网络系统防护技术

文章目录

  • 访问控制授权
    • 口令权限系统
      • 主要组成部分:
      • 工作流程:
      • 安全特性:
      • 口令系统与口令攻击
      • Web服务器的口令系统
      • 安全口令
    • 权限管理基础设施PMI
      • PMI属性证书结构
  • 防火墙技术
    • 防火墙简介
    • 包过滤防火墙
    • 应用网关防火墙
    • 代理服务防火墙
    • 状态检测防火墙

访问控制授权

  • 访问控制授权是网络系统的基本安全机制,用于控制用户对网络系统和资源的访问,防止未经授权的非法用户登录网络系统,违规访问网络资源。
  • 访问控制授权包括用户身份验证和用户权限控制两种安全措施。
    • 身份验证是防止未经许可的用户非法进入网络。例如:口令权限系统
    • 权限控制是防止用户访问未经授权的网络资源。例如:权限管理基础设施 PMI

口令权限系统

  • 口令权限系统是一种安全机制,用于控制用户对计算机系统、网络或应用程序的访问。这种系统通常基于用户提供的身份验证信息,如用户名和密码,来验证用户的身份,并根据其权限级别授予相应的访问权限。、

主要组成部分:

  1. 用户账户管理:系统中存储和管理所有用户的账户信息,包括用户名、密码和其他身份验证信息。
  2. 身份验证:用户尝试访问系统时,需要提供正确的用户名和密码进行身份验证。
  3. 权限分配:根据用户的角色或职位,系统分配不同的权限级别,如读取、写入或执行特定资源的权限。
  4. 审计和监控:记录用户的访问行为和操作,以便进行安全审计和监控,确保系统的安全性。

工作流程:

  1. 用户登录:用户输入用户名和密码进行登录。
  2. 身份验证:系统验证用户提供的信息是否与存储的账户信息匹配。
  3. 权限检查:一旦身份验证成功,系统检查用户的权限级别,决定用户可以访问哪些资源和执行哪些操作。
  4. 访问授权:根据权限检查的结果,系统授权用户访问相应的资源。

安全特性:

  • 密码加密:存储的密码通常是加密的,以防止未授权访问。
  • 多因素认证:除了密码外,还可以结合其他认证方式,如指纹、面部识别或安全令牌,提高安全性。
  • 定期更新:鼓励或强制用户定期更新密码,减少密码泄露的风险。
  • 异常检测:系统可以检测并响应异常登录尝试,如多次失败的登录尝试,可能表明有未授权的访问尝试。

口令系统与口令攻击

  • 口令攻击:攻击者使用某些合法用户的账号和密码,登录到目标主机,进而实施攻击的方法。
  • 攻击者获得合法用户的身份和访问权限,并利用主机与网络系统之间的信任关系获得对其他主机的访问权和控制权,形成多米诺骨牌效应,进而控制和攻击整个系统。
  • 口令攻击是黑客攻击的常用方法之一,寻找系统是否存在无口令账户,字典攻击弱口令,利用找回口令漏洞获取口令,破解加密的口令文件,网络监听(pop3,Telnet,FTP登录均为明文口令)、木马等。
    • 举例:利用无主注册邮箱
    • 举例:利用木马盗取口令

Web服务器的口令系统

  • 加密口令:用户键入账号和口令后,浏览器客户端程序对用户输入的口令字符串和一个由服务器产生的随机数进行哈希运算,然后再将账号和加密口令传送给服务器。
  • 口令认证:服务器收到账号和加密口令后,根据账号从用户数据库中取出对应口令,按同样的方法计算哈希值并比较是否相同。

安全口令

  • 原则:口令时限低于破解时间。
  • 一次性口令:
    - 挑战应答:服务器发送随机数,用户计算秘密固定口令与随机数的哈希值应答,服务器计算验证。
    - 时间同步:将当前时间作为计算哈希值的随机数。
    - 口令纸:合法口令列表。
  • 硬件口令:U盾

权限管理基础设施PMI

  • PKI体系通过身份证书实现对证书持有者的身份认证,但网络服务中的访问授权不仅依赖于用户的身份,还依赖于用户的权限,X.509 v4提出了权限管理基础设施(Privilege Management Infrastructure,PMI)来管理用户的权限属性,支持访问控制授权。

  • PMI使用属性证书来实现用户身份与权限属性的绑定,第三方属性权威机构(Attribute Authority,AA)负责属性证书的申请、签发、维护和撤销,管理着属性证书的整个生命周期。

PMI属性证书结构

AttributeCertificate ::= SEQUENCE {
acinfo               AttributeCertificateInfo,
signatureAlgorithm    AlgorithmIdentifier,
signatureValue        BIT STRING
}
AttributeCertificateInfo ::= SEQUENCE {
version               AttCertVersion, --version is v2,
holder                Holder,
issuer                AttCertIssuer,
signature             AlgorithmIdentifier,
serialNumber          CertificateSerialNumber,
attrCertValidityPeriod   AttCertValidityPeriod,
attributes             SEQUENCE OF Attribute,
issuerUniqueID        UniqueIdentifier  OPTIONAL,
extensions            Extensions  OPTIONAL
}

