本文概述
- 防火墙功能
- 入侵检测系统(IDS)
- 访问控制
今天, 根本的问题是, 许多安全技术旨在将攻击者拒之门外, 而一旦失败, 防御就会失败。每个使用Internet的组织都需要安全技术来涵盖三种主要的控制类型-预防性, 侦探性和纠正性, 以及提供审核和报告。大多数安全性基于以下几种类型之一:我们拥有的某种东西(例如钥匙或ID卡), 我们知道的某种东西(例如PIN或密码)或我们拥有的某种东西(例如指纹)。
以下介绍了网络安全中使用的一些重要安全技术:
文章图片
防火墙功能 防火墙是一种计算机网络安全系统, 旨在防止未经授权的人员访问私有网络或从私有网络访问。它可以实现为硬件, 软件或两者的组合。防火墙用于防止未经授权的Internet用户访问连接到Internet的专用网络。所有消息都通过防火墙进入或离开Intranet。防火墙检查每个消息, 并阻止不符合指定安全标准的消息。
防火墙类别
防火墙可以分为以下几种类型:
文章图片
1.处理方式:
防火墙可以分类的五种处理模式是:
文章图片
包过滤
数据包过滤防火墙检查进入网络的数据包的标头信息。该防火墙安装在TCP / IP网络上, 并根据防火墙中编程的规则确定是将其转发到下一个网络连接还是丢弃数据包。它扫描网络数据包, 以查找违反防火墙数据库规则的情况。大多数防火墙通常基于以下组合:
- Internet协议(IP)源和目标地址。
- 方向(入站或出站)。
- 传输控制协议(TCP)或用户数据报协议(UDP)源和目标端口请求。
1.静态过滤:系统管理员为防火墙设置规则。这些过滤规则决定着防火墙如何决定允许和拒绝哪些数据包的开发和安装。
2.动态过滤:它允许防火墙为其自身设置一些规则, 例如从发送许多错误数据包的地址中丢弃数据包。
3.状态检查:状态防火墙使用状态表跟踪内部和外部系统之间的每个网络连接。
应用网关
它是防火墙代理, 通常安装在专用计算机上以提供网络安全性。该代理防火墙充当请求者和受保护设备之间的中介。此防火墙代理将进入的节点流量过滤为某些规格, 这意味着仅过滤传输的网络应用程序数据。此类网络应用程序包括FTP, Telnet, 实时流协议(RTSP), BitTorrent等。
电路网关
电路级网关是在传输层运行的防火墙。它提供UDP和TCP连接安全性, 这意味着它可以重组, 检查或阻止TCP或UDP连接中的所有数据包。它在传输层和应用程序层(例如会话层)之间工作。与应用程序网关不同, 它监视TCP数据包握手以及防火墙规则和策略的会话执行。通过在防火墙之间进行加密, 它还可以充当Internet上的虚拟专用网(VPN)。
MAC层防火墙
该防火墙设计为在OSI网络模型的媒体访问控制层上运行。它能够在其过滤决策中考虑特定主机的身份。特定主机的MAC地址链接到访问控制列表(ACL)条目。此项标识可以发送到每个主机的特定类型的数据包, 所有其他流量都被阻止。它还将检查请求者的MAC地址, 以确定所使用的设备是否能够进行连接以授权访问数据。
混合防火墙
它是一种防火墙, 结合了其他四种类型的防火墙的功能。这些是数据包过滤和代理服务或数据包过滤和电路网关的元素。
2.发展时代:
可以根据生成类型对防火墙进行分类。这些是-
- 第一代
- 第二代
- 第三代
- 第四代
- 第五代
第一代防火墙附带了静态数据包筛选防火墙。静态数据包筛选器是防火墙保护的最简单且最便宜的形式。在这一代中, 将检查每个进入和离开网络的数据包, 并将根据用户定义的规则将其传递还是拒绝。我们可以将这种安全性与俱乐部的保镖进行比较, 后者只允许21岁以上的人进入, 而21岁以下的人则被禁止。
第二代:
第二代防火墙随附于应用程序级别或代理服务器。这一代防火墙提高了受信任和不受信任网络之间的安全级别。应用程序级防火墙使用软件拦截每个IP的连接并执行安全检查。它涉及代理服务, 这些代理服务充当内部信任网络上的用户与Internet之间的接口。每台计算机通过代理程序传递网络流量来相互通信。该程序评估从客户端发送的数据, 并确定继续前进和丢弃的数据。
第三代:
第三代防火墙带有状态检查防火墙。新一代防火墙已发展为可以满足公司网络在提高安全性的同时将对网络性能的影响降至最低的主要要求。由于对VPN, 无线通信和增强的病毒防护的支持不断增长, 对第三代防火墙的需求将更加苛刻。这一发展过程中最具挑战性的要素是在不损害灵活性的前提下, 保持防火墙的简单性(以及防火墙的可维护性和安全性)。
第四代:
第四代防火墙带有动态数据包过滤防火墙。该防火墙监视活动连接的状态, 并根据此信息确定允许哪些网络数据包通过防火墙。通过记录会话信息(例如IP地址和端口号), 动态数据包筛选器可以实现比静态数据包筛选器更严格的安全状态。
第五代:
第五代防火墙随附内核代理防火墙。该防火墙在Windows NT Executive的内核下工作。该防火墙代理在应用程序层运行。这样, 当数据包到达时, 将创建一个新的虚拟堆栈表, 其中仅包含检查特定数据包所需的协议代理。这些数据包在堆栈的每一层进行调查, 涉及评估数据链路头以及网络头, 传输头, 会话层信息和应用程序层数据。与所有应用程序级防火墙相比, 此防火墙的运行速度更快, 因为所有评估都在内核层进行, 而不是在操作系统的更高层进行。
3.预期的部署结构:
也可以根据结构对防火墙进行分类。这些是-
文章图片
商用电器
它在自定义操作系统上运行。该防火墙系统由运行在通用计算机上的防火墙应用程序软件组成。它旨在为大中型企业网络提供保护。大多数商用防火墙非常复杂, 通常需要专门的培训和认证才能充分利用其功能。
小型办公室家庭办公室
SOHO防火墙是为需要保护免受Internet安全威胁的小型办公室或家庭办公室网络而设计的。 SOHO(小型办公室家庭办公室)的防火墙是第一道防线, 在整体安全策略中起着至关重要的作用。 SOHO防火墙的资源有限, 因此它们实现的防火墙产品必须相对易于使用和维护, 并且具有成本效益。此防火墙将用户的局域网或特定的计算机系统连接到Internetworking设备。
住宅软件
住宅级防火墙软件直接安装在用户的系统上。其中一些应用程序将防火墙服务与其他保护(例如防病毒或入侵检测)结合在一起。软件防火墙可以提供的可配置性和保护级别受到限制。
4.架构实施
最适合特定组织的防火墙配置取决于三个因素:网络的目标, 组织开发和实现体系结构的能力以及功能可用的预算。
防火墙有四种常见的体系结构实现:
文章图片
包过滤路由器
数据包筛选防火墙用于通过监视传出和传入数据包来控制网络访问。它允许它们根据源和目标IP地址, 协议和端口通过或停止。在通信期间, 节点发送数据包;该数据包被过滤并与预定义的规则和策略匹配。一旦匹配, 就认为数据包是安全的并经过验证, 可以被接受, 否则被阻止。
屏蔽主机防火墙
这种防火墙体系结构将数据包过滤路由器与单独的专用防火墙结合在一起。应用程序网关仅需要一个网络接口。它允许路由器预先筛选数据包, 以最大程度地减少网络流量和内部代理服务器上的负载。包过滤路由器过滤危险协议, 使其无法到达应用程序网关和站点系统。
双宿主主机防火墙
双宿主主机防火墙的网络体系结构很简单。它的体系结构围绕双宿主主机构建, 该宿主计算机至少具有两个NIC。一个NIC将与外部网络连接, 另一个将与内部网络连接, 从而提供了额外的保护层。使用这些NIC, 所有流量都必须经过防火墙, 以便在内部和外部网络之间移动。
