以下图表显示参与IPsec通信的两名航道之间的SA例。

Security Administrative Databases

在IPsec,有两个数据库控制IPsec数据表的处理。 一个是安全协会数据库,另一个是安全政策数据库。 使用IPsec的每个通信终端点都应具有逻辑上分离的SAD和SPD。

Security Association Database

在IPsec通信中,终点站在安全协会数据库中拥有南非州。 SAD数据库的每个SA条目包含9个参数,见下表:

SAD的所有SA条目都按照三个SA参数编制索引:Destination IP Address, Security Protocol Identifier和SPI。

Security Popcy Database

SPD用于处理离去包装。 它有助于决定应当使用SAD条目。 如果没有SAD入境,SPD就被用来制造新的入境点。

任何特别民主党入境都将包含:

活跃的SA站在SAD。

选择领域——从上层进入的包裹中选取的田地,用于决定知识产权的适用。 挑选人员可以包括源头和目的地地址、相关港口号码、应用识别器、程序等。

即将推出的IP数据表从SPD输入到特定SA,以获得编码参数。 登出的IPsec数据表直接使用SPI/DEST IP/《议定书》三倍,并从中提取相关的SAD条目。

住房和财产局还可以规定绕过IPsec的交通。 如果所决定的行动是启动SA程序,那么SPD可被视为一种包装过滤器。

Summary

IPsec是一套确保网络连接的议定书。 这是一种复杂的机制,因为它不是简单地界定具体的加密算法和认证功能,而是提供了一个框架,可以实施两种通信目的商定的任何内容。

认证主任(AH)和保有权安全有效载荷(ESP)是IPsec使用的两项主要通信协议。 虽然AH只有认证,但ESP可以加密和认证通过链接传送的数据。

运输模式在两个终点之间提供了安全的联系,而没有改变IP的头盔。 隧道 模式概括了整个有效载荷IP包装。 它增加了新的IP负责人。 后者被用于形成一种传统信使,因为它在不信任的互联网上提供了虚拟的安全通道。

建立IPsec联系涉及各种加密选择。 认证通常建立在诸如MD5或SHA-1等加密带上。 加密算法为DES、3DES、Blowfish和AES。 其他算法也是可能的。

传递终点都需要了解洗刷或加密中使用的秘密价值。 手册的关键要求手工输入这两个目的的秘密价值,这些数值一般是由一些离班机制所传达的,而国际电算中心(因特网钥匙交换)是在线进行这一工作的先进机制。

Network Security – Data Link Layer

我们已经看到,互联网的迅速增长引起了对网络安全的重大关切。 制定了几种方法,以保障网络的应用、运输或网络层面的安全。

很多组织将安全措施纳入从应用层到IP层的更高层次。 然而,一个通常无人居住的地区是数据链接层的硬化。 这可为各种攻击和妥协打开网络。

在这一章中,我们将讨论数据链接层的安全问题和对付这些问题的方法。 我们的讨论将侧重于“太网”网络。

Security Concerns in Data Link Layer

外界网络的数据链接极易受到几次袭击。 最常见的袭击是:

ARP Spoofing

解决议定书(ARP)是用于将IP地址绘制成可在当地外联网识别的物理机器地址的议定书。 当一个接收机需要找到一个媒体出入控制地址时,它播放了ARP的要求。 拥有IP地址的另一个东道方寄发了ARP的答复信息及其实际地址。

每个网络接收机都设有一个表格,称为“ARP切身”。 该表载有该网络其他东道方的IP地址和相关的MAC地址。

由于ARP是一个无国籍议定书,每当东道国收到另一个东道国的ARP答复时,即使没有发出ARP的请求,它承认ARP入境并更新ARP藏匿点。 修改目标东道方的ARP藏匿处,改名为ARP中毒或ARP偷渡。

RP的偷窃可允许攻击者将泥.成合法的东道国,然后拦截网络的数据框架,加以修改或阻止。 袭击往往被用来发动其他攻击,如人对手、劫持会议或拒绝服务。

MAC Flooding

非正式网络的每个开关都有一张内容可承受的记忆表,储存MAC地址、开关港口号码和其他信息。 该表有固定规模。 在MAC洪水袭击中,袭击者用伪造的ARP包裹与MAC的地址交接,直到海安会的桌上满为止。

南极海委会一旦淹没,便转而采用类似中枢的方式,并开始广播没有海委会进入的交通。 攻击者在同一网络上,现在只接收一个特定东道国。

Port Steapng

过度网关有能力向港口学习并约束MAC地址。 当开关从有MAC源地址的港口接收交通时,它约束港口号码和MAC地址。

港口偷窃袭击利用了开关者的这种能力。 袭击者洪水用伪造的ARP框架与目标东道方的MAC地址作为源头。 交换机冷静地相信目标东道方是港口,实际上袭击者与港口有联系。

