP/IP连接黑客就会使用命令通过目标主机的安全性较弱的端口种植后门程序进行远程控制和非法操作后门种植成功后黑客一般会断开与目标主机的连 接并且停止对被信任主机的攻击全身而退。黑客推出后找寻合理时机对目标主机进行远程控制和非法操作。2.2.4 IP欺骗原理序列号猜测序列号猜测的重要性攻击者X冒充受攻击目标A信任的对象B远程连接A 的rlogin端口如果能连接成功不再需要口令就能登录A。因为A对X请求的响应包返回给BX不可能知道其中A的序列号要想在图中的第5步完成三次握手并连 接成功他必须“猜”到A的序列号(ISN)。序列号猜测的过程X首先连接A的SMTP端口(X是A的合法的邮件用户但不是它所信任的rlogin用户因为邮件应用的安全级别相对不高 )试探其ISN变化规律以估算下一次连接时A的ISN值。X必须马上按照图中3—5步的方法假冒B来与A建立rlogin连接。1 X必须立刻进行欺骗攻击否则其他主机有可能与A建立了新的连接X所猜测的序列号就不准了。2 当然就这样也不一定能一次猜测成功。不同网络环境下的序列号猜测1)若X和A及B在同一局域网中从理论上说很容易实现IP欺骗攻击。因为攻击者X甚至于不用猜测A发送给B的数据包中包含的序列号——用嗅探技术即可。2)若X来自于外网要想猜测到A和B所在的局域网中传送的数据包中的序列号非常困难——理论可行。3)美国头号电脑黑客米特尼克是第一个在广域网成功实现IP欺骗攻击的人。但当时的序列号相对现在非常容易猜测。关于被冒充对象B1)X首先必须对B进行DoS攻击否则在图中第4步中B 收到A发送来的它未请求过的请求应答包将向A返 回RST报文而终止连接黑客不能冒充连接成功。2)X发送到A的rlogin端口的伪造数据包的源IP地址是 “假冒”了B的IP地址。3)为何X不能直接将自己的IP地址修改为B的IP地址来 连接到A的rlogin端口?1 IP地址产生冲突; 2 外网X不能这样修改。2.2.5 IP欺骗防范使用较强壮的随机序列号生成器要准确猜测TCP连接的ISN几乎不可能。在边界路由器上进行源地址过滤也就是说对进入本网络的IP包要检查其源IP地址禁止外来的 却使用本地IP的数据包进入这也是大多数路由器的缺省配置。禁止r-类型的服务用SSH(专为远程登录会话和其 他网络服务提供安全性的协议,传输的数据均加密) 代替rlogin这样的不安全的网络服务。在通信时要求加密传输和验证。分割序列号空间。Bellovin提出一种弥补TCP序列号随机性不足的方法就是分割序列号空间每一个连接都将有自己独立的序列号空间。连接之间序列号没有明显的关联。2.3 Sniffer 探测与防范2.3.1 Sniffer原理广播类网络上可以将某一网络适配器(NIC)设为接收相应广播域上传输的所有帧sniffer属第二层次(数据链路层)的攻击。通常是攻击者已经进入了 目标系统如果sniffer运行在路由器或有路由器功能的主机上则可同时监视多个广播域危害更大通常sniffer程序只需看到一个数据包的前200-300个字节的数据 就能发现用户名和口令等信息2.3.2 Sniffer防范设法保证系统不被入侵Sniffer往往是攻击者在侵入系统后使用加密传输传输前加密使收集的信息无法解读采用安全拓扑结构采用交换技术分割广播域。管理员应使各计算机之间的信任关系最小如lan要和internet相 连仅有firewall是不行的要考虑一旦入侵成功后他能得到什么 保证一旦出现sniffer他只对最小范围有效现代网络常常采用交换机作为网络连接设备枢纽交换机不会让网络中每一台主机侦听到其他主机的通讯因此Sniffer技术在这时必须结合网络端口镜像技术进行配合。而衍生的安全技术则通过ARP欺骗来变相达到交换网络中的侦听。网络端口镜像技术:在交换机或路由器上 将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听ARP欺骗:ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。