下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
防火墙一一需求分析
1、首先分析网络拓扑结构和需要保护的内容
网络拓扑结构是否存在不合理
OSI/RM参考模型中各层通信的安全隐患
物理层的网络安全就包括了通信线路的安全,物理设备的安全、机房的安
全和数据的安全等几个方面。在物理层上存在安全风险主要体现在传输线路上
的电磁泄漏、网络线路和网络设备的物理破坏,以及数据的备份与恢复。黑客
通过相应的技术手段,在传输线路上依靠电磁泄漏进行侦听,可以实现非法截
取通信数据;也可以通过非法手段进网络设备进行破坏,致使网络全部或局部
的瘫痪。保护措施:
对传输线路进行屏蔽,防止电磁泄漏;配备设备冗余、线路冗余,和电源冗余;
完善各种管理制度相配合,特别是机房和用户账户管理
数据链路层的主要特征就是形成MAC地址,并对物理层上的比特流进行编
码、成帧,然后就是链路层上的可靠数据传输。这样一来,黑客基于数据链路
层的攻击行为也就清楚了,一是进行MAC地址欺骗,如ARP病毒,再就是对数
据编码、成帧机制进行干扰,致使形成错误的数据帧,也可以导致数据在数据
链路上的传输错误,甚至数据丢失。数据链路层还有一个安全风险就是大量的
广播包,致使网络链路带宽资源匮乏,而最最终使网络瘫痪。防护措施:
对传输中的链路进行加密,防止非法修改数据源,干扰数据的编码和成帧;绑定
MAC地址与IP地址、端口,或者自动监测MAC地址修改;缩小广播域,如划分
VLAN;加强交换机设备的CAM的保护
网络层存在的安全风险主要体现在来自外部网络的入侵和攻击,数据包修
改,以及IP地址、路由地址和网地址的欺骗。保护措施:
部署防火墙系统ACL,过滤非法数据通信请求;部署防火墙或路由器的NAT技术,
不把内网IP地址暴露在外;配置VPN,以确保网络间的通信和数据安全;配置严
谨的身份验证系统,如Kerberos、IPSec协议和公钥证书,防止非法用户的访
问.
传输层的最终目的就是提供可靠,无差错的数据传输。整个数据传输强务
一般要经历传输连接建立阶段、数据传送阶段、传输连接释放阶段3个阶段。
其中每个阶段都可能被黑客利用,进行非法攻击。如传输连接建立阶段,黑客
们通过获取目的端的IP地址和端口,以及必要的验证信息就可以;数据传送阶
段,黑客可能会非法截取,或者篡改传输中的数据,还可能在传输过程中,发
送大量无效数据,或者命令请求,造成带宽资源匮乏,引起传输服务瘫痪;在
传输连接释放阶段,黑客则可以发送错误的服务命令,导致传输连接非正常释
放,从而引起数据传输错误,数据丢失。这就是典型的黑客攻击,其中最常见
的就是拒绝服务攻击OoS)。保护措施:
强化操作系统TCP、UDP协议安全配置,抵制黑客攻击;采用TLS/SSL、SSH、SOCKS
对传输数据进行加密,并提供数据完整性检查和身份验证;部署防火墙系统,抵
制基于传输层的黑客攻击;部署四层交换机、防火墙或路由器的流量控制功能和
差错检测功能.
会话层和表示层作用就是要处理应用数据以什么样的表示形式来进行传
送,才能达到任意应用系统之间的信息沟通。保护措施:
在会话层和表示层中可以提供的安全保护措施就是会话进程和传输数据的加
应用层的安全性也是最复杂的,各种不同应用程序有着不同的安全考虑和
相应的防护措施。可以工作在应用层的网络设备主要是七层交换机和应用代理
型的防火墙和路由器。保护措施:
在防火墙或路由器上部署基于应用的通信过滤;为各具体应用软件配置相应的
安全保护选项;及时发现操作系统和应用软件的安全漏洞,更新安全补丁;安装
专业的计算机病毒、木马和恶意软件防护系统,及时更新.
