devbox
菜鸟追梦旅行
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

网络安全实训Day8

作者:菜鸟追梦旅行 | 2024-04-28 15:09:16

网络安全实训Day8

写在前面

网络工程终于讲完了。这星期到了网络安全技术部分。

  • 网络安全实训-网络安全技术

  • 网络安全概述

    • 信息安全:所有保障计算机硬件、系统、软件、数据不因有意或无意的行为导致的服务中断、数据损坏或丢失等安全事件的保障技术

    • 网络安全:基于计算机网络的信息安全

    • 网络不安全

      • 互联网天然的开放性

      • TCP/IP协议的天然缺陷

        • 缺少保密性:数据窃听

        • 缺少身份源验证机制:身份伪造

        • 缺少数据完整性校验机制:数据篡改

      • 人为原因

    • 常见攻击方式

      • 攻击类型

        • 被动攻击:数据窃听

        • 主动攻击:身份伪造、数据篡改、中断攻击

      • 物理层攻击方式:物理线路损坏、物理线路侦听

      • 数据链路层攻击方式

        • ARP欺骗攻击:攻击者伪装身份来欺骗发起ARP请求的查询者,从而导致查询这发送给目标的数据都会发送给目击者。

      • 网络层的攻击方式:IP Smurf攻击

      • 传输层攻击方式:TCY SYN Flood攻击

      • 应用层攻击

        • 针对数据库攻击

        • 针对操作系统攻击

        • 针对Web服务攻击

    • 网络安全五要素

      • 数据保密性:数据加密

      • 数据完整性:数字签名

      • 数据源可验证性:数字签名

      • 数据可用性:数据备份容灾、攻击防护

      • 数据可控性:控制和审计用户的上网行为

    • 解决方案:防火墙;上网行为管理;VPN

    • 防火墙概述

      • 定义:部署在网络边界上,防御边界一侧对另一侧攻击行为的设备

      • 技术分类

        • 包过滤防火墙

          • 对数据包的五元组(源IP、目的IP、源端口、目的端口、协议类型)逐包检查,判断是否符合过滤规则,丢弃不符合的数据包

          • 逐包检查降低网络传输速度

          • 只检查数据包的头部信息,无法发现数据内容中的安全风险和隐患

        • 应用代理防火墙

          • 对内网服务器提供代理服务,来承受和防护外网用户对内网服务器的攻击

          • 检查数据应用层内容,可以发现数据内容中的安全风险和隐患

        • 状态检测防火墙

          • 对一组五元组相同的数据流只检查首包的五元组,后续数据包依照首包的处理方式进行处理

          • 只检查首包,避免降低网络传输速度

        • 各类专用安全设备

          • WAF

          • IDS/IPS

          • 防DDos

          • 网关防病毒

        • UTM

          • 统一威胁网关,将传统防火墙功能、WAF、IDS/IPS、防DDoS,网关防病毒等专用安全功能全部集成到一个设备中

        • 下一代防火墙(NGFW)

          • 将传统防火墙功能、WAF、IDS/IPS、防DDoS网关防病毒集成到一个设备中

          • 更有效的功能集成

          • 更强大的应用层处理能力

      • 防火墙初始化配置

        • 1.创建区域,把接口加入相应区域

          • 区域类型

            • Trust区域:一般将连接内网的接口加入该区域

            • Untrust区域:一般将连接外网的接口加入该区域

            • DMZ区域:一般将连接服务器的接口加入该区域

            • 自主创建和划分区域

          • 配置命令

            • security-zone name 区域名称

              • 进入某个区域(若区域不存在则创建)

            • import interface 接口名称

              • 将接口加入该区域

        • 2.创建区域间安全策略,放通相关流量

          • acl advanced 3000

            • 创建3000号ACL

          • rule permit ip

            • 允许所有流量

          • zone-pair security source any destination any

            • 配置任意两个区域间的访问控制策略

          • packet-filter 3000

            • 调用ACL3000号

        • 3.为接口配置IP地址

        • 4.配置缺省路由,下一跳指向互联网

        • 5.配置NAPT,使得内网主机可以上网

        • 6.如果内网有三层环境,还需要配置到达内网网段的路由

      • 部署模式

        • 三层部署模式

          • 防火墙的所有接口都工作在第三层模式,防火墙具备路由器的IP地址、路由转发等功能

        • 二层部署模式

          • 防火墙的所有接口都工作在二层模式,防火墙具备交换机的数据帧转发功能。

声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop】
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号