回顾知识交换机、路由器、集线器路由器(Router):是连接因特网中各局域网、广域网的设备。在路由器中记录着路由表它会根据信道的情况自动选择和设定路由以最佳路径 按前后顺序发送信号。发生在网络层。提供了防火墙的服务只转发特定地址的数据包不传送不支持路由协议的数据包传送和求知目标网络数据包的传送从而可以防止广播风暴。交换机(Switch):是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路把传输的信息送到符合要求的相应路由上。发生在数据链路层。集线器(Hub):是指将多条以太网双绞线或光纤集合连接在同一段物理介质下的设备。发生在物理层。2.4 端口扫描技术2.4.1 原理端口扫描是指某些别有用心的人发送一组端口扫描消息试图以此侵入某台计算机并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关);扫描器(工作原理):自动检测远端或本机安全性弱点的程序用户可不留痕迹的发现远端机器各端口的分配及运行的服务及软件版本功能发现一个主机或网络;发现该主机运行何种服务;测试这些服务发现漏洞2.4.2 分类常见的端口扫描类型TCPconnect():入侵者无须任何权限速度快但是其易被发现也易被过滤;TCPSYN:扫描器发送syn数据包如果返回ack/syn同时需要再发送 RST关闭连接过程表示端口处监听状态;如果返回RST则不在侦听不会留下入侵记录但需要有root权限才能建立自己的syn数据包TCPFIN:一般防火墙或过滤器会过掉syn包但FIN可以没有麻烦的通过于是可能存在关闭的端口会用RST来响应FIN,而打开的端口 则不会响应但有的系统不管打开与否都响应回复RST包2.4.3 ping命令Ping的原理通过向目标主机传送一个小数据包目标主机接收并将该包返送回来如果返回的数据包和发送的数据包一致则Ping命令成功。根据返回的信息可以推断TCP/IP参数是否设置正确以及运行是否正常、网络是否通畅等。作用和特点用来判断目标是否活动;最常用、最简单的探测手段;Ping 程序一般是直接实现在系统内核中的 而不是一个用户进程Ping命令可以进行以下操作 :通过将ICMP(Internet控制消息协议)回显数据包发 送到计算机并侦听回显回复数据包来验证与一台或多 台远程计算机的连接。每个发送的数据包最多等待一秒。打印已传输和接收的数据包数。2.5 特洛伊木马2.5.1 木马与病毒的区别载体◼ 一般情况下病毒是依据其能够进行自我复制即传染性的特点而定义的◼ 木马主要是根据它的有效载体或者是其功能来定义的更多情况下是根据其意图来定义的自我复制和传播◼ 木马一般不进行自我复制但具有寄生性如捆绑在合法程序中得到安装、启动木马的权限DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中◼ 木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性 但我们习惯上将其纳入广义病毒也就是说木马也是广义病毒的一个子类意图◼ 木马的最终意图是窃取信息、实施远程监控◼ 木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是 否具有隐蔽性、是否具有非授权性2.5.2 木马的组成木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。2.5.3 木马攻击过程木马通道与远程控制◼ 木马连接建立后控制端端口和服务端木马端口之间将会出现一条通道;◼ 控制端上的控制端程序可借助这条通道与服务端上的木马程序取得联系并通过木马程序对服务端进行远程控制实现的 远程控制就如同本地操作2.5.4 传播方式捆绑欺骗◼ 把木马服务端和某个游戏/软件捆绑成一个文件◼ 通过即时通讯工具、邮件、下载工具等渠道发送出去钓鱼欺骗(Phishing)◼ 构造一个链接或者一个网页◼ 利用社会工程学欺骗方法◼ 欺骗用户输入某些个人隐私信息然后窃取个人隐私漏洞攻击◼ 利用操作系统和应用软件的漏洞进行的攻击网页挂马◼ 网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。