本章要点:网络协议安全,网络安全层次体系,安全服务与安全机制,虚拟专用网VPN技术,无限局域网安全,常用的网络安全命令

目标:

  1. 了解网络协议安全
  2. 理解网络安全层次体系
  3. 理解安全服务与安全机制
  4. 掌握虚拟专用网VPN技术
  5. 掌握无线局域网安全
  6. 掌握常用的网络命令

2.1网络协议安全概述

2.1.1网络协议分层结构

  • 网络协议是实现网络功能的最基本的机制和规则,是进行网络通信数据交换而建立的规则,标准或约定的集合,是一种特殊的软件。(网络协议虽然不是传统意义上的应用程序,但是它通过定义规则和实现功能,以软件的形式在网络通信中发挥关键作用)。
  • 各种网络依靠其协议实现互连节点之间的通信与数据交换,网络协议是网络实现连接和交互的极为重要的组成成分

网络协议的安全风险?

  • 在计算机网络设计之初并没有考虑网络安全问题,最早的网络设想是:控制网络终端的都是一群彼此信得过的朋友:
  • 计算机网络只注重异构网互联,忽略安全性问题,网络各层协议是一个开放体系,具有计算机网络及其部件所能完成的基本功能,这种开放性及缺陷将网络系统处于安全风险和隐患的环境

网络协议的安全性风险主要可概括为3个方面:

  1. 网络协议自身的设计缺陷和现实中存在的一些安全漏洞,很容易被黑客利用侵入网络系统并实施攻击和破坏
  2. 网络协议缺乏保密机制,不能对网上数据的保密性进行保护。
  3. 网络协议本身没有认证机制且无法验证通信双方的真实性。

2.1.2TCP/IP 层次安全

对于TCP/IP 安全的有效防护,可以通过多层保护的方式进行实现,可以在不同层次增加不同的网络安全策略和安全措施

1.TCP/IP 物理层的安全性

物理层安全问题是指由网络环境及物理特性产生的网络设施和线路安全性,致使网络系统出现安全风险,如设备问题,意外故障,信息探测与窃听等。由于以太网上存在交换设备并采用广播方式,可能在某个广播域中侦听,窃取并分析问题。为此,保护链路上的设施安全极为重要,物理层的安全措施相对较少,最好采用“隔离技术”将每两个网络保证在逻辑上能够联通,同时物理上隔断,并加强实体安全管理和维护。

2.TCP/IP网络层的安全性

  • 网络层的主要功能主要用于数据包的存储和网络传输,其中IP协议是整个TCP/IP体系结构的重要基础,TCP/IP中所有协议的数据都是以IP 数据包形式进行传输。
  • TCP/IP协议族常用的两种IP版本是IPv4和IPv6在设计之初根本没有考虑网络安全问题,IP包本身不具有任何安全特性,从而导致在网络上传输的数据包很容易泄露或遭到攻击。
  • IP欺骗和ICMP攻击都是针对IP层的攻击手段。如伪造IP包地址,拦截,窃取,篡改,重播等。因此,通信双方无法保证收到的IP数据包的真实性

3.TCP/IP传输层的安全性

TCP/IP传输层主要包括传输控制协议TCP和用户数据包协议UDP,其安全措施主要取决于具体的协议,传输层的安全主要包括:传输与控制安全,数据交换与认证安全,数据保密性与完整性

为了保护传输层的安全性设计了安全套接层协议SSL,SSL协议用于数据认证和数据加密的过程,利用多种有效秘钥交换算法和机制。

  • TCP/UDP 都是传输层协议,TCP提供可靠传输,UDP提供快速传输
  • HTTP 和 HTTPS 都是应用层协议,HTTP是明文传输,HTTPS是加密传输,HTTPS 通过SSL/TSL协议实现加密
  • SSL/TSL :位于传输层和应用层之间,为应用层协议提供加密和安全保护
    • 加入SSL协议前:http://ww,,,,
    • 加入SSL协议后:https://ww......