以下是将您提供的信息整理为表格的形式:

属性说明
版本号属性证书使用了哪个版本的X.509标准
证书持有者标识通常使用PKI证书序列号
发布者名称证书发布者名称
签名算法标识符AA所使用的签名算法
序列号AA为该属性证书分配的唯一序列号,证书被撤消时该序列号将被放入CRL中
有效期包括属性证书的生效时间和失效时间
证书持有者的属性信息
发布者的唯一标识符
扩展信息有关该证书或证书持有者的附加说明
发布者的数字签名

防火墙技术

防火墙简介

  • 防火墙是在被保护的内部网络与Internet外部网络之间限制访问的安全网关。所有内部网与外部网之间的通信都必须经过防火墙,并在此进行检查和连接,只有被授权的合法通信才能通过,从而实现被保护内部网络与外部网络之间的逻辑隔离,防止非法入侵,执行安全管理策略,记录所有可疑事件。

  • 从实现技术来看,防火墙可分为包过滤防火墙、应用网关防火墙、代理服务防火墙、状态检测防火墙等。

包过滤防火墙

  • 包过滤防火墙动态检查流过数据包的报头,根据预先设置的一套规则,允许或禁止数据包的通过,允许通过的数据包被送往目的地,禁止通过的数据包则被丢弃。
  • 对于每一个数据包,包过滤器从第一条规则开始顺序检查,直到找到适合该包的一条规则或用完所有规则,因而规则表中各规则的设置顺序非常重要,它直接影响数据包的传输效率。规则:黑名单与白名单

应用网关防火墙

  • 应用网关防火墙不使用通用的一套规则来允许或禁止各种不同种类数据包的通过,而是针对不同应用设置不同的过滤规则,并能够对数据包进行分析,形成分析报告。

  • 应用网关防火墙控制灵活、规则粒度细,安全性高,但需要为每种应用设计不同的过滤规则,维护比较困难,效率也较低。

代理服务防火墙

  • 代理服务防火墙是位于内部网和外部网之间的物理屏障,它可以是具有一个外部网络接口和一个内部网络接口的双宿主网关,也可以是既能访问外部网又能访问内部网的堡垒主机。

  • 对于内部网或外部网用户的服务请求,代理服务器根据管理员设定的安全策略检查并确认是否授权通过,若是合法的用户服务请求,代理服务器提供内部网与外部网之间的替代连接并充当服务网关,在幕后处理内部网与外部网之间的通信,以代替直接交谈,从而保护内部资源不受侵害。

  • 代理服务防火墙具有更好的安全性,但效率更低

状态检测防火墙

  • 状态检测防火墙位于网络层。在网络层对数据包进行安全过滤,仍由用户定义安全过滤规则。
  • 动态自适应:状态检测防火墙提供应用感知功能,从接收到的数据包中提取与安全策略相关的状态信息,保存在一个动态状态表中,作为后续连接请求的决策依据。
  • 状态检测防火墙跟踪、收集和存储每一个有效连接的状态信息,并根据这些信息来决定是否让数据包通过,从而达到对该次通信实施访问控制的目的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/15824.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Pycharm2024搭建QT6开发环境

创建pyqt6虚拟环境 首先,创建一个qt6的虚拟环境: conda create --name pyqt6 python3.11.7激活环境: conda activate pyqt6安装pyqt6 安装pyqt6: pip install pyqt6创建代码目录 创建目录: 使用pycharm打开这个…

【AI学习】对LLM训练中数据处理的再认识

最近读了几篇文章,对于LLM模型中的数据处理,有了一些再认识。 这几篇文章分别是《世界顶级风投a16z创始人对谈AI与创业》、《Ben Thompson对 Nat Friedman 和 Daniel Gross的采访》、《AI教父Hinton最新万字精彩访谈:直觉,AI创新的…

etcd集群部署

1.etcd介绍 1.1 什么是etcd etcd的官方定义如下: A distributed, reliable key-value store for the most critical data of distributed systemetcd是一个Go语言编写的分布式、高可用的一致性键值存储系统,用于提供可靠的分布式键值(key value)存储、配置共享和服务发现等…

举例说明逃逸分析和标量替换的应用

1、逃逸分析(Escape Analysis) 例子: 假设我们有一个方法,该方法创建了一个Point对象,并只在方法内部使用它: public class EscapeAnalysisExample {public static void printPoint(int x, int y) {Poin…

Selenium 自动化测试工具(1) (Selenium 工作原理,常用API的使用)

文章目录 什么是自动化测试什么是测试工具:Selenium 工作原理(重要)Selenium API定位元素CSS 选择器xpath 定位元素 通过Java代码实现自动化1. 定位元素2. 关闭浏览器3. 获取元素文本4. 鼠标点击与键盘输入5. 清空内容6.打印信息 什么是自动化测试 关于自动化&…

