我所理解的网络安全架构

《我所理解的网络安全架构》由会员分享，可在线阅读，更多相关《我所理解的网络安全架构（11页珍藏版）》请在装配图网上搜索。

1、我所理解的网络安全架构网络安全是指网络系统的硬件、软件及其系统中的数据 受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄 露，系统连续可靠正常地运行，网络服务不中断。 网络安全从 其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到 网络上信息的保密性、完整性、可用性、真实性和可控性的相关 技术和理论都是网络安全的研究领域。（一）网络安全应具有以下五个方面的特征保密性：信息不泄露给非授权用户、实体或过程，或供其 利用的特性。完整性：数据未经授权不能进行改变的特性。即信息在存 储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按需求使用的特性。即当需 要时能

2、否存取所需的信息。例如网络环境下拒绝服务、破坏网络 和有关系统的正常运行等都属于对可用性的攻击；可控性：对信息的传播及内容具有控制能力。可审查性：出现的安全问题时提供依据与手段（二）影响网络安全性的因素网络结构因素：网络基本拓扑结构有3种：星型、总 线型和环型。一个单位在建立自己的内部网之前，各部门可能已 建 造了自己的局域网，所采用的拓扑结构也可能完全不同。在 建造内部网时，为了实现异构网络间信息的通信，往往要牺牲一 些安全机制的设置和实现，从而提出更高的网络开放性要求。网络协议因素：在建造内部网时，用户为了节省开支， 必然会保护原有的网络基础设施。另夕卜，网络公司为生存的需要， 对网络协议

3、的兼容性要求越来越高，使众多厂商的协议能互联、 兼容和相互通信。这在给用户和厂商带来利益的同时，也带来了 安全隐患。如在一种协议下传送的有害程序能很快传遍整个网 络。地域因素：由于内部网Intranet既可以是LAN也可能 是 WAN（内部网指的是它不是一个公用网络，而是一个专用网 络），网络往往跨越城际，甚至国际。地理位置复杂，通信线路 质量难以保证，这会造成信息在传输过程中的损坏和丢失，也给 一些”黑客”造成可乘之机。用户因素：企业建造自己的内部网是为了加快信息交 流，更好地适应市场需求。建立之后，用户的范围必将从企业员 工扩大到客户和想了解企业情况的人。用户的增加，也给网络的 安全性带来

4、了威胁，因为这里可能就有商业间谍或“黑客”主机因素：建立内部网时，使原来的各局域网、单机 互联，增加了主机的种类，如工作站、服务器，甚至小型机、大 中型机。由于它们所使用的操作系统和网络操作系统不尽相同， 某个操作系统出现漏洞（如某些系统有一个或几个没有口令的账 户），就可能造成整个网络的大隐患。单位安全政策：实践证明，80%的安全问题是由网络 内部引起的，因此，单位对自己内部网的安全性要有高度的重视， 必须制订出一套安全管理的规章制度。人员因素：人的因素是安全问题的薄弱环节。要对用 户进行必要的安全教育，选择有较高职业道德修养的人做网络管 理员，制订出具体措施，提高安全意识。（三）如何划分架

5、构（按照攻击方式、协议层次、网络层次等）1. 网络攻击主要分为以下几类“攻击”是指任何的非授权行为。供给的范围从简单的 使服务器无法提供正常工作到完全破坏或控制服务器。在网络上 成功实施的攻击级别依赖于用户采取的安全措施.B XcW4f%c0被动攻击：攻击者通过监视所有的信息流以 获得某些秘密。这种攻击可以是基于网络（跟踪通信链路）或基 于系统（用秘密抓取数据的特洛伊木马代替系统部件）的。被动 攻击是最难被检测到的，故对付这种攻击的重点是预防，主要手 段如数据加密等。%p%!T;q.m+R.fO主动攻击：攻击者试图突破网络的安全防 线。这种攻击涉及到修改数据流或创建错误流，主要攻击形式有 假冒

