道隐于小成,言隐于荣华

网络安全笔记:Internet安全体系结构(上)

该部分为本科期间网络安全课程笔记备份。

物理层的安全保护方案

  • 计算机网络通信线路屏蔽方案
  • 主要物理隔离
  • 物理隔离网闸隔离原理
  • 设备和线路冗余方案
  • 服务和服务账号安全规划
  • 物理层安全管理工具的使用
  • 数据容灾等级

物理层的线路窃听技术

搭线窃听、电磁泄漏窃听

计算机网络通信线路屏蔽

  1. 屏蔽
    • 用金属网或金属板将信号源包围,利用金属层来阻止内部信号向外发射,同时也可以阻止外部信号进入金属层内部
  2. 通信线路的屏蔽
    • 采用屏蔽性能好的传输介质(屏蔽双绞线的选择;屏蔽同轴电缆的选择;光纤网络的屏蔽)
    • 把传输介质、网络设备、机房等整个通信线路安装在屏蔽的环境中(屏蔽机房和机柜的选择)
  3. WLAN无线网络的物理层安全保护
    • 将机房甚至整个公司屏蔽(成本过高)
    • WEP:WEP是Wired Equivalent Privacy的简称,有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。
    • WPA/WPA2

物理线路隔离

物理隔离的指导思想与防火墙绝然不同:防火墙的思路是在保障互联互通的前提下,尽可能安全,而物理隔离的思路是在保证必须安全的前提下,尽可能互联互通。

主要物理隔离产品:物理隔离卡、物理隔离集线器/交换机、物理隔离网闸。

物理隔离的定义

物理隔离技术的基本思想是:如果不存在与网络的物理连接,网络安全威胁便可大大降低。

物理隔离技术实质就是一种将内外网络从物理上断开,但保持逻辑连接的信息安全技术。

  • 一般划分为3个安全等级不同的部分:
    • 内部保密专用网络,传送保密信息
    • 业务网络,传送政府业务管理信息
    • Internet连接网络,建设网站或对外访问
  • 保密网络要求跟其它部分物理隔离
  • 其它部分可以在保证安全性情况下互连

物理线路隔离方案

内、外网之间在没有通信要求情况下的断开状态:

image

外网向内网发起非TCP/IP连接:

image

向内网转发数据:

image

完成了外网向内网发送数据的全过程后:

image

向外网发起非TCP/IP连接:

image

  • 这是一种隔离网络之间连接的专用安全技术。
  • 这种技术使用一个可交换方向的电子存储池。存储池每次只能与内外网络的一方相连。通过内外网络向存储池拷贝数据块和存储池的摆动完成数据传输。
  • 这种技术实际上是一种数据镜像技术。它在实现内外网络数据交换的同时,保持了内外网络的物理断开。
  • 每一次数据交换,隔离设备经历了数据的接受,存储和转发三个过程。由于这些规则都是在内存和内核里完成的,因此速度上有保证,可以达到100%的总线处理能力。
  • 物理隔离的一个特征,就是内网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。
  • 物理隔离的好处是明显的,即使外网在最坏的情况下,内网不会有任何破坏。修复外网系统也非常容易。

设备和线路冗余

  • 提供备用的设备和线路
    • 网络设备部件冗余:电源和风扇、网卡、内存、cpu、磁盘
    • 网络设备整机冗余
    • 网络线路冗余

机房和账户安全管理

  • 机房安全管理
  • 账户安全管理
    • 采取复杂性要求限制
    • 限定最低和最高密码更改的频率和期限:管理工具、本地安全策略的账户策略和密码策略实现
    • 限定两个周期密码可以禁止相同的最短历史
    • 限定用户登陆时允许尝试的最多次数
    • 要求拥护不得把账户信息以明文方式记录在任何地方
    • 不得在有其他人在旁边时输入账户信息

数据链路层的安全保护方案

数据加密

  1. 加密技术是网络安全技术的基础: 数据链路层,网络层,传输层,表示层和应用层。
  2. 数据存储加密
  3. 数据传输加密:链路加密、节(结)点加密、端对端加密

链路加密

链路加密是目前最常用的一种加密方法,通常用硬件在网络层以下(1、2层)的物理层和数据链路层中实现,它用于保护通信节点间传输的数据。

image

链路加密的缺点

  1. 全部报文都以明文形式通过各节点的计算机中央处理机,在这些节点上数据容易受到非法存取的危害
  2. 由于每条链路都要有一对加密/解密设备和一个独立的密钥,维护节点的安全性费用较高,因此成本也较高。

