关于信息安全软考的记录5

news2024/12/23 1:49:38

1、防火墙的概念

为了应对网络威胁,联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离

网络的安全信息程度和需要保护的对象,人为地划分若干安全区域,这些安全区域有:

  • 公共外部网络,如Intrenet
  • 内联网(Intranet),如某个公司或组织的专用网络,网络访问限制在组织内部
  • 外联网(Extranet),内联网的扩展延伸,常用作组织与合作伙伴之间进行通信;
  • 军事缓冲区域(DMZ),该区域是介于网络内部和外部网络之间的网络段,常放置公共服务设备,向外提供信息服务。

防火墙安装在不同的安全区域边界处,用于网络通信安全控制,由专用硬件或软件系统组成。

 2、防火墙的功能

  • 过滤非安全网络访问:将防火墙设置为只允许符合安全策略的能通过
  • 限制网络访问:例如可以制定外网只能访问DMZ区的设备or特定主机
  • 网络访问审计:防火墙是内外网唯一的网络通道,通过防火墙日志可以掌握网络使用情况
  • 网络带宽控制:防火墙可以控制网络带宽实现Qos保障
  • 协同防御:可以和IPS设备通过交换信息来实现联动

3、防火墙安全风险

(1)防火墙功能缺陷:导致一些网络威胁无法阻断

  • 防火墙不能完全防止感染病毒的软件或文件传输,因病毒种类太多,需依赖杀毒软件
  • 防火墙不能防止基于数据驱动式的攻击。当有些表面看来无害的数据被邮寄或复制到主机上并被执行二发起攻击时,就会发生数据驱动攻击效果。防火墙对此无能为力
  • 防火墙不能完全防止后门攻击。防火墙时粗粒度的网络访问控制,某些基于网络隐蔽通信的后门能绕过防火墙的控制。例如 http tunnel等。

(2)网络安全旁路:防火墙只能对通过它的网络通信包进行访问控制,而未经过它的网络通信就无能为力

(3)防火墙安全机制形成单点故障和特权威胁:所有网络流量都要经过防火墙,一旦防火墙管理失效,就会对网络造成单点故障和网络安全特权失效

4)防火墙无法有效防范内部威胁:内网用户操作失误,攻击者就能利用内网用户发起主动网络连接

(5)防火墙效用受限于安全规则:依赖于安全规则的更新。

4、包过滤技术

包过滤实在IP层实现的防火墙技术,包过滤根据包的源IP地址、目的IP地址、源端口、目的端口、包传递方向包头信息判断是否允许包通过。

包过滤的规则由 规则号、匹配条件、匹配操作 3部分组成

匹配条件源IP地址、目标IP地址、源端口号、目标端口号、协议、通信方向

匹配操作:拒绝、转发、审计

  • 包过滤防火墙技术的优点:低负载、高通过率、对用户透明
  • 包过滤防火墙技术的缺点:不能再用户级别进行过滤

5、状态检查技术

基于状态的防火墙通过利用TCP会话和UDP”伪“会话的状态信息进行网络访问机制。采用状态检查技术的防火墙首先建立并维护一张会话表,当有符合已定义安全策略的TCP连接或UDP流时,防火墙会创建会话项,然后依旧状态表项检查,与这些会话相关联的包才允许通过防火墙。

状态防火墙处理包流程的主要步骤如下:

  1. 接收到数据包
  2. 检查数据包的有效性,若无效,则丢掉数据包并审计
  3. 查找会话表,若找到,则进一步检查数据包的序列号和会话状态;若有效,则进行地址转换和路由,转发该数据包,否则,丢掉数据包并审计。
  4. 当会话表中没有新到的数据包信息时,则查找策略表,如符合策略表,则增加会话条目到会话表中,并进行地址转换和路由,转发该数据包,否则,丢掉该数据包并审计。

6、防火墙防御体系结构类型

防火墙防御体系结构:基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网的防火墙

7、防火墙部署基本方法

防火墙防御体系结构:基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网的防火墙

  1. 根据组织或公司的安全策略要求,将网络划分成若干安全区域(划分区域)
  2. 在安全区域之间设置针对网络通信的访问控制点(设置控制点)
  3. 针对不同访问控制点的通信业务需求,制定相应的边界安全策略(指定安全策略)
  4. 依据控制点的边界安全策略,采用合适的防火墙技术和防范结构(依据策略选技术)
  5. 在防火墙上,配置实现对应的网络安全策略(真机上配置策略)
  6. 测试验证边界安全策略是否正常执行(验证策略)
  7. 运行和维护防火墙(运维)

