应用层安全协议
应用层安全协议概念
- S-HTTP或SHTTP(Sec HTTP),安全超文本传输协议,是HTTP扩展,使用TCP的80端口
- HTTPS: HTTP+SSL,使用TCP的443端口。与TLS(传输层安全标准)是双胞胎,为4.5层协议
PGP
- PGP是电子邮件加密软件包, 是一款软件,把RSA公钥体系的高保密和传统加密体系的高速度巧妙的结合起来,称为最流行的电子邮件加密系统
- 可以用来加密文件方式非授权者阅读,还能数字签名,防止篡改
PGP服务
- PGP提供两种服务: 数据加密和数字签名,使用RSA对公钥证书加密认证 , IDEA(128位密钥)进行数据加密,MD5进行完整性验证
- 加密算法:支持IDEA、CAST、3DES算法对消息进行加密,采用Elgamal或RSA算法用接收方的公钥加密会话密钥
- 数字签名 :采用SHA-1、MD5消息摘要算法计算消息的摘要值,用发送者的私钥按DSS或RSA算法加密消息摘要
PGP广泛应用的特点
- 能够在各种平台上免费使用,有众多厂商支持
- 基于比较安全的加密算法(RSA、IDEA、MD5)
- 应用领域广泛,可加密文件,也可用于个人安全通信
- 不是政府或标准化组织开发和控制的
- 网民普遍喜欢这种自由化的软件包
安全电子交易协议SET
- 保证购物安全,以信用卡为基础,在线交易的标准
安全性高,保证信息传输的机密性、真实性、完整性和不可否认性
- SET是安全协议和报文格式的集合,融入了SSL、STT、SHTTP、PKI等加密签名认证等。采用公钥密码体制和X.509数字证书,称为目前公认的信用卡网上交易的国际标准
SET提供的服务
- 保证客户交易信息的保密性和完整性
- 确保商家和客户交易行为的不可否认性
- 确保商家和客户的合法性
双重签名技术
- 消费者对订单信息和支付信息进行签名,商家看不到消费者账号信息,银行看不到消费者订购信息,但可确认是真实的
应用层安全协议Kerberos
- Kerberos是一项认证范围,3A认证有验证、授权和记账
- 防重放、保护数据完整性
AS认证服务器,TGS票据授予服务器,V应用服务器
基于Kerberos的网关模型
用户初始登录一行,用户名和密码长期保存在内存中,用户登录新应用时,系统会自动提取用户名和密码,用户不需再输入
防火墙技术
防火墙基本概念
- 定义:
- 来源于建筑物防火墙一词,位于两个或多个网络之间,执行访问控制策略,过滤进出数据包的一种软件或硬件设备, ==是一个由软件和硬件设备组合而成,位于内外网之间、专用与公共网之间的保护屏障==
- 防火墙的要求:
- 所有进出网络的通信流量都必须经过防火墙
- 只有内部访问策略授权的通信才能允许通过
- 防火墙本身具有很强的高可靠性
- 防火墙的主要功能:
- 访问控制功能
- 内容控制功能
- 全面的日志功能
- 集中管理功能
- 自身的安全功能
- 防火墙的附加功能 :
- 流量控制
- 网络地址转换NAT
- 虚拟专用网VPN
- 防火墙的局限性:
- 关闭限制了一些访问带来不便
- 对内部的攻击无能为力
- 带来传输延迟单点失效
- 其他
- 防火墙的技术分类(OSI不同层次的防火墙):
- 包过滤防火墙
- ==工作在网络层,通过检查数据包包头,对数据包进行筛选==
- 代理防火墙
- ==工作在应用层,通过代理服务器在内外网之间进行请求核实,代理服务器也称应用层网关==
- 状态化包过滤防火墙
- ==工作在网络层==
- 包过滤防火墙
防火墙分类
- 个人防火墙 :保护单个主机,有瑞星防火墙、天网防火墙、费尔防火墙等。
- 企业防火墙 :对整个网络实时保护,有赛门铁克防火墙、诺顿防火墙、思科防火墙、华为防火墙、Juniper防火墙等)。
- 软件防火墙 :有瑞星防火墙、天网防火墙、微软ISAServer、卡巴斯基防火墙等。
- 硬件防火墙 :思科防火墙、Juniper防火墙等。
华为防火墙的网络划分
- 连接外部网络的不信任区域(Untrust)
- 连接内部用户主机的信任区域(Trust)
- 连接需要对外提供应用服务的DMZ区域(DemilitarizedZone)—非军事区(停火区)
防火墙体系结构
- 双宿主机模式
- 防火墙具有两个网卡接口,通过包过滤代理访问网络。这是比较简单的一种结构。一般可以根据IP地址和端口号进行过滤