节点加密

链路加密的改进,其目的是克服链路加密在节点处易遭非法存取的缺点。

image

端-端加密

网络层以上的加密,通常称为端—端加密。端—端加密是面向网络高层主体进行的加密,即在协议表示层上对传输的数据进行加密,而不对下层协议信息加密。协议信息以明文形式传输,用户数据在中间节点不需要解密。

image

端对端加密的好处

  1. 成本低。出于端—端加密在中间任何节点上都不解密,即数据在到达目的地之前始终用密钥加密保护着,所以仅要求发送节点和最终的目标节点具有加密/解密设备,而链路加密则要求处理加密信息的每条链路均配有分立式密钥装置。
  2. 端—端加密比链路加密更安全。
  3. 端—端加密可以由用户提供,因此对用户来说这种加密方式比较灵活。

WLAN SSID安全技术及配置方法

SSID: Service Set Identifier, 服务设置标识符。

  • 最多可以有32个字符
  • 配备无线网卡,无线AP(访问点),无线路由器时均需配置,且相同

SSID安全问题:

  • AP默认是允许向外广播其SSID,使安全程度降低;
  • 支持”任何(ANY)”SSID方式,只要无线客户端广播SSID”设为”不广播;
  • 使用同一个SSID设置另一个802.11接入点。

WLAN MAC地址过滤

  • MAC地址过滤功能在有线网络中使用,可以允许或者禁止部分主机与局域网的连接。
  • 支持IEEE 11.g标准以上的设备中有此功能。

地址解析协议(ARP)

ARP(Address Resolution Protocol):完成IP地址到MAC地址的映射

IP地址:虚拟的、与硬件无关的、可变的

MAC地址:真实的、网卡决定的、通常不可改变的

ARP不是IP协议的一部分,因此ARP数据报不包括IP头,而是直接放在以太网帧的数据部分进行发送。并且,在以太网中定义了一种新的类型来标志ARP数据报。

针对ARP的攻击:IP地址欺骗、MAC地址欺骗

FAQ:为什么要进行IP地址到物理地址的映射?

  1. IP地址屏蔽物理网络地址的差异,为上层用户提供“统一”的地址形式
  2. IP地址屏蔽物理网络地址差异,通过在物理网络上覆盖一层IP软件实现
  3. 互联网不对物理地址做任何修改
    • 高层软件利用IP地址指定源地址和目的地址
    • 低层物理网络利用物理地址指定源地址和目的地址
  4. ARP实现IP地址与网络物理地址的映射
    • IP 地址统一了网际通信的地址形式(IP层以上的软件都使用 IP 地址),隐藏了原有的物理网络地址;但在网络内部,IP层通信的实现依赖于底层的物理网络技术,底层必然还要使用物理地址。为了保证通信的一致性,必须要建立各结点IP地址与网络物理地址之间的映射,称为地址解析(resolution)。
    • 地址解析协议(ARP-Address ResolutionProtocol)用于 IP 地址到物理地址的映射,适用于有盘网络;逆向地址解析协议(RARP – Reverse Address Resolution Protocol)用于物理地址到IP 地址的映射,适用于无盘网络。

ARP的解析范围

ARP的请求过程实质上是在局域网的一个广播域内,广播寻找MAC地址的过程,因此ARP的解析范围在局域网的一个广播域内。

主机在每进行数据发送前,都要进行ARP请求信息和响应信息。信息包的频繁发送和��收必然对网络的效率产生影响。

ARP高速缓存

每台主机都要维护一个IP地址到MAC的转换表,称为ARP高速缓存ARP Cache。

存放着最近用到的一系列跟它通信的同一子网的计算机的IP地址和MAC地址的映射。

  • 动态记录:在ARP过程中自动获取,有寿命
    • ARP Cache根据ARP响应包动态变化;
    • ARP Cache采用老化机制,如果一条ARP项很久没有使用了,则它将被从ARP表中删除掉。这祥可以节省内存空间和ARP表的检索时间。
  • 静态记录:手工输入,无寿命时间

image

逆地址解析协议(RARP)

具有本地磁盘的系统引导时,一般是从磁盘上的配置文件中读取IP地址。但是无盘机,如X终端或无盘工作站,则需要采用其他方法来获得IP地址。

网络上的每个系统都具有唯一的硬件地址,它是由网络接口生产厂家配置的。无盘系统的RARP实现过程是从接口卡上读取唯一的硬件地址,然后发送一份RARP请求(一帧在网络上广播的数据),请求某个主机响应该无盘系统的IP地址(在RARP应答中)。