8、VPN类型

按照VPN在TCP/IP协议栈的工作层次,可以分为

VPN类型VPN技术
链路层VPNATM、Frame Relay、多协议标签交换MPLS、PPTP、L2TP
网络层VPN

受控路由过滤、隧道技术(IPsec、GRE)

传输层VPNSSL/TSL

VPN的实现技术:密码算法、秘钥管理、认证访问控制、IPSec、SSL、PPTP、L2TP

9、VPN实现技术:IPSec

技术组成解释工作模式
IPSec安全规范认证头(AH)保证IP数据包的完整性数据源认证
代表协议:MD5、SHA

透明模式:只保护IP包中的数据域

隧道模式:保护IP包的 包头+数据域

封装安全负荷(ESP)

将IP数据包进行封装加密处理,生成带有ESP协议的信息的新IP包,防重放攻击。

代表协议:DES、3DES、AES

秘钥交换协议

用于生成和分发秘钥

代表协议:DH

10、VPN实现技术:SSL

SSL是传输层安全协议,用于构建客户端和服务端之间的安全通道,包含两层协议:

  • 上层为:SSL握手协议、SSL密码变化协议和SSL报警协议。
  • 下层为:SSL记录协议:为高层协议提供基本的安全服务,比如分块、压缩、计算添加HMAC、加密等。
  • SSL握手协议:认证、协商加密算法和密钥
  • SSL密码规格变更协议:客户端和服务器双方应该每隔一段时间改变加密规范
  • SSL报警协议:通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1083590.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

华为云云耀云服务器L实例评测|华为云耀云服务器L实例评测包管理工具安装软件(六)

七、华为云耀云服务器L实例评测包管理工具安装软件: 根据企业级项目架构图所示,本章主要是安装公司企业项目的基本环境LNMP,相关的包管理器Composer、Node、Npm、Yarn安装,评测一下包管理工具安装软件是否存在问题,如果…

【Tomcat】Apache发布两个新版本Tomcat修复多个Bug

Apache 官网发布了两个最新的 Tomcat 版本包,分别是:8.5.94、9.0.81 这两个最新版本修复了多个漏洞,统计信息如下表所示。有关漏洞的详细信息,请查阅官方相关文档(见:参考)。 严重等级漏洞说明…

Premiere Elements 2024(PR简化版)直装版

Adobe Premiere Elements 2024 是一款由Adobe Systems推出的视频编辑软件,它结合了易用性和专业级的功能,帮助用户对视频进行剪辑、特效、色彩校正等处理。 主要功能和特点: 导入和组织视频:Premiere Elements 2024允许用户快速导…

安装CentOS7.9操作系统

下面是安装CentOS7.9操作系统的步骤: 下载CentOS7.9镜像文件,可以到CentOS官网或者其他镜像站点下载。 创建一个可用的安装媒介,可以使用USB或者DVD。 插入安装媒介,启动计算机,进入BIOS设置,选择从外部设…

数据仓库Hive(林子雨课程慕课)

文章目录 9.数据仓库Hive9.1 数据仓库的概念9.2 Hive简介9.3 SQL语句转换为MapReduce作业的基本原理9.4 Impla9.4.1 Impala简介9.4.2 Impala系统架构9.4.3 Impala查询执行过程9.4.4 Impala与Hive的比较 9.5 Hive的安装和基本操作9.5.1 Hive安装9.5.2 Hive基本操作 9.数据仓库Hi…

STM32F407ZGT6移植AD7606

昨天调试的时候在STM32F103VCT6程序一切正常。但是将代码移植到STM32F407ZGT6时出现问题。 不能正常读取结果,会出现4996的错误信号而且经常出现,正确信号的值也不对乘2才能对上。 总结原因。 将AD7606_read_data里的延时参数修改为3、4、4问题解决。

PanoFlow:学习360°用于周围时间理解的光流

1.摘要: 光流估计是自动驾驶和机器人系统中的一项基本任务,它能够在时间上解释交通场景。自动驾驶汽车显然受益于360提供的超宽视野(FoV)◦ 全景传感器。 然而,由于全景相机独特的成像过程,为针孔图像设计…

