# 应用层安全协议

# 应用层安全协议概念

  • S-HTTP 或 SHTTP(Sec HTTP),安全超文本传输协议,是 HTTP 扩展,使用 TCP 的 80 端口

  • HTTPS: HTTP+SSL,使用 TCP 的 443 端口。与 TLS(传输层安全标准)是双胞胎,为 4.5 层协议

    shttp

# PGP

  • PGP 是电子邮件加密软件包, 是一款软件,把 RSA 公钥体系的高保密和传统加密体系的高速度巧妙的结合起来,称为最流行的电子邮件加密系统
  • 可以用来加密文件方式非授权者阅读,还能数字签名,防止篡改

# PGP 服务

  • PGP 提供两种服务: 数据加密和数字签名,使用 RSA 对公钥证书加密认证 , IDEA(128 位密钥)进行数据加密,MD5 进行完整性验证
  • 加密算法:支持 IDEA、CAST、3DES 算法对消息进行加密,采用 Elgamal 或 RSA 算法用接收方的公钥加密会话密钥
  • 数字签名 :采用 SHA-1、MD5 消息摘要算法计算消息的摘要值,用发送者的私钥按 DSS 或 RSA 算法加密消息摘要

# PGP 广泛应用的特点

  1. 能够在各种平台上免费使用,有众多厂商支持
  2. 基于比较安全的加密算法(RSA、IDEA、MD5)
  3. 应用领域广泛,可加密文件,也可用于个人安全通信
  4. 不是政府或标准化组织开发和控制的
  5. 网民普遍喜欢这种自由化的软件包

# 安全电子交易协议 SET

  • 保证购物安全,以信用卡为基础,在线交易的标准

  • 安全性高,保证信息传输的机密性、真实性、完整性和不可否认性

    set

  • SET 是安全协议和报文格式的集合,融入了 SSL、STT、SHTTP、PKI 等加密签名认证等。采用公钥密码体制和 X.509 数字证书,称为目前公认的信用卡网上交易的国际标准

# SET 提供的服务

  1. 保证客户交易信息的保密性和完整性
  2. 确保商家和客户交易行为的不可否认性
  3. 确保商家和客户的合法性

# 双重签名技术

  • 消费者对订单信息和支付信息进行签名,商家看不到消费者账号信息,银行看不到消费者订购信息,但可确认是真实的

# 应用层安全协议 Kerberos

  • Kerberos 是一项认证范围,3A 认证有验证、授权和记账
  • 防重放、保护数据完整性
  • AS 认证服务器,TGS 票据授予服务器,V 应用服务器

kbros

# 基于 Kerberos 的网关模型

  • 用户初始登录一行,用户名和密码长期保存在内存中,用户登录新应用时,系统会自动提取用户名和密码,用户不需再输入

    kbwg

# 防火墙技术

# 防火墙基本概念

  • 定义
    • 来源于建筑物防火墙一词,位于两个或多个网络之间,执行访问控制策略,过滤进出数据包的一种软件或硬件设备, 是一个由软件和硬件设备组合而成,位于内外网之间、专用与公共网之间的保护屏障
  • 防火墙的要求
    • 所有进出网络的通信流量都必须经过防火墙
    • 只有内部访问策略授权的通信才能允许通过
    • 防火墙本身具有很强的高可靠性
  • 防火墙的主要功能
    • 访问控制功能
    • 内容控制功能
    • 全面的日志功能
    • 集中管理功能
    • 自身的安全功能
  • 防火墙的附加功能
    • 流量控制
    • 网络地址转换 NAT
    • 虚拟专用网 VPN
  • 防火墙的局限性
    • 关闭限制了一些访问带来不便
    • 对内部的攻击无能为力
    • 带来传输延迟单点失效
    • 其他
  • 防火墙的技术分类(OSI 不同层次的防火墙):
    • 包过滤防火墙
      • 工作在网络层,通过检查数据包包头,对数据包进行筛选
    • 代理防火墙
      • 工作在应用层,通过代理服务器在内外网之间进行请求核实,代理服务器也称应用层网关
    • 状态化包过滤防火墙
      • 工作在网络层

# 防火墙分类

  • 个人防火墙 :保护单个主机,有瑞星防火墙、天网防火墙、费尔防火墙等。
  • 企业防火墙 :对整个网络实时保护,有赛门铁克防火墙、诺顿防火墙、思科防火墙、华为防火墙、Juniper 防火墙等)。
  • 软件防火墙 :有瑞星防火墙、天网防火墙、微软 ISAServer、卡巴斯基防火墙等。
  • 硬件防火墙 :思科防火墙、Juniper 防火墙等。