RARP分组的格式与ARP分组基本一致。它们之间主要的差别是RARP请求或应答的帧类型代码为0x8035,而且RARP请求的操作代码为3,应答操作代码为4。

ARP/RARP的报文格式

  1. ARP/RARP的报文分组格式是统一的
  2. ARP/RARP 分组封装在物理网络的数据帧中传送

image

MAC地址欺骗预防

  • 利用ARP echo传送正确的ARP信息
    • 通过频繁地提醒正确的ARP对照表,来达到防制的效果。
  • 利用绑定方式,固定ARP对照表不受外来影响
    • 通过固定正确的ARP对照表,来达到防制的效果。
  • 舍弃ARP协议

网络嗅探的防护

网络嗅探原理

  • 通过一种嗅探器(sniffer)软件进行
  • 嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。
  • 网卡设置为混杂模式,接收流经它的所有数据包,包括广播包。
  • 以太网、FDDI Token、微波和无线网

网络嗅探攻击症状

网络通信丢包率非常高

网络访问异常慢。

网络嗅探的防范

  1. 安装嗅探器探测工具,AntiSniff
  2. 改进网络拓扑结构:不实用HUB而用交换机连接网络,能有效地避免数据进行泛播;对网络进行分段,如在交换机上设置VLAN
  3. 数据或会话加密

VLAN

Virtual Local Area Network, 虚拟局域网。

VLAN将局域网设备从逻辑上划分成一个个网段。

在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。

VLAN的目的

解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内。

VLAN的优点

  1. 限制网络上的广播
  2. 增强局域网的安全性
  3. 增加了网络连接的灵活性

组建VLAN的条件

VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。同时还严格限制了用户数量。

VLAN的划分策略

  • 根据端口来划分VLAN
  • 根据MAC地址划分VLAN
  • 基于路由的VLAN

基于端口的VLAN:

  • 单交换机端口
  • 多交换机端口

Note

物理层风险:隔离、冗余

链路层风险:防止ARP欺骗、防嗅探隔离

网络层风险及安全

  • 路由风险
  • 地址机制的风险
  • 分段的风险
  • 质量服务
  • 网络层安全概述
  • IP风险及一些应对方法

路由风险

  • 路由器是用于和远距离网络通信的一种可选方案。对路由器的攻击会干扰和其他网络通信的能力
  • 针对路由器的攻击方式:直接攻击、表中毒、表淹没、度量攻击以及路由器环路攻击

路由攻击分类

  1. 直接路由器攻击
    • DOS攻击:阻止路由器执行基本任务,使网络不能有效地连接,大部分基于负载攻击,在特定端口流量太高,导致路由器无法管理通信,包括来自其他网络接口的通信
    • 系统破坏:路由器能配置成转发数据包到不同的主机或网络,阻断来自特定主机的通信,或任意分配新的子网。因为路由器扩展多个子网,受损的路由器会影响连接到它的每个网络的完整性和隐私性
  2. 路由表中毒
    • 伪造的或受损的网络通信能重写、插入或移除路由表的条目,其结果和受损路由器几乎是一样的。
    • 网络层协议支持动态路由表,基于观察到的通信自动生成和更新路由表。这类协议易受攻击,原因在于,其一新节点可能生成中毒数据,其二,很少动态节点是可以验证的。关键路由器应使用静态路由表以防止中毒
  3. 路由表淹没
    • 路由器通常路由表容量有限。使用动态路由表路由器要管理路由过期和路由表满,攻击者可以生成假的数据让路由器生成路由表,当路由表满后:
      • 忽略新的路由:攻击者无法清除已建立的表条目,但阻止了新的有效的条目插入路由表
      • 清除旧的路由:使大的淹没攻击能将已建立的表条目都清除
      • 清除最坏路由:可使一些理想的路由改成别的路由
    • 大部分动态路由表也支持静态条目,关键路由应设置成静态
  4. 路由度量攻击
    • 路由度量攻击使路由表的动态度量中毒。这种攻击可使一些好的通路似乎成为不期望的。例如假冒的路由器可以声称它到某个目标网络只有1跳,比别的路由优先,让数据包选择这个路由。例如网络层协议支持质量服务QoS分组,采用流控决定连接质量。攻击者可伪造QoS分组来修改动态度量,结果是更慢的吞吐量,更长的路径和更昂贵的网络开销
    • 固定路径应使用静态度量。对动态度量是关键的网络,应调整刷新频率,使路由器能经常检查期望的路由
  5. 路由器环路攻击
    • 路由环路会引起过多的带宽消耗,很多协议企图检测和阻止路由环路,如BGP和RIP
    • 当路由器识别了一个路由环路,就将该路径从路由表中移除。环路攻击者产生一个假的应答给环路检查,使路由器误认为发生了路由环路,结果一个理想的网络路径被移除,虽然静态度量能阻止度量攻击,但环路攻击仍能切除预期的路径

