第10章 网络安全技术
选择题 33~36 应用题(2~4分)
10.1 数据备份策略和磁盘阵列备份方式
数据备份策略
备份策略:完全备份、增量备份和差异备份
- 完全备份:对用户指定的所有数据文件或整个系统进行全面备份
- 增量备份:只备份自上次任意备份后新建的,修改过的文件
- 差异备份:与增量备份相似,只备份自上次完全备份后新建的,修改过的文件
备份模式:物理备份和逻辑备份
是否接收用户响应和进行数据更新,分为在线备份和离线备份(热备份和冷备份)
完全备份 增量备份 差异备份 空间使用 最多 最少 少于完全备份 备份速度 最慢 最快 快于完全备份 恢复速度 最快 最慢 快于增量备份
磁盘阵列方式 RAID
RAID是指多个类型、容量、接口,甚至品牌一致的专用硬盘连成一个阵列,提高数据读取速度和安全性的一种手段。
- 最大特点:数据存储速度特别快
- RAID10 就是RAID 0和RAID 1的组合
- RAID 0是需要通过磁盘数据镜像实现数据冗余
- RAID 5可以在所有磁盘上交叉地存取数据及奇偶校验信息
- RAID 5可靠性优于RAID 1
- 磁盘阵列需要RAID控制器,若服务器主板无RAID控制器,则需要在PCI插槽上外加RAID控制器
- RAID控制器接口通常是SCSI接口,也有IDE、SATA,有些阵列卡提供2个甚至4个磁盘接口通道
10.2 加密技术
对称加密技术
加密系统的加密密钥和解密密钥相同,或者虽然不同,可以从其中一个密钥推导出另一个密钥。使用对称加密方法,加密方和解密方必须使用同一种加密算法和向彤的密钥。
- 数据加密(DES)算法:使用64位的密钥长度,8位用于奇偶校验,用户使用56位
- 国际数据加密(IDEA)算法:明文和密文都是64位,密钥长度为128位,速度和能力类似于DES,但是更加安全
- 更加安全的:RC2算法、RC4算法、Skipjack算法
- 采用对称加密算法,网络中N个用户之间进行加密通信,需要密钥个数是N*(N-1)
非对称密钥技术(公钥)
加密与解密使用不同的密钥,用来加密的密钥是可以公开的,用来解密的私钥是保密的。
- 常用的公钥算法:RSA算法,DSA算法、ECC椭圆曲线算法、PKCS算法与PGP算法
- RSA体制多用在数字签名、密钥管理和认证等方面
- 采用非对称加密算法,网络中N个用户之间进行加密通信,需要密钥个数是2N
10.3 入侵防护系统——IPS(入侵防护系统)
概念
入侵检测技术就是对入侵行为进行检测的技术。
- 监视、分析用户和系统的行为
- 审计系统配置和漏洞
- 评估敏感系统和数据的完整性
- 对异常行为进行统计分析识别攻击行为,并向网络管理人员报警
- 对操作系统进行审计、跟踪管理,识别违反授权的用户活动
分类
- 基于主机的入侵检测系统HIDS:通常在被检测的主机上运行一个代理程序,用于监视、检测对于主机的攻击行为,通知用户并进行相应
- 基于网络的入侵检测系统:通常将网卡设置成”混杂模式“来收集在网上出现的数据帧,可采用的基本识别技术包括:模式匹配、频率或阈值、事件的相关性、统计意义上的被正常现象检测
分布式入侵检测系统
解决了集中式入侵检测系统处理能力有限、容易单点失效等缺点。
三种类型:层次式、协作式和对等式
- 对等式:真正的避免了单点失效的发生
入侵防护系统的概念
IPS是将防火墙技术和入侵检测技术进行整合并采用In-line的工作模式的系统,该系统倾向于提供主动防护,其设计宗旨式预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。
入侵防护系统主要包括嗅探器、日志系统、检测分析组件、状态开关、策略执行组件和控制台6个部分。
- 基于主机的入侵防护系统HIPS:安装在受保护的主机系统中
- 可以通过监视内核的系统调用来阻挡攻击并记录日志
- 可以阻断缓冲区溢出、改变登录口令、改写动态链接库或其他试图从操作系统夺取控制权的入侵行为
- 基于网络的入侵防护系统NIPS:布署在网络出口处,一般串联于防火墙于路由器之间
- 攻击的误报将导致合法的通信被阻断,导致拒绝合法的通信被阻断,导致拒绝服务,而性能不足会带来合法通信的延迟,甚至成为网络的瓶颈