SpringBoot+Vue前后端文件传输问题总结

SpringBootVue前后端文件传输问题总结 一、文件上传功能前端:文件上传1.File2.FormData(常用)3.Blob4.ArrayBuffer5.Base64 后端:文件接收1.MultipartFile 二、文件下载功能后端:文件传输前端:文件接收1.设…

动捕设备在动画影视制作中的应用

随着科技的发展,动画影视作品中的CG角色越来越逼真、生动形象,而这些CG角色大多背后是通过真人穿戴动捕设备,从而捕捉真人演员的肢体动作而创建的,如《遮天》作为国内首部全流程虚幻引擎5动画,结合动捕设备实现真人化动…

三相空气开关

一、三相空开的作用 三相空气开关对任意一相出现过载或短路,均起到保护作用。 二、三相空气开关原理图: 1、短路时,电磁脱钩器工作 2、过载时,发热元件引起双金属片弯曲,使脱钩器工作 3、测试按钮闭合时&#xff0c…

<图像处理> Fast角点检测

Fast角点检测 基本原理是使用圆周长为N个像素的圆来判定其圆心像素P是否为角点,如下图所示为圆周长为16个像素的圆(半径为3);OpenCV还提供圆周长为12和8个像素的圆来检测角点。 相对中心像素的位置信息 //圆周长为16 static c…

uni-app : 生成三位随机数、自定义全局变量、自定义全局函数、传参、多参数返回值

核心代码 function generateRandomNumber() {const min 100;const max 999;// 生成 min 到 max 之间的随机整数// Math.random() 函数返回一个大于等于 0 且小于 1 的随机浮点数。通过将其乘以 (max - min 1),我们得到一个大于等于 0 且小于等于 (max - min 1…

【ARM CoreLink 系列 7 -- TZC-400控制器简介】

文章目录 概述TZC-400 使用示例TZC-400 interfacesFPID & NSAIDRegionregion 检查规则 FeaturesRegister summaryTZC-400和TZPC和TZASC区别 转自:https://www.cnblogs.com/lvzh/p/16582717.html 概述 TZC-400对发送到内存或外设的事务执行安全检查。TZC-400使…

华为认证 | HCIP-Datacom,这门认证正式发布新版本!

华为认证数通高级工程师HCIP-Datacom-Campus Network Planning and Deployment V1.5(中文版)自2023年9月28日起,正式在中国区发布。 01 发布概述 基于“平台生态”战略,围绕“云-管-端”协同的新ICT技术架构,华为公司…

Visual Studio 2022 cmake编译 PP-OCRv4

1 环境准备 下载PaddleOCR PaddleOCR C 部署代码位于 PaddleOCR\deploy\cpp_infer目录下 paddle_inference paddle_inference opencv 这里使用已经安装好的opencv4.5.5下载dirent-master.zip 下载dirent-master.zip, 解压并复制dirent.h文件到PaddleOCR\deploy\cpp_infer目录下…

Spark(林子雨慕课课程)

文章目录 10. Spark10.1 Spark简介10.1.1 Spark简介10.1.2 Spark和Hadoop的对比 10.2 Spark生态系统10.3 Spark运行架构10.3.1 基本概念和架构设计 10.3.2 Spark运行基本流程10.3.3 RDD概念10.3.4 RDD特性10.3.5 RDD的依赖关系和运行过程 10.4 Spark SQL10.5 Spark的部署和应用…

video_topic

使用qt5,ffmpeg6.0,opencv,os2来实现。qt并非必要,只是用惯了。 步骤是: 1.读取rtsp码流,转换成mat图像 2.发送ros::mat图像 项目结构如下: videoplayer.h #ifndef VIDEOPLAYER_H #define VIDEOPLAYER_H#include …

【node】nodemailer配置163、qq等邮件服务指南

上一章 【node】发送邮件及附件简要使用说明 邮箱配置 参数配置参考如下: let transporter nodemailer.createTransport({host: smtp.qq.com,port: 465,secure: true,auth: {user: **********,pass: your-password} });邮箱服务提供商的要求,配置SM…

应用商店优化的好处有哪些?

应用程序优化优势包括应用在商店的可见性和曝光度,高质量和被相关用户的更好发现,增加的应用下载量,降低用户获取成本和持续增长,增加应用收入和转化率以及全球受众范围。 1、提高知名度并在应用商店中脱颖而出。 如果用户找不到…