物理网络安全
《物理与网络通信安全》知识点串讲
第1节 物理与环境安全
1. 场地选择
1.1 场地选择:自然条件、社会条件、其他条件。
1.2 抗震和承重:抗震及承重(国标 《结构抗震设计规范》)
—特殊设防类
—重点设防类
—标准设防类(A类、B类、C类)
—普通机房
2. 环境安全
2.1 防火:火灾预防,火情检测,灭火措施。
2.2 电力:双电源、UPS、发电、多路供电。
2.3 电磁:线路、设备、电源(红黑隔离电源插座)、机房电磁防护。
2.4 HVAC:下送风、上回风,侧送风、侧回风,正气压等。
2.5 防静电:湿度、接地。
2.6 应急照明。
2.7 应急通道、出口、标识。
3. 区域与设备防护
3.1物理区域:区域范围、检测措施、访问控制(标识、IC卡等)。
3.2 检测报警措施:CCTV、红外监控、特殊监控、声控、振动报警。
3.3 设备存放安全:责任人、环境、授权使用、维护、防丢失等安全。
4. 电磁防护
– 显示设备:例如,利用主机电子信息保护机进行防护。
– 线路防护:例如,线路串导干扰仪、屏蔽进行防护。
– 服务器防护:例如,电磁屏蔽机柜进行防护。
– 电源线路:例如,采用电源滤波器进行防护。
– 电源插座:例如,采用红黑隔离电源插座进行防护。
– 机房防护:例如,采用屏蔽机房的建设进行防护。
– 移动设施:例如,场外移动设施电磁屏蔽机柜。
– Tempest技术:对电磁泄漏信号中所携带的敏感信息进行接收、分析还原、测试以及防护的一系列技术的总称。
– 注意:我国保密领域、等级保护二级及以上做电磁防护。
第2节 网络安全基础
1.OSI七层的安全
1-七层模型:物理、链路、网络、传输、会话、表示和应用。
封装和解封装:规则的标准化和接口标准化。
2-八个机制:加密、数字签名、访问控制、完整性、路由控制、流量填充、公证、鉴别交换。
3-五种服务:鉴别、完整性、保密性、访问控制、抗抵赖。
Ø 加密:保密
Ø 数字签名:完整性、鉴别、抗抵赖。
Ø 访问控制:访问控制。
Ø 完整性:完整。
Ø 路由控制:访问控制。
Ø 流量填充:保密性。
Ø 公证:抗抵赖。
Ø 鉴别交换:鉴别、访问控制。
4-网络层、应用层均实现5种服务。
2、TCP/IP四层
1-四层结构:网络接口层、网络层、传输层、应用层。
2. 四层的各层安全协议:
— 网络接口层:PPTP、L2F、L2TP(二层隧道协议)
— 网络层:IPSEC(AHESP)(三层隧道协议)
— 传输层:SSL、TLS(按照ISO/OSI的七层则其属于4.5层,按照TCP/IP四层划分则其属于应用层,传输层或应用层隧道协议)
— 应用层:X.509,SSH,PGP、S/MIME、PEM(邮件安全协议)。
3、无线网络安全
1.结构:STA(终端)、AP(接入点)、AS(后端系统)
2.无线安全的问题:开放认证、信息泄露、共享密钥等。
3.无线网络安全的协议:
(1)WEP:密码管理及加密有缺陷,RC4算法可逆问题。
(2)WPA/WPA2/WPA3:加密传输、身份鉴别(AP对STA的鉴别)。
(3)WAPI:WAI身份认证,WPI加密封装;
双向三鉴别和高强度传输加密(支持ECC算法)。
4.蓝牙:2.4GHZ-2.485GHZ,解决短距离、可信环境中的数据交换。
9.RFID的安全。RF(10+KHZ-5.8GHZ)
10.IPV6:地址数量是2^128,内置IPSEC安全协议。
第3节 网络安全技术与设备
第1部分 防火墙
1. 作用:边界的防护(访问控制)、逻辑隔离、访问控制、记录。
2. 实现和分类:
| 序号 | 类型 | 层次 | 控制规则 | 优点 | 缺点 | 应用场景 |
|---|---|---|---|---|---|---|
| 1 | 包过滤防火墙 | 三层(网络) | IP、端口、协议 | 1.规则简单 2.速度快 3.配置简单 |
1.不能解决应用攻击 2.不能解决异步攻击 3.不能提供地址隐藏 |
1.简单网络环境 2.应用少 |
| 2 | 电路代理防火墙 | 三层(网络) | IP、端口、协议、NAT | 1.规则简单 2.比包过滤略慢 3.配置较简单 4.提供地址隐藏 |
1.不能解决应用攻击 2.不能解决异步攻击 |
1.简单网络环境 2.应用较少 |
| 3 | 应用代理防火墙 | 3-7层(应用) | IP、端口、应用协议、应用数据、NAT | 1.细粒度高 2.防护应用攻击 3.识别数据内容 4.提供地址转换 |