◼ 浏览者在打开该页面的时候这段代码被执行 然后下载并运行某木马的服务器端程序进而控制浏览者的主机三、防火墙技术3.1 防火墙基础3.1.1 基本概念防火墙过滤实现一个机构的安全策略创建一个阻塞点记录internet 活动限制网络暴露什么是防火墙?防火墙是设置在用户网络和外界之间的一道屏障防止不可预料的、潜在的破坏侵入用户网络;防火墙在开放和封闭的界面上构造一个保护层属于内部范围的业务依照协议在授权许可下进行;外部对内部网络的访问受到防火墙的限制防火墙功能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止的访问行为记录通过防火墙的信息内容和活动对网络攻击进行检测和告警防火墙分类3.1.2 访问控制机制访问控制机制的演变1、路由器—ACL 访问控制列表2、包过滤防火墙—根据IP五元组判断能否通过3、状态监测防火墙—根据应用判断能否通过4、应用代理防火墙—根据应用判断能否通过5、多检测机制防火墙—根据多个IP包判断整体应用后判断能否通过6、多功能集成网关(下一代防火墙 )—嵌入多种防护功能经过多层过滤后判断能否通过1. 包过滤防火墙数据包过滤(Packet Filtering)技术在网络层对数据包进行选择 选择的依据是系统内设置的过滤逻辑即访问控制表(Access Control ListACL)包过滤防火墙分为静态包过滤、动态包过滤防火墙包检查器并不是检查数据包的所有内容只检查报头(IP、TCP头部)优点◆逻辑简单 ◆有较强的透明性 ◆网络性能的影响较小 ◆开销较小设备便宜缺点◆无法对数据包的内容进行过滤审核◆在传输层或则是网络层上检测数据不 能在更高一层检测数据比如能禁止和通过一个向内的HTTP请求但不能判断这个 请求是非法的还是合法的。◆防止欺骗攻击很难特别是容易受到IP 欺骗攻击(允许来自网络外部的流量包过 滤防火墙只能检测数据包中的源IP无法 确定是否是真正的源地址)◆所有可能用到的端口(尤其是1024的端 口)都必需放开,增加了被攻击的可能性◆在复杂的网络中很难管理◆通常来说包过滤技术是防火墙技术中最低的。2. 状态检测防火墙状态检测防火墙由动态包过滤防火墙演变而来工作在传输层使用各种状态表(state tables)来追踪活跃的TCP会话它能够根据连接状态信息动态地建 立和维持一个连接状态表并且把这个连接状态表用于后续报文的处理。状态检测技术一般的检查点有:检查数据包是否是一个已经建立并且正在使用的通信流的一部分。如果数据包和连接表的各项都不匹配那么防火墙就会检测数据包是否与它所配置的规则集相匹配。在检测完毕后防火墙会根据路由转发数据包并且会在连接表中 为此次对话创建或者更新一个连接项防火墙通常对TCP包中被设置的FIN位进行检测、通过会话超时设置决定何时从连接表中删除某连接项。优点◆更高的安全性◆高效性◆应用范围广缺点◆不能对应用层数据进行控制◆不能产生高层日志◆配置复杂3. 应用代理防火墙应用代理(Application Proxy)也称为应用层网关(Application Gateway)工作在应用层其核心是代理进程每一种应用对应一个代理进程实现监视和控制应用层通信流自适应代理防火墙:在每个连接通信的开始仍然需要在应用层接受检测 而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理优点◆可以检查应用层、传输层和网络层的协议特征对数据包的检测能力比较强◆代理完全控制会话可以提供很详细的日志和安全审计功能◆可以隐藏内部网的IP地址保护内部主机免受外部主机的进攻◆可以集成认证机制缺点◆最大缺点是要求用户改变自己的行为或者在访问代理服务的 每个系统上安装特殊的软件◆分析困难实现困难每一种应用服务必须设计一个代理软件模块进行安全控制并 且应用升级时一半代理服务程序也要升级◆影响用户网络速度(命令解释)◆不能防止SYN攻击4. 