昆明网站建设解决方案,昌邑网站建设,做门户网站需要学什么软件,50个优秀网站写在前面
网络工程终于讲完了。这星期到了网络安全技术部分。 网络安全实训-网络安全技术 网络安全概述 信息安全#xff1a;所有保障计算机硬件、系统、软件、数据不因有意或无意的行为导致的服务中断、数据损坏或丢失等安全事件的保障技术 网络安全#xff1a;基于计算机…写在前面
网络工程终于讲完了。这星期到了网络安全技术部分。 网络安全实训-网络安全技术 网络安全概述 信息安全所有保障计算机硬件、系统、软件、数据不因有意或无意的行为导致的服务中断、数据损坏或丢失等安全事件的保障技术 网络安全基于计算机网络的信息安全 网络不安全 互联网天然的开放性 TCP/IP协议的天然缺陷 缺少保密性数据窃听 缺少身份源验证机制身份伪造 缺少数据完整性校验机制数据篡改 人为原因 常见攻击方式 攻击类型 被动攻击数据窃听 主动攻击身份伪造、数据篡改、中断攻击 物理层攻击方式物理线路损坏、物理线路侦听 数据链路层攻击方式 ARP欺骗攻击攻击者伪装身份来欺骗发起ARP请求的查询者从而导致查询这发送给目标的数据都会发送给目击者。 网络层的攻击方式IP Smurf攻击 传输层攻击方式TCY SYN Flood攻击 应用层攻击 针对数据库攻击 针对操作系统攻击 针对Web服务攻击 网络安全五要素 数据保密性数据加密 数据完整性数字签名 数据源可验证性数字签名 数据可用性数据备份容灾、攻击防护 数据可控性控制和审计用户的上网行为 解决方案防火墙上网行为管理VPN 防火墙概述 定义部署在网络边界上防御边界一侧对另一侧攻击行为的设备 技术分类 包过滤防火墙 对数据包的五元组源IP、目的IP、源端口、目的端口、协议类型逐包检查判断是否符合过滤规则丢弃不符合的数据包 逐包检查降低网络传输速度 只检查数据包的头部信息无法发现数据内容中的安全风险和隐患 应用代理防火墙 对内网服务器提供代理服务来承受和防护外网用户对内网服务器的攻击 检查数据应用层内容可以发现数据内容中的安全风险和隐患 状态检测防火墙 对一组五元组相同的数据流只检查首包的五元组后续数据包依照首包的处理方式进行处理 只检查首包避免降低网络传输速度 各类专用安全设备 WAF IDS/IPS 防DDos 网关防病毒 UTM 统一威胁网关将传统防火墙功能、WAF、IDS/IPS、防DDoS网关防病毒等专用安全功能全部集成到一个设备中 下一代防火墙NGFW 将传统防火墙功能、WAF、IDS/IPS、防DDoS网关防病毒集成到一个设备中 更有效的功能集成 更强大的应用层处理能力 防火墙初始化配置 1.创建区域把接口加入相应区域 区域类型 Trust区域一般将连接内网的接口加入该区域 Untrust区域一般将连接外网的接口加入该区域 DMZ区域一般将连接服务器的接口加入该区域 自主创建和划分区域 配置命令 security-zone name 区域名称 进入某个区域若区域不存在则创建 import interface 接口名称 将接口加入该区域 2.创建区域间安全策略放通相关流量 acl advanced 3000 创建3000号ACL rule permit ip 允许所有流量 zone-pair security source any destination any 配置任意两个区域间的访问控制策略 packet-filter 3000 调用ACL3000号 3.为接口配置IP地址 4.配置缺省路由下一跳指向互联网 5.配置NAPT使得内网主机可以上网 6.如果内网有三层环境还需要配置到达内网网段的路由 部署模式 三层部署模式 防火墙的所有接口都工作在第三层模式防火墙具备路由器的IP地址、路由转发等功能 二层部署模式 防火墙的所有接口都工作在二层模式防火墙具备交换机的数据帧转发功能。
