《23年《信息安全工程师》考前几页纸.docx》由会员分享,可在线阅读,更多相关《23年《信息安全工程师》考前几页纸.docx(13页珍藏版)》请在课桌文档上搜索。
1、网络信息安全概述信息系统网络信息安全基本属性1.常见的网络信息安全基本属性如下:名称说明机密性机密性是指网络信息不泄露给非授权的用户、实体或程序,能够防止非授权者获取信息。完整性完整性是指网络信息或系统未经授权不能进行更改的特性。可用性可用性是指合法许可的用户能够及时获取网络信息或服务的特性。抗抵赖性抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性。可控性可控性是指网络信息系统责任主体对其具有管理、支配能力的属性。其他除了常见的网络信息系统安全特性,还有真实性、时效性、公平性、可靠性、可生存性和隐私性等。2.网络信息安全基本功能:名称说明网络信息安全防御网络信息安全防御是指采取各种手段
2、和措施,使得网络系统具备阻止、抵御各种已知网络安全威胁的功能。网络信息安全监测网络信息安全监测是指采取各种手段和措施,检测、发现各种已知或未知的网络安全威胁的功能。网络信息安全应急网络信息安全应急是指采取各种手段和措施,针对网络系统中的突发事件,具备及时响应和处置网络攻击的功能。网络信息安全恢复网络信息安全恢复是指采取各种手段和措施,针对已经发生的网络灾害事件,具备恢复网络系统运行的功能。网络信息安全基本技术需求名称说明物理环境安全物理环境安全是指包括环境、设备和记录介质在内的所有支持网络系统运行的硬件的总体安全,是网络系统安全、可靠、不间断运行的基本保证。网络信息安全认证网络信息安全认证是实
3、现网络资源访问控制的前提和依据,是有效保护网络管理对象的重要技术方法。网络信息访问控制网络信息访问控制是有效保护网络管理对象,使其免受威胁的关键技术方法,其目标主要有:限制非法用户获取或使用网络资源。防止合法用户滥用权限,越权访问网络资源。网络信息安全保密网络安全保密的目的就是防止非授权的用户访问网上信息或网络设备。网络信息安全漏洞扫描网络系统中需配备弱点或漏洞扫描系统,用以检测网络中是否存在安全漏洞。恶意代码防护防范恶意代码是网络系统中必不可少的安全需求。网络信息内容安全网络信息内容安全是指相关网络信息系统承载的信息及数据符合法律法规要求,防止不良信息及垃圾信息传播。网络信息安全监测与预警网
4、络安全监测的作用在于发现综合网系统入侵活动和检查安全保护措施的有效性。网络信息安全以及响应网络系统中需配备弱点或漏洞扫描系统,用以检测网络中是否存在安全漏洞。4.网络信息安全术语下表为常见的网络安全技术方面的术语及其对应的英文。名称说明基础技术类常见的密码术语如加密(encryption)、解密(decryption)、非对称加密算法(asymmetriccryptographicalgorithm),公钥加密算法(publickeycryptographicalgorithm)、公钥(publickey)等。风险评估技术类包括拒绝服务(DenialofService)分布式拒绝服务(Dist
5、ributedDenialofService)网页篡改(WebsiteDistortion)网页仿冒(Phishing)网页挂马(WebsiteMaliciousCode)、域名劫持(DNSHijaCk)、路由劫持(RoutingHijack)垃圾邮件(Spam)恶意代码(MaliciousCode)%特洛伊木马(TrojanHorse)网络蠕虫(NeIWorkWOrm)、僵尸网络(BOmeI)等。防护技术类包括访问控制(AccessControl)防火墙(FireWal1)、入侵防御系统(IntrusionPreventionSystem)等。检测技术类包括入侵检测(IntrUSionDet
6、eCtion)、漏洞扫描(VulnerabilityScanning)等。响应/恢复技术类包括应急响应(EmergenCyReSPOnSe)、灾难恢复(DiSaSterReCOVery)、备份(Backup)等。测评技术类包括黑盒测试(BlaCkBoXTeSting)、白盒测试(WhiteBoXTeSting)、灰盒测试(GrayBoxTesting)、渗透测试(PenetrationTesting)、模糊测试(FuzzTesting)。网络攻击原理与常用方法网络攻击榻述1 .网络攻击是指损害网络系统安全的危害性行为。2 .常见的危害行为有四个基本类型:信息泄露攻击完整性破坏攻击拒绝服务攻击非
