写在前面
网络工程终于讲完了。这星期到了网络安全技术部分。
网络安全实训-网络安全技术
网络安全概述
信息安全:所有保障计算机硬件、系统、软件、数据不因有意或无意的行为导致的服务中断、数据损坏或丢失等安全事件的保障技术
网络安全:基于计算机网络的信息安全
网络不安全
互联网天然的开放性
TCP/IP协议的天然缺陷
缺少保密性:数据窃听
缺少身份源验证机制:身份伪造
缺少数据完整性校验机制:数据篡改
人为原因
常见攻击方式
攻击类型
被动攻击:数据窃听
主动攻击:身份伪造、数据篡改、中断攻击
物理层攻击方式:物理线路损坏、物理线路侦听
数据链路层攻击方式
ARP欺骗攻击:攻击者伪装身份来欺骗发起ARP请求的查询者,从而导致查询这发送给目标的数据都会发送给目击者。
网络层的攻击方式:IP Smurf攻击
传输层攻击方式:TCY SYN Flood攻击
应用层攻击
针对数据库攻击
针对操作系统攻击
针对Web服务攻击
网络安全五要素
数据保密性:数据加密
数据完整性:数字签名
数据源可验证性:数字签名
数据可用性:数据备份容灾、攻击防护
数据可控性:控制和审计用户的上网行为
解决方案:防火墙;上网行为管理;VPN
防火墙概述
定义:部署在网络边界上,防御边界一侧对另一侧攻击行为的设备
技术分类
包过滤防火墙
对数据包的五元组(源IP、目的IP、源端口、目的端口、协议类型)逐包检查,判断是否符合过滤规则,丢弃不符合的数据包
逐包检查降低网络传输速度
只检查数据包的头部信息,无法发现数据内容中的安全风险和隐患
应用代理防火墙
对内网服务器提供代理服务,来承受和防护外网用户对内网服务器的攻击
检查数据应用层内容,可以发现数据内容中的安全风险和隐患
状态检测防火墙
对一组五元组相同的数据流只检查首包的五元组,后续数据包依照首包的处理方式进行处理
只检查首包,避免降低网络传输速度
各类专用安全设备
WAF
IDS/IPS
防DDos
网关防病毒
UTM
统一威胁网关,将传统防火墙功能、WAF、IDS/IPS、防DDoS,网关防病毒等专用安全功能全部集成到一个设备中
下一代防火墙(NGFW)
将传统防火墙功能、WAF、IDS/IPS、防DDoS网关防病毒集成到一个设备中
更有效的功能集成
更强大的应用层处理能力
防火墙初始化配置
1.创建区域,把接口加入相应区域
区域类型
Trust区域:一般将连接内网的接口加入该区域
Untrust区域:一般将连接外网的接口加入该区域
DMZ区域:一般将连接服务器的接口加入该区域
自主创建和划分区域
配置命令
security-zone name 区域名称
进入某个区域(若区域不存在则创建)
import interface 接口名称
将接口加入该区域
2.创建区域间安全策略,放通相关流量
acl advanced 3000
创建3000号ACL
rule permit ip
允许所有流量
zone-pair security source any destination any
配置任意两个区域间的访问控制策略
packet-filter 3000
调用ACL3000号
3.为接口配置IP地址
4.配置缺省路由,下一跳指向互联网
5.配置NAPT,使得内网主机可以上网
6.如果内网有三层环境,还需要配置到达内网网段的路由
部署模式
三层部署模式
防火墙的所有接口都工作在第三层模式,防火墙具备路由器的IP地址、路由转发等功能
二层部署模式
防火墙的所有接口都工作在二层模式,防火墙具备交换机的数据帧转发功能。
