网络安全教程 网络安全 – 概述 网络安全 – 应用层 网络安全 – 传输层 网络安全 – 网络层 网络安全 – 数据链路层 网络安全 – 访问控制 网络安全 – 防火墙 网络安全——关键需求 网络安全 – 快速指南 网络安全 – 概述 在这个现代时代,组织极大地依赖计算机网络以高效和富有成效的方式在整个组织内共享信息。组织计算机网络现在变得庞大且无处不在。假设每个员工都有一个专用的工作站,那么大型公司在网络上将有几千个工作站和许多服务器。 这些工作站很可能没有集中管理,也没有周边保护。它们可能拥有多种操作系统、硬件、软件和协议,用户之间的网络意识水平也不同。现在想象一下,公司网络上的这数千个工作站直接连接到 Internet。这种不安全的网络成为攻击的目标,其中包含有价值的信息并显示漏洞。 在本章中,我们描述了网络的主要漏洞和网络安全的意义。在随后的章节中,我们将讨论实现相同目标的方法。 物理网络 网络被定义为连接在一起以有效共享资源的两个或多个计算设备。此外,将两个或更多网络连接在一起称为网络互联。因此,互联网只是一个互联网络——互联网络的集合。 对于设置其内部网络,组织有多种选择。它可以使用有线网络或无线网络连接所有工作站。如今,组织大多使用有线和无线网络的组合。 有线和无线网络 在有线网络中,设备通过电缆相互连接。通常,有线网络基于以太网协议,其中设备使用非屏蔽双绞线 (UTP) 电缆连接到不同的交换机。这些交换机进一步连接到网络路由器以访问互联网。 在无线网络中,设备通过无线电传输连接到接入点。接入点通过电缆进一步连接到交换机/路由器以进行外部网络访问。 无线网络因其提供的移动性而广受欢迎。移动设备无需绑定线缆,可以在无线网络范围内自由漫游。这确保了有效的信息共享并提高了生产力。 漏洞和攻击 有线和无线网络中都存在的常见漏洞是对网络的“未经授权的访问”。攻击者可以通过不安全的集线器/交换机端口将他的设备连接到网络。在这方面,无线网络被认为不如有线网络安全,因为无线网络无需任何物理连接即可轻松访问。 访问后,攻击者可以利用此漏洞发起攻击,例如 – 嗅探数据包数据以窃取有价值的信息。 通过用虚假数据包淹没网络介质来拒绝对网络上合法用户的服务。 欺骗合法主机的物理身份 (MAC),然后窃取数据或进一步发起“中间人”攻击。 网络协议 网络协议是一组规则,用于管理网络上连接的设备之间的通信。它们包括建立连接的机制,以及用于发送和接收消息的数据打包的格式规则。 已经开发了几种计算机网络协议,每种协议都是为特定目的而设计的。流行和广泛使用的协议是 TCP/IP 以及相关的高层和低层协议。 ..
Category : network_security
网络安全教程 网络安全 – 概述 网络安全 – 应用层 网络安全 – 传输层 网络安全 – 网络层 网络安全 – 数据链路层 网络安全 – 访问控制 网络安全 – 防火墙 网络安全——关键需求 网络安全 – 概述 在这个现代时代,组织极大地依赖计算机网络以高效和富有成效的方式在整个组织内共享信息。组织计算机网络现在变得庞大且无处不在。假设每个员工都有一个专用的工作站,那么大型公司在网络上将有几千个工作站和许多服务器。 这些工作站很可能没有集中管理,也没有周边保护。它们可能拥有多种操作系统、硬件、软件和协议,用户之间的网络意识水平也不同。现在想象一下,公司网络上的这数千个工作站直接连接到 Internet。这种不安全的网络成为攻击的目标,其中包含有价值的信息并显示漏洞。 在本章中,我们描述了网络的主要漏洞和网络安全的意义。