现在,针对目标东道国的所有数据框架都发送给攻击者的开关港,而不是目标东道国。 因此,袭击者现在只得到目标东道国的所有实际目标。

DHCP Attacks

动态的《东道国保密议定书》并不是一个数据链接议定书,但解决人权和人民党袭击事件的办法也有助于挫败第2次袭击。

DHCP用于在一定时期内积极将IP地址分配给计算机。 有可能攻击人权方案服务器,造成网络服务被拒或冒用人权方案服务器。 在一次苏人解的饥民袭击中,袭击者要求所有现有的人运地址。 这导致拒绝向网络的合法东道国提供服务。

在DHCP策划的袭击中,袭击者可以部署一个手无寸铁的DHCP服务器,向客户提供地址。 在此,袭击者可以向东道机器提供一条通往人权和人民党的应急通道。 东道国的数据框架现在被引导到路边,袭击者可以拦截所有包裹,对实际的网关做出答复,或将其 drop走。

Other Attacks

除了上述民众攻击之外,还有其他攻击,如2台广播、登机、MAC克隆。

在广播攻击中,袭击者向网络的东道方寄发了ARP的答复。 这些ARP的答复将MAC的地址定在广播地址的缺省门上。 这使得所有外来交通都能够进行广播,使袭击者能够在同一外联网上播音。 这种攻击也影响到网络的能力。

在以2为基地的DoS袭击中,袭击者在网络中更新了ARP藏匿处,没有MAC地址。 该网络中每个网络接口卡的MAC地址应具有全球独特性。 然而,通过允许使用MAC克隆技术,可以很容易地改变这种做法。 袭击者通过DoS攻击使袭击对象的东道国丧失能力,然后使用目标东道国的IP和MAC地址。

袭击者实施袭击,以发动更高层次的袭击,以危害网络上的信息安全。 他可以拦截所有框架,并读到框架数据。 攻击者可以充当中风的人,修改数据,或简单地放弃导致多功能的基线。 他可以劫持目标主机和其他机器之间的本届会议,并完全传达错误的信息。

Securing Ethernet LANs

我们在前一节讨论了对数据链接层的一些广为人知的攻击。 为了减轻这些类型的攻击,已经制定了几种方法。 一些重要的方法是:

Port Security

它是一层2级安全特征,可在电离层交换器上查阅。 它涉及将一个实际港口连接到一个具体MAC地址/es。 任何人都能够通过将东道国与现有交换港口之一连接起来,进入一个不安全的网络。 但是,港口安全可以确保二层通道的安全。

违约时,港口安全将现行海运公会的地址限为一。 然而,允许不止一个经授权的东道国通过配置连接该港口。 允许的每个接口的MAC地址可以固定配置。 一种方便的替代办法是,在港口达到最大限额之前,能够让“标准”的海运局处理将动态地从开关港学到MAC地址的学习问题。

为确保安全,对港口或港口超载地址上具体MAC地址/地址变化的反应可以多种不同的方式加以控制。 港口可以配置,以关闭或阻挡超过规定限额的排雷中心地址。 建议的最佳做法是关闭港口。 港口安全防止了MAC洪水和克隆攻击。

DHCP Snooping

我们已经看到,人权促进会的偷猎是一种攻击,袭击者们在网络上听听了人权促进会的要求,并在人权促进会的授权反应到东道国之前用假的人权促进会反应来回答。

防止此类攻击的“DHCP”。 DHCP 选择是一种交换特征。 可以配置开关,以确定哪些开关港口可以响应DHCP的要求。 港口被确认为可信赖或不信任的港口。

只有与特许的DHCP服务器连接的港口被配置为“委托”,并允许发送所有类型的DHCP信息。 其余所有开关的港口都是不信任的,只能寄送人权促进委员会的要求。 如果在无人信任的港口看到人权与和平中心的反应,该港口就会关闭。

Preventing ARP Spoofing

港口安全的方法可以防止水银洪水和克隆攻击。 然而,这并不妨碍ARP的偷渡。 港口安全验证了基准头上的MAC源地址,但ARP框架在数据有效载荷中增加了一个MAC源领域,而东道方利用这个领域为其ARP藏匿点。 防止ARP偷渡的一些方法如下。

建议采取的一项行动是,在东道ARP表格中采用静态的ARP条目。 法定的ARP条目是ARP藏匿处的永久条目。 然而,这种方法不切实际。 而且,这还不允许使用某些动态的东道方保密议定书,因为第2层网络的所有东道方都需要使用静态的IP。

