网络安全的两个威胁:
用户入侵
包括,利用软件系统漏洞进行未授权登录,或者授权用户非法获取更高级别权限;软件入侵:
包括,网络传播病毒、蠕虫和特洛伊木马,拒绝服务攻击;
一、防火墙
一种访问控制技术,通过严格控制进出网络边界的分组,禁止任何不必要的通信,从而减少潜在入侵的发生,尽可能降低这类安全威胁所带来的安全风险。
1. 出现原因
降低外部潜在攻击者入侵的可能性。
2. 介绍
防火墙是一种特殊的路由器,安装在一个网店和网络的其余部分之间,目的是实施网络控制策略。
1)策略制定:由防火墙的单位自行制定,以适合本单位需要;
2)防火墙的位置
位于互联网和内部网络之间,防火墙内部的网络称为 “可信的网络”,防火墙外面的网络称为 “不可信的网络”;
防火墙的位置
3. 防火墙技术的分类
1)分组过滤路由器
一种具有分组过滤功能的路由器,它根据过滤规则对进出内部挽留过的分组海之星转发或者丢弃操作(过滤)。
- 依据:源/目的 IP地址、源/目的端口、协议类型(TCP,UDP);
- 优点:简单、搞笑、对用户透明;
- 缺点:不支持针对某个用户,某个特定应用进行某个特定操作的限制;不支持应用层用户鉴别;
- 解决办法:应用网关;
2)应用网关(代理服务器)
是一个代理服务器,在应用层扮演中继的角色;
- 作用:可实现基于应用层数据的过滤和高层用户鉴别;
- 属性:所有进出网络的应用程序报文都必须通过应用网关,
- 操作过程:
① 某应用客户进程向服务器发送一份请求报文,到达应用网关;
② 应用网关在应用层打开该报文,查看请求是否合法;(依据:应用层用户标识 ID 或 其他应用层信息)
③ 请求合法,应用网关以客户进程的身份将请求报文转发给原始服务器。(不合法,丢弃)
④ 服务器收到请求后,反馈给应用网关;
⑤ 应用网关再反馈给服务器;
二、入侵检测系统 (IDS)
1. 出现原因
防火墙并不能隔绝所有的入侵,为了进一步保证网络的安全;(第二道防线)
2. 作用
在入侵已经开始,但还没有造成更大危害之前,及时检测到入侵,以便尽快阻止入侵,把危害降低到最小。
3. 原理
1)IDS 对进入网络的分组执行深度分组检查;
2)观察到可疑分组时,向网络管理员发出告警,或执行阻断操作;(误报率较高,通常不自动阻断)
4. 应用
可用于检测多种网路攻击:端口映射、端口扫描、DOS攻击、蠕虫和病毒、系统漏洞攻击;
5. 分类
1)基于特征
- 原理:维护一个所有已知攻击标志性特征的数据库。当发现该特征,即认定是与该特征相匹配的攻击;
- 用法:由网络安全专家生成,机构的网络管理员定制并将其加入到数据库中;
- 缺点:只能检测已知攻击,无法应对未知攻击;
- 挑战:警告的门限过高,可能导致漏掉部分攻击;门限过低,警告太多,管理员无法处理,可能忽略部分攻击;
2)基于异常
- 原理:通过观察正常运行的网络流量,学习正常流量的统计特征和规律,当检测到网络中流量的某种统计规律不符合正常的情况,则认为可能发生了入侵行为;
- 举例:ICMP ping 报文突然大量增加;
- 现状:难以区分正常和异常的流量,更多是基于特征的检测;