在随后的章节中,我们将讨论实现相同目标的方法。 物理网络 网络被定义为连接在一起以有效共享资源的两个或多个计算设备。此外,将两个或更多网络连接在一起称为网络互联。因此,互联网只是一个互联网络——互联网络的集合。 对于设置其内部网络,组织有多种选择。它可以使用有线网络或无线网络连接所有工作站。如今,组织大多使用有线和无线网络的组合。 有线和无线网络 在有线网络中,设备通过电缆相互连接。通常,有线网络基于以太网协议,其中设备使用非屏蔽双绞线 (UTP) 电缆连接到不同的交换机。这些交换机进一步连接到网络路由器以访问互联网。 在无线网络中,设备通过无线电传输连接到接入点。接入点通过电缆进一步连接到交换机/路由器以进行外部网络访问。 无线网络因其提供的移动性而广受欢迎。移动设备无需绑定线缆,可以在无线网络范围内自由漫游。这确保了有效的信息共享并提高了生产力。 漏洞和攻击 有线和无线网络中都存在的常见漏洞是对网络的“未经授权的访问”。攻击者可以通过不安全的集线器/交换机端口将他的设备连接到网络。在这方面,无线网络被认为不如有线网络安全,因为无线网络无需任何物理连接即可轻松访问。 访问后,攻击者可以利用此漏洞发起攻击,例如 – 嗅探数据包数据以窃取有价值的信息。 通过用虚假数据包淹没网络介质来拒绝对网络上合法用户的服务。 欺骗合法主机的物理身份 (MAC),然后窃取数据或进一步发起“中间人”攻击。 网络协议 网络协议是一组规则,用于管理网络上连接的设备之间的通信。它们包括建立连接的机制,以及用于发送和接收消息的数据打包的格式规则。 已经开发了几种计算机网络协议,每种协议都是为特定目的而设计的。流行和广泛使用的协议是 TCP/IP 以及相关的高层和低层协议。 TCP/IP 协议 传输控制协议(TCP) ..
网络安全教程 网络安全 – 概述 网络安全 – 应用层 网络安全 – 传输层 网络安全 – 网络层 网络安全 – 数据链路层 网络安全 – 访问控制 网络安全 – 防火墙 网络安全——关键需求 网络安全 – 防火墙 几乎每个大中型组织都在 Internet 上存在,并有一个组织网络与之相连。外部 Internet 和内部网络之间边界处的网络分区对于网络安全至关重要。有时,内部网络(Intranet)被称为“可信”端,外部 Internet 被称为“不可信”端。 防火墙的类型 防火墙是一种网络设备,它将组织的内部网络与更大的外部网络/互联网隔离开来。它可以是硬件、软件或组合系统,可防止未经授权访问或来自内部网络。 所有进入或离开内部网络的数据包都会通过防火墙,防火墙会检查每个数据包并阻止那些不符合指定安全标准的数据包。 在网络边界部署防火墙就像在单点聚合安全性。这类似于在入口处而不一定在每个门上锁住公寓。 由于以下原因,防火墙被认为是实现网络安全的基本要素 – 内部网络和主机不太可能得到适当的保护。 互联网是一个危险的地方,有犯罪分子、来自竞争公司的用户、心怀不满的前雇员、来自不友好国家的间谍、破坏者等。 防止攻击者对网络资源发起拒绝服务攻击。 防止外部攻击者非法修改/访问内部数据。 防火墙分为三种基本类型 – 数据包过滤器(无状态和有状态) 应用级网关 电路级网关 然而,这三个类别并不相互排斥。现代防火墙具有多种功能,可以将它们置于三个类别中的一个以上。 无状态和有状态包过滤防火墙 在这种类型的防火墙部署中,内部网络通过路由器防火墙连接到外部网络/互联网。防火墙逐包检查和过滤数据。 数据包过滤防火墙主要根据源和/或目标 IP 地址、协议、源和/或目标端口号以及 IP ..