复合型防火墙复合型防火墙是指综合了状态检测与应用代理的新一代的防火墙对整个报文进行访问控制和处理具体检测内容由策略决定如果策略是包过滤策略则对TCP、IP报头进行检测如果策略是应用代理策略则对用户数据进行检测优点◆可以检查整个数据包的内容◆根据需要建立连接状态表◆网络层保护强◆应用层控制细缺点◆会话控制较弱5. 核检测防火墙对于简单包过滤防火墙、状态检测包过滤防火墙和应用代理防火墙他们只是检查单个报文所以只检查其中的一个报文但是他们都不能把这些报文组合起来形成一个会话来进行处理。对于核检测防火墙它可以将不同报文在防火墙内部 模拟成应用层客户端或服务器端对整个报文进行重组合成一个会话来进行理解进行访问控制。可以提供更细的访问控制同时能生产访问日志。可以看到它的上下报文是相关的它具备包过滤和应用代理防 墙的全部特点还增加了对会话的保护能力。优点◆网络层保护强◆应用层保护强◆会话层保护强◆前后报文有联系可以关联进行出来缺点◆不能防病毒传播◆不能防止一些未知的入侵或攻击小结◼包过滤防火墙:包过滤防火墙不检查数据区包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱。◼应用代理防火墙:不检查IP、TCP报头不建立连接状态表网络层保护比较弱影响用户的网速。◼状态检测防火墙:不检查数据区建立连接状态表前后报文相关应用层控制很弱。◼复合型防火墙:可以检查整个数据包内容根据需要建立连接状态表网络层保护强应用层控制细会话控制较弱◼核检测防火墙:可以检查整个数据包内容网络层保护强 应用层保护强前后报文有联系。3.2 防火墙设计原则及优缺点3.2.1 设计原则过滤不安全服务的原则◼ 防火墙应封锁所有信息流然后对希望提供的安全服务逐项开放◼ 这是一种非常有效实用的方法可以造成一种十分安全的环境因为只有经过仔细挑选的服务才能允许用户使用屏蔽非法用户的原则◼ 防火墙可先允许所有的用户和站点对内部网络的访问然后网络管理员按照 IP 地址对未授权的用户或不信任的站点进行逐项屏蔽◼ 这种方法构成了一种更为灵活的应用环境网络管理员可以针对不同的服务面向不同的用户开放也就是能自由地设置各个用户的不同访问权限3.2.2 优缺点优点:◼ 允许管理员定义一个中心扼制点防止非法用户进入内部网络◼ 保护网络中脆弱的服务◼ 用户可方便的监视网络的安全并产生报警◼ 集中安全性◼ 增强保密性◼ 是审计和记录网络流量的一个最佳地方缺点:◼ 限制有用的服务◼ 不能有效防止内部的攻击◼ Internet防火墙不能防止通过防火墙以外的攻击◼ 不能完全防止传送已感染病毒的文件和软件◼ 无法防范数据驱动型攻击◼ 不能防备新的网络安全问题3.3 防火墙体系结构屏蔽主机网关 Screened Host Gateway包过滤路由器只放行到堡垒主机的数据包➢ 一个分组过滤路由器连接外部网络➢ 一个堡垒主机安装在 内部网络上;➢ 通常在路由器上设立过滤规则并使这个堡垒主机成为从外部网络唯一可直接到达的主机这确保了内部网络不受未被授权 的外部用户的攻击屏蔽子网Screened Subnet Firewall◼ 在内部网络和外部网络之间增加一个子网◼ 屏蔽子网区域称为边界网络Perimeter Network也称为非军事区 DMZ(De-Militarized Zone)入侵者攻击内部网络至少要突破两个路由器:内部路由器◼ 负责管理DMZ到内部网◼ 仅接收来自堡垒主机的数据包◼ 完成防火墙的大部分工作外部路由器◼ 防范通常的外部攻击络的访问◼ 管理Internet到DMZ的访问◼ 只允许外部系统访问堡垒主机堡垒主机◼ 安全防护、运行各种代理服务3.4 硬件防火墙的性能指标1. 吞吐量1、定义:在不丢包的情况下能够达到的最大速率2、衡量标准:吞吐量作为衡量防火墙性能的重要指标之一吞吐量小就会造成网络新的瓶颈以致影响到整个网络的性能2. 延时1、定义:入口输入帧最后一个比特到达至出口处 输出帧的第一个比特输出所用的时间间隔2、衡量标准:防火墙的延时能够体现出它处理数据的速度3. 