7、法使用攻击3 .网络攻击原理表攻击者攻击工具攻击访问攻击效果攻击意图黑客用户命令本地访问破坏信息挑战间谍脚本或程序远程访问信息泄密好奇恐怖主义者自治主体窃取服务获取情报公司职员电磁泄露拒绝服务经济利益职业犯罪分子恐怖事件破坏者报复网络攻击常见方法1 .端口扫描端口扫描的目的是找出目标系统上提供的服务列表。根据端口扫描利用的技术,扫描可以分为多种类型:扫描名称说明完全连接扫描完全连接扫描利用TCP/IP协议的三次握手连接机制,使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功,则表明该端口开放。否则,表明该端口关闭。半连接扫描半连接扫描是指在源主机和目的主机的三次握手连接过程中,只完成
8、前两次握手,不建立一次完整的连接。SYN扫描首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。如果目标主机返回ACK信息,表明目标主机的该端口开放。如果目标主机返回RESET信息,表示该端口没有开放。ID头信息扫描首先由源主机A向dumb主机B发出连续的PING数据包,并且查看主机B返回的数据包的ID头信息(一般每个顺序数据包的ID头的值会增加1)。然后由源主机A假冒主机B的地址向目的主机C的任意端口(1-65535)发送SYN数据包。这时,主机C向主机B发送的数据包有两种可能的结果:1、SYNlACK表示该端口处于监听状态;2、RSTIACK表示该端口处于非
9、监听状态;后续的PING数据包响应信息的ID头信息可以看出,如果主机C的某个端口是开放的,则主机B返回A的数据包中,ID头的值不是递增1,而是大于1。如果主机C的某个端口是非开放的,则主机B返回A的数据包中,ID头的值递增1,非常规律。隐蔽扫描隐蔽扫描是指能够成功地绕过IDS、防火墙和监视系统等安全机制,取得目标主机端口信息的一种扫描方式。SYNACK扫描由源主机向目标主机的某个端口直接发送SYNACK数据包,而不是先发送SYN数据包。由于这一方法不发送SYN数据包,目标主机会认为这是一次错误的连接,从而报错。如果目标主机的该端口没有开放,则会返回RST信息。如果目标主机的该端口开放,则不会返
10、回任何信息,而是直接将数据包抛弃掉。FIN扫描源主机A向目标主机B发送FlN数据包,然后查看反馈信息。如果端口返回RESET信息,则说明该端口关闭。如果端口没有返回任何信息,则说明该端口开放。ACK扫描首先由主机A向主机B发送FIN数据包,然后查看反馈数据包的TTL值和WIN值。开放端口所返回的数据包的TrL值一般小于64,而关闭端口的返回值一般大于64;开放端口所返回的数据包的WIN值一般大于0,而关闭端口的返回值一般等于0。NULL扫描将源主机发送的数据包中的ACK、FIN、RSTSYN、URGPSH等标志位全部置空。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返HlRST信息
11、,则表明该端口是关闭的。XMAS扫描XMAS扫描的原理和NULL扫描相同,只是将要发送的数据包中的ACK、FINRST、SYN、URGPSH等标志位全部置成1。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回RST信息,则表明该端口是关闭的。2 .缓冲区溢出攻击缓冲区溢出攻击的防范策略:系统管理上的防范策略:1)关闭不需要的特权服务;2)及时给程序漏洞打补丁。软件开发过程中的防范策略:1)编写正确的代码;2)缓冲区不可执行;3)改进C语言函数库。漏洞防范技术:1)地址空间随机化技术;2)数据执行阻止;3)堆栈保护。恶意代码常见的恶意代码类型有计算机病毒、网络蠕虫、特洛伊木马、后门、
12、逻辑炸弹、僵尸网络等。4 .拒绝服务拒绝服务攻击的种类:DoS攻击名称说明同步包风暴(SYNFlood)利用TCP协议缺陷发送大量伪造的TCP连接请求,使得被攻击者资源耗尽。三次握手,进行了两次(SYN)(SYN/ACK),不进行第三次握手(ACK),连接队列处于等待状态,大量的这样的等待,占满全部队列空间,系统挂起。PingofDeath(死亡之Ping)攻击者故意发送大于65535字节的ip数据包给对方,导致内存溢出,这时主机就会出现内存分配错误而导致TCP/IP堆栈崩溃,导致死机!TeardropAttack(泪滴攻击)分段攻击。伪造数据报文向目标主机发送含有重叠偏移的数据分段,通过将各