地址机制风险

  • 网络层并未定义对地址的身份鉴别和验证。
  • 基于数字的和名字的地址机制容易受到假地址和拦截攻击。

地址攻击分类

  1. 假地址
    • 当两个结点有相同的IP地址会产生冲突,假地址能阻止结点接收分组,导致网络连接中断
  2. 地址拦截
    • 当同一个网上两个结点具有相同的IP地址,响应快的结点能维持网络连接,如果一个结点一直响应慢,则它的网络通信被锁住。具有快的结点的攻击者可以在混杂模式下观察网络通信,假如和另外一个结点具有相同的网络地址,则可拦截已建立的连接。
    • 最坏的情况是,将自己的IP地址配置成和路由器本地IP地址相同,则可阻止网上所有结点和该路由器通信
  3. 假释放攻击
    • DHCP提供地址再分配办法,当一个结点不需要IP地址时,可以通知DHCP服务器收回该地址,并可分配给其他节点使用。假释放攻击时攻击者伪装一个已分配的地址,并释放它。结果受害节点开始运行一个已分配的IP地址,造成假地址攻击
  4. 假的动态分配
    • 当一个结点需要IP地址时,必须和DHCP服务器联系。攻击者可以配置自己的分配服务器,并且分配请求响应比原来的分配更快。
    • 分配响应包括一系列信息,例如DHCP提供一个IP地址,子网掩码,默认网关和DNS服务器信息,攻击者能提供假的信息给新的节点。

分段的风险

分段机制有两个风险:丢失分段和组装数据的容量

  1. 丢失分段攻击
    • 一个大的分组要等接收到全部分段才能处理,每个接收的分段必须保存在分配给堆栈的内存中,当内存满的时候无法接收更多的分段分组
    • 丢失分段攻击发生在当一个大的分组分段时,有一个分段永远未传递。导致堆栈被长期占用,进而消耗内存资源,为此通常设置一个分段超时值,如30秒。30秒后分段将被丢弃
    • 分配一个最大内存大小用于分段组装,假如分段数据总量大于最大分配内存,分段被丢弃,直到超时为止
    • 设置超时和内存分配大小能有效缓解丢失分段攻击
  2. 最大的不分段大小
    • 很少分段管理机制传输整个分组,通常结束分段分组用来标识最后的分段
    • IP报头规定13为作为分段偏移,这意味着最大的偏移值是16383字节
    • IP分段机制在分段以前最大的数据大小为81854字节, IP不能传输大于80KB的单个数据块,大部分标准协议规定数据长度小于这个最大值
  3. 分段重组
    • 分段须标识以说明分段的次序,有两种情况导致潜在的攻击:分段重复和分段覆盖
    • 分段重复:同样的分段ID出现两次以上
    • 分段覆盖:重复的分段包含不同数据
    • 3种解决办法:忽略第二次以以后重复分段,在第一次分段上重写,清除所有分段

服务质量

网络节点无法区分真的QoS分组和伪造的分组,攻击者可以利用QoS功能来隐藏或拦截通信

假的分组可以请求一个结点降低速率或发送更小的分组,降低通信性能

假的错误报告能引起过早的断开连接,有些攻击工具能跟踪防火墙内的主机,在已建立的连接复制分组,并改变TTL。由于TTL超时产生的错误返回至呼叫者,攻击者能侦查远程网络

在DDoS攻击下,一个主机能生成很多回应(echo)请求,发送到网上很多主机,每个回应请求指定一个伪造发送者——DDoS的目标。其结果是回应应答炸弹送至目标结点,足够大的攻击能摧垮网络