丢包率1、定义:在连续负载的情况下防火墙设备由于资源不足应转发但却未转发的帧百分比2、衡量标准:防火墙的丢包率对其稳定性、可靠性有很大的 影响4. 背靠背1、定义:从空闲状态开始以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧当出现第一个帧丢失时发送的帧数2、衡量标准:背对背包的测试结果能体现出被测防火墙的缓冲容量 网络上经常有一些应用会产生大量的突发数据包(例如:NFS、备份、 路由更新等)而且这样的数据包的丢失可能会产生更多的数据包强大的缓冲能力可以减小这种突发情况对网络造成的影响5. 最大并发连接数最大并发连接数:指穿越防火墙的主机之间与防火墙之间能同时建立的最大连接数• 衡量标准:并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求响应的能力6. 每秒新建连接数每秒新建连接数则指防火墙由开始建立连接直到达到最大连接数的 速率指标也是防火墙的性能指标之一3.4 分布式防火墙边界防火墙的固有欠缺结构上受限制企业网物理边界日趋模糊内部不够安全80%的攻击和越权访问来自于内部效率不高边界防火墙把检查机制集中在网络边界的单点造成了网络访问的瓶颈问题(大容量、高性能、可扩展、安全策略的复杂性)单点故障边界防火墙本身也存在着单点故障危险 一旦出现问题或被攻克整个内部网络将 会完全暴露在外部攻击者面前3.4.1 定义从狭义来讲分布式防火墙产品是指那些驻留在网络主机中如服务器或桌面机并对主机系统自身提供安全防护的软件产品从广义来讲分布式防火墙是一种新的防火墙体系 结构。◼ 它们包含如下产品:网络防火墙、主机防火墙、中心管理等网络防火墙用于内部网与外部网之间(即传统的边界防火墙)和内部网子网之间的防护产品主机防火墙对于网络中的服务器和桌面机进行防护这些主机的物理位置可能在内部网中也可能在内部网外如托管服务器或移动办公的便携机中心管理中心管理是分布式防火墙系统的核心和重要特征之一◼ 总体安全策略的策划、管理、分发及日志的汇总解决 了由分布技术而带来的管理问题。◼ 边界防火墙只是网络中的单一设备管理是局部的。对分布式防火墙来说每个防火墙作为安全监测机制可以根据安全性的不同要求布置在网络中的任何需要的位置上但总体安全策略又是统一策划和管理的安全策略的分发及日志的汇总都是中心管理应具备的功能。优点增加系统安全性(1)增加了针对主机的入侵监测和防护功能;(2)加强了对来自内部攻击的防范;(3)可以实施全方位的安全策略;(4)提供了多层次立体的防范体系。保证系统性能消除了结构性瓶颈问题提高了系统性能。系统的可扩展性随系统扩充提供了安全防护无限扩充的能力。四、密码学基础4.1 定义密码技术通过信息的变换或编码将机密消息变换 成乱码型文字使非指定的接收者不能由其截获的 乱码中得到任何有意义的信息并且不能伪造任何 乱码型的信息研究密码技术的学科称为密码学(cryptology) 它包 含两个分支:◼ 密码编码学(cryptography) -对信息进行编码实现信息隐 蔽◼ 密码分析学(cryptanalysis) -研究分析如何破译密码术语➢未加密的消息(Message)被称为明文(PlainText);(它可能是比特流也可 能是文本文件、位图、数字化的语音流或数字化的视频图像);➢被加密的消息称为密文(Cipher);➢用某种方法伪装消息以隐藏它的内容的过程称为加密(Encryption);➢把密文转变为明文的过程称为解密(Decryption);➢密钥:参与变换的参数,用 K(Key)表示;➢加密算法:对明文进行加密时采用的一组规则;➢解密算法:对密文解密时采用的一组规则;➢使消息保密的技术和科学叫做密码编码学(Cryptography);➢破译密文的科学和技术是密码分析学(Cryptanalysis);4.2 对称和非对称加密◼ 对称密钥算法:K1 与 K2 相同◼ 非对称密钥算法:K1 和 K2 可以相同也可以不同对比单钥密码体制中收发双方使用同一密钥系統的保密性主要取决于密钥的安全性。禾統的密钥管理、传输和分配是一个重要且十分复杂的问题。