13、个分段重叠来使目标系统崩溃或挂起。UDPFlood(UDP洪水)利用简单的TCP/IP服务,如用Chargen和Echo传送亳无用处的占满宽带的数据。通过伪造与某一主机的Chargen服务之间的一次UDP连接,回复地址指向开放Echo服务的一台主机,生成在两台主机之间的足够多的无用数据流。Smurf攻击攻击者伪装目标主机向局域网的广播地址发送大量欺骗性的ICMPECHO请求,这些包被放大,并发送到被欺骗的地址,大量的计算机向一台计算机回应ECHo包,目标系统将会崩溃。垃圾邮件针对服务端口(SMTP端口,即25端口)的攻击方式,攻击者通过连接到邮件服务器的25端口,按照SMTP协议发送几行头信息
14、加上一堆文字垃圾,反复发送形成邮件轰炸。消耗CPU和内存资源的拒绝服务攻击利用目标系统的计算算法漏洞,构造恶意数据集,导致目标系统的CPU或内存资源耗尽,从而使目标系统瘫痪,如HaShDOS。分布式拒绝服务攻击(DDOS)引入了分布式攻击和C/S结构,客户端运行在攻击者的主机上,用来发起控制代理端;代理端运行在已被攻击者侵入并获得控制的主机上,从主控端接收命令,负责对目标实施实际的攻击。利用C/S技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。密码学基本理论密码体制分类常见密码算法1.DES算法DES算法的安全性:密钥较短:面对计算能力高速发展的形势,DES采用56位密钥,显然短了一些
15、。其密钥量仅为256约为1017个。存在弱密钥:弱密钥K:K1=K2=K16;弱密钥不受任何循环移位的影响,并且只能得到相同的子密钥,由全0或全1组成的密钥显然是弱密钥,子密钥生成过程中被分割的两部分分别为全0或全1时也是弱密钥,并且存在4个弱密钥。半弱密钥K:有些种子密钥只能生成两个不同的子密钥,这样的种子密钥K称为半弱密钥,DES至少存在12个半弱密钥。半弱密钥将导致把明文加密成相同的密文。1.1 DEA算法(1)是国际数据加密算法的简记,是一个分组加密处理算法,其明文和密文分组都是64比特,密钥长度为128比特。(2)该算法是由来学嘉和MaSSey提出的建议标准算法,已在PGP中得到应用
16、。3 .AES算法(1)数据长度可变(2)不存在弱密钥(3)抗攻击能力强(4)适应性强4 .RSA密码RSA的加密和解密 参数定义和密钥生成选两个大素数P和q;(保密)计算n=pXq,(n)=(P-I)X(q-l);(n公开,(n)保密)选一整薪e,满足IVeV巾(n),且gcd(n),e)=1;(e公开)计算d,满足dXe三Imod6(n)(保密) 加密算法:c三memodn 解密算法:m三Cdmodn特点: 加讪密算法是可逆的,加密和解密运算可交换,可同时确保数据的秘密性利数据的真实性。 实现效率比较高效,其核心运算是模幕运算。安全性: RSA密码的安全性在于大合数的因子分解,应当采用足够
17、大的整数n,一般至少取1024位,最好取2048位;国际可信计算组织TCG在可信计算标准中规定:一般加密密钥和认证密钥选1024位,而平台根密钥和存储根密钥则选2048位。 选择RSA的密码参数:P和q要足够大并且应为强素数;e、d的选择不能太小,并且不要许多用户共用一个模数n。5.国产密码算法算法名称算法特性描述备注SMl对称加密分组长度和密钥长度都为128比特SM2非对称加密,用于公钥加密算法、密钥交换协议、数字签名算法国家标准推荐使用素数域256位椭圆曲线SM3杂凑算法,杂凑值长度为256比特SM4对称加密,分组长度和密钥长度都为128比特SM9标识密码算法Hash函数与数字签名常见的H
18、ash算法MD5算法MD5算法是由RiVeSt设计的。MD5以512位数据块为单位来处理输入,产生128位的消息摘要,即MD5能产生128比特长度的哈希值。SHA算法HA由NIST开发,同样也以512位数据块为单位来处理输入,产生160位的哈希值,具有比MD5更强的安全性。SHA算法产生的哈希值长度有SHA-224、SHA-256SHA-384、SHA-512。SM3国产算法SM3是国家密码管理局于2010年公布的商用密码杂凑算法标准。该算法消息分组长度为512比特,输出杂凑值长度为256比特。3.数字签名数字签名至少应满足以下三个条件:非否认。签名者事后不能否认自己的签名。真实性。接收者能验