入侵探测系统 防卫方法是利用安装的入侵探测系统,以发现高数量的ARP交通。 然而,国际发展学会很容易报告虚假的正面。

。 这种防止ARP偷猎的方法类似于DHCP的绝食。 它使用有信誉和不信任的港口。 只有在信任的港口,才允许向转口公司作出答复。 如果ARP的答复涉及一个未信任港口的开关,则ARP的答复包件内容与DHCP为核查其准确性而设的具有约束力的表格相比较。 如果ARP的答复无效,ARP的答复就撤回,港口残疾。

Securing Spanning Tree Protocol

《 Spa树议定书》是2层连接管理议定书。 STP的主要目的是确保在网络有多余的道路时不出现数据流 lo。 一般来说,建造多余的道路是为了为网络提供可靠性。 但是,它们可以形成致命的 lo,可能导致DoS在网络中发动攻击。

Spanning Tree Protocol

为了提供所希望的道路 red余,以及避免出现 lo状态,STP界定了一个横跨网络所有开关的树木。 STP把某些多余的数据连接到一个被封锁的国家,并在一个前沿国家保持其他联系。

如果前线的连接中断,STP重新配置了网络,并通过启动适当的备用道路重新界定了数据途径。 STP在网络部署的桥梁和开关上。 所有开关者都交换了信息,用于进行根本开关选择和随后的网络配置。 礼宾数据单位(BPDU)掌握这一信息。 通过交换BPDU,网络的所有开关者都选择了成为网络协调中心的根桥/itch,控制被封锁和转口的链接。

Attacks on STP

战胜根桥。 它是在层次上最具破坏性的攻击类型之一。 2. 违约时,一个局域网开关从相邻的开关处发送的任何BPDU,其面值不变。 顺便说一句,STP是信任的、无国籍的,没有提供任何健全的认证机制。

一旦发生根本攻击,袭击的开关每2个都派一名BPDU,其优先程度与目前的根桥相同,但MAC地址在数量上略低,以确保它在深层选举过程中取得胜利。 攻击者开关可以发动DoS攻击,要么不承认造成BPDU洪水的其他开关,要么把开关转向超处理过程的BPDUS,一方面声称是扎根,一度重新接手。

DoS 利用Flood of Configuration BPDU。 攻击开关并不试图把它作为根基。 相反,它每秒就会产生大量的BPDU,导致CPU在开关上的使用率很高。

Preventing Attacks on STP

幸运的是,彻底接管袭击的反措施简单明了。 有两个特点有助于打败根本的接管袭击。

。 如果“可保的”港口接收高于现有根桥运输的BPDU,那么该港口就被移至根本不结盟状态,而且该港口没有数据传输。 根基警卫最适于连接不希望作为根桥接的开关的港口。

BPDU-Guard——BPDU卫兵用于保护网络免受在出入港口接收BPDUs可能产生的问题。 这些港口不应接收这些港口。 BPDU卫兵最好部署在使用设施的港口,以防止攻击者插入流ogue。

Securing Virtual LAN

在地方网络中,虚拟地方网络(VLANs)有时被组合为安全措施,以限制易受2级攻击的东道方数目。 VLANs建立了网络边界,因此广播(ARP、DHCP)交通无法穿越。

Virtual Local Area Network

可以配置一个网络,利用转换/支持局域网能力,在单一有形局域网基础设施上界定多个局域网。

通用的VLAN是一种基于港口的VLAN。 在这一局域网结构中,使用转换管理软件将开关港口分成局域网。 因此,单一物理开关可以作为多个虚拟开关。

就业局提供交通隔离。 它把大型广播层2网络分成较小的逻辑层2网络,从而缩小了ARP/DHCP Spoofing等攻击的范围。 只有一个VLAN的数据框架只能从属于同一局域网的港口内部转移。 两个局域网之间的框架通过路线进行。

如上文图表所示,VLAN一般跨越多个开关。 干地港口之间的联系包含所有由多个物理开关界定的局域网。 因此,转换器之间传输的VLAN框架不能简单地成为第802.1次网络格式框架。 由于这些框架具有同样的物理联系,现在需要携带VLAN ID信息。 782.1Q 议定书增加了/将更多的主干区移至停泊港之间的浅层。

当两个IP地址之后的田间为0x8100(>1500)时,这个框架被确定为802.1Q框架。 2-byte Tag Protocol Identifier(TPI)的价值为81-00。 TCI领域包括3项优先信息、1项标准指标(DEI)和12项标准指标。 这3个优先领域和多功能环境倡议领域与区域局无关。 优先参数用于提供服务质量。