# 华为防火墙的网络划分

  1. 连接外部网络的不信任区域(Untrust)
  2. 连接内部用户主机的信任区域(Trust)
  3. 连接需要对外提供应用服务的 DMZ 区域(DemilitarizedZone)–非军事区(停火区)

# 防火墙体系结构

  • 双宿主机模式
    • 防火墙具有两个网卡接口,通过包过滤代理访问网络。这是比较简单的一种结构。一般可以根据 IP 地址和端口号进行过滤
  • 屏蔽子网模式
    • 又叫过滤子网模式,两个包过滤路由器中间建立一个隔离的子网,定义为 DMZ 网络,也称为非军事化区域,这是目前防火墙最常用的模式

# 防火墙的工作模式

  • 路由模式、透明模式、混合模式 3 种。
  • 路由模式
    • 如果防火墙以第三层对外连接(接口具有 IP 地址),则认为防火墙工作在路由模式下。
  • 透明模式
    • 防火墙通过第二层对外连接(接口无 IP 地址),则防火墙工作在透明模式下。
  • 混合模式
    • 若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有 IP 地址,某些接口无 IP 地址)

# 防火墙的访问规则

  • 3 种接口,
    1. 内部接口 (Inbound) 连接内网和内网服务器。
    2. 外部接口(Outbound)连接外部公共网络。
    3. 中间接口(DMZ)连接对外廾放服务器。

  1. Inbound 可以访问任何 Outbound 和 dmz 区域
  2. dmz 可以访问 Outbound 区域
  3. Outbound 访问 dmz 需配合 static (静态地址转换)
  4. Inbound 访问 dmz 需要配合 acl(访问控制列表)

# 防火墙配置

  • Dual-homed 方式
    • 此方式最简单,Dual-homedGateway 放置在两个网络之间,这个 Dual-homed Gateway 又称为 Bastion host . 这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受 " 黑客 “攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
  • Screened-host 方式
    • Screening router 为保护 Bastion host 的安全建立了一 j 首屏障。它将所有进入的信息先送往 Bastion host ,并且只接受来自 Bastion host 的数据作为出去的数据。这种结构依赖 Screening routerBastion host ,只要有一个失败,整个网络就暴露了。
  • Screened-subnet 方式
    • 包含两个 Screening router 和两个 Bastion host . 在公共网络和私有网络之间构成了一个隔离网,称之为 “停火区 "(DMZ,即 DemilitarizedZone)Bastion host 放置在 “停火区 " 内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵

# 网络攻击

  • 定义
    • 网络攻击(Cyberattack,也译为赛博攻击)是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的,任何类型的进攻动作。在电脑和电脑网络中,破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一电脑的资料,都会被视为于电脑和电脑网络中的攻击

# 常见网络攻击方式

# 拒绝服务攻击(DOS 攻击)

拒绝服务攻击实现的流程:攻击者大量伪造的 TCP 连接请求,使被攻击方资源耗尽(CPU 满负荷或内存不足)的攻击方式。

  • 造成的危害
    • 消耗系统资源(带宽、内存、队列、CPU);
    • 导致目标主机宕机,
    • 阻止授权用户正常访问服务(慢、不能连接、没有响应);

# 分布式拒绝服务攻击(DDOS 攻击)

基于 DOS 攻击,借助于客户 / 服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动 DDoS 攻击,从而成倍地提高拒绝服务攻击的威力
其他常见的 DOS 攻击还有 SYNF loodPing of DeathTeardrop 攻击、 Land 攻击、 SmurfIn 击、 winnuke 攻击等

# SQL 注入攻击

  • 攻击原理 :
    • 通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令,获取攻击者想要取得的数据。具体来说,它是利用现有应用程序,将(恶意的)SQL 命令注入到后台数据库引擎执行的能力

SQL 注入攻击属于数据库安全攻击手段之一,可以通过数据库安全防护技术实现有效防护,数据库安全防护技术包括:数据库漏扫数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。
SQL 注入攻击会导致的数据库安全风险包括:刷库、拖库、撞库