4.TCP/IP应用层的安全性

TCP/IP应用层中,协议运行和管理的程序很多。网络安全性问题主要出现在需要解决的常用应用系统(协议)中,包括HTTP,FTP,SMTP,DNS,Telnet等。

(1)超文本传输协议(HTTP)安全

  • HTTP是互联网上应用最广泛的协议,使用80端口建立连接,并进行应用程序浏览,数据传输和对外服务。

(2)文件传输协议(FTP)安全

  • FTP是建立在TCP/IP 连接上的文件发送与接受协议。 由服务器和客户端组成,每个TCP/IP主机都有内置的FTP客户端,切多熟服务器都有FTP程序。
  • FTP通常使用20和21两个端口,由21端口建立连接,在FTP主动模式下,常用20端口数据传输。

(3)简单邮件传输协议(SMTP)安全

  • 不法分子可以利用SMTP对E-mail服务器进行破坏和干扰。如通过SMTP对E-mail服务器发送大量的垃圾邮件和聚集数据包,致使服务器不能正常处理合法用户的使用请求,导致拒绝服务。

(4)域名系统安全(DNS)

  • 网络通过DNS在解析域名请求是使用53端口。黑客可以进行区域传输或利用攻击DNS服务器窃取区域文件,并从中窃取区域中所有系统的IP地址和主机名。

(5)远程登录协议安全(Telnet)

  • Telnet的功能是进行远程终端登录访问,允许远程用户登录是产生Telnet安全问题的主要问题,另外Teknet以明文方式发送所有用户名和密码,给非法者可乘之机。

2.1.3 IPv6的安全性概述

1.IPv6的优势及特点

  1. 扩展地址空间及功能。IPv6主要是解决引互联网快速发展而导致IPv4地址空间被耗尽的问题。IPv4采用32位地址长度,IPv6采用128位地址长度。
  2. 提高网络整体性能。IPv6的数据包增大,使应用程序可用最大传输单元MTU获得更快,更可靠的数据传输。
  3. 加强网络安全性能。IPv6用内嵌安全机制要求强制实现IP安全协议IPSec。
  4. 提高更好服务质量。IPv6在分组的头部中定义业务流类别字段和留标签字段两个重要参数,以提供对服务质量的支持。
  5. 实现更好的组播功能。IPv6还具有限制组播传递范围的一些特性,组播消息可被限于一特定区域,公司或其他约定范围,从而减少带宽的使用并提高安全性。
  6. 支持即插即用和移动性。当联网设备接入网络以后以自动配置获取IP地址和必要的参数,实现即插即用,简化了网络管理、
  7. 提供必选的资源预留协议。

2.IPv4和IPv6 安全问题比较

NAT 是一种在计算机网络中,将一个IP地址空间的地址转换成另一个IP地址空间地址的技术,NAT主要用于解决IPv4地址短缺的问题,并在一定程度上提供网络安全。

IPSec 是一种用于保护ip通信的网络层安全协议。它由一系列协议组成,提供了数据加密,数据完整性验证,认证和密钥管理等安全服务。

安全问题类型 IPv4特征 IPv6特征 变化情况与说明
网络层以上攻击 窃听,应用层攻击,中间人攻击

同IPv4

 无变化,攻击原理和方式不变
网络层数据保密性/完整性 窃听,中间人攻击;可使用IPSec,但部署不广 IPv6内置IPSec支持端到端安全,但大规模部署有限 无变化,核心问题仍存在
网络层可用性攻击 洪泛攻击 同IPv4 无变化,攻击原理和防护方法相似
侦测/扫描 IPv4子网小,容易被扫描 IPv6子网大,扫描难度极高 明显变化,IPv6提高了被动侦测和扫描难度
非授权访问 依赖防火墙或ACL 同IPv4,但可结合IPv6自动配置策略 变化,策略可更灵活,但依赖防护措施
篡改分组头部和分段信息 IPv4可分片,易被用于绕过防火墙 IPv6仅允许源端分片,难度增加,但仍需防护 明显变化,机制改进提高安全性,但攻击仍可能
伪造源地址 常见 IPv6不依赖NAT,端到端通信可追踪 明显变化,伪造攻击追踪难度降低,但攻击仍可能

3.IPv6的安全机制

  • 1.协议安全。在协议安全层面,IPv6全面支持认证头AH认证和ESP认证,但AH提供的认证服务要强于ESP
  • 2.网络安全。IPv6安全主要体现在四个方面
    • (1)实现端到端安全。两端主机对报文IPSec封装,中间路由器实现对有IPS扩展头IPv6扩展头IPv6报文封装传输即可实现。
    • (2)提供内网安全。当内部主机与Internet其他主机通信时,可通过配置IPSec网关实现内网安全。
    • (3)由安全隧道构建安全VPN。通过IPv6的IPSec隧道实现的VPN,可在路由器之间建立IPSec安全隧道
    • (4)以隧道嵌套实现网络安全、
  • 3.其他安全保障

4.移动IPv6的安全性

移动IPv6是一种网络协议,它允许移动设备在改变物理位置时仍能保持其IPv6地址不变,从而继续正在将进行的网络通信。它拓展了IPv6的功能,专门处理移动性问题。

移动性的引入带来新的安全威胁,如窃听,篡改和拒绝服务攻击。因此,在移动IPv6的具体时时中也要谨慎处理这些安全威胁。

5.移动IPv6的安全机制

移动IPv6协议针对上述安全威胁,在注册消息中通过添加序列号以防范重放攻击,并在协议报文中引入时间随机数。

2.2 虚拟专用网 VPN技术

2.2.1 VPN的概念和结构

  • 虚拟专用网是利用Internet等公共网络的基础设施,通过隧道技术,为用户提供的与专用网络具有相同通信功能的安全数据通道。
  • “虚拟”是指用户无需建立各自专用的物理线路,而利用Internet等公共网络资源和设备建立一条逻辑上的专用数据通道,并实现和专用数据通道相同的通信功能。
  • “专用网络”是指虚拟出来的网络并非任何连接在公共网络上的用户都能使用,只有经过授权的用户才可使用。

基于IP网络的定义的VPN为:利用IP机制模拟一个专用广域网。VPN可通过特殊加密通信协议为Internet上异地企业内网之间建立一条专用通信线路,而无需铺设光缆等物理线路。

2.2.2 VPN 的技术特点

  1. 安全性高。VPN通过通信协议,身份验证和数据加密三方面技术保证了通信的安全性。
  2. 费用低廉。远程用户可通用VPN通过INternet访问公司局域网,费用仅仅是原一部分
  3. 管理遍历。构建VPN不仅只需很少的网络设备和物理线路,并且网络管理变得简单方便。
  4. 灵活性强。可支持通过各种网络的任何类型数据流
  5. 服务质量佳。为企业提供不同级别的服务质量保证。

2.2.3 VPN的实现技术

VPN 是在Internet等公共网络基础上,综合利用隧道技术,加解密技术,密钥管理技术和身份认证技术实现的。

  1. 隧道技术 是VPN的核心技术,为一种隐式传输数据的方法,主要利用已有的Internet等公共网络数据通信方式,在隧道(虚拟通道)一段将数据进行封装,然后通过已建立的隧道进行传输
  2. 常用加解密技术 常用信息加密体系主要包括非对称加密体系和对称加密体系两类,实际上一般是将二者混合使用
  3. 密钥管理技术 密钥的管理极为重要。密钥的分发采用手工配置和采用密钥交换协议动态分发两种方式。
  4. 身份认证技术 在VPN的实际应用中,身份认证技术包括信息认证和用户身份认证。信息认证用于保证信息的完整性和通信双方的不可抵赖性,用户身份认证用于鉴别用户身份真实性。