19、证签名,而任何其他人都不能伪造签名。可鉴别性。当双方关于签名的真伪发生争执时,第三方能解决双方之间发生的争执。密码管理与数字证书1 .密码管理密钥管理主要围绕密钥的生命周期进行,包括密钥生成、密钥存储、密钥分发、密钥使用、密钥更新、密钥撤销、密钥备份、密钥恢亚、密钥销毁、密钥审计。2 .数字证书数字证书也称公钥证书,是由证书认证机构(CA)签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。数字证书按类别可分为个人证书、机构证书和设备证书。按用途可分为签名证书和加密证书。签名证书是用于证明签名公钥的数字证书;加密证书是用于证明加密公钥的数字证书。网络安全体系与
20、网络安全模型网络安全体系概述1.网络安全体系的主要特征(I)整体性:网络安全体系从全职长远的角度实现安全保障,网络安全单元按照一定的规则相互依赖,相互约束,相互作用,而形成人机物一体化的网络安全保护方式;(2)协同性:网络安全体系依赖于多种安全机制,通过多种安全机制的相互协作,构建系统性的网络安全保护方案;(3)过程日:针对保护对象,网络安全体系提供一种过程式的网络安全保护机制,覆盖保护对象的全生命周期;(4)全面性:网络安全体系基于多个维度,多个层面与安全威胁进行管控构建防护、检查、响应恢复等网络安全功能;(5)适应性:网络安全体系具有动态演变机制,能够适应网络安全威胁的变化和需求。网络安全
21、体系相关安全模型1 .网络安全体系的主要模型(1) BLP机密性模型Bell-LaPaduIa模型是符合军事安全策略的计算机安全模型,简称BLP模型CBLP模型有以下两个特性:简单安全特性:主体只能向下读,不能向上读*特性:主体只能向上写,不能向下写(2) BiBa完整性模型BiBa模型主要用于防止非授权修改系统信息,以保护系统的信息完整性。该模型同BLP模型类似,采用主体、客体、完整性级别描述安全策略要求。BiBa具有以下三个安全特性: 简单安全特性:主体不能向下读。 *特性:主体不能向上写。 调用特性:主体的完整性级别小于另外一个主体时,不能调用另一个主体。(3)信息流模型信息流模型是访问
22、控制模型的一种变形,简称FM。信息流模型可表示为FM=(N,P,SC,0,-),其中,N表示客体集,P表示进程集,SC表示安全类型集,表示支持结合、交换的二进制运算符,一表示流关系。一个安全的FM当且仅当执行系列操作后,不会导致流与流关系一产生冲突。(4)信息保障模型PDRR改寇了传统的只有保护的单一安全防御思想,强调信息安全保障的四个重要环节。 保护的内容主要有加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。 检测的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。 恢复的内容主要有数据备份、数据修复、系统恢复等。 响应的主要内容有应急策略、应急机制、
23、应急手段、入侵过程分析及安全状态评估等。(5)能力成熟度模型能力成熟度模型(简称CMM)是对一个组织机构的能力进行成熟度评估的模型。成熟级别一般分为5级,其中,级别越大,表示能力成熟度越高,各级别定义如下: 1级-非正式执行:具备随机、无序、被动的过程 2级-计划跟踪:具备主动、非体系化的过程 3级.充分定义:具备正式的规范的过程 4级.量化控制:具备可量化的过程 5级-持续优化:具备可持续优化的过程(6)纵深防御模型纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线,各安全防护措施能够互相支持和补救,尽可能地阻断攻击者的威胁。目前,
24、安全业界认为网络需要建立四道防线: 安全保护 安全监测 实时响应.恢复(7)分层防护模型分层防护模型针对单独保护节点。(8)等级保护模型等级保护模型是根据网络信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定的安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。(9)网络生存模型网络生存性是指在网络信息系统遭受入侵的情形下,网络信息系统仍然能够持续提供必要服务的能力。认证技术原理与应用认证概述1 .认证概念认证是一个实体向另一个实体证明其所有声称的身份的过程。2 .认证依据认证依据也称为
