返回
通讯和网络安全--cissp安全教育之二new

通讯和网络安全--cissp安全教育之二new

ID:34403208

大小:180.77 KB

页数:3页

时间:2019-03-05

通讯和网络安全--cissp安全教育之二new_第1页
通讯和网络安全--cissp安全教育之二new_第2页
通讯和网络安全--cissp安全教育之二new_第3页
资源描述:

《通讯和网络安全--cissp安全教育之二new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、通讯和网络安全万方数据cSsP的第二部分内容包含网络结构.传输方法、数据传输格.以及用于保证数据在公共网络和私有网络和介质传输时的完整性、稳定性、验证和加密性。考试范围包括了语音和数据传输、防火墙、路由器以及在通讯安全管理方面的防御、检测以及纠正方法。本文主要展开clssP考试中经常涉及到的防火墙的知识进行展开。防火墙是隔绝危险和潜在危机的防护设备。在整个Internet中,防火墙不单纯指的是路由器.主机系统或是网络中保证安全的一系列系统。防火墙指的是安全方法.它能帮助实施一整套定义允许的服务和访问的安全策略等。防火墙最重

2、要的功能就是包过滤,而发挥包过滤功能的方式就是访问控制ACL.一般而言防火墙有许许多多种形式,有以软件形式运行在普通计算机之上的.也有以固件形式设计在路由器之中的。总的来说业界的分类有三种:包过滤防火墙.应用级网关和状态监视器。包过滤防火墙在互联网络这样的TcP/IP网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包含发送者的IP地址和接收者的

3、P地址信息。包过滤式的防火墙会检查所有通过的信息包中的IP地址,并按照所给定的过滤规则进行过滤。如果对防火墙设定某一IP地址的站点为不适宜访问的话.从这个地址来的所有

4、信息都会被防火墙屏蔽掉。这种类型最常见的实际应用的例子就是互联网上的路由设备,比如常见的cisco路由器,使用者可以通过定制访问控制列(AcL)来对路由器进出端口的数据包进行控制,如针对rfcl918的保留地址进屏蔽.在路由器上可以进行如下配置:CISSP安全教育之二新东方IT教育金悦从这个例子可以很明显的看出.路由器这里的配置完全是针对OsI的三层ip地址.也就是ip的包头进行过滤,至于这些IP数据包里携带的具体有什么内容.路由器完全不会去关心。由此我们不难看出这种防火墙的优点:1.基于包过滤的防火墙一个非常明显的优势就

5、是速度,这是因为防火墙只是去检察数据包的包头.而对数据包所携带的内容没有任何形式的检查,因此速度非常快。2.还有一个比较明显的好处是,对用户而言,包过滤防火墙是透明的.无需用户端进行任何配置。同时,这种防火墙的弊端也是显而易见的.比较关键的几点包括:1.由于无法对数据包及其上层的内容进行核查.因此无法过滤审核数据包的内容。体现这一问题的~个很简单的例子就是:对某个端口的开放意味着相应端口对应的服务所能够提供的全部功能都被放开.即使通过防火墙的数据包有攻击性.也无法进行控制和阻断。比如针对微软lIS漏洞的unicode攻击,

6、因为这种攻击是走的防火墙所允许的80端口.而包过滤的防火墙无法对数据包内容进行核查,因此此时防火墙等同于■簟嗣_蕊龇.万方数据虚设.未打相应patch的提供web服务的系统.即使在防火墙的屏障之后.也会被攻击者轻松拿下超级用户的权限。2由于此种类型的防火墙工作在较低层次,防火墙本身所能接触到的信息较少,所以它无法提供描述事件细致的日志系统.此类防火墙生成的日志常常只是包括数据包捕获时间,三层的ip地址,四层的端口等非常原始的信息。至于这个数据包内容是什么.防火墙不会理会,这恰恰对安全管理员而言是至为关键的。因为即使一个非常

7、优秀的系统管理员一旦陷入大量的通过/屏蔽的原始数据包信息中,往往也是难以理清头绪的.当发生安全事件时会给管理员的安全审计带来了很大的困难。3.所有有可能用到的端口都必须静态放开.对外界暴露,从而极大的增加了被攻击的可能性.这个问题一个很好的例子就是uni×下的危险的rpc服务,它们也工作在高端口,而针对这些服务的攻击程序在互联网上异常流行。4.如果网络结构比较复杂,那么对管理员而言配置AcL将是非常恐怖的事情。当网络发展到一定规模时.AcL出错几乎是必然的.这一点相信许多大型站点的系统管理员印象深刻。应用级网关(Proxy

8、serVer)应用级网关也就是通常我们提到的代理服务器。它适用于特定的互联网服务,如超文本传输(HTTP),远程文件传输(FTP)等等。代理服务器通常运行在两个网络之间.它对于客户来说象是一台真的服务器,而对于外界的服务器来说,它又是一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定.如果规则允许用户访问该站点的话,代理服务器会象一个客户一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存,这个缓存存储有用户经常访问的站点内容.在下一个用户要访问同一站点时.服务器就不用重复地

9、获取相同的内容.直接将缓存内容发出即可,既节约了时间也节约了网络资源。代理服务器会象一堵墙一样挡在内部用户和外界之间.从外部只能看到该代理服务器而无法获知任何的内部资源.诸如用户的IP地址等。应用级网关比单一的包过滤更为可靠,而且会详细地记录所有的访问状态信息。但是应用级网关也存在一些不足之处,首先它会

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。