CSS3 动画教程

CSS3 动画教程 在前端开发中,CSS3 动画为我们提供了一种强大而直观的方式来创建动态效果。本教程将带你深入了解 CSS3 动画的各个方面。 一、基本概念 CSS3 动画通过定义关键帧来实现元素在不同状态之间的平滑过渡。 二、创建简单动画 以下是一个简单的示例&am…

python flask框架,css介绍及应用

css CSS(层叠样式表)是一种用于描述网页样式和布局的样式表语言。它用于控制网页元素的外观和排列,包括字体、颜色、大小、边距、位置等。通过CSS,可以使网页更具吸引力、易读性和用户友好性。以下是CSS的基本概念和常见应用&…

UEFI EDK2源码学习(一)——环境安装

部署环境 vmvare15.0 ubuntu20.04 docker edk2 源码 具体步骤 docker安装 # 更新apt软件包索引 sudo apt-get update# 添加docker依赖 sudo apt-get install -y \apt-transport-https \ca-certificates \curl \gnupg-agent \software-properties-common# 添加docker 官方…

2.Redis之Redis的背景知识

Redis 是一个在内存中存储数据的中间件 用于作为数据库,用于作为数据缓存. 在分布式系统中能够大展拳脚~ 1.Redis的特性介绍(优点) 1.1 在内存中存储数据 MySQL 主要是通过"表"的方式来存储组织数据的,"关系型数据库" Redis 主要是通过“键值对" 的…

IP数据云确认参展2024 ChinaJoy BTOB与诸位共展未来!

作为在全球数字娱乐领域兼具知名度与影响力的年度盛会,2024年第二十一届ChinaJoy BTOB将于7月26日至7月28日在上海新国际博览中心盛大召开,秉承着初心“游”在,精彩无限!(英译:Stay True, Game On.&#xf…

三、ESP32-IDF之LED

实现 ESP32-S3 的 IO 作为输出功能,实现LED灯以500毫秒闪烁一次 1、GPIO&LED简介 1.1、GPIO简介 GPIO 是负责控制或采集外部器件信息的外设,主要负责输入输出功能。 1.2、LED简介 LED,即发光二极管。 2、硬件设计 (1)原理图 LED 接…

【css3】04-css3转换

目录 1 2D转换 2 3D转换 3 案例:旋转的魔方 1 2D转换 ## 2D转换 ☞ 位移 transform: translate(100px,100px); 备注: 位移是相对元素自身的位置发生位置改变 ☞ 旋转 transform: rotate(60deg); 备注&am…

嵌入式实时操作系统笔记3:FreeRTOS移植(STM32F407)_编写简单的FreeRTOS任务例程

上文讲到UC/OS III系统的移植,那篇文章是失败了的,网络上的资料真是层次不清,多有遗漏步骤,导致单片机连操作系统的初始化都卡在那,这次换个赛道,学FreeRTOS吧...... 今日任务如标题所示:FreeR…

QTextCodec NO such file or directory让qt6兼容qt5

首先在.pro 文件中新加 QT core5compat这时会报错 链接 报错之后修复qt,新加兼容模块,见链接。

电脑怎么录屏?电脑录屏的7个方法,仅3%的人知道!

你知道电脑怎么录屏吗?在电脑上录屏是向朋友展示炫酷游戏技巧、制作软件教程视频和展示数字艺术技巧的好方法。遗憾的是,屏幕录制并不像截屏那么简单。然而,无论你是在寻找在电脑上录制屏幕,亦或是录制音频的方法,还是…

React路由?

一、React路由简介 React 官方并没有提供对应的路由插件,因此,我们需要下载第三方的路由插件 —— React Router DOM。 React Router 在 2021 年 11 月份的时候更新 v6 的版本。本次课就主要讲解V6版本 二、路由配置 1、下载路由 在项目根目录中&#…

【代码随想录】二分查找算法总结篇

目录 前言二分查找例题一例题二例题三例题四 前言 本篇文章记录了代码随想录二分查找算法的总结笔记,下面我们一起来学习吧!! 二分查找 关于二分查找算法,我在之前的这篇博客里面做了非常多的分析,但是后面做题做着…

List Control控件绑定变量

创建基于对话框的mfc项目 添加 List Control控件 右击控件,选择“添加变量” 在初始化对话框代码中增加一些代码 BOOL CMFCApplication3Dlg::OnInitDialog() { //...// TODO: 在此添加额外的初始化代码DWORD dwStyle m_programLangList.GetExtendedStyle(); …

初识Spring Boot

初识Spring Boot SpringBoot是建立在Spring框架之上的一个项目,它的目标是简化Spring应用程序的初始搭建以及开发过程。 对比Spring Spring Boot作为Spring框架的一个模块,旨在简化Spring应用程序的初始搭建和开发过程,以下是Spring Boot相对于传统Spri…

AI视频教程下载:用提示工程在GPT商店构建10个GPTs

你将学到什么? 深入了解ChatGPT平台和GPT商店的生态系统。 开发为多样化应用定制GPT模型的专业知识。 掌握高效内容生成的AI自动化技术。 学习高级提示工程以优化ChatGPT输出。 获取构建AI驱动的数字营销和广告解决方案的技能。 了解如何为SEO写作和优化创建专…