如果框架不属于任何局域网,则有违约的局域网,该框架被认为与它有关。

Attack on VLAN & Prevention Measures

在袭击VLAN时,袭击VLAN的一名袭击者可以进入通常无法进入的其他VLAN。 在从一个局域网向另一个局进行通信时,它将绕过第3层装置(路段),从而打败了局域网制作的目的。

可通过两种方法进行局域网制图;转换信道和双重标记。

Switch Spoofing

当袭击者与之连接的开关港,无论是在“停泊”模式中,还是“谈判”模式中,都会发生。 袭击者充当开关,在离队的偏远局域网标上增加了802.1Q的cap头。 接收人转口将这些框架解释为来自另一个802.1Q转换,并将框架推向目标VLAN。

防止转口攻击的两种预防措施是将港口置于固定准入模式的边缘,并对所有港口进行可拆卸的汽车谈判。

Double Tagging

在这次袭击中,一名与本土的VLAN交换港连接的攻击者在设计负责人中预先发放了两个VLAN标记。 第一个标的是本土的VLAN,第二个标的是VLAN。 当第一个开关接收袭击者的框架时,它便拆除了第一个tag子,因为本地的VLAN框架在停泊港未经tag子转交。

由于第一个交换点从未拆除第二个标签,接收交换台将其余标记确定为局域网的目的地,并将框架推向该局的目标东道方。 双重攻击利用了当地VLAN的概念。 由于VLAN 1 是港口的缺省VLAN,而本地的VLAN是干.的,因此这是一个容易实现的目标。

第一项预防措施是,将所有出入港口从违约的VLAN 1上移走,因为袭击者的港口必须符合开关的原局。 第二项预防措施是将本地VLAN分配给一些未使用的VLAN,即VLAN id 999。 最后,所有开关都要进行配置,以便在停泊港明确划定本地的VLAN框架。

Securing Wireless LAN

无线局域网是有限地理区域内无线节点网络,如办公楼或学校校园。 des能够进行无线电通信。

Wireless LAN

无线局域网通常作为现有无线局域网的延伸而实施,以提供网络接入,提供设备流动。 最广泛实施的无线局域网技术基于ISO 802.11标准及其修正。

无线局域网的两个主要组成部分是:

这些是无线网络的基础站。 他们传送和接收无线电频率,与无线客户沟通。

无用户 这些是配备无线网络界面卡的计算机设备。 Laptops、IP Telephones、PDAs是无线客户的典型例子。

许多组织实施了无线局域网。 这些网络正在急剧增长。 因此,必须了解无线局域网中的威胁,并学习确保网络安全的共同预防措施。

Attacks in Wireless LAN

对无线局域网进行的典型攻击是:

袭击者被动地监测无线数据网络,包括认证证书。

袭击者冒犯了授权的用户,并在无线网络上获得准入和特权。

袭击者通过无线网络监测传播,以确定通信模式和参与者。

Denial of Service - 袭击者阻止或限制无线局域网或网络装置的正常使用或管理。

袭击者通过无线网络传递的合法信息,通过删除、增加、改变或重新排序,改变或答复。

Security Measures in Wireless LAN

安全措施为击败袭击和管理网络风险提供了手段。 这些是网络管理、运作和技术措施。 下文介绍为确保通过无线局传送的数据的保密性、可用性和完整性而采取的技术措施。

在无线局域网中,应配置所有仪器,通过加密和客户认证提供安保。 无线局域网用于提供安保的各类计划如下:

Wired Equivalent Privacy (WEP)

这是在802.11标准中建立的加密算法,以确保无线网络的安全。 WEP 加密使用RC4(Rivest Cipher 4)流层,具有40-bit/104-bit钥匙和24-bit初始化矢量。 它还可以提供最终认证。

然而,这是最薄弱的加密安全机制,因为在该系统的加密中发现了一些缺陷。 WEP也没有认证程序。 因此,使用“最佳环境标准”的建议并不高。

802.11i Protocol

在该议定书中,有可能出现多种更强有力的加密形式。 已经制定这一计划,以取代弱小的妇女就业计划。 它提供了关键的分配机制。 它支持每个站的一个钥匙,对所有人不使用同样的钥匙。 它使用独立于接入点的认证服务器。

237. 工发组织授权使用一个称为CBC-MAC议定书的反制模式的议定书。 CCMP提供所转让数据的保密性和完整性以及发送人的真实性。 其依据是高级加密标准。

《电子计算法》802.11i议定书有四个运行阶段。

STA和AP交流并发现相互的安全能力,例如辅助算法。

STA和AS相互认证,共同产生主(MK)。 行动方案是“绕行”。

STA产生Pairwise Master Key(PMK)。 AS也拥有同样的PMK,并寄给AP。

STA, AP利用PMK来获取用于加密和数据完整性的温度钥匙。

Other Standards

Wi-Fi Protected Access (WPA) - 该议定书执行了大部分的ISO 802.11i标准。 它存在于第802.11i号电子文件之前,并用于加密的RC4算法。 它有两个运作方式。 在“Enterprise”模式中,邮管处使用认证程序802.1x与认证服务器通信,因此,主机钥匙(PMK)是客户站特有的。 在“Personal”模式中,它没有使用802.1x,PMK被一个预先共享的钥匙所取代,用于小型办公室家庭办公室无线局域网环境。