2.2.4 VPN技术的实际应用--三种工作模式

1.web 浏览器模式 

远程计算机使用Web浏览器通过SSL-VPN服务来访问企业内部的资源。SSL-VPN服务器相当于数据中转服务器(代理服务器),所有的web浏览器对服务器的访问窦静SSL-VPN服务器的认证后发给服务器,服务器发往Web浏览器的数据经过SSL-VPN服务器加密后送到Web服务器。

2.VPN 客户端模式

此模式和前一种模式差别是需要在远程计算机安装一个VPN客户端程序,远程计算机访问企业内部的应用服务器时,需要经过VPN客户端和SSL-VPN服务器之间的保密传输才能到达。

3.LAN到LAN模式

此模式下客户端不需要做任何安装和配置,尽在SSL-VPN服务器上安装和配置。当一个网内的计算机要访问远程网络内的应用服务器时,需要几个两个网的SSL-VPN服务器之间的保密传输后才能到达。

2.3 无线网络安全技术基础

2.3.1 无线网络的安全风险和隐患

无线网络的安全主要有访问控制数据加密访问控制保证机密数据只能由授权用户访问,而数据加密则要求发送的数据只能被授权用户所接受和使用。

无线网络数据传输时以微波进行辐射传播,只要在无线接入AP覆盖范围内,所有无线终端都可能接收到无线信号。AP无法将无线信号定向到一个特定的接受设备,时常有无线网络用户被他人免费蹭网接入,盗号或泄密等

  1. 无线电信号干扰
  2. 非法接入
  3. 网络欺骗和会话拦截
  4. 网络监听
  5. 网络阻塞攻击

2.3.2 无线网络AP及路由安全

  1. 无线接入点安全:无线接入点AP,相当于一台交换机,是有线网络的延伸。 用于实现无线客户端之间信号互联和中继。
    1. 修改无线路由器的默认账号和密码。有厨师管理员用户名呢密码,默认空值,不修改将给不法之徒可乘之机。
    2. 使用无线网络加密设置。首选WPA2无线网络安全协议,用于保护无线网络的数据传输
    3. 有效管理IP分配方式。取消无线路由器中DHCP分配IP方式,采用静态地址分配方式,有效方式恶意用户自动获取网络地址接入我们的无线网络
    4. 设置MAC地址过滤。防止非法MAC地址接入我们的网络
    5. 设置服务器标识符(SSID)(SSID通俗来说就是我们的无线网络名称)无线网络路由器在出厂时都有默认SSID标识,建议修改为个性化文本或字符串;另外我们的AP也就是无线接入点或者是无线路由器,默认情况下会定时像所有的无线客户端广播自己的SSID,从而方便用户接入。
      1. 隐藏SSID。因此我们也建议取消无线路由器的广播SSID的功能,也就是隐藏WiFi信号
  2. 无线路由器,是一台路由器。位于网络边缘,面临更多安全危险,不仅具有无线AP功能,还集成了宽带路由器的功能。除了采用AP的安全策略之外,还应采取如下安全策略
    1. 利用网络防火墙
    2. IP地址过滤

2.3.3 IEEE802.1x身份认证

是一种基于端口的网络接入控制技术,以网络设备的物理接入级对接入设备进行认证和控制。可提供一个可靠的用户认证和密钥分发的框架,控制用户只要在认证通过后才可连接网络。本身并不提供实际的认证机制,需要和上次认证协议EAP配合实现用户认证和密钥分发。

用IEEE 802.2x和EAP作为身份认证的无线网络,可分为如图所示的三个主要部分:

  1. 请求者。运行在无线网络工作站的软件客户
  2. 认证者。无线访问点
  3. 认证服务器。

2.3.4 无线网络安全技术应用

1.小型企业及家庭用户

使用网络范围相对较小,终端用户数量有限,AboveCable的初级安全方案

2.仓库物流,医院,学校和餐饮娱乐行业

网络覆盖范围及终端用户的数量增大,AP和无线网卡的数量需要增多,AboveCable的中级安全方案

3.公共场所及网络运行上,大中型企业和金融机构

对用户认证问题至关重要。

2.4 常用的网络安全管理工具 

1.ping

  • 是一个网络诊断工具,主要用于检测计算机与目标主机之间的连接性。
  • 检测主机是否可达ping 向目标设备发送 ICMP(Internet Control Message Protocol)回显请求,目标设备返回响应。通过该工具,管理员可以验证目标主机是否在网络中。
  • 测量延迟:通过计算发送请求和接收响应之间的时间差,可以测量网络延迟(RTT,Round Trip Time)。

2.ipconfig

  • 是 Windows 操作系统中的命令行工具,用于显示和管理计算机的网络配置。
  • 查看本机网络设置:可以查看 IP 地址、子网掩码、默认网关等信息。
  • 刷新 DNS 缓存ipconfig /flushdns 用于清除本地 DNS 缓存,解决 DNS 解析问题。
  • 释放和续租 IP 地址ipconfig /releaseipconfig /renew 用于动态主机配置协议(DHCP)环境中,释放和重新申请 IP 地址。

3.netstat

  • 是一个命令行工具,用于显示计算机的网络连接、路由表、接口统计信息等。
  • 查看网络连接:显示当前所有的 TCP 和 UDP 网络连接及其状态,帮助管理员查看计算机是否与外部建立了不明的连接。
  • 查看端口使用情况:列出所有开放的端口和监听中的服务,常用于检测可能的 后门攻击
  • 检测路由信息:显示路由表,帮助管理员检查是否存在异常的路由配置。

4.net命令

  • net 是一系列网络管理命令的集合,适用于 Windows 和一些类 Unix 系统,提供了多种网络管理功能,如网络共享、网络连接管理、用户账户管理等。
# web安全 # 安全
Logo
腾讯云开发者社区

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐

终极指南:Flink SQL连接器版本管理从混乱到有序的升级之路

Apache Flink作为流处理领域的佼佼者,其SQL连接器的版本管理一直是开发者面临的核心挑战。本文将系统讲解Flink SQL连接器版本管理的最佳实践,帮助你轻松应对版本兼容性问题,实现从混乱到有序的升级之旅。## 连接器版本管理的常见痛点 😫在Flink应用开发中,连接器版本管理常常让开发者头疼不已。不同版本的连接器可能导致各种兼容性问题,例如API变更、功能差异甚至运行时错误。

avatar 腾讯云开发者社区

Elasticsearch复杂数据类型终极指南:从入门到精通

Elasticsearch作为功能强大的搜索引擎,支持多种复杂数据类型,让开发者能够灵活处理各种结构化和非结构化数据。本文将带你全面了解Elasticsearch中的复杂数据类型,从基础概念到实际应用,助你轻松掌握数据建模的核心技巧。## 内部对象:构建层级化数据结构在Elasticsearch中,对象类型(Object)是最基础的复杂数据类型之一,用于表示具有嵌套关系的数据。例如,我们可

avatar 腾讯云开发者社区

如何快速搭建Neon无服务器PostgreSQL:面向初学者的完整指南

Neon是一款革命性的无服务器PostgreSQL解决方案,它通过分离存储和计算层,实现了自动扩缩容、类代码式数据库分支以及零级扩展能力。本指南将帮助你从零开始搭建Neon开发环境,体验这款创新数据库的强大功能。## 准备工作:环境要求与依赖项在开始搭建Neon环境前,请确保你的系统满足以下要求:- Linux操作系统(推荐Ubuntu 20.04+或Debian 11+)- Git

avatar 腾讯云开发者社区