# 跨站脚本攻击

  • 跨站脚本攻击(也称为 XSS)指利用网站漏洞从用户那里恶意盗取信息。

  • 攻击原理

    • 用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者 y4 通过在这些链接中插入恶意代码,就能够盗取用户信息、破坏页面结构、重定向导其他网站等
  • 跨站脚本攻击( Cross Site Scripting ) 缩写为 CSS,但这会与层叠样式表 ( Cascading Style Sheets ,CSS)的缩写混淆。因此有人将跨站脚本攻击缩写为 XSS, 如果你听到有人说 "我发现了一个 XSS 漏洞",显然他是在说跨站脚本攻击。

# 网络攻击分类

# 被动攻击

  • 攻击者通过监视所有信息流以获取某些秘密
  • 基于网络或操作系统的
  • 很难被检测到,只可通过预防应付该类攻击,主要通过数据加密的方式

# 主动攻击

  • 涉及数据流的修改或创建错误流
  • 主要攻击形式
    • 假冒
    • 欺骗
    • 消息篡改
    • 拒绝服务
  • 无法预防但可以检测
  • 检测手段: 防火墙、入侵检测技术

# 物理临近攻击

  • 未授权者可物理上接近网络、系统或设备,目的是修改、手机或拒绝访问信息

    wlgj

# 内部人员攻击

  • 信息安全处理系统由直接访问权的人直接干预系统进行攻击

# 分发攻击

  • 在软件和硬件开发出来之后和安装之前这段时间,受攻击者而已修改软 / 硬件

# 病毒和木马

  • 病毒 :一段可执行的程序代码,通过其他可执行程序启动和感染传播,可自我复制,难以清除,破坏性强。(强盗)
  • 木马 :一种潜伏在计算机里并且秘密开放一个甚至多个数据传输通道的远程控制程序。C/S 结构,客户端也称为控制端。偷偷盗取账号、蜜码等信息。(间谍)
  • 恶意代码 :又称恶意软件。也称为广告软件、间谍软件,没有作用却会带来危险。(恶搞)

# 常见病毒木马的特征分类

  • 文件宏病毒
    • 感染 Offic 文件,前缀 Macro 或者 word/excel 等
  • 蠕虫病毒
    • 前缀 Worm,通过系统漏洞传播
  • 木马病毒
    • 前缀 Trojan,黑客病毒前缀 Hack, 往往成对出现
  • 系统病毒
    • 前缀 Win32、PE、Win95 等
  • 脚本病毒
    • 前缀 Script,通过网页传播

# 黑客与骇客

  • 黑客技术高超,帮助测试建设网络
  • 骇客专门搞破坏或恶作剧

# 黑客攻击

  1. 拒绝服务攻击
  2. huanchongq 溢出攻击
  3. 漏洞攻击
  4. 网络欺骗攻击
  5. 网络钓鱼
  6. 僵尸网络

# 预防攻击

  • 安装杀毒软件、硬件防火墙和 UTM 统一威胁安全管理设备,合理设置安全策略,制定应急预案

# IDS 与 IPS

# 入侵检测系统 IDS

  • 位于防火墙之后的第二道安全屏障,是防火墙的有力补充
  • 通过对网络关键点收集信息并对其分析,检测到违反安全策略的行为和入侵的迹象,做出自动反应,在系统损坏或数据丢失之前阻止入侵者的进一步行动

# 入侵防御系统 IPS

  • 位于防火墙之后的第二道安全屏障,是防火墙的有力补充
  • 通过对网络关键点收集信息并对其分析,检测到攻击企图,就会自动将攻击包丢掉或采取措施阻挡攻击源,切断网络

# IPS/IDS 和防火墙的区别

  • 防火墙一般只检测网络层和传输层的数据报,不能检测应用层的内容
  • IPS/IDS 可以检查字节内容
  • IPS 与 IDS 的区别
    • IPS 是串接在网络中,会切断网络
    • IDS 是旁路式并联在网络中,不切断网络
  • IDS/IPS:
    • 连接在需要把交换机端口配置成镜像端口上,可以检测全网流量

# 计算机系统安全等级

美国国防部提出可信计算机系统评测标准 TCSEC (习惯上称橘皮书),TCSEC 将系统分成 ABCD 四类 7 个安全级别:

  • D 级 :级别最低,保护措施少,没有安全功能;
  • C 级 :自定义保护级。
    • C1 级 :自主安全保护级。
    • C2 级 :受控访问级实现更细粒度的自主访问控制,通过登录规程、审计安全性事件以隔离资源。 Windows NT 4.0 属于 C2 级。
  • B 级 :强制保护级
    • Bl 标记安全保护级
    • B2 结构化安全保护级
    • B3 安全域
  • A 级 :可验证的保护
    • Al :拥有止式的分析和数学方法。