兰州网站定制公司,怎么运用区块链做网站,郑州网站建设选微锐,二建查询官网入口一、 网络安全是一个综合性的技术。在Internet这样的环境中#xff0c;其本身的目的就是为了提供一种开放式的交互环境#xff0c;但是为了保护一些秘密信息#xff0c;网络安全成为了在开放网络环境中必要的技术之一。网络安全技术是随着网络技术的进步逐步发展的。 网络安…一、 网络安全是一个综合性的技术。在Internet这样的环境中其本身的目的就是为了提供一种开放式的交互环境但是为了保护一些秘密信息网络安全成为了在开放网络环境中必要的技术之一。网络安全技术是随着网络技术的进步逐步发展的。 网络安全的必要技术 针对网络存在的各种安全隐患安全路由器必须具有如下安全特性: 可靠性和线路安全 身份认证 访问控制 信息隐蔽 数据加密和防伪 安全管理
二、一般来说网络的攻击方式主要有以下一些方式: 窃听报文 攻击者使用报文获取设备从传输的数据流中获取数据并进行分析以获取用户名/口令或者是敏感的数据信息。通过Internet的数据传输存在时间上的延迟更存在地理位置上的跨越要避免数据不受窃听基本是不可能的。 IP地址欺骗 攻击者通过改变自己的IP地址来伪装成内部网络用户或可信任的外部网络用户发送特定的报文以扰乱正常的网络数据传输或者是伪造一些可接受的路由报文如发送ICMP的特定报文来更改路由信息以窃取信息。 源路由攻击 报文发送方通过在IP报文的Option域中指定该报文的路由使报文有可能被发往一些受保护的网络。 端口扫描 通过探测防火墙在侦听的端口来发现系统的漏洞或者事先知道路由器软件的某个版本存在漏洞通过查询特定端口判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击使得路由器整个DOWN掉或无法正常运行。 拒绝服务攻击 攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。Mellisa宏病毒所达到的效果就是拒绝服务攻击。后来拒绝服务攻击又有了新的发展出现了分布式拒绝服务攻击Distributed Denial Of Service简称DDOS。许多大型网站都曾被黑客用DDOS方式攻击而造成很大的损失。 应用层攻击 有多种形式包括探测应用软件的漏洞、“特洛依木马”等。 总之网络攻击的主要手段就是寻找TCP/IP网络中可能出现的漏洞。有些攻击手段是针对于特定的操作系统这些都属于应用层攻击。
三、可靠性和线路安全 可靠性要求主要针对故障恢复和负载能力 主备运行: 主接口故障时备份接口自动接替主用接口的工作 负载分担: 网络流量增大时备份链路承担部分主用链路的工作 线路安全指的是线路本身的安全性 防止非法用户利用线路接口尽心访问
可靠性要求主要是针对物理设备提出的如设备具有主从备份、负载分担的能力同时为了达到良好的可靠性需求应该保证路由器等重要的网络设备工作在安全的环境中。 线路安全主要是指线路本身不被非法盗用和窃听所以应注意在隐蔽的和不安全的地方不要留下可以连接到网络的接口。
四、身份认证 访问路由器时的身份认证 console口配置 telnet登陆配置 SNMP配置 Modem远程配置 对其他路由的身份认证 直接相连的邻居路由器 逻辑连接的对等体 路由信息的身份认证 防止伪造路由信息的侵入
身份认证是网络安全中解决的一个重要的问题主要保证的是只有合法的用户、经过授权的用户才可以访问、控制路由器如配置路由器时需要验证用户名和密码。同时还需要保证和其它网络设备的信息交互具有合法的身份认证如防止伪造路由信息的侵入等。 因此在一些对路由器重要信息的场合都需要进行身份验证保证信息来源的可靠。
五、访问控制 对网络设备的访问控制 分级保护 不同级别的用户拥有不同的操作权限 基于五元组的访问控制 根据数据包信息进行数据分类 不同的数据流采用不同的策略 基于用户的访问控制 对于接入服务用户设定特定的过滤属性
访问控制是路由器提供的一种重要的安全策略访问控制可以有效的防止一些非法的访问。五元组_是指IP包头中的源IP地址、目的IP地址、协议号、源端口、目的端口5个元素_。
六、信息隐蔽 地址转换 隐藏私网内部地址 仅仅是内部用户可以直接发起建立连接请求 应用场合 内部局域网访问internet
地址转换技术主要使用在内部局域网对公有网络的访问。使用地址转换技术不仅可以使用许多局域网用户可以共享一个IP地址上网而且可以使内部局域网的网络结构、IP地址等信息都不在Internet上暴露增强了这个内部局域网的安全特性。
七、数据加密和防伪 数据加密 利用公网传输数据不可避免的面临数据窃听的问题 传输之前进行数据加密保证只有与之通信的对端能够解密 数据防伪 报文在传输过程中被截获、修改重新投放到网络上 接收端进行数据识别丢弃被修改的报文 相关技术 数据加密 数字签名 IPsec
数据加密技术主要是将需要在Internet上传递的数据加密。加密技术包含两个方面一个是普通的加密、一个是防伪。防伪技术就是可以防止报文被不法分子截获报文之后将报文修改然后重新放到网上继续传递。 数据加密防伪是保护Internet上数据安全的一个重要手段利用这种技术可以在Internet上为用户提供一种“安全的VPN”服务利用加密技术可以为用户提供一种安全的在Internet上传递数据的手段。
八、安全管理 保证重要的网络设备处于安全的运行环境防止人为破坏 保护好访问口令、密码等重要的安全信息 进行安全策略管理有效利用安全策略 在网络出入口实现报文审计和过滤提供网络运行的必要信息
对路由器等重要网络设备的管理是保证路由器安全运行的一个重要方面一定要保证没有权限的用户不能随便配置路由器也不能得到路由器的配置信息。网络安全同样需要保障网络拓扑信息的安全。
九、 (一)Quidway路由器的安全技术 AAA(Authentication,Authorization,Accounting)网络安全服务 提供一个实现身份认证的主框架 提供验证、授权、记账的服务 使用RADIUS等协议实现对网络的访问控制
AAA是验证、授权、记帐的简称。AAA技术可以提供基于用户的验证、授权、记帐服务。基于用户的含义是AAA技术不是根据IP地址等信息来验证用户而是根据用户名、口令对用户进行验证。 AAA技术主要使用在拨号接入访问上用户利用电话拨号上网就是依靠AAA技术来实现验证、授权和计费的。因此在接入服务中AAA是一个最有效实用的安全手段。
(二) 包过滤技术 提供访问控制的基本框架 提供基于IP地址等信息的包过滤 提供基于接口的包过滤 提供基于时间段的包过滤
包过滤技术是利用访问控制列表实现的一种防火墙技术。包过滤技术是最常用的一种访问控制的手段包过滤技术最显著的特点是利用IP数据包的特征进行访问控制它不像AAA技术那样是根据用户名、密码进行访问控制的。 因此包过滤技术不能使用在接入服务中它适用于用户根据IP地址、端口等定义合适的规则阻止对网络直接的非法访问。利用包过滤技术可以阻挡“不信任网络”的访问。
(三) 地址转换技术 地址转换技术提供内部用户透明访问外部网络的功能 有效屏蔽内部网络的地址禁止外部主机直接访问内部网络 实现内部主机的隐藏
地址转换技术主要使用在一个局域网公用一个IP地址或少量IP地址地址池上网的情况。地址转换技术同时隐藏了内部局域网的IP地址使Internet上的其他网络不知道内部局域网的真实的IP地址和网络拓扑保护了内部局域网的安全同时又不影响内部局域网访问外部的Internet。 路由器实现的地址转换能够将网内用户发出的报文的源地址全部映射成一个接口的地址。与按需拨号相结合使局域网内用户通过一台路由器即可轻松上网。
(四)IPsec IPsec和IKE技术 IPsec(IP Security)可以实现数据的加密以及防伪可以使在不安全的线路上传输加密信息形成安全的隧道。可以为用户子啊internet上提供安全的VPN解决方案 IKE(密钥交换协议)为通信双上提供交换密钥等服务IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。并且包装永远不在不安全的网络上直接传送密钥而是通过一系列交换信息计算密钥。
IPSEC和IKE技术结合使用有效的提供了在Internet网络上进行数据加密、数据防伪的功能。 IPSecIP Security是一组开放协议的总称特定的通信方之间在IP层通过加密与数据源验证以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH Authentication Header和ESP Encapsulating Security Payload这两个安全协议来实现。而且此实现不会对用户、主机或其它Internet组件造成影响用户还可以选择不同的硬件和软件加密算法而不会影响其它部分的实现。 Internet密钥交换协议IKE用于通信双方协商和建立安全联盟交换密钥。IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE的精髓在于它永远不在不安全的网络上直接传送密钥而是通过一系列数据的交换通信双方最终计算出共享的密钥并且即使第三方截获了双方用于计算密钥的所有交换数据也不足以计算出真正的密钥。
(五) 隧道技术 隧道技术是实现VPN的核心技术 二层隧道技术主要有VPDN主要用来提供拨号接入服务 三层隧道技术主要有GRE主要用来使用户在Internet上构建自己的虚拟专网
虚拟私有网Virtual Private Network简称为VPN是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务、培训和合作等活动。许多企业趋向于利用Internet来替代它们的私有数据网络。相对于企业原有的Intranet这种利用Internet的虚拟链路来传输私有信息而形成的逻辑网络就称为虚拟私有网。 VPN的一个核心技术就是“隧道技术tunneling”这种技术的主要思想是要将一种类型网络的数据包通过另一种类型网络进行传输。二层隧道是建立在链路层的隧道三层隧道是建立在网络层的隧道。
十、安全接入Internet 基于接口的包过滤 基于时间段定义过滤规则 通过地址转换灵活访问Internet 外部不能直接访问内部网络 可以通过地址转换向外提供WWW、FTP等服务器
利用Quidway路由器提供的安全技术可以使内部局域网用户安全的访问Internet。 基于接口的包过滤并可以在进、出方向上分别设置 可以为特殊的时间段定义特殊的包过滤规则实现与时间相关的访问需求 内部网络的用户可以通过地址转换访问Internet内部地址对外屏蔽 外部不能直接访问内部网络 可以通过地址转换向外提供WWW、FTP等服务避免内部服务器直接受到攻击 日志主机可以记录网络运行情况便于用户的安全分析与管理。
十一、构建安全的虚拟私有网 组建VPN 出差员工通过当地的ISP接入到Internet进而接入公司总部 办事处及分支机构通过GRE和IPsec实现与总部间的互联数据加密采取加密传输