邮电局还包括一个声音完整性检查,以取代《电离辐射标准》中所用的“电离破”。

WPA2-WPA2取而代之。 WPA2执行E 802.11i计划的所有强制性内容。 具体来说,这包括强制性支持《议定书》/《公约》缔约方会议,这是一个基于《京都议定书》的、具有强大安全性的加密模式。 因此,就这些袭击而言,WPA2 /IE802.11i提供了适当的解决办法,以防范WEP的弱点、人为的中途袭击、伪造包装单伪造和再起攻击。 然而,DoS的袭击没有得到适当处理,没有制止这种攻击的坚实议定书,其基本原因是这种攻击所针对的是身体上层,如干扰频带。

Summary

在本章中,我们认为,攻击和缓解技术假定是采用IP的转子网络。 如果您的网络不使用太网作为第2级议定书,则其中一些攻击可能不适用,但这种网络可能受到不同类型的攻击。

安全只是最薄弱的环节。 在联网方面,第2层可能是一个非常薄弱的环节。 本章提及的2项安全措施在保护网络免遭各种袭击方面大有可为。

Network Security – Access Control

网络接入控制是加强私营组织网络安全的一种方法,其方法是限制网络资源的供应,以终止符合本组织安全政策的装置。 典型的网络出入控制计划由两个主要组成部分组成,如限制出入和网络边界保护。

通过用户认证和授权控制,对网络系统的不同用户进行识别和认证,实现了对网络装置的限制。 授权是颁发或拒绝获得受保护资源的具体许可。

网上边界保护 控制网络与网络之间和网络外的逻辑连接。 例如,可以部署多个防火墙,防止未经授权进入网络系统。 也可以部署入侵探测和预防技术,以防互联网上的攻击。

在本章中,我们将讨论各种类型防火墙和入侵探测系统的网络接入用户识别和认证方法。

Securing Access to Network Devices

限制使用网络上的装置是保障网络安全的关键步骤。 由于网络装置包括通信和计算设备,因此,这些装置有可能减少整个网络及其资源。

自相矛盾的是,许多组织确保其服务器和应用程序的高度安全,但将网络设备与基本安全连接起来。

网络装置安全的一个重要方面是出入控制和授权。 制定了许多议定书,以满足这两项要求,并将网络安全提高到更高的水平。

User Authentication and Authorization

用户认证对于控制网络系统的利用,特别是网络基础设施装置的使用是必要的。 认证有两个方面:一般准入认证和功能授权。

一般准入认证是控制某一用户是否拥有“任何”进入他试图连接的系统的权利的方法。 通常,这种准入与用户有“账户”与该系统的联系。 授权涉及个人用户“权利”。 例如,它决定用户一旦认证后可做些什么;用户可被授权没收该装置或只查看数据。

用户认证取决于他知道的内容(密码)、他掌握的东西(密码)或他掌握的东西(生物鉴别)。 使用不止一个因素进行身份查验和认证,为多要素认证提供了依据。

Password Based Authentication

在最低一级,所有网络装置都应有用户名密码认证。 密码应当是非属地(至少10个性、字母、数字和符号)。

在用户远程访问的情况下,应当使用一种方法确保用户名称和密码不会在网络上通过。 此外,口号也应作一些合理的改动。

Centrapzed Authentication Methods

个人设备认证制度提供了基本出入控制措施。 然而,当网络拥有大量用户使用这些装置的仪器时,集中认证方法被认为更为有效。

传统上,集中认证用于解决远程网络接入所面临的问题。 在远程访问系统(RAS)中,网络装置上的用户管理并不实际。 将所有用户信息贴在所有装置中,然后不断更新信息,是一种行政梦.。

集中认证制度,如RADIUS和Kerberos,解决这一问题。 这些集中的方法使得用户信息能够储存和管理在一个地方。 这些系统通常可以与诸如微软的主动名录或LDAP名录等其他用户账户管理计划紧密结合。 大部分RADIUS服务器可以与正常的RADIUS协议中的其他网络装置进行通信,然后安全地获得存放在名录上的账户信息。

例如,微软的互联网Austhentication服务器(IAS)将RADIUS和主动名录连接起来,为装置用户提供中央认证。 该系统还确保用户账户信息与微软域账户统一。 以上图表显示,一台视窗域控制器既是主动名录服务器,又是RADIUS的服务器,用于将网络要素认证为活跃的名录域。

Access Control Lists

许多网络装置可以与访问清单混在一起。 这些清单界定了获准使用该装置的东道名称或IP地址。 例如,除了网络管理人外,通常限制从执行伙伴获得网络设备。

这样就可以防止任何可能未经许可的进入。 这些类型的准入清单是重要的最后防御,对不同的准入议定书有不同的规则的某些装置来说,这些清单是相当强大的。

Network Security – Firewalls

几乎每个中型和大型组织都在互联网上存在,并有一个与其相关的组织网络。 外部互联网和内部网络之间的边界上的网络分割对于网络安全至关重要。 有时,内联网(内联网)被称为“被信任的”一方,外部因特网则称为“未信任的”方面。

Types of Firewall

防火墙是一种网络装置,它把组织的内部网络从外部网络/因特网连接起来。 它可以是一个硬件、软件或综合系统,防止未经授权进入或从内部网络进入。

进入或离开内部网络的所有数据包都通过防火墙,该墙检查每个包裹,并禁止不符合具体安全标准的人。

在网络边界部署防火墙,就好像把安全集中起来。 类似的做法是在入口处lock一个公寓,不一定在门边。

由于以下原因,防火墙被视为实现网络安全的基本要素:

内部网络和东道国不太可能得到适当保障。

互联网是犯罪分子、竞争公司用户、不受干扰的前雇员、不友好国家的间谍、破坏等的危险场所。

防止攻击者对网络资源进行拒绝服务攻击。

防止外部攻击者非法修改/获取内部数据。

防火墙分为三种基本类型:

Packet filter (Stateless & Stateful)

Apppcation-level gateway

Circuit-level gateway

然而,这三类并非相互排斥。 现代防火墙具有各种能力,可将其归入三个以上类别之一。

Stateless & Stateful Packet Filtering Firewall

在这种类型的防火墙部署中,内部网络通过路道防火墙与外部网络/因特网连接。 防火墙检查和过滤数据包装。

Packet-filtering firewall 允许或阻挡包装单,主要依据的是来源和/或目的地IP地址、礼宾、源和/或目的地港号等标准,以及IP头盔内的其他各种参数。

该决定可以基于除IP头盔领域以外的因素,如ICMP信息类型、TCP SYN和ACK bits等。

包装过滤器规则有两个部分:

它被用作决策的条件和模式。

这一部分具体规定了如果IP包装符合甄选标准将采取的行动。 这一行动可以是阻挡(登)或允许(低于)整个防火墙的包装。

包装过滤器通常通过在路由器或开关上配置出入控制清单来完成。 ACL是包装过滤规则的表。

由于交通进入或离开接口,防火墙将ACL从上向下适用于每台coming,找到匹配标准,或者允许或否认个人包装。

无国家防火墙>是一种硬工具。 它检查包装,如果它符合标准,即使它不属于任何既定的持续通信。

因此,这些防火墙被现代网络中的状态防火墙>所取代。 这类防火墙为仅以ACL为基础的无国籍防火墙检查方法提供了更深入的检查方法。

国有防火墙监测连接的安装和冲破过程,以在TCP/IP一级检查连接情况。 这使得他们能够跟踪连接状态,确定哪些东道国在任何特定时间都有开放、授权的联系。

只有在要求建立新联系时,才会参考规则基础。 现有连接的包裹与防火墙的开放式连接表相比较,决定允许或阻挡。 这一过程节省了时间,也提供了更多的安全。 不允许任何包裹绕过防火墙,除非它属于已经建立的联系。 它可以在防火墙上断绝无用的连接,此后,它不再为这种连接接受包装。

Apppcation Gateways

申请级网关是申请一级交通的中继点。 他们拦截了寄出的包裹,操作该包件和向关发送信息,并充当proxy服务器,防止被信任的服务器或客户与未信任的东道方之间有任何直接联系。

轴心是具体应用。 他们可以在SI模式的应用层过滤包装。

Apppcation-specific Proxies

针对具体申请的代理人只接受设计复制、转发和过滤的具体申请所产生的包装。 例如,只有一家Telnet代理人能够复制、转发和过滤Telnet的交通。

如果一个网络仅靠一个应用级网关,则接收和发送的包装单不能获得没有配置的轴心的服务。 例如,如果一个门户运行FTP和Telnet轴心,只有这些服务产生的包装才能通过防火墙。 所有其他服务都受阻。