网络层安全

大部分网络层协议没有实施身份鉴别、验证及保护网络数据,假设安全预防措施由高层协议实施。对于来自低层的风险,如数据链路拦截和回答攻击没有提供缓解办法。

网络层面临的风险包括窃听、伪装以及插入攻击

很好的选择安网络全体系结构以及过滤应用能缓解很多风险,此外网络的不兼容能阻止某些安全攻击风险

  1. 安全协议
    • 网络层并不定义安全预防方法,安全由某些专门的网络协议解决,像IP、IPX这些通用协议只提供简单的校验和,虽然能检测某些数据差错,但对检测攻击者没多大作用
    • IPv6和IPSec是两个著名的安全协议
    • IPSec是IP协议的扩展,是附加在IP上的面向安全的协议,包括身份鉴别报头、数据封装以及密钥交换方法。
    • IPv6除了IP地址扩展,也包括加密的身份鉴别和数据封装
  2. 网络不兼容能力
    • 大部分网络应用包括管理传输和网络协议。从IP转换到IPX会使网络无法实施WEB浏览、电子邮件和其他面向网络的工具
    • 虽然IPv6支持数据加密,但很多高层协议和应用不支持IPv6
  3. 体系结构
    • 物理网络拓扑提供某些内在的安全特点,限制访问物理层可减少窃听、拦截、回答攻击的风险。
    • 虽然数据链路层具有身份鉴别和加密隧道的安全,诸如CHAP或VPN,但它们仅仅保护数据链路连接。恶意的网络通信能进入数据链路隧道,和正常的网络层通信一样得到允许和保护
  4. 安全过滤
    • 根据IP地址的过滤操作能缓解某些身份鉴别,如某些基于应用的网络服务器能限制基于客户IP地址的访问,虽然这些方法是在模糊安全水平,但是攻击者必须知道可接受的网络地址来访问服务器
  5. 防火墙和出口过滤
    • 防火墙能在路由器内实施,并基于IP地址限制访问。路由器并不路由所有通信,只有来自专门网络接口的通信能访问。
    • 出口过滤能基于网络地址限制分组中继,如路由器连接10.1.X.X子网到192.168.X.X子网,那么它不期望看到来自10.1.X.X接口的192.168.X.X数据包。出口过滤对来自正在网络间路由的不正确的分组进行阻断。

IP风险

IP风险包括地址冲突、拦截、回答攻击、分组风暴以及转换通道、分段攻击

  1. 地址冲突
    • 同一子网上两个结点有相同的IP地址的话,路由有两种可能,其一,机器响应较快的会锁住较慢的系统,因为IP只跟踪第一个接收的分组,但如果采用网络交换机,那么慢的系统会锁住快的系统。交换机的ARP表被较慢的主机发送的分组破坏,它将所有的通信指向较慢的节点。
  2. IP拦截
    • IP拦截发生在一个结点假装为另一个结点的IP地址,第一种是攻击者用未在用的地址拦截,而不会发生冲突;第二种,随意拦截,只要攻击者位于源节点和目的节点之间的通路上,沿着网络通路的一个结点能拦截和响应IP分组
  3. 回答攻击
    • IP是一种无状态协议,这意味着攻击者可以在任何时间记录和回答分组。虽然高层协议可以识别和拒绝IP内容,但IP数据仍然是有效的
  4. 分组风暴
    • 分组风暴是一种常见攻击,利用通信淹没整个网络。有一类分组风暴为放大攻击,即一个分组请求能产生一系列的回答,当ICMP请求一个广播地址,就能产生大量的回答,导致基于放大攻击的分组风暴
  5. 分段攻击
    • IP将大的数据分段传输,并在接收端重新组装,分段攻击修改IP分段的报头所包含的信息来实现自己的攻击,破坏重组
  6. 转换通道
    • 很多防火墙和IDS(入侵检测系统)在中继通信前只是对ICMP报头执行基本检查,并不详细检查ICMP分组内容,因此ICMP能不经检查通过某些防火墙和IDS系统,这使ICMP成为转换信息的理想工具