6、、重放、欺骗、消息篡改、拒绝服务等。这种攻击无法防御， 但却易于检测，故对付的重点是检测，主要手段如防火墙、入侵 检测技术等。Oy9fn7u?N n0物理临近攻击：在物理临近攻击中，未授权 者可物理上接近网络、系统或设备，目的是修改、收集或拒绝访问信息P6v p-e6l3BI0内部人员攻击：内部人员攻击的实施人要么 被授权在信息安全处理系统的物理范围内，要么对信息安全处理 系统具有直接访问权。内部人员攻击包括恶意的和非恶意的（不 小心或无知的用户）两种。6Dh p+a4L$qO分发攻击：指在软件和硬件开发出来之后和 安装之前这段时间，或当它从一个地方传到另一个地方时，攻击 者恶意修改软、硬件。

7、Space of NAUW4q-X#r#AS5KB2. 协议层次协议是通信双方为了实现通信而设计的约定或对话规则。网络层协议：包括：IP协议、ICMP协议、ARP协议、RARP 协议。传输层协议：TCP协议、UDP协议。应用层协议：FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS。3. 网络层次物理层利用物理传输介质为数据链路层提供物理连接，负责处理 数据传输率并监控数据出错率，以便透明地传送比特率。它定义 了激活、维护和关闭终端用户之间的电气、机械的、过程的和功 能的特性。物理层的特性包括电压、频率、数据传输率、最大传 输距离、物理连接器及相关的属性。数据链路层在物理层提供比

8、特率传输服务的基础上，数据链路层通过 在通信的实体之间建立数据链路连接，传送以“帧”为单位的数 据，使有差错的物理线路变成无差错的数据链路，保证点到点可 靠的数据传输，因此，数据链路层关心的主要问题包括物理地址、 网络拓扑、线路规则、错误通告、数据帧的有序传输和流量控制。网络层网络层的主要功能为处在不同的网络系统中的两个节点设 备通信提供一条逻辑网道。其基本任务包括路由选择、拥塞控制 与网络互联等功能。传输层传输层主要任务是向用户提供可靠地端到端服务，透明地 传送报文。它向高层屏蔽了下层数据通信的细节，因而是计算机 通信体系结构中的最关键的一层。该层关心的主要问题包括建 立、维护和中断虚电路、

9、传输差错校验和恢复以及信息流量控制。会话层会话层建立、管理和终止应用程序进程之间的会话和数据 的交换。这种会话关系是由两个或多个表示层实体之间的对话构 成的。表示层表示层保证一个系统应用层发出的信息能被另一个系统的 应用层读出。如有必要，表示层以一种通用的数据表示格式在多 种数据表示格式之间的转换，它包括数据格式变换、数据加密与解密、数据压缩与恢复等功能应用层应用层是OSI参考模型中最靠近用户的一层，它为用户的 应用程序提供网络服务，这些应用程序包括电子数据表格程序、 字处理程序和银行终端程序等，应用层识别并证实目的的通信方 的可用性，使协同工作的应用程序之间进行同步，建立传输错误 纠正和数据

10、完整性控制方面的协定，判断是否为所需的通信过程 留有足够的资源。（四）网络安全架构的组成技术和应用场景1. 数据加密与数字签名常用的数据加密技术主要有两种：私密密钥加密技术：私密密钥加密技术也称对称密钥加密 技术，密钥在加密方和解密方之间传递和分发必须通过安全通道 进行，在公共网络上使用明文传递秘密密钥是不合适的。如果密 钥没有已安全方式传送，那么黑客就很有可能截获该密钥，并将 该密钥用于信息解密。因此，在公共网络上，秘密密钥技术不适 合于实现互不相识的通信者之间的信息传递。公开密钥加密技术：公开密钥加密也称为非对称密钥加密 公开密钥加密技术其优势在于不需要共享通用的密钥。公钥可以 再公共网络

11、上进行传递和分发，公开密钥加密技术的主要缺点是 加密算法复杂，加密与解密速度比较慢，被加密的数据块长度不 宜过太大。数字签名：数字签名作为验证发送者身份和消息完整性的 根据。公共密钥系统（如RSA）基于私有/公共密钥对，作为验证发 送者身份和消息完整性的根据。CA使用私有密钥计算其数字签 名，利用CA提供的公共密钥，任何人均可验证签名的真实性。 伪造数字签名从计算能力上是不可行的2. CA数字证书CA是证书的签发机构，它是PKI的核心。CA是负责签 发证书、认证证书、管理已颁发证书的机关。它要制定政策和具 体步骤来验证、识别用户身份，并对用户证书进行签名，以确保 证书持有者的身份和公钥的拥有权