- 应用入侵防护系统AIPS:基于主机的入侵防护系统而来,一般部署在应用服务器前端,进而保证了应用服务器的安全性
- 应用入侵防护系统能够防止 SQL代码嵌入、缓冲区溢出、畸形数据包、cookie篡改、参数篡改、强制浏览、数据类型不匹配以及其他已知漏洞攻击。
- 基于主机的入侵防护系统HIPS:安装在受保护的主机系统中
10.4 防火墙PIX配置过程
- 基本概念
- 软件和硬件设备组合而成的,在内部网和外部网之间、专用网与公共网之间的。
- 由服务访问规则、验证工具、包过滤和应用网关4个部分组成
- 布署在企业内网和外网之间,对外服务器布署在DMZ区中
- 安装与配置
网络接口
- 外部网络区域(外网):是互联网络中不被信任的区域
- 内部网络区域(内网):是互联网络中的信任区域,应受防火墙的保护
- DMZ(停火区):是一个隔离的网络,或几个网络,在DMZ区中的主机称为堡垒主机,放置Web服务器等
PIX 525防火墙访问管理模式
- 非特权模式:开机自检后,就是处于非特权模式,显示"pixfirewall"
- 特权模式:输入"enable"进入特权模式,可以改变当前配置,显示为"pixfirewall#"
- 配置模式:输入"configure terminal"进入配置模式,绝大部分系统配置都在这里进行。显示为"pixfirewall(config)#"
- 监视模式:在PIX防火墙在开机或重启过程中,按住Escape键或发送一个"Break"字符,即可进入监视模式,这里可以更新操作系统映像和进行口令恢复。"monitor>"
PIX 525防火墙的基本配置
9个基本配置命令:nameif、interface、ip address、nat、global、route、static、conduit、fixup
nameif:用于配置防火墙接口的名字,并指定安全级别
nameif ethernet0 outside security 0
nameif ethernet1 inside security 100
nameif dmz security 50
以太网0端口为外部接口,安全级别是0
以太网1端口为内部接口,安全级别是100
安全级别1~99,数字越大越安全,DMZ为50
NAT:指定要进行转换的内部地址。NAT命令总是与global命令一起使用
global:指定外部地址范围(地址池) 。内网的主机通过防火墙要访问外网时,防火墙将使用这段IP地址池为要访问外网的主机分配一个全局IP地址。
static:配置静态NAT,static命令用于创建内部IP地址和外部IP地址之间的静态映射
conduit:管道命令
- conduit permit|deny global_ip port [-port] protocol foreigh_ip [netmask]
- permit|deny表示允许或拒绝访问
- global_ip 指的是global或static命令定义的全局IP地址
- port指的是服务所作用的端口
- protocol指的是连接协议
- foreigh_ip表示可访问global_ip的外部IP
- 例如:conduit permit tcp host 192.168.0.8 eq www any
fixup:配置FIXUP协议
fixup命令的作用是启用、禁止、改变-个服务或协议通过PIX防火墙的端口,由fixup命令指定的端口是PIX防火墙要侦听的服务。
- 启用FTP:fixup protocol ftp 21
- 禁用SMTP协议:no fixup protocol smtp
10.5 网络版防病毒软件的安装与配置
系统结构
4个子系统:系统中心、服务器端、客户端、管理控制台
安装
- 在服务器(全天候开机,连接Internet)上同时安装服务器端、管理控制台
- 服务器端和客户端都可以采用本地安装、远程安装、Web安装和脚本安装
- 控制台安装通过光盘安装和远程安装(管理控制台既可以安装到服务器端,也可以安装在客户端)
主要参数配置
- 升级
- 从网站升级
- 从上级中心升级
- 手动升级
- 数据通信端口可以设定
- 升级
预览: