20199106 2019-2020-2 《网络攻防实践》第六周作业
作业说明
| 这个作业属于哪个课程 | 网络攻防实践 |
|---|---|
| 这个作业的要求在哪里 | 第六次作业: 网络安全防范技术 |
| 我在该课程的目标 | 对网络攻防技术有一个比较全面的认识,能够掌握基本的攻防操作。 |
| 这个作业在哪个具体方面帮助我实现目标 | 学习了网络安全防范技术与系统和网络监测技术与系统。 |
作业正文
实践内容
安全模型:
- 传统安全评估和防范模型:通过对网络进行风险分析,制定相应的安全策略,然后采取一种或多种安全技术作为防护措施,主要针对固定、静态的威胁和环境弱点,但忽略了网络安全的重要特征。
- 动态可适应网络安全模型:基于闭环控制理论,典型模型是
$PDR$模型以及在其基础上提出的$P^2DR$模型。- PDR安全模型:基于时间的动态安全模型,以经典的网络安全不等式
$P_t>D_t+R_t$
(如果防御机制能够抵御入侵的时间$P_t$能够超过监测机制发现入侵的时间$D_t$和防御机制有效应对入侵的时间$R_t$之和,则 这个信息系统是安全的)为本质基础,并提出安全性可量化和可计算的观点。 $P^2DR$安全模型:基于$PDR$安全模型,安全策略是模型核心,所有的防护、检测、响应都是依据安全策略实施的。
- PDR安全模型:基于时间的动态安全模型,以经典的网络安全不等式
网络安全防范技术与系统
- 防火墙技术
-
定义:防火墙指的是置于不同的网络安全域之间,对网络流量或访问行为实施访问控制的安全组件或设备,达到保护特定网络安全域免受非法访问和破坏的安全目标。检查的对象是网络流量或访问行为。
-
功能:
- 检查控制进出网络的流量。
- 防止脆弱或不安全的协议和服务。
- 防止内部网络信息的外泄。
- 对网络存取和访问进行监控审计。
- 强化网络安全策略并集成其他安全防御机制。
-
不足:
- 先天不足:无法防范来自网络内部的安全威胁、通过非法外联的网络攻击和计算机病毒传播传播。
- 技术瓶颈问题带来的不足:无法防范针对开放服务安全漏洞的渗透攻击、针对网络客户端程序的渗透攻击、隐蔽通道进行通信的特洛伊木马或僵尸网络。
-
技术:
- 包过滤技术:在路由功能基础上进行扩展,通过对网络层和传输层包头信息的检查,根据用户定义的安全策略规则集,将一些不符合安全策略的数据包阻挡在网络的边界处。
- 基于状态检测的包过滤技术:也称动态包过滤,仍然使用一组静态规则进行安全策略匹配,除检查每个独立的数据包外,还试图跟踪数据包在网络连接的上下文关系,以确定是否允许通信。相比较传统的静态包过滤,功能更强大,规则设施更简单,同时保留了包过滤对用户的透明性,数据的合法性得到了有效的保障。
- 代理技术:允许客户端通过代理与另一个网络服务进行非直接的连接,客户端先与代理服务器创建连接,接着发出一个对另外的目标服务器的文件或其他资源连接请求,代理服务器与目标服务器连接或从缓存中取得请求的资源,返回给客户端。
-
部署方法:包过滤路由器、双宿主堡垒主机、屏蔽主机、屏蔽子网。
-
Linux开源防火墙netfilter/iptables
netfilter/iptables组合是目前Linux开源操作系统中普遍使用的防火墙技术解决方案,其中 netfilter是Linux内核中实现的防火墙功能模块, iptables是应用态的防火墙管理工具。- 概念:netfilter/iptables 组合是目前Linux开源操作系统中普遍使用的防火墙技术解决方案,其中 netfilter 是Linux内核中实现的防火墙功能模块, iptables 是应用态的防火墙管理工具。
- 工作原理 :netfilter/iptables包含三个最基本的规则表:用于包过滤处理的filter表、用于网络地址转换处理的nat表、用于特殊目的数据包修改的mangle表。
- iptables命令语法:
iptables [-t table] command [match] [target]。-t指定配置规则所在的表,缺省表包括gilter、nat、mangle、raw等。cammand告诉iptables命令要做什么,常用的-A就是在链表之后插入规则,-D就是指定匹配的规则从链中删除该规则。 match 部分为规则匹配条件,满足规则的数据包才会被采取措施。 target 是满足规则之后要做什么,比如放行数据包ACCEPT - netfilter/iptables的NAT机制:包括IP伪装、透明代理、端口转发和其他形式的网络地址转换技术。
-
网络检测技术与系统
- 入侵检测技术:最核心的任务是信息分析,从中识别出攻击行为。包括误用检测和异常检测。二者通常结合使用,提高入侵检测系统的整体检测性能。
- 入侵检测系统的分类:基于主机的入侵检测系统(HIDS)、基于网络的入侵检测系统。
- 入侵防御系统IPS:也叫内嵌式IPS,即对检测到的异常行为或者与特征库匹配的行为直接进行阻断,断开访问。
- 开源网络入侵检测系统Snort:
- 功能:数据包嗅探、数据包记录和分析以及各种入侵检测功能。
- 主要部件:数据包嗅探、预处理器、检测引擎、输出模块/插件。