12、。如果用户想得到一份属于自己的证书，他应先向CA提 出申请。在CA判明申请者的身份后，便为他分配一个公钥， 并且CA将该公钥与申请者的身份信息绑在一起，并为之签字 后，便形成证书发给申请者。 它主要用来认证访问权限和建立 互相信任。3. 防火墙技术防火墙技术，最初是针对Internet网络不安全因素所采取 的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因 素影响的内部网络屏障，其目的就是防止外部网络用户未经授权 的访问。它是一种计算机硬件和软件的结合，吏Internet与Intranet 之间建立起一个安全网关，从而保护内部网免受非法用户的侵 入，它对两个或多个网络之间传输的数据包如链

13、接方式按照一定 的安全策略来实施检查，以决定网络之间的通信是否被允许，并 监视网络运行状态。4. 入侵检测技术入侵检测技术可以被定义为对计算机和网络资源的恶意使 用行为进行识别和相应处理的系统。包括系统外部的入侵和内部 用户的非授权行为，是为保证计算机系统的安全而设计与配置的 一种能够及时发现并报告系统中未授权或异常现象的技术，是一 种用于检测计算机网络中违反安全策略行为的技术。5. VPN技术VPN即虚拟专用网络，是通过一个公用网络(通常是因 特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网 络的安全、稳定的隧道。VPN是一种“基于公共数据网，给用户一种直接连接 到私人局域网感觉的服

14、务”。VPN极大地降低了用户的费用， 而且提供了比传统方法更强的安全性和可靠性。VPN可分为三 大类：(1)企业各部门与远程分支之间的VPN; (2)企业网与 远程(移动)雇员之间的VPN; (3)企业与企业之间的VPN。6. NAT技术NAT (Networ Address Translation)即网络地址转换或网络 地址翻译。他将一个或多个私网地址映射成一个公网地址，他是 不对称的协议。7. IPSEC 技术IPSec是一种开放标准的框架结构，通过使用加密的安全 服务以确保在Internet协议(IP)网络上进行保密而安全的通讯 它通过端对端的安全性来提供主动的保护以防止专用网络与 In

15、ternet的攻击。在通信中，只有发送方和接收方才是唯一必须 了解IPSec保护的计算机。IPSec提供了一种能力，以保护工作 组、局域网计算机、域客户端和服务器、分支机构以及漫游客户 端之间的通信。IPsec提供两个端点之间提供安全通信(五) 以一个拓扑图来说明网络技术实施的层次和目标1. 拓扑图2. 实现的层次及目标实现VPN使得私网1与私网2能够安全通信1. 在ISA1上设置分配给远程拨入的IP地址段，并设置允许 拨入人数2. 在ISA1上建立远程站点VPN的规则3. 在ISA1上新建用户并且允许远程拨入4. 在ISA2上与ISA1上相同实现VPN使得移动用户PC4能访问私网11. 在装

16、有ISA1的机器上建立VPN允许拨入2. 在装有ISA1的机器上建立用户并允许拨入实现网站发布与CA数字证书使得PC2能安全访问内部网 站1. 在ISA1上建立发布规则使网站发布出去2. 使用PC2访问内部网站3. 在网站上设置要求证书认证4. 在PC2上向网站申请证书5. 在PC2下载证书6. 分别使用PC2和PC4访问网站验证实现IPsec+CA证书使得两个私网中的两台计算机安全通 信1. 在ISA1上与ISA2上启用路由功能2. 在PC1和PC3的安全策略中新建IPsec策略3. 选择使用证书验证双方4. 在PC2上建立CA5. PC1和PC3上是向CA申请证书并下载证书实现NAT使得内网的私网网址映射成公网网址，内网能访 问外网，外网不能访问内网1. 在装有ISA1的机器上启用路由2. 在装有ISA1的机器上启用NAT，做好相应的设置3. 使用内网中的PC1访问外网PC2，然后翻过来访问验证实现入侵检测使得即时发现恶意的访问1. 在ISA1中默认是启用的2. 选择端口扫描复选框并设置扫描端口个数3. 在pc2上使用scan-x扫描ISA端口验证实现数据加密和数字签名使得重要数据得到保护1. 右击文件夹一属性一加密复选框2. 导出证书使用另一个用户访问文件夹验证