25、鉴别信息,通常指用于确认实体(声称者)身份的真实性或者其拥有的属性的凭证。目前,常见的认证依据主要有四类:所知道的秘密信息所拥有的实物凭证所具有的生物特征所表现的行为特征认证类型与认证过程1 .单向认证单向认证是指在认证过程中,验证者对声称者进行单方面的鉴别,而声称者不需要识别验证者的身份。2 .双向认证双向认证是指在认证过程中,验证者对声称者进行单方面的鉴别,同时,声称者也对验证者的身份进行确认。3 .第三方认证第三方认证是指两个实体在鉴别过程中通过可信的第三方来实现。可信的第三方简称TTPo认证技术方法口令认证技术口令认证是基于用户所知道的秘密而进行的认证技术。设用户A的标识为以,口令为吃
26、,服务方实体为B,则认证过程描述如下:用户A发送消息(S1,P)到服务方B。B收到(Uyl,Pa)消息后,检查UA和Pj4的正确性。若正确,则通过用户A的认证。B回复用户A验证结果消息。要实现口令认证的安全,至少应满足以下条件: 口令信息要安全加密存储; 令信息要安全传输; 口令认证协议要抵抗攻击,符合安全协议设计要求; 口令选择要求做到避免弱口令。Kerberos认证技术一个Kerberos系统涉及四个基本实体:KerberoS客户机,用户用来访问服务器设备;AS,识别用户身份并提供TGS会话密钥;TGS,为申请服务的用户授予票据;应用服务器,为用户提供服务的设备或系统。Kerberos工作
27、流程示意图Kerberos客户1 .向AS请求TGS票据5.发送会话票据到服务器6.应用请求服务器确认请求AS服务器TGS服务器KDC2 .发送TGT给客户工发送TGT和应用服务票据申请4.发送应用票据给客户应用服务器Kerberos协议中要求用户经过AS和TGS两重认证的优点主要有两点。可以显著减少用户密钥的密文的暴露次数,这样就可以减少攻击者对有关用户密钥的密文积累。KerberoS认证过程具有单点登录的优点,只要用户拿到了TGT并且该TGT没有过期,那么用户就可以使用该TGR通过TGS完成到任一服务器的认证过程而不必重新输入密码。但是,KerberoS也存在不足之处。KerberOS认证
28、系统要求解决主机节点时间同步问题和抵御拒绝服务攻击。公钥基础设施(PKI)技术签证机构CA负责签发证书、管理和撤销证书注册机构RA负责专门受理用户申请证书的机构证书的签发证书目录证书的认证证书的撤销信任模型其他认证技术名称说明单点登录指用户访问使用不同的系统时,只需要进行一次身份认证,就可以根据这次登录的认证身份访问授权资源。基于人机识别认证技术基于人机识别认证利用计算机求解问题的困难性以区分计算机和人的操作,防止计算机程序恶意操作,如恶意注册、暴力猜解口令等。多因素认证技术多因素认证技术使用多种鉴别信息进行组合,以提升认证的安全强度。根据认证机制所依赖的鉴别信息的多少,认证通常称为双因素认证
29、或多因素认证。基于行为的身份鉴别技术基于行为的身份鉴别是根据用户行为和风险大小而进行的身份鉴别技术。快速在线认证(FIDO)FIDO使用标准公钥加密技术来提供强身份验证。FIDO的设计目标是保护用户隐私,不提供跟踪用户的信息,用户生物识别信息不离开用户的设备。认证主要产品与技术指标1.认证主要产品目前,认证技术主要产品类型包括系统安全增强、生物认证、电子认证服务、网络准入控制和身份认证网关5类。2.主要技术指标一般来说,认证技术产品的评价指标可以分成三类,即安全功能要求、性能要求和安全保障要求。认证技术产品的主要技术指标如下: 密码算法支持 认证准确性 用户支持数量 安全保障级别认证技术应用认
30、证技术是网络安全保障的基础性技术,普遍应用于网络信息系统保护。认证技术常见的应用场景如下: 用户身份验证 信息来源证实 信息安全保护访问控制技术原理与应用访问控制概述1.访问控制目标访问控制的目标有两个:防止非法用户进入系统;阻止合法用户对系统资源的非法使用,即禁止合法用户的越权访问。访问控制模型1.访问控制参考模型访问控制机制由组安全机制构成,可以抽象为一个简单的模型,组成要素主要有主体、参考监视器、客体、访问控制数据库、审计库。访问控制类型控制类型说明自主访问控制目前自主访问控制的实现方法有两类:基于行的自主访问控制和基于列的自主访问控制。基于行的自主访问控制方法根据表可分为能力表、前缀表