本地网络接入情况
本地关键数据的部署
防火墙能够防护的内容
防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即
Internet或有一定风险的网络)与安全区域(内部局域网)的连接,同时不会妨碍
内部网络对风险区域的访问。一般的防火墙都可以达到以下目的:一是可以限
制他人进入内部网络,过滤掉不安全服务和非法用户;二是控制内部网络的网
络行为,过滤掉不符合组织要求的数据;三是记录进出网络的通信量。
部署防火墙的保护目标(具体化)
1.边界防火墙
传统边界防火墙方式
这一方式中,VPN服务器位于边界防火墙之后,防火墙必须打开内外网络之
间相应的VPN通信服务端口,这可能带来安全隐患,这也是传统边界防火墙不
能很好地VPN通信的原因。因为VPN通信中数据包内容是加密过的,所以边界
防火墙无法检测内外网络之间的通信内容,也就无法从中获取过滤信息,这样
防火墙很难有效地实现对网络的访问控制、审计和病毒检测。因为VPN服务器
与传统边界2、VPN通信配置防火墙的上述矛盾,所以远程攻击者对很可能将
VPN服务器作为攻击内部网络的跳板,给内部网络带来非常大的不安全因素。为
了提高网络的安全性,最好再加上如图9中配置的第二道防火墙:内部防火墙,
把VPN服务器放置在外部DMZ区中。
针对传统边界防火墙与VPN通信的上述矛盾,网络设备开发商就特定为VPN
通信开发VPN防火墙。集成VPN技术的防火墙,就可以正确识别VPN通信中的
数据包,并且加密的数据包也只在外部VPN客户端与防火墙之间,有交地避免
了前种方案中数据包无法识别的弊端。
2.重要数据和应用服务器防火墙
DNS服务器可为互联网提供域名解析服务,对任何网络应用都十分关键。同
时在其中也包括了非常重要的网络配置信息,如用户主机名和IP地址等。正因
如此,对DNS服务器要采取特别的安全保护措施。
为了安全起见,建议在防火墙网络中,对内部DNS服务器和外部DNS服务
器进行分开放置。为互联网服务的外部DNS服务器不应该包含对外禁止访问的
内部网络系统的相关服务,需要专门放置在内部DNS服务器上。如果将内部网
络的相关服务需放置在外部DNS服务器上,则会为非法攻击者提供攻击对象目
标信息。这种将内部DNS服务器和外部DNS服务器分隔开的网络配置方案通常
称之为“分割DNS”。
2、分析高安全性、一般安全性、低安全性范围
高安全性:禁止局域网内部和互联网的机器访问自己提供的网络共享服务,局
域网和互联网上的机器将无法看到本机器。除了是由
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026学校语文面试题目及答案
- 2026医疗商务面试题及答案
- 科技考试题目及答案
- 2026以客户经理面试题及答案
- 2026应付管理面试题及答案
- 2026远程做题面试题目及答案
- 2026真实保安面试题及答案解析
- 2026智利公司面试题目及答案
- 2026自律对策面试题及答案解析
- 2026年浙江省考《申论》真题及答案解析(B卷)
- 2026重庆国隆农业科技产业发展集团有限公司招聘9人(第二批)考试备考试题及答案详解
- 广东省东莞市虎门2026年数学四年级下学期期末教学质量检测试题(含答案解析)
- 配电网同步测量技术及应用阅读记录
- 高级中式烹调师考试试题库含答案
- 2026年八年级物理八年级下册期末模拟试卷(山东专用版·压轴题突破卷含答案详解与评分标准)
- 2026年熔化焊接与热切割特种作业证考试题库及答案(含答案)
- 2026年安徽民航机场集团笔试题及答案
- 2026中国长纤维增强塑料市场行情监测与经营前景趋势调研研究报告
- 四川省水电集团笔试题库
- 放射科影像诊断质控流程
- 2025年北京市初二地生会考真题试卷(含答案)
评论
0/150
提交评论