1.速度慢 2.不能解决异步攻击 3.误阻断问题 4.漏阻断问题 |
1.较复杂的网络环境 2.应用较多 3.应用攻击环境复杂 |
| 4 | WAF-HTTP代理防火墙 | 3-7层(应用) | IP、端口、HTTP(S)、应用数据、NAT | 1.专业化高 2.HTTP的过滤粒度细 3.识别应用攻击及数据 4.提供代理 |
1.速度较慢 2.不能解决异步攻击 3.误阻断问题 4.漏阻断问题 |
1.较复杂的网络环境 2.web应用较多 3.web应用攻击环境复杂 |
| 5 | 状态检测防火墙 | 3-7层(网络-应用层) | 上下文的攻击特征、IP、端口、协议、NAT | 1.解决异步攻击 2.安全性高 3.代理 4.3-7的过滤多样性 |
1.状态空间大 2.性能水平低 3.误阻断问题 4.漏阻断问题 |
1.较复杂网络环境 2.高级级别攻击领域 |
| 6 下一代防火墙 | 1,继承历史上5种防火墙的优点,并解决其缺点。 ——>NGFW类似于下一代UTM 2.适用于大数据的环境、云计算的环境。 ——>FW的虚拟化、数据采集分析提高。 3.下一代防火墙本质不是产品,而是新一代网络安全威胁环境中的边界解决方案。 |
3. NAT:静态、动态、端口。
— 优点:节约公网地址资源、隐藏内部网络信息。
— 缺点:暴漏防火墙外网口地址和网络位置。
4. 部署
4.1 方式:单、双、DMZ的方式。
4.2 方式:透明方式、路由方式(NAT)。
4.3 方式:未明确禁止则允许(黑名单),未明确允许就是禁止(白名单)。
第2部分 入侵检测系统
1. 组成:事件产生器、事件分析、事件响应、数据库。
2. 技术:
— 误用检测技术:MISUSE-黑名单-特征-标识
优点:准确性-高,误报率-低。
缺点:完整性-低,漏报率-高。
— 异常检测技术:PROFILE-白名单-状态-行为
优点:完整性-高,漏报率-低,
缺点:准确性-低,误报率-高。
在使用环境中,先启动白名单模式,再黑名单模式。
3. 分类:
| 序号 | 对比项 | NIDS | HIDS |
|---|---|---|---|
| 1 | 形态 | 硬件 | 软件 |
| 2 | 位置 | 网络 | 主机 |
| 3 | 部署方式 | 并联(数据镜像) | 安装部署 |
| 4 | 对象性能影响 | 网络无影响 | 主机有影响 |
| 5 | 技术原理 | 误用检测多,异常检测少 | 异常检测多,误用检测少 |
| 6 | 及时性 | 低 | 高 |
| 7 | 攻击目标的识别准确性 | 低 | 高 |
第3部分 其他安全产品
1. IPS:防火墙和IDS功能的综合,存在的问题性能不足。
2. 网闸:基于摆渡原理的物理隔离网络安全产品。
– 组成:外网单元、隔离单元、内网单元。
– 原理:单向或双向的数据交换及摆渡原理。
3. UTM:统一威胁管理系统,包括检测、过滤、反病毒、流量分析等。
4. SOC:资产管理、事件分析与安全态势感知、统一的安全配置部署。
狭义、广义、大数据等之分。
5. VPN产品
5.1 IPSEC:基于网络层实现。
— AH:身份鉴别、完整性校验、抗重放攻击,使用MAC的方法。
— ESP:具有AH的功能,还具有数据包和数据流加密。
— IPSEC:传输模式(透明模式)/隧道模式(路由模式)
5.2 SSL/TLS:基于TCP/IP四层应用层实现,支持对称加密和非对称密码的数字证书技术,TLS1.2/1.3版本目前最安全。
— 握手协议:身份鉴别、密钥协商。
— 记录协议:数据加密、完整性校验。
第3节 网络安全设计规划
1. 网络架构设计:参考IATF,三个核心是人、技术和操作;四个保护方面是本地计算环境、区域边界、网络基础设施和支撑性基础设施。
2. 安全域划分:共享安全策略的集合,划分方法包括物理位置、部门、业务、数据、生产特性等。
3. IP规划和分配:从上到下、体系化、节约、扩展。
4. VLAN设计划分:MAC、端口、IP组播等划分。
5. 备份与冗余:链路安全、设备的冗余及安全、负载均衡。
6. 提出网络安全策略:包括身份鉴别、安全访问、权限最小化、服务最小化、日志审计、配置备份、补丁升级、流量分析、网络审计等。
7. 满足网络安全策略:1-设计网络安全体系结构。2-通过安全协议。3-采购和使用安全产品。
更新: 2025-03-11 10:18:50
原文: http://www.yuque.com/yuhui.net/network/ayq7seq10gz7oqho
评论(0)
暂无评论