31、和口令三种形式。基于列的自主访问控制方法有两种形式,即保护位和访问控制表。强访问控制强访问控制是指系统根据主体和客体的安全属性,以强制方式控制主体对客体的访问。基于角色的访问控制基于角色的访问控制(RBAC)就是指根据完成某些职责任务所需要的访问权限来进行授权和管理。基于属性的访问控制基于属性的访问控制简称为ABAC,其访问控制方法是根据主体的属性、客体的属性、环境的条件以及访问策略对主体的请求操作进行授权许可或拒绝。访问控制过程与安全管理1. 口令安全管理口令是当前大多数网络实施网络控制进行身份鉴别的重要依据,一般遵守以下原则: 口令选择应至少在8个字符以上,应选用大小写字母、数字、特殊字符
32、组合; 禁止使用与账号相同的口令; 更换系统默认口令,避免使用默认口令; 限制账号登录次数,建议为3次; 禁止共享账号和口令; 口令文件应该加密存放,并只有超级用户才能读取; 禁止以明文形式在网络上传递口令; 口令应有时效机制,保证经常更改,并且禁止重用口令; 对所有的账号运行口令破解工具,检查是否存在弱口令或没有口令的账号。防火墙技术原理与应用防火墙概述防火墙的安全策略白名单策略:只允许符合安全规则的包通过防火墙,其他通信禁止;黑名单策略:禁止与安全规则相冲突的包通过防火墙,其他通信包都允许。防火墙类型与实现技术1.包过滤包过滤是在IP层实现的防火墙技术,包过滤根据包的源IP地址、目的地址、
33、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。规则编号通信方向协议类型源IP目标IP源端口目标端口操作AinTCP外部内部2102425允许BoutTCP内部外部251024允许CoutTCP内部外部102425允许DinTCP外部内部2521024允许Eeitheranyanyanyanyany拒绝防火墙过漉规则2.状态检查技术基于状态的防火墙通过利用TCP会话和UDP“伪”会话的状态信息进行网络访问机制。3.应用服务代理应用服务代理防火墙扮演着受保护网络的内部网主机和外部网主机的网络通信连接“中间人”的角色。4.防火墙技术名称防火墙技术名称说明NAT网络地址转换主要解决公开地址
34、不足,可以缓解少量因特网IP地址和大量主机之间的矛盾。实现网络地址转换的方式有3种类型:静态NAT、NAT池和端口NAT(PAT)等。Web防火墙技术Web应用防火墙是一种用于保护Web服务器和Web应用的网络安全机制。数据库防火墙技术数据库防火墙是一种用于保护数据库服务器的网络安全机制。工控防火墙技术工业控制系统专用防火墙简称为工控防火墙,是一种用于保护工业设备及系统的网络安全机制。下一代防火墙技术F一代防火墙除了集成传统防火墙的包过滤、状态监测、地址转换等功能外,还具有应用识别和控制、可应对安全威胁演变、检测隐藏的网络活动、动态快速响应攻击、支持统一安全策略部署、智能化安全管理等新功能。5
35、.防火墙共性关键技术深度包检测:是一种用于对包的数据内容及包头信息进行检查分析的技术方法。操作系统:防火墙的运行依赖于操作系统,操作系统的安全性直接影响防火墙的自身安全。网络协议分析:防火墙通过获取网络中的包,然后利用协议分析技术对包的信息进行提取,进而实施安全策略检查及后续包的处理。防火墙防御体系结构类型1 .双重宿主主机体系结构以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。2 .基于代理型防火墙结构代理服务器和路由器共同构建一个网络安全边界防御架构。3 .屏蔽子网体系结构采用了两个包过滤路由器和一个堡垒主机,在内外网络之间建立一个被隔离的子网。优点:安全级别最高。缺点:成本高,配置复杂。防火墙技术应用防火墙部署基本方法: 根据组织或公司的安全策略要求,将网络划分成若干安全区域: 在安全区域之间设置针对网络通信的访问控制点; 针对不同访问控制点的通信业务需求,指定相应的边界安全策略; 依据控制点的边界安全策略,采用合适的防火墙技术和防范结构; 在防火墙上,配置实现对应的网络安全策略; 测试验证边界安全策略是否正常执行; 运行和维护防火墙。