Apppcation-level Filtering

申请级代理网关、检查和过滤个人包装单,而不是简单复制,盲目通过网关。 具体应用的轴线检查通过网关的每包裹,通过申请层核实包装内容。 这些轴线可在申请程序中过滤特定种类的指挥或信息。

申请网关可以限制具体行动的实施。 例如,可以配置网关,防止用户进行“FTP”的指挥。 这可以防止攻击者改变服务器上储存的信息。

Transparent

虽然申请一级的网关可以透明,但许多安装需要用户认证,才能使用户能够进入一个没有信任的网络,从而减少真正的透明度。 如果用户来自内部网络或互联网,则其认证可能有所不同。 对于内部网络,可以允许一个简单的IP地址清单与外部应用连接。 但是,从互联网方面来说,应当实行强有力的认证。

在两个方向(Cpent ↔ Proxy ↔服务器)上,应用网关实际上将TCP的两部分连接起来。

对于有出入的包装箱,网关可以用自己的IP地址取代来源IP地址。 这一过程称为网络地址翻译(NAT)。 它确保内部IP地址不受互联网的影响。

Circuit-Level Gateway

电路级网关是包装过滤器与应用网关之间的中间解决方案。 该系统在运输层运行,因此可作为任何应用的代理。

与申请网关类似,电路级网关也不允许连接关口的终端至终端链路。 它建立了两个TCP链接,并将TCP部分从一个网络转至另一个网络。 但是,它没有审查申请网关等申请数据。 因此,有时被称为“Pipe Proxy”。

SOCKS

SOCKS(RFC 1928)提到一个电路级门户。 这是一种网络代理机制,使SOCKS服务器的一个侧的东道方能够在不要求直接的IP可达性的情况下充分接触对方的东道方。 客户与防火墙的SOCKS服务器连接。 然后,客户就认证方法进行谈判,并以选定的方法认证。

客户向SOCKS服务器发出连接转发要求,该服务器载有理想的目的地IP地址和运输港。 服务器在检查客户是否符合基本的过滤标准后接受这一请求。 之后,该网关代表客户打开了与所请求的未信任的东道方的联系,然后密切监测随后的TCP手脚。

SOCKS服务器向客户提供信息,如果成功,则开始在两个链接之间传送数据。 当本组织信任内部用户时,使用巡回门槛,并且不想检查互联网上发送的内容或应用数据。

Firewall Deployment with DMZ

防火墙是用来控制一个组织内部网络的网络交通“into”和“out”的机制。 在大多数情况下,这些系统有两个网络接口,一个是因特网等外部网络,另一个是内部网络。

防火墙过程可以严格控制允许从一方向另一方转移的东西。 一个希望提供外部接入其网络服务器的组织可以限制抵达80港(标准http://port)的防火墙的所有交通。 所有其他交通,如邮递交通、FTP、SNMP等,都不得通过防火墙进入内部网络。 下面图表显示一个简单的防火墙的例子。

在上述简单部署中,尽管外部的所有其他准入都受到阻碍,但袭击者可能不仅与一个网络服务器联系,而且与因事故或其他原因离开80港的国内网络的任何其他东道方联系。

因此,大多数组织面临的问题是,如何在保持内部网络的严密安全的同时,能够合法地获得公共服务,如网络、私人旅游和电子邮件。 典型的办法是在网络中部署防火墙,以提供一个非军事化区。

在这一装置中(按图表细分),部署了2个防火墙;1个在外部网络与DMZ之间,另一个在DMZ与内部网络之间。 所有公共服务器都设在管理部。

通过这一设置,有可能制定防火墙规则,使公众能够使用公共服务器,但内地防火墙可以限制所有新接线。 通过配备债务管理和金融分析系统,公共服务器得到适当的保护,而不是直接放在外部网络上。

Intrusion Detection / Prevention System

包装过滤防火墙仅根据涉及TCP/UDP/IP头盔的规则运作。 它们并不试图在不同届会之间建立相互关系检查。

入侵检测/预防系统(IDS/IPS)通过检查包装材料进行深层包装检查。 例如,对照已知病毒数据库,检查包装中的特性扼杀。

申请网关的确看着包装内容,但只看具体应用。 他们并不在包装单中发现可疑数据。 IDS/IPS检查包装单中的可疑数据,并努力研究多包装单之间的相互关系,以查明港口扫描、网络测绘和拒绝服务等攻击。

Difference between IDS and IPS

IDS和IPS在发现网络中的异常现象方面类似。 IDS是一种“视力”工具,而IPS则被视为一种“控制”工具。

入侵探测系统与网络相邻,监测许多不同点的交通,并使网络的安全情况出现可见度。 如果信息和安全局报告异常情况,网络管理人或网络内的其他装置将采取纠正行动。

入侵预防 该系统像防火墙一样,在两个网络之间坐在一线,控制通过这些网络的交通。 它执行了一项具体政策,查明网络交通中的异常现象。 一般来说,在署长处理异常现象之前,它放弃了所有包裹,把整个网络的交通捆绑在一起。

