一、通信与网络安全技术
1.1 防火墙
1.1.1 防火墙的功能
防火墙是位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称。
防火墙通常放置在外部网络和内部网络的中间,执行网络边界的过滤封锁机制。
防火墙的功能一般具有访问控制功能、内容控制功能、全面的日志功能、集中管理功能、自身的安全和可用性、流量控制、网络地址转换、虚拟专用网(VPN)等功能。
1.1.2 防火墙的技术分类
- 可分为网络级防火墙和应用级防火墙两类。
- 网络级防火墙:用来防止整个网络出现外来非法的入侵。
- 应用级防火墙:由应用程序进行接入控制,通常使用应用网关或代理服务器来区分各种应用。
- 实际应用中更详细的划分:包过滤型防火墙、电路级网关型防火墙、应用网关型防火墙、代理服务型防火墙、状态检测型防火墙和自适应代理型防火墙。
1.1.3 防火墙的体系结构
防火墙的体系结构包括宿主机模式、屏蔽主机模式和屏蔽子网模式等。
(1)双宿 / 多宿主机模式
- 特点:是一种拥有两个或多个连接到不同网络上的网络接口的防火墙。
- 部署:通常用一台装有两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与内部网和外部网相连。
- 实现方式:一般采用代理服务的办法,必须禁止网络层的路由功能。
(2)屏蔽主机模式
- 组成:由包过滤路由器和堡垒主机组成。
- 部署:将堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,使该堡垒主机成为从外部网络唯一可直接到达的主机。
- 作用:确保内部网络不受未被授权的外部用户的攻击。
- 关键:过滤路由器的配置正确是防火墙安全与否的关键。
(3)屏蔽子网模式
- 组成:采用两个包过滤路由器和一个堡垒主机,在内外网络之间建立一个被隔离的子网(称为非军事区(DMZ)或边界网络)。
- 部署:网络管理员将堡垒主机、Web 服务器、Mail 服务器等公用服务器放在 DMZ 中;内部网络和外部网络均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。
- 优势:即使堡垒主机被入侵者控制,内部网仍能受到内部包过滤路由器的保护。
1.1.4 防火墙的局限性
- 为提高安全性,限制或关闭一些有用但存在安全缺陷的网络服务,给用户带来使用上的不便。
- 对来自网络内部的攻击无能为力,作为被动防护手段,不能阻止 Internet 新的威胁和攻击,不能有效防范数据驱动式攻击。
- 不能防范不经过防火墙的攻击。
- 对用户不完全透明,可能带来传输延迟、瓶颈和单点失效等问题。
- 不能完全防止受病毒感染的文件或软件的传输。
1.2 虚拟专用网(VPN)
- 定义:是企业网在 Internet 等公共网络上的延伸,通过私有的通道在公共网络上创建一个安全的私有连接。
- 本质:是一个虚信道,可用来连接两个专用网,通过可靠的加密技术保证安全性,且作为公共网络的一部分存在。
1.2.1 VPN 的关键技术
- 隧道技术:是 VPN 的基本技术,类似于点对点连接技术,在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。
- 加解密技术:是数据通信中较成熟的技术,VPN 可直接利用现有技术。
- 密钥管理技术:主要任务是如何在公用数据网上安全地传递密钥而不被窃取。
- 身份认证技术:通常使用名称与密码或卡片式认证等方式。
- 访问控制技术:由 VPN 服务的提供者根据各种预定义组中的用户身份标识,限制用户对网络信息或资源的访问控制的机制。
1.2.2 PPP 拨号会话过程
- 分为 4 个阶段:创建 PPP 链路、用户验证、PPP 回叫控制和调用网络层协议。
- 在用户验证阶段,客户 PC 会将用户身份发送给网络接入服务器(NAS),该阶段使用安全认证方式避免第三方窃取数据或冒充远程客户接管连接。
- 大多数 PPP 方案提供的有限认证方式包括:口令认证协议(PAP)和挑战握手认证协议(CHAP)。