单钥的优点是保密强度高运算速度快缺点是密钥数目大密钥分配困难天法实现不可否认服务。公钥容码体制中加密密钥K是公开的解密密钥K必须保密。公钥体制的密钥产生、分配和管理相对简单尤适用于计算机网络系统中。公钥体制的特点实现信息公开加密实现不可否认服务但缺点是加解密运算复杂速度较慢。两类密码攻击法穷举法分析破译法常见密码分析攻击◼ a. 唯密文攻击◼ b. 已知明文攻击◼ c. 选择明文攻击◼ d. 自适应选择明文攻击◼ e. 选择密文攻击唯密文攻击密码分析者有一些用同一加密算法加密的消息的 密文他们的任务是恢复尽可能多的明文或者最好是能推算出加密消息的密钥以便用密钥解出其他被加密的消息。已知明文攻击密码分析者得到一些消息的密文和相应的明文后 用加密信息推出用来加密的密钥或导出一个算法 此算法可以对用同一密钥加密的任何新的消息进 行解密选择明文攻击◼ 如果分析者能够用某种方式进入源系统并向系统中插入分析者自己选定的明文◼ 这时密码分析者能选择特定的明文块去加密 并比较明文和对应的密文信息从中可以发现更 多与密钥有关的信息。这往往比已知明文攻击更 有效。此时分析者的任务是推出用来加密消息 的密钥或导出一个算法该算法可以对用同一密 钥加密的任何新的消息进行解密。自适应选择明文攻击◼ 这是选择明文攻击的特殊情况。◼ 密码分析者不仅能选择被加密的明文而且也能 基于以前加密的结果修正这个选择。◼ 在选择明文攻击中密码分析者可以选择一大块 待加密的明文。而在自适应选择密文攻击中密码分析者可选取较小的明文块然后再基于第一块的结果选择另一明文块以此类推选择密文攻击◼ 密码分析者能选择不同的被加密的密文并可得到相应的明文。密码分析者的任务是推出密钥。例如用一定的手段在通信过程中伪造消息替换真实消息然后窃取通信另 一方获得并解密的结果有可能正好发现随手伪造的密文解密结果是有意义的已知:C1P1Dk(C1)C2P2Dk(C2)··· Ci PiDk(Ci)推导出: K◼ 用于公开密钥体制◼ 选择密文攻击有时也可有效地用于对称算法(有时选择明 文攻击和选择密文攻击一起称作选择文本攻击)数字签名4.3 加密算法经典密码替代密码: 单表替换密码凯撒密码、同音替代密码、多字母组替密码、多表替换密码Vigenere置换密码: 完全倒置法、分组倒置法、列换位法、矩阵换位法、双换位密码对称加密算法 DES 、AES非对称公钥算法 RSA 、背包密码、McEliece密码、Rabin、 椭圆 曲线、EIGamal D_H学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。1、知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。2、 部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解3、适合学习的人群‌一、基础适配人群‌‌零基础转型者‌适合计算机零基础但愿意系统学习的人群资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌‌开发/运维人员‌具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能实现职业方向拓展‌或者转行就业‌应届毕业生‌计算机相关专业学生可通过资料构建完整的网络安全知识体系缩短企业用人适应期‌‌二、能力提升适配‌1、‌技术爱好者‌适合对攻防技术有强烈兴趣希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌2、安全从业者‌帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌3、‌合规需求者‌包含等保规范、安全策略制定等内容适合需要应对合规审计的企业人员‌因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】这些东西我都可以免费分享给大家需要的可以点这里自取:网安入门到进阶资源