网络攻防--网络防御技术

网络防御通常被定义为网络安全防护措施，并致力于解决如如何有效地执行入侵性控制等关键问题；同时确保数据传输安全的技术手段

一、加密技术

主要采用的技术手段是安全保密的核心方法；其核心在于通过技术手段将关键信息加密成密文后传递；接收端借助相应或不同方式完成解密流程。

包含两个元素：算法、密钥

算法：加密过程是通过将普通文本（或可解码信息）与一组特定的数字（密钥）进行结合操作而生成无法被解读的密码文的过程。这一系列的操作构成了加密算法的核心内容。

密钥：用来对数据进行编码和解码的一种算法

为了确保网络信息安全与通信安全性，在安全保密的前提下，应采用有效的密钥加密技术和科学的管理机制

密钥加密技术的密码体制分为：对称密钥体制和非对称密钥体制两种

数据加密的技术分为：

基于对称密码学原理的加密方案：其中一种典型的实现方式是基于DE S的数据加密标准算法；其加解密使用的密钥保持一致。

现代非对称加密技术（即公私钥加密技术）：其中以RSA算法为代表；其一可作为公共钥匙发布使用进行加密操作；两者在性质上存在显著差异：其一可作为公共钥匙发布使用进行加密操作；另一则需严格保密以便于后续解密操作

二、身份认证技术

是在计算机网络中确认操作者身份的过程而产生的有效解决方法

该系统仅能识别并处理用户的 Identification号码信息；所有用户的权限授予行为都是基于其 Identification号码进行的。

保证操作者的物理身份与数字身份相对应

对用户的身份认证基本方法分为：

基于隐秘信息的身份验证：通过已知信息进行身份确认（你知道些什么），例如用户的密码；

（2）基于信任物体的身份认证：通过所拥有的物品进行身份验证（如手机运营商发送的短信验证码）；

（3）基于生物特征的身份验证机制：该机制主要通过独特的身体识别标志来验证身份信息（你是谁），如指纹、面部轮廓等。

三、访问控制技术

该系统通过设定策略组来限制用户的访问权限和数据处理能力，在管理员管理中被广泛采用以确保用户仅能访问必要的网络资源如服务器、文件夹和文件等

访问控制是信息安全、数据完整性和数据可用性的核心基础，在网络安全防护中扮演着关键角色，并且也是基于某些控制策略或权限实现对客体及其资源的多重权限管理。

访问控制的主要功能包括：

（1）保证合法用户访问授权保护的网络资源

（2）防止非法的主体进入受保护的网络资源

（3）防止合法用户对受保护的网络资源进行非授权的访问

访问控制首先要求实现用户的合法身份验证，并通过相应的策略确保系统的安全运行。当用户的合法身份及相应的访问权限完成验证流程后，在此基础上还应实时监控可能越限的操作行为。

访问控制的内容包括：

认证：主体对客体的识别及客体对主体的检验确认

基于合理设定的一系列控制规则集合，在此框架下可有效保障系统用户的合规利用信息资源，并且所有操作均需在预先定义的授权范围内执行

基于用户访问权限的系统能够自动地对计算机网络环境中的各种活动和行为进行全面且独立的监控与评估，并以相应的评价和审计形式完成。

四、防火墙技术

该保护屏障位于内网与外网之间，并由软硬件设备集成构成。

防火墙作为一种技术手段用于防御计算机网络安全威胁。该系统部署于网络边界，并利用相应的通信监控机制阻止内部与外部网络之间的数据传输。旨在抵御来自外界潜在的安全威胁。

防火墙技术包括四大类：

网络层防火墙（也称作IP规则转发型防火墙）：主要依据包括源地址、目的地址、应用类型以及每个IP包的端口信息等；其核心功能是根据这些信息来决定是否允许或拒绝数据包的转发（例如，在路由器上即可完成这一基本功能）。

防火墙会依次查看每一条安全规则以确定是否有匹配项；如果没有任何一条匹配到，则默认策略则是指示防火墙丢弃该数据包；当没有任何匹配到的规则时，默认策略则是指示防火墙丢弃该数据包。
此外，在确定是否允许建立连接时，在确定是否允许建立连接时，在确定是否允许建立连接时，
例如用于FTP的连接请求，
例如用于FTP的连接请求，
例如用于FTP的连接请求，
例如用于FTP的连接请求，
例如用于FTP的连接请求，
例如用于FTP的连接请求，
例如用于FTP的连接请求，
例如用于FTP的连接请求。

应用级网关：能够识别并处理进出的数据包，并通过内部处理机制完成数据复制和传输。确保受信任服务器与客户端不会直接连接至不可信的主机。

应用级网关系统能够解析应用层上的各种协议，并实施较为复杂的权限管理措施的同时还能实现细致入微的身份认证与权限授权功能。该系统专门针对数据过滤协议这一类特殊的网络服务协议并且具备对接收的数据包进行分析并生成相应的统计报表能力。
在实际应用场景中 应用网关会对所有输出输入的数据进行严格的安全管理 以防止敏感程序与重要数据遭受未经授权的访问或泄露。
在日常运营中 应用网关通常部署于独立服务器集群中 每个特定的安全协议都需要配置一套专门的转发代理程序 使用时虽然处理规模较大 但其运行效率明显低于基于网络层面的安全防火墙配置。

应用级网关具备较为严格的访问权限管理机制，在网络安全领域处于领先地位

（3）电路级网关：该类网络关节点用于监控可信赖客户端或服务器与不可信赖主机之间的TCP握手过程,从而判断该会话（Session）是否合法.作为OSI模型中位于会话层的数据包过滤器功能执行者,电路级网关负责实现对数据包的筛选.相比而言,在 OSI 模型中其层次位置高于防火墙一层.

电路级网关还具备一个关键的安全特性：代理服务器（Proxy Server）功能；这种网络设备被部署于Internet防火墙网关中作为专门的应用级组件。

这种代理管理模块赋予管理员控制应用程序或其功能的权限；

包过滤技术与应用网关系统基于特定的判断逻辑来实现对特定数据流量的控制，在触发条件得到满足时会将内部网络架构及运行参数向外部访问者进行展示，在此过程中形成了代理服务机制

代理服务器：防火墙之间计算机系统应用层的"连接项"由两个终止于代理服务器的"连接线路"来实现

网络内外的计算机系统成功实现了防火墙间的隔离。同时,代理服务还可以执行强大的数据流监控、过滤功能,并提供记录与报告功能。

代理服务技术主要通过专用计算机硬件（如工作站）来承担

防火墙配置规则：该类防火墙融合了包过滤功能、电路层网关和应用层网关的特点

它类似于包过滤防火墙，在OSI网络层上基于IP地址和端口号进行数据包筛选并阻止不符合条件的数据包的流动。

也像电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序

也类似于应用级网关，在OSI应用层上进行数据包内容的检查，并评估这些内容是否满足企业网络的安全标准

与传统应用级网关不同的是：它避免了打破客户机/服务器模式用于分析应用层的数据，并使得受信赖的客户端与不可信的主机之间能够直接建立通信连接。

无需依赖于与应用层相关的代理系统或工具, 而是利用某种特定算法来检测出进出应用层的数据包. 这些算法基于预定义合法的数据包模式, 通过分析比较这些进出的数据包, 理论上能够更高效地过滤这些数据包, 达到比传统应用级代理更好的过滤效果.

学习资源库：提供《网络安全从业者的基础课程与高级课程套餐》的限时领取！