- 屏蔽子网模式
- 又叫过滤子网模式,两个包过滤路由器中间建立一个隔离的子网,定义为DMZ网络,也称为非军事化区域,这是目前防火墙最常用的模式
防火墙的工作模式
- ==路由模式、透明模式、混合模式3种。==
- 路由模式 :
- 如果防火墙以第三层对外连接(接口具有IP地址),则认为防火墙工作在路由模式下。
- 透明模式 :
- 防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下。
- 混合模式 :
- 若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP地址,某些接口无IP地址)
防火墙的访问规则
- 3种接口,
- 内部接口(Inbound)连接内网和内网服务器。
- 外部接口(Outbound)连接外部公共网络。
- 中间接口(DMZ)连接对外廾放服务器。
- Inbound可以访问任何Outbound和dmz区域
- dmz可以访问Outbound区域
- Outbound访问dmz需配合static(静态地址转换)
- Inbound访问dmz需要配合acl(访问控制列表)
防火墙配置
- Dual-homed方式
- 此方式最简单,Dual-homedGateway放置在两个网络之间,这个
Dual-homed Gateway
又称为Bastion host
.这种==结构成本低==,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受”黑客“攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
- 此方式最简单,Dual-homedGateway放置在两个网络之间,这个
- Screened-host方式
Screening router
为保护Bastion host
的安全建立了一j首屏障。它将所有进入的信息先送往Bastion host
,并且只接受来自Bastion host
的数据作为出去的数据。这种结构依赖Screening router
和Bastion host
,只要有一个失败,整个网络就暴露了。
- Screened-subnet方式
- 包含两个
Screening router
和两个Bastion host
.==在公共网络和私有网络之间构成了一个隔离网,称之为“停火区”(DMZ,即DemilitarizedZone)==,Bastion host
放置在“停火区”内。这种==结构安全性好==,只有当两个安全单元被破坏后,网络才被暴露,但是==成本也很昂贵==
- 包含两个
网络攻击
- 定义
- 网络攻击(Cyberattack,也译为赛博攻击)是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的,任何类型的进攻动作。在电脑和电脑网络中,破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一电脑的资料,都会被视为于电脑和电脑网络中的攻击
常见网络攻击方式
拒绝服务攻击(DOS攻击)
拒绝服务攻击实现的流程:攻击者大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
SQL注入攻击
- 攻击原理 :
- 通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,获取攻击者想要取得的数据。具体来说,它是==利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力==。
SQL注入攻击属于数据库安全攻击手段之一,可以通过数据库安全防护技术实现有效防护,数据库安全防护技术包括:数据库漏扫数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。
SQL注入攻击会导致的数据库安全风险包括:刷库、拖库、撞库
- 通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,获取攻击者想要取得的数据。具体来说,它是==利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力==。
跨站脚本攻击
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。
攻击原理 :
- 用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者y4通过在这些链接中插入恶意代码,就能够盗取用户信息、破坏页面结构、重定向导其他网站等
- 跨站脚本攻击(
Cross Site Scripting
)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets
,CSS)的缩写混淆。因此有人将跨站脚本攻击缩写为XSS,如果你听到有人说”我发现了一个XSS漏洞”,显然他是在说跨站脚本攻击。
网络攻击分类
被动攻击
- 攻击者通过监视所有信息流以获取某些秘密
- 基于网络或操作系统的
- 很难被检测到,只可==通过预防应付该类攻击==,主要通过==数据加密==的方式
主动攻击
- 涉及数据流的修改或创建错误流
- 主要攻击形式
- 假冒
- 欺骗
- 消息篡改
- 拒绝服务
- 无法预防但可以检测
- 检测手段: ==防火墙、入侵检测技术==
物理临近攻击
未授权者可物理上接近网络、系统或设备,目的是修改、手机或拒绝访问信息
内部人员攻击
- 信息安全处理系统由直接访问权的人直接干预系统进行攻击
分发攻击
在软件和硬件开发出来之后和安装之前这段时间,受攻击者而已修改软/硬件
病毒和木马
病毒 :一段可执行的程序代码,通过其他可执行程序启动和感染传播,可自我复制,难以清除,破坏性强。(强盗)
- 木马 :一种潜伏在计算机里并且秘密开放一个甚至多个数据传输通道的远程控制程序。C/S结构,客户端也称为控制端。偷偷盗取账号、蜜码等信息。(间谍)
- 恶意代码 :又称恶意软件。也称为广告软件、间谍软件,没有作用却会带来危险。(恶搞)
常见病毒木马的特征分类
- 文件宏病毒:
- 感染Offic文件,前缀Macro或者word/excel等
- 蠕虫病毒 :
- 前缀Worm,通过系统漏洞传播
- 木马病毒 :
- 前缀Trojan,黑客病毒前缀Hack,往往成对出现
- 系统病毒 :
- 前缀Win32、PE、Win95等
- 脚本病毒 :
- 前缀Script,通过网页传播
黑客与骇客
- 黑客技术高超,帮助测试建设网络
- 骇客专门搞破坏或恶作剧
黑客攻击
- 拒绝服务攻击
- huanchongq溢出攻击
- 漏洞攻击
- 网络欺骗攻击
- 网络钓鱼
- 僵尸网络
预防攻击
- 安装杀毒软件、硬件防火墙和UTM统一威胁安全管理设备,合理设置安全策略,制定应急预案
IDS与IPS
入侵检测系统IDS
- 位于防火墙之后的第二道安全屏障,是防火墙的有力补充
- 通过对网络关键点收集信息并对其分析,检测到违反安全策略的行为和入侵的迹象,做出自动反应,在系统损坏或数据丢失之前阻止入侵者的进一步行动
入侵防御系统IPS
- 位于防火墙之后的第二道安全屏障,是防火墙的有力补充
- 通过对网络关键点收集信息并对其分析,检测到攻击企图,就会自动将攻击包丢掉或采取措施阻挡攻击源,切断网络
IPS/IDS和防火墙的区别
- 防火墙一般只检测网络层和传输层的数据报,不能检测应用层的内容
- IPS/IDS可以检查字节内容
- IPS与IDS的区别
- IPS是串接在网络中,会切断网络
- IDS是旁路式并联在网络中,不切断网络
- IDS/IPS:
- 连接在需要把交换机端口配置成镜像端口上,可以检测全网流量
计算机系统安全等级
美国国防部提出可信计算机系统评测标准TCSEC(习惯上称橘皮书),TCSEC将系统分成ABCD四类7个安全级别:
- D级 :级别最低,保护措施少,没有安全功能;
- C级 :自定义保护级。
- C1级 :自主安全保护级。
- C2级 :受控访问级实现更细粒度的自主访问控制,通过登录规程、审计安全性事件以隔离资源。
Windows NT 4.0
属于C2级。- B级 :强制保护级
- Bl 标记安全保护级
- B2 结构化安全保护级
- B3 安全域
- A级 :可验证的保护
- Al :拥有止式的分析和数学方法。