网络安全教程 网络安全 – 概述 网络安全 – 应用层 网络安全 – 传输层 网络安全 – 网络层 网络安全 – 数据链路层 网络安全 – 访问控制 网络安全 – 防火墙 网络安全——关键需求 网络安全——关键需求 信息和有效沟通是每个企业成功的两个最重要的战略问题。随着电子通信和存储手段的出现,越来越多的企业已经转向使用数据网络进行通信、存储信息和获取资源。有不同类型和级别的网络基础设施用于运行业务。 可以说,在现代世界中,没有什么比联网计算机对企业产生更大的影响了。但是网络带来了安全威胁,如果减轻这些威胁,网络的好处就会超过风险。 网络在商业中的作用 如今,几乎所有企业都将计算机网络视为一种资源。该资源使他们能够收集、分析、组织和传播对其盈利能力至关重要的信息。大多数企业都安装了网络以保持竞争力。 计算机网络最明显的作用是组织可以在一个中心位置存储几乎任何类型的信息,并通过网络在所需的位置检索它。 网络的好处 计算机网络使人们能够轻松共享信息和想法,从而提高工作效率和生产力。网络可以改善采购、销售和客户服务等活动。网络使传统业务流程更高效、更易于管理且成本更低。 企业从计算机网络中获得的主要好处是 – 资源共享– 企业可以通过共享连接到网络的组件和外围设备来减少在硬件上的花费。 简化的业务流程– 计算机网络使企业能够简化其内部业务流程。 部门之间的协作– 当两个或多个业务部门连接其网络的选定部分时,他们可以简化通常需要大量时间和精力并且通常难以实现更高生产力的业务流程。 改善客户关系– 网络为客户提供了许多好处,例如开展业务的便利性、快速的服务响应等。 网络还有许多其他特定于业务的好处。这些好处使得所有类型的企业都必须采用计算机网络。 网络安全的必要性 由于现代技术的进步以及计算机网络容量的增长,有线或无线网络上的威胁显着增加。当今世界大量使用 Internet 进行各种商业交易,这对信息窃取和对商业知识资产的其他攻击提出了挑战。 在当今时代,大部分业务都是通过网络应用进行的,因此所有的网络都存在被攻击的风险。商业网络最常见的安全威胁是数据拦截和盗窃,以及身份盗窃。 网络安全是一个专门的领域,负责阻止此类威胁,并为企业的计算机网络基础设施的可用性、可靠性、完整性和安全性提供保护。 网络安全对企业的重要性 保护商业资产– 这是网络安全的主要目标。资产是指存储在计算机网络中的信息。信息与公司的任何其他有形资产一样重要和宝贵。网络安全与机密信息的完整性、保护和安全访问有关。 遵守法规要求– 网络安全措施可帮助企业遵守有关信息安全的政府和行业特定法规。 Secure Collaborative ..
网络安全教程 网络安全 – 概述 网络安全 – 应用层 网络安全 – 传输层 网络安全 – 网络层 网络安全 – 数据链路层 网络安全 – 访问控制 网络安全 – 防火墙 网络安全——关键需求 讨论网络安全 网络安全处理与保护网络上存在的敏感信息资产相关的所有方面。它涵盖了为数据通信提供基本安全服务而开发的各种机制。本教程向您介绍了几种类型的网络漏洞和攻击,然后描述了针对它们采用的安全措施。它描述了从应用程序到数据链路层的不同网络层采用的最常见安全协议的功能。完成本教程后,您会发现自己处于网络安全知识的中�..
网络安全教程 网络安全 – 概述 网络安全 – 应用层 网络安全 – 传输层 网络安全 – 网络层 网络安全 – 数据链路层 网络安全 – 访问控制 网络安全 – 防火墙 网络安全——关键需求 网络安全 – 网络层 网络层安全控制经常用于保护通信安全,尤其是在 Internet 等共享网络上,因为它们可以同时为许多应用程序提供保护而无需修改它们。 在前面的章节中,我们讨论了许多实时安全协议已经为网络安全而发展,以确保安全的基本原则,例如隐私、原始身份验证、消息完整性和不可否认性。 这些协议中的大多数仍然专注于 OSI 协议栈的更高层,以弥补标准 Internet 协议中固有的安全性不足。尽管很有价值,但这些方法不能轻易推广用于任何应用程序。例如,SSL 是专门为保护 HTTP 或 FTP 等应用程序而开发的。但是还有其他几个应用程序也需要安全通信。 这种需求催生了在 IP 层开发安全解决方案,以便所有更高层协议都可以利用它。1992 年,互联网工程任务组 (IETF) 开始定义标准“IPsec”。 在本章中,我们将讨论如何使用这套非常流行的 IPsec 协议在网络层实现安全性。 网络层安全 任何为提供网络安全而开发的方案都需要在协议栈的某个层实现,如下图所示 – Layer 通讯协议 安全协议 ..