Types of IDS

有两种基本类型的国际数据系统。

它需要一个有其签名的已知袭击数据库。

签字按特定攻击的包装类型和顺序界定。

对这种类型的国际数据系统的限制是,只能发现已知的攻击。 国际流离失所人士联合会也可以发出虚假警报。 当一个正常的包装群与攻击的签字相匹配时,会发生枪声。

众所周知的公开源码信息系统就是“Snort” IDS。

Anomaly-based IDS

这类信息管理系统形成了正常网络运行的交通模式。

在综合发展模式期间,它审视了统计上不寻常的交通模式。 例如,ICMP非同寻常的负荷、港口扫描的指数增长等。

发现任何异常交通模式都会引起警惕。

在这种类型的国际数据交换部署中面临的主要挑战是难以区分正常交通和异常交通。

Summary

在本章中,我们讨论了用于控制网络接入的各种机制。 通过出入控制实现网络安全的方法在技术上不同于本辅导的前几章讨论的不同网络层面实施安全控制。 然而,尽管执行办法不同,但两者相辅相成。

网络出入控制由两个主要部分组成:用户认证和网络边界保护。 RADIUS是提供网络中央认证的民众机制。

防火墙通过将内部网络与公共互联网分开来提供网络边界保护。 防火墙可以在不同层次的网络规程上发挥作用。 IDS/IPS允许监测网络交通中的异常情况,以发现袭击,并采取预防行动。

Network Security – Critical Necessity

信息和高效沟通是每个企业取得成功的两个最重要的战略问题。 随着电子通讯和储存手段的出现,越来越多的企业转向利用数据网络进行通信、储存信息和获取资源。 用于经营业务的网络基础设施有不同的类型和水平。

可以指出,在现代世界,与网络计算机相比,对企业的影响不大。 但是,联网带来了安全威胁,如果能够减轻这些威胁,网络的好处就能够超过风险。

Role of Network in Business

现在,几乎所有的企业都认为计算机网络是一种资源。 这一资源使它们能够收集、分析、组织和传播对其获利至关重要的信息。 大多数企业已经安装了网络,以保持竞争力。

计算机网络的最明显作用是,各组织可在中心地点储存几乎所有类型的信息,并通过网络在所期望的地点检索这些信息。

福利 of Networks

计算机网络使人们能够轻易地分享信息和想法,以便他们能够更有效地工作。 网络改进采购、销售和客户服务等活动。 联网使传统业务流程更有效率、更易管理、成本较低。

企业从计算机网络中获得的主要好处是:

。

Streampned business processes——计算机网络使企业能够简化内部业务程序。

。 当两个或两个以上的商业部门连接其网络的某些部分时,它们能够精简通常花费大量时间和精力的业务流程,并常常给提高生产力带来困难。

• 网络为客户提供许多好处,如方便做生意、迅速提供服务等。

建立联系可产生许多其他具体业务效益。 这种好处使得所有类型的企业都有必要采用计算机网络。

Necessity for Network Security

由于计算机网络能力不断提高的现代技术的进步,对无线或无线网络的威胁大大增加。 当今世界大量使用互联网进行各种商业交易,对信息盗窃和对商业知识资产的其他攻击构成了挑战。

在当今时代,大多数企业都是通过网络应用进行的,因此所有网络都有可能受到攻击。 对商业网络的大多数共同安全威胁是数据拦截和盗窃以及身份盗窃。

网络安全是一个专门领域,涉及挫败这种威胁,保护企业计算机网络基础设施的可使用性、可靠性、完整性和安全性。

Importance of Network Security for Business

保护企业资产> 这是网络安全的主要目标。 资产指储存在计算机网络的信息。 信息与该公司的任何其他有形资产一样重要和宝贵。 网络安全涉及保密信息的完整性、保护和安全获取。

- 网络安全措施帮助企业遵守政府和行业关于信息安全的具体条例。

。 - 网络安全鼓励协同工作人员,并通过向客户和供应商提供安全网络接入,促进与他们的联系。 它提高了客户和消费者对其敏感信息的保护的信心。

- 通过网络安全,减少破坏安全行为的影响,包括可能破坏小企业的法律行动。

Gaining Competitive Advantage——为网络建立一个有效的安全系统,为组织提供竞争优势。 在互联网金融服务和电子商务领域,网络安全具有至关重要的意义。

Previous Page Print Page Next Page   Advertisements