Day2 of 6
来源:互联网 发布:今天原油api数据 编辑:程序博客网 时间:2024/06/05 15:13
企业网络安全管理与实践
衔接第一天第二节课
如何保障安全
什么是企业网络安全
C : 未授权的访问
I : 未授权的操作和更改
A : 拒绝服务
网络安全策略要素
一个新的网络,从哪里入手
- 保密策略 :审计外发和接收的全部信息,邮件,访问的网址,搜索记录
- 访问策略 :不透露本地信息
安全信息提示 (图为ftp): 不要透露服务器版本类型
- 维护策略 :内外部人员访问控制
- 职责策略 :
- 认证策略 :
- 可用性声明 :故障处理
构建网络安全
网络安全区域
分为不同功能、安全级别
安全区域
常见的防火墙区域:
trust(内部)级别最高 ->
DMZ(企业邮箱官网,常用为外部提供服务) ->
untrust(外部最低)
企业网常见格局
“三角形式”:常见,一个防火墙连接+网关
“DMZ在防火墙之外”:DMZ失去安全保障
“背靠背设计”:层叠防火墙,把DMZ放在中间,两台防火墙用异构方式处理,一个是网关,一个是连接(内网与外网?)。多用于金融等安全性要求很高的
设备安全
物理安全:
拓扑重复冗余(多好几条线等),在三层结构中间
设备冗余:
图为telnet连接过程,全明文
交换机、路由器、其他设备安全:
访问控制(只希望管理员登录(只允许某IP登陆),在路由器上配置 ACL)
安全路由
安全交换
略
防火墙和入侵检测
过滤流量。白名单机制,默认阻塞所有,只允许好的过。
包过滤防火墙(无状态)
基于原目的IP端口
解决策略,放行一本机IP端口对应一服务器IP端口,外端口放行,内端口放行
状态检测防火墙(有状态)
维护一个表,返回数据包时查表判断是否属于回复的数据包,如果是就在内端口自动放行。
演示:(包过滤)
- 内外端口全关
- 开启内端口放行(根据IP 端口),发出请求
request 请求,从PC到服务器
response 应答,说明服务器收到并正确回复
从目的网络不可达到请求超时
- 再开启外端口放行(根据IP端口)
ping通了
应用层网关
防火墙代理用户访问
下一代防火墙
防火墙在网络中的位置
- 对于企业边界,防火墙还是路由器更靠近边界?
思科官方推荐为路由器
如果对外是大量信息交换推荐路由器,否则防火墙处理不过来,影响效率
可使用带有防火墙功能的路由器
小型网络:使用带有路由功能的防火墙
在业务边界和远程访问边界会有防火墙,安全隔离
运营商不管安全,只保证转发能力
入侵检测/防御系统
从关键点拦截数据进行分析发现时是否有攻击
可能是单独硬件,可能是防火墙的模块
IDS:入侵检测系统,防火墙的补充。第二道安全。
位于sensor,作为旁路:
- IDS获得镜像的流量
- 与签名进行对比
- 向控制台发送信息,告诉交换机阻止
IPS:检测+防护,串行在网络
对比:
都使用探针/传感器
(有个表)
签名:不同厂家的竞争是在竞争签名库的完善 MD5
在企业网中部署在DMZ口、用户边界
VPN基本概念
虚拟专用网:部署在共享的基础设施上(运营商的机房等)的多个站点之间的客户联通性。如同专用网络,其他人不能用。
企业总部与分支机构的专线是VPN么:专线属于VPN一种
专线:物理一根线,每公里5-6万
狭义VPN:通过Internet构建一条隧道
翻墙的几种:**
VPN:gre(第三层)
代理服务器:先连接到国外的服务器,再访问外网。–>浏览器选项设置代理
host:本地DNS缓存修改,本地DNS解析。
- 防火墙原理之一
DNS污染:服务器解析到错误的IP。
IP更新时可以通 —> 修改host
lantern(没讲):https://bitinn.net/10629/
分类
加密VPN
采用加密算法保证传输信息安全
非加密VPN
仅作为隧道
基于OSI模型的分层类型
Overlay VPN 二层、三层(GRE,IPsec)
p2p
基于拓扑
VPN核心:加解密(基础)
IPsecVPN
一种加密VPN,OSI第三层
保证私密性、完整性
三种协议构建安全框架
- IKE internet key exchange
- ESP encapsulating security payload
- AH authentication header
IKE
–>使用UDP 500
第一阶段:
认证对端:希望建立连接的对端
第二阶段:
协商哪些加密哪些不加密…等参数
IPsec头
透明模式:3,4之间加入一段ESP AH标记 , IP不变
隧道模式:2,3之间加入标记和新的IP(VPN网关IP),原始IP(本机IP)不能用了–>怎么知道到达网关之后传给谁?