网络安全教程 网络安全 – 概述 网络安全 – 应用层 网络安全 – 传输层 网络安全 – 网络层 网络安全 – 数据链路层 网络安全 – 访问控制 网络安全 – 防火墙 网络安全——关键需求 网络安全 – 传输层 网络安全需要保护数据在网络上传输时免受攻击。为了实现这一目标,人们设计了许多实时安全协议。有一些流行的实时网络安全协议标准,例如 S/MIME、SSL/TLS、SSH 和 IPsec。如前所述,这些协议在网络模型的不同层工作。 在上一章中,我们讨论了一些旨在提供应用层安全性的流行协议。在本章中,我们将讨论在传输层和相关安全协议上实现网络安全的过程。 对于基于 TCP/IP 协议的网络,物理和数据链路层通常在用户终端和网卡硬件中实现。TCP 和 IP 层在操作系统中实现。TCP/IP 之上的任何内容都作为用户进程实现。 需要传输层安全 让我们讨论一个典型的基于 Internet 的业务交易。 Bob 访问 Alice 的网站以销售商品。在网站上的表格中,Bob 输入商品类型和所需数量、他的地址和支付卡详细信息。Bob 单击提交并等待货物交付,并从他的帐户中扣除价格金额。所有这些听起来都不错,但是在没有网络安全的情况下,Bob 可能会遇到一些惊喜。 如果交易没有使用机密性(加密),攻击者就可以获得他的支付卡信息。然后攻击者可以以 Bob 的费用进行购买。 如果不使用数据完整性措施,攻击者可以根据货物的类型或数量修改 Bob 的订单。 ..
网络安全教程 网络安全 – 概述 网络安全 – 应用层 网络安全 – 传输层 网络安全 – 网络层 网络安全 – 数据链路层 网络安全 – 访问控制 网络安全 – 防火墙 网络安全——关键需求 网络安全 – 应用层 现在通过客户端-服务器应用程序在线提供各种商业服务。最流行的形式是网络应用程序和电子邮件。在这两个应用程序中,客户端都与指定的服务器通信并获得服务。 在使用来自任何服务器应用程序的服务时,客户端和服务器会在底层 Intranet 或 Internet 上交换大量信息。我们知道这些信息交易容易受到各种攻击。 网络安全需要保护数据在网络上传输时免受攻击。为了实现这一目标,人们设计了许多实时安全协议。此类协议至少需要提供以下主要目标 – 双方可以交互协商以相互验证。 在网络上交换信息之前建立一个秘密的会话密钥。 以加密形式交换信息。 有趣的是,这些协议适用于网络模型的不同层。例如,S/MIME协议工作在应用层,SSL协议工作在传输层,IPsec协议工作在网络层。 在本章中,我们将讨论实现电子邮件通信和相关安全协议安全的不同过程。随后将介绍保护 DNS 的方法。在后面的章节中,将描述实现 Web 安全的协议。 电子邮件安全 如今,电子邮件已成为使用非常广泛的网络应用。在继续了解电子邮件安全协议之前,让我们简要讨论一下电子邮件基础结构。 电子邮件基础设施 发送电子邮件的最简单方法是直接从发件人的机器向收件人的机器发送消息。在这种情况下,两台机器必须同时在网络上运行。但是,这种设置是不切实际的,因为用户有时可能会将他们的机器连接到网络。 因此,设置电子邮件服务器的概念出现了。在此设置中,邮件被发送到网络上永久可用的邮件服务器。当收件人的机器连接到网络时,它会从邮件服务器读取邮件。 一般而言,电子邮件基础结构由邮件服务器网格(也称为消息传输代理(MTA))和运行包含用户代理 (UA) 和本地 MTA 的电子邮件程序的客户端计算机组成。 通常,电子邮件消息从其 UA ..
