北信科12级信息安全概论复习第三部分由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“信息安全概论复习”。
1.防火墙即是一个分离器、限制器也是一个分析器。三大要素:安全、管理和速度。
优点:
防火墙是网络安全的屏障;
控制对主机系统的访问;
监控和审计网络访问;
防止内部信息的外泄;
部署NAT机制;
缺点:
来自内部网络的攻击;
不经防火墙的攻击;
感染了病毒的的软件或文件的传输;
数据驱动式攻击;
利用标准网络协议中的缺陷进行的攻击;
利用服务器系统漏洞进行的攻击;
新的网络安全问题;
防火墙限制了有用的网络服务;
控制能力:
服务控制:确定哪些服务可以被访问
方向控制:对于特定的服务,可以确定允许哪个方向能够通过防火墙
用户控制:根据用户来控制对服务的访问
行为控制:控制一个特定的服务行为
国际标准化组织ISO的计算机专业委员会根据网络开放系统互连参考模型OSI/RM制定了一个网络安全体系结构,该模型主要用来解决网络系统中的信息安全问题。
分类:
包过滤防火墙;
状态检测防火墙;
应用程序代理防火墙; 包过滤防火墙:第一代防火墙和最基本形式的防火墙,检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则,称为包过滤防火墙。它是多址的,有两个或两个以上网络适配器或接口。允许建立多个复杂规则的组合。
优点:
防火墙对每条传入和传出网络的包实行低水平控制;
每个IP包的字段都被检查,如地址、协议、端口,进行规则过滤;
防火墙可以识别或丢弃带欺骗性源IP地址的包;
包过滤防火墙是两个网络之间访问的唯一途径;
包过滤通常包含在路由器中,不需要额外的系统来处理。
缺点:
配置困难;
为特定服务开放的端口存在危险,可能被用于其他应用;
存在其他方法绕过防火墙进入网络,如拨号连接。
包过滤原理:
包过滤技术针对网络数据包由信息首部和数据信息部分组成的特点而设计;
防火墙通过对信息首部的检测来决定是否将数据包发往目的地址,从而达到对进入和流出网络的数据进行监测和限制的目的。
包过滤防火墙可以被配置为根据协议报头的任何数据域(字段)进行分析和过滤,但是大多数过滤型防火墙只是针对性地分析最有用的数据域(字段)。
数据包过滤的功能依赖于包过滤规则,也称为访问控制列表。
满足访问控制列表的数据才被转发,其余数据则被从数据流中删除;
为保证流入和流出网络的数据包都被监控和检测,包过滤器必须放置在网络单点访问点的位置;
包过滤技术是防火墙技术的一部分,实际应用中常同边界路由器进行集成。
包过滤工作机制:
(1)配置访问控制列表(包过滤防火墙策略)
包过滤防火墙的组成:
一个脏端口:连接Internet;
一个净端口:连接内部网络;
一组访问控制列表规则:控制接口转发或阻断数据包分组来过滤网络数据流,依据规则对数据分组进行操作。
该过滤规则包括:
规则执行顺序;协议类型;数据包源地址;数据包源端口号 ;数据包目的地址;数据包目的端口号;数据操作;数据流向;
访问控制列表的配置方式:
限制策略:接受受信任的IP包,拒绝其他所有IP包。(建议策略)
宽松策略:拒绝不受信任的IP包,接受其他所有IP包
(2)动态访问控制列表(动态包过滤技术):
通过对包过滤技术进行改进和扩展实现对数据包的动态过滤。
动态访问控制列表,可以实现指定用户的IP数据流临时通过防火墙时,进行会话连接
动态访问控制列表被触发后,将重新配置接口上的已有的访问控制列表,允许指定的用户访问指定的IP地址
在会话结束后,将接口配置恢复到原来的状态。
(3)状态包检查技术 2.防火墙体系结构:
堡垒主机:指任何对网络安全至关重要的运行防火墙系统的主机,必须由网络管理员严密监视。
双宿主机防火墙:
屏蔽主机防火墙:类似双宿主机防火墙。
双宿主机防火墙与屏蔽主机防火墙的区别:
在屏蔽主机体系中,防火墙和Internet之间加了一个路由器来执行包过滤,对进入堡垒主机的通信进行筛选。堡垒主机主机可以用于其他安全的防护。提供安全的堡垒主机仅与被保护的内网相连。
而双宿主机防火墙没有负责包过滤的路由器;
优点:比双宿主机防火墙提供更高层次的安全;
缺点:若攻入堡垒主机,则可直接进入内部网络;
改进方法:可以将堡垒主机构造为一台应用网关或者代理服务器,使可用的网络服务经过代理服务器。
屏蔽子网防火墙:在外网与内网之间建立一个被隔离的子网,用两个包过滤路由器将子网与内外网分开,通过在周边网络上隔离堡垒主机,减少堡垒主机被入侵的可能。
结构:
外部路由器:只允许对DMZ(隔离区/子网)的访问,拒绝所有以内网为源地址的包,拒绝所有不以内网为源地址的包的离开。保护子网和内网使之免受来自外部网络的侵犯,通常只执行非常少的数据包过滤,外部路由器一般由外界提供。
DMZ(隔离区/子网):不设防区,通常放置DNS, Web , Email, FTP,Proxy Server等。
DMZ特点:
解决非子网容易受到渗透攻击的问题。
在内网与外网之间增加一个或几个子网;
为网络安全提供更高级的保护
需要更复杂的规则配置
是在防火墙部署时需要重点考虑的因素
内部路由器:保护内网防止来自外网或子网的访问,内网一般不对外提供服务,拒绝外部发起的一切连接,只允许由内对外的访问。内部路由器完成防火墙的大部分数据包过滤工作。
堡垒主机为内部主机提供访问外部网络的服务 3.入侵检测
概念
网络安全的实质:保障系统中的人、设备、设施、软件、数据等要素避免各种偶然的或人为的破坏或攻击,使它们发挥正常,保障系统能安全可靠地工作。为了提高网络安全性,需要从多个层次和环节入手,分别分析应用系统、宿主机、操作系统、数据库管理系统、网络管理系统、子网、分布式计算机系统和全网中的弱点,采取措施加以防范。
入侵检测是对传统非计算机安全机制的一种补充,针对网络安全不能只依靠单一的安全防御技术和防御机制
公式:t P>t D+ t R
t E=(t D+ t R)-t P
其中:
t p: 攻击时间;
t D: 检测时间;
t R: 响应时间;
t E: 暴露时间;
其他安全机制的局限性:
防火墙:可以阻止一类人群的进入,但无法阻止同一类人群中的破坏分子,但不能阻止来自内部的破坏
访问控制系统:可以保证不受低级权限的越级工作与破坏,不能保证高级权限的人做破坏工作。
漏洞扫描系统:可以提前发现漏洞,但不能实时扫描。
功能:
监控、分析用户和系统的活动;
审计系统的配置和弱点;
评估关键系统和数据文件的完整性;
识别攻击的活动模式;
对异常活动进行统计分析;
操作系统审计跟踪管理、识别违反安全策略的用户活动 4.入侵检测系统的分类:
(1)根据目标系统的类型:
基于主机(host-based)入侵检测系统:监测系统事件和操作系统下的安全记录与系统记录
基于网络(Network-based)入侵检测系统:是永远是网络数据包作为数据源。利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。
根据入侵检测系统分析的数据来源:
主机系统日志
原始的网络数据包
应用程序的日志
防火墙报警日志
其他入侵检测系统的报警信息
(2)根据入侵监测分析方法:
异常入侵检测系统:利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据
误用入侵检测系统:根据已知入侵攻击的信息(知识、模式等)来检测系统中的入侵和攻击
(3)根据检测系统对入侵攻击的响应方式:
主动的入侵检测系统:可自动对目标系统中的漏洞采取修补,强制可疑用户(可能的入侵者)退出系统以及关闭相关服务等对策和响应措施
被动的入侵检测系统:只是产生报警信息通知管理员,处理工作由管理员来完成(4)根据系统各个模块运行的分布方式:
集中式入侵检测系统:系统各个模块包括数据的收集、分析、响应集中在一台主机上,适用于网络环境较为简单的情况。
分布式入侵检测系统:系统的各个模块分布在不同的计算机、设备上。分布性主要体现在数据收集模块上,如果网络环境比较复杂、数据量较大,则数据分析模块也会分布。一般是按照层次性的原则进行组织的。5.入侵检测的技术实现
(1)误用检测:
概念:根据己知的攻击方法,预先定义入侵特征,通过判断这此特征是否出现来完成检测任务,大多数入侵检测产品主要采用误用检测。也称为基于规则的检测技术。
两种检测方法:
模式匹配(特征匹配):
原理简单,可扩展性好、最为常用。
原理:将收集到的信息与已知的网络入侵和系统误用模式知识库进行比较,以发现入侵行为
优点:只需收集相关的数据集合和维护一个知识库就能进行判断,检测准确率和效率也相当高
缺点:需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段
专家系统:
是最常用的方法,其知识库表现为一系列推导规则
优点:准确率高
缺点:只能检测已知的攻击
误用检测优点:算法简单、系统开销小、准确率高、效率高
误用检测缺点:只能检测已知的攻击、新类型的攻击会造成很大的威胁、需要维护庞大的知识库
(2)异常检测:
思想:任何正常人的行为都有一等的规律
考虑因素:
选择哪些数据来表现用户的行为;
通过数据如何有效的表示用户的行为,主要在于学习和检测方法的不同
考虑学习过程的时间长短、用户行为的时效性
优点:
可以检测未知入侵
可以检测冒用他人账号的行为
具有自适性、自学习功能
不需要系统先验知识
缺点:
漏报误报率高
如:入侵者课逐渐改变自己的行为来逃避检测;合法用户突然改变正常行为会造成报警
统计算法的计算量大、效率低
统计点的选取与参考库的建立比较困难 6.Snort
体系结构:
数据包捕获和解码子系统
检测引擎
日志及报警子系统
基本规则描述:
规则规定:要检测什么
规则的组成:规则头+规则选项
规则头:包含动作、协议、源(目的)地址和端口、数据流向。这是所有规则共有的部分
规则选项:包含报警信息、匹配内容等选项。这些内容需要根据具体规则的性质确定。
第一章1、信息安全的基本属性:(1)可用性(2)机密性(3)非否认性(4)可控性(5)真实性(6)完整性2、信息安全技术是指保障信息安全的技术,具体来说,它包括对信息的伪装、验证及对信息系统的保护等......
第一章1、认识论层次上的信息。2、本课程给出的关于信息的定义(信息的来源)?3、广义的信息资源定义?4、讲义中赖茂生给出的信息资源定义。5、信息资源的种类按照运营机制划分的......
心理健康教育概论习题一、判断题1、健康不仅是人们最珍惜的生活需要,而且是人类创造物质文明和精神文明的社会发展基础。(√)2、身体健康就是真正的健康。(×)3、健康是指没有疾......
浅析高校校园网信息安全的现状与防范摘要:信息安全是高校信息化建设的根本保证,高校通过制定一系列校园网信息安全来保障校园网的安全。本文概述了高校校园网信息安全的现状,提......
个人计算机信息安全概论一、重要性的认识随着现代化科技的发展,个人计算机已经走进全家万户,越来越多的人们喜欢在个人计算机上进行工作、娱乐、休闲、购物,商家们也抓紧商机,纷......