ESP
对原始数据包加密认证
AH
对整个数据包认证。不加密
IPsecVPN建立步骤:
- 找到相同的策略集(加密策略等)。交换密钥。建立
- 协商转换集
真实企业环境VPN部署(图)
GRE over IPsec
保护子网:VPN允许通过的子网,对子网专用
IPSec 使两IP通
利用现在的源地址目标地址
GRE利用这两个地址打通GRE隧道,相当于拉一条专线
只用GRE:没法加密
网络访问控制
在流量巨大,网络规模庞大,很多设备的情况下如何控制
AAA模型
认证:身份
授权:level
记账:日志
安全设备日志分析
安全设备分类、介绍
NGFW: 用户应用、内容。老的防火墙达不到应用层的要求
IDS: 监控
IPS: 阻断
AV: 防病毒,与IDS,IPS差不多,必须要提前知道病毒方式
WAF: 保护服务器,对web应用提供保护
SCAN: 及时知道有什么漏洞,风险评估,反馈处理
VPN: 虚拟专用网
ICG: 上网行为管理
安全设备日志分类
- 身份认证和授权:登录访问之类
- 数据和系统访问:url
- 威胁管理: ids ips 防火墙
- 变更管理:安全策略改变(例如允许谁登录)
- 业务持续性可用性管理:开关机是否能使用
- 性能容量管理:CPU硬盘资源
安全设备日志构成——日志分析套用
- what 发生了什么
- when 起止时间
- where 发生在系统的哪里
- who 发起者是谁
- where 行为发起者来自
- how 采用什么方式
日志通俗定义
黑白灰流量
黑:确定非法
白:确认安全
灰:不确定
常见日志分析分析方法
- 基线对比
从不同协议流对比看不出,比对时间轴上的吞吐量、连接数变化 - 关联分析
- 统计信息关联
- 统计与告警关联
- 告警信息关联
通过工具日志检查威胁行为
下一代防火墙 NGFW
- 身份认证和授权:记录登录日志,密码是否正确
- 数据和系统访问:qq登录
- 威胁管理: 软件漏洞、病毒蠕虫
- 变更管理:安全策略增删调整优先级(例如允许谁登录)
- 业务持续性可用性管理:协议协商、热备设备启用情况
- 性能容量管理:CPU硬盘资源
上网行为管理 ICG
对内容的关注,到数据包内部的东西。单纯的url不够分析,看应用内部跑了什么东西(例如qq聊天记录、网页过滤)。属于泛安全。
- 身份认证和授权:管理员登录设备、通过设备的用户的登录情况
- 数据和系统访问:核心在应用和内容,访问信息
- 威胁管理: 记录违反安全策略的活动
- 变更管理:安全策略增删调整优先级(例如允许谁登录)
- 业务持续性可用性管理:协议协商、热备设备启用情况
- 性能容量管理:只在设备被攻击时关注。是否资源不够
IP和时间绑定之后才有效
web应用防火墙 WAF
web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护
一般部署在网站前端
WAF
http://secsky.sinaapp.com/216.html
记录注入等攻击
- 访问:对所保护的网站的正常访问记录
- 审计:对设备的记录,登录信息等
- 抗DDOS
- 防篡改:对页面保护信息尝试篡改
- 备份:设备自身配置备份
- 攻击:尝试攻击的记录
管理权分散,防止万一被攻破后删除记录。
- Day2 of 6
- study of hacking_linux(day2)
- day2 POJ 2366 Sacrament of the sum
- Day2
- day2
- DAY2
- day2
- DAY2
- day2
- day2
- day2
- day2
- day2
- day2
- day2
- day2:
- day2
- Day2
- 搜索收录推送
- HTTP协议详解(真的很经典)
- Android使用HttpUrlConnection请求服务器发送数据详解
- WPF的RadioButton若界面重载可能会导致RadioButton不可用
- PLSQL Developer怎么查看一个表的建表语句
- Day2 of 6
- windows系统安装ubuntu后,grub中没有windows启动项
- MYSQL简单操作(eclipse)
- EL表达式中的${}出现难以查到的JasperException问题
- Hibernate(JPA)注解大全
- JSON详解
- JMS入门(四)--Topic的使用
- 机器学习中的数学基础
- Android6.0 申请SYSTEM_ALERT_WINDOW权限 没有弹出权限框