此体系结构的实现通常使用NAT。 NAT是一种将分配的IP地址映射到没有可路由内部IP地址的特殊范围的方法, 从而为外部攻击者的入侵创造了另一个障碍。
屏蔽子网防火墙
该体系结构通过添加外围网络进一步增加了安全性的另一层(外围网络), 从而增加了屏蔽的主机体系结构, 该外围网络进一步将内部网络与Internet隔离开来。在这种体系结构中, 有两个屏蔽路由器, 并且都连接到外围网络。一台路由器位于外围网络和内部网络之间, 另一台路由器位于外围网络和外部网络之间。要闯入内部网络, 攻击者必须绕过两个路由器。没有任何一个脆弱点会危害内部网络。
虚拟专用网
VPN代表虚拟专用网。它是一种在Internet上从设备到网络建立安全和加密连接的技术。这种类型的连接有助于确保我们敏感数据的安全传输。它可以防止我们的连接窃听网络流量, 并允许用户安全地访问专用网络。这项技术广泛用于公司环境中。
VPN的作用与防火墙相同, 就像在VPN在线保护数据的地方, 防火墙保护设备本地的数据一样。为了确保Internet上的安全通信, 数据通过安全隧道传输, 并且VPN用户使用身份验证方法来访问VPN服务器。 VPN由需要访问公司资源的远程用户, 要下载文件的消费者和商务旅行者要访问受地理位置限制的站点使用。
入侵检测系统(IDS) IDS是监视计算机系统和网络流量的安全系统。它会分析该流量, 以分析源自外部人员的可能的敌对攻击, 以及系统滥用或源自内部人员的攻击。防火墙负责过滤来自Internet的传入流量, IDS以类似的方式补充了防火墙的安全性。就像防火墙保护组织敏感数据免受Internet上的恶意攻击一样, 入侵检测系统会在有人试图破坏防火墙安全性并试图在受信任端的任何网络上访问时提醒系统管理员。
入侵检测系统具有不同的类型来检测可疑活动-
1. NIDS-
它是一个网络入侵检测系统, 它监视通过网络往返所有设备的入站和出站流量。
2. HIDS-
它是一个主机入侵检测系统, 它可以在网络中的所有设备上运行, 并且可以直接访问Internet和企业内部网络。它可以检测源自组织内部的异常网络数据包或NIDS未能捕获的恶意流量。 HIDS还可以识别来自主机本身的恶意流量。
3.基于签名的入侵检测系统-
它是一种检测系统, 它通过查找特定的模式来检测攻击, 例如网络流量中的字节序列或恶意软件使用的已知恶意指令序列。该IDS源自可以轻松检测已知攻击的防病毒软件。使用此术语, 不可能检测到没有可用模式的新攻击。
4.基于异常的入侵检测系统-
该检测系统主要用于检测由于恶意软件的快速发展而导致的未知攻击。它警告管理员注意潜在的恶意活动。它监视网络流量并将其与已建立的基准进行比较。它确定与带宽, 协议, 端口和其他设备有关的网络正常情况。
访问控制 访问控制是选择对系统的限制性访问的过程。安全性的概念是最大程度地减少未经授权访问企业或组织的风险。这样, 将为用户授予访问权限以及对系统和资源的某些特权。在此, 用户必须提供凭据才能被授予访问系统的权限。这些凭据以多种形式出现, 例如密码, 钥匙卡, 生物特征读取等。访问控制可确保安全技术和访问控制策略来保护机密信息(例如客户数据)。
访问控制可以分为两类:
- 物理访问控制
- 逻辑访问控制
逻辑访问控制-这种访问控制限制了与计算机网络, 系统文件和数据的连接。
用于访问控制的更安全的方法涉及两因素身份验证。第一个因素是希望访问系统的用户必须显示凭据, 第二个因素可能是访问代码, 密码和生物识别读数。
【几种网络安全技术】访问控制包含两个主要组件:授权和身份验证。认证是一个过程, 该过程验证某人声称已被授予访问权限, 而授权则规定应允许用户访问系统还是拒绝用户访问。