网络安全教程 网络安全 – 概述 网络安全 – 应用层 网络安全 – 传输层 网络安全 – 网络层 网络安全 – 数据链路层 网络安全 – 访问控制 网络安全 – 防火墙 网络安全——关键需求 网络安全 – 访问控制 网络访问控制是一种通过限制网络资源对符合组织安全策略的端点设备的可用性来增强私有组织网络安全性的方法。典型的网络访问控制方案包括两个主要组件,例如受限访问和网络边界保护。 对网络设备的限制访问是通过用户身份验证和授权控制来实现的,它负责识别和验证网络系统的不同用户。授权是授予或拒绝对受保护资源的特定访问权限的过程。 网络边界保护控制进出网络的逻辑连接。例如,可以部署多个防火墙以防止对网络系统的未授权访问。还可以部署入侵检测和防御技术来防御来自 Internet 的攻击。 在本章中,我们将讨论用于网络访问的用户识别和身份验证方法,以及各种类型的防火墙和入侵检测系统。 保护对网络设备的访问 限制对网络上设备的访问是保护网络的一个非常重要的步骤。由于网络设备包括通信和计算设备,因此破坏这些设备可能会导致整个网络及其资源瘫痪。 矛盾的是,许多组织确保其服务器和应用程序的出色安全性,但让通信网络设备具有基本的安全性。 网络设备安全的一个重要方面是访问控制和授权。已经开发了许多协议来满足这两个要求并将网络安全性提高到更高的水平。 用户认证和授权 用户身份验证对于控制对网络系统的访问是必要的,特别是网络基础设施设备。认证有两个方面:一般访问认证和功能授权。 通用访问身份验证是控制特定用户对其尝试连接的系统是否具有“任何”类型的访问权限的方法。通常,这种访问与拥有该系统“帐户”的用户相关联。授权处理个人用户的“权利”。例如,它决定用户在通过身份验证后可以做什么;用户可能被授权配置设备或仅查看数据。 用户身份验证取决于一些因素,包括他知道的东西(密码)、他拥有的东西(加密令牌)或他的身份(生物特征)。使用多个因素进行身份验证和身份验证为多因素身份验证提供了基础。 基于密码的身份验证 在最低级别上,所有网络设备都应该具有用户名-密码身份验证。密码应该是重要的(至少 10 个字符,混合字母、数字和符号)。 在用户远程访问的情况下,应使用一种方法来确保用户名和密码不会通过网络以明文形式传递。此外,还应以合理的频率更改密码。 集中式身份验证方法 基于个人设备的认证系统提供了基本的访问控制措施。然而,当网络有大量设备且有大量用户访问这些设备时,集中式身份验证方法被认为更有效和高效。 传统上,集中认证用于解决远程网络访问面临的问题。在远程访问系统 (RAS) 中,对网络设备上的用户进行管理是不切实际的。将所有用户信息放在所有设备中,然后使该信息保持最新是管理上的噩梦。 RADIUS 和 Kerberos 等集中式身份验证系统解决了这个问题。这些集中式方法允许在一个地方存储和管理用户信息。这些系统通常可以与其他用户帐户管理方案(例如 Microsoft ..
网络安全教程 网络安全 – 概述 网络安全 – 应用层 网络安全 – 传输层 网络安全 – 网络层 网络安全 – 数据链路层 网络安全 – 访问控制 网络安全 – 防火墙 网络安全——关键需求 网络安全 – 数据链路层 我们已经看到,互联网的快速发展引起了对网络安全的高度关注。已经开发了多种方法来在网络的应用层、传输层或网络层中提供安全性。 许多组织在更高的 OSI 层采用安全措施,从应用层一直到 IP 层。然而,一个通常无人注意的领域是数据链路层的硬化。这会使网络遭受各种攻击和危害。 在本章中,我们将讨论数据链路层的安全问题以及解决这些问题的方法。我们的讨论将集中在以太网网络上。 数据链路层的安全问题 以太网中的数据链路层很容易受到多种攻击。最常见的攻击是 – ARP欺骗 地址解析协议 (ARP) 是一种用于将 IP 地址映射到本地以太网中可识别的物理机地址的协议。当主机需要为 IP 地址查找物理媒体访问控制 (MAC) 地址时,它会广播 ARP 请求。拥有该 IP 地址的另一台主机发送带有其物理地址的 ARP 回复消息。 网络上的每台主机都维护一个表,称为“ARP 缓存”。该表包含网络上其他主机的 IP ..