IP安全应对可选方案

IP风险的缓解办法包括:协议禁用、使用非路由的IP地址、过滤IP通信以及面向安全的协议

  1. 禁用ICMP
    • 虽然ICMP提供测试、流控和差错处理,但并不提供网络路由基本功能,从安全方面以及有效角度考虑,可以完全不用ICMP支持
    • 但是大部分操作系统不提供完全禁用ICMP的方法,因此ICMP需要在防火墙双向过滤
  2. 非路由地址(私网地址)
    • 私网地址只能用于局域网,外网攻击者不能直接访问内网主机Internet访问通过双主代理或网络地址转换(NAT)实现
    • 10.0.0-10.255.255.255
    • 172.16.0.0-172.31.255.255
    • 192.168.0.0-192.168.255.255
  3. 网络地址转换(NAT)
    • NAT是通过公共网关将来自内网的分组中继,NAT网关是桥接Internet和内网的双主机系统,对于每个分组,NAT服务器在内部中继表存储映射关系
    • 中继表是内部发起连接请求时建立的。中继表包含3部分:源IP地址和传输层端口,目的IP地址和传输层端口号,NAT服务器外部接口端口号
    • 使用NAT外部IP和端口号将分组中继到外部网络,外部主机视分组来自NAT服务器,而非内部主机
    • 当NAT服务器接收来自外部网络接口的分组,它将分组目的地和内部中继表进行比较,然后将分组转发的内部源
    • 使用NAT服务器,内部主机通过相同的外部IP地址中继,NAT服务器提供两个安全效果:匿名和隐私
    • 对外部网络来说,所有数据分组都来自NAT服务器,因此内部是匿名的,攻击者无法知道内网状况
    • 攻击者不能连到内部主机,与内部中继表条目不能匹配的分组都被丢弃。
    • NAT的连接,必须是内部主机主动发起的
    • image
    • image
    • image
    • image
  4. 反向NAT(RNAT)
    • 因为NAT能阻止外部网络主机发起的连接,因此不能把WEB,Email等对外部网络提供的服务放在内网。
    • 为解决该问题,RNAT提供从NAT外部端口到内网上的IP地址和内部端口的静态映射,使用RNAT外部连接到NAT服务器的80端口能被路由到内网上的WEB服务器,NAT提供防火墙功能,而RNAT允许面向服务的应用
  5. IP过滤
    • 大部分非NAT防火墙支持基于IP分组头的分组过滤,过滤规则能限制基于特定主机、子网或服务类型(TCP、UDP或ICMP)的分组,这种应用能用到源或目的地址以提供在IP上的最大控制。
    • 网络层防火墙只能看到IP报头,传输层防火墙才能过滤基于特定端口和服务的分组,传输层防火墙可用于限制访问Web或E-mail服务器
  6. 出口过滤
    • 大部分防火墙配置成限制从外面进入的通信,而对出口通信无限制,这种配置一方面提供了最大的安全以防范外部的攻击者,另一方面对内部用户提供了最大的方便,因此也允许了内部攻击者对外部资源进行攻击
    • 出口过滤将防火墙规则应用到出口通信,最简单的出口过滤运行在网络层,以阻止来自内部网络的假的源地址分组
  7. IPSEC
    • IP的主要安全问题是身份鉴别、验证和隐私
    • IPSec是网络层安全标准的集成,使用IPSec的两台主机能使用身份鉴别和加密协议进行通信。身份鉴别可以基于网络层主机、子网、服务类型、传输层端口或应用层用户实施。不像IP,高层协议不需要提供自己的加密,也无需修改就可以用IPsec,这使IPSec成为安全连接和VPN的理想解决方案
  8. IPv6
    • IPv6和IPv4有很大的不同,它包含不同的报头格式,有很多重要的改进,包括:扩大的地址空间;支持路由组播和广播分组;在网络层身份鉴别和加密连接的功能,且高层协议可在加密通道上使用而无须修改协议,支持封装以允许网络隧道,加密和身份鉴别仪器,提供了完整的VPN解决方案
    • 从安全方面看,IPv6和IPSec本质上是相同的,两者都提供强的身份鉴别、加密和VPN支持,很多IPv6和IPSec的特点都是基于相同的RFC规范
    • 从可行性方面看,从IPv4转换到IPv6,路由器和网络设备必须更新以支持IPv6协议,相反任何支持IPv4的路由器也能支持IPSec,仅需源和目的站支持,而无须中间系统支持

FAQ

  1. 物理网闸的原理(内外网断开)
  2. 路由器攻击有哪些?
  3. 物理隔离的原理
  4. 链路层攻击方式有哪几种?各有什么特点?哪种最好?
  5. 网闸与防火墙的区别
  6. 网闸的指导思想与防火墙有下述很大的不同。
    • 防火墙的思路是在保障互联互通的前提下,尽可能安全;
    • 网闸的思路是在保证必须安全的前提下,尽可能互联互通,如果不安全则隔离断开。
posted @ 2022-05-06 10:08  FrancisQiu  阅读(55)  评论(0)    收藏  举报