网络系统防护技术

文章目录

访问控制授权
- 口令权限系统
- - 主要组成部分：
  - 工作流程：
  - 安全特性：
  - 口令系统与口令攻击
  - Web服务器的口令系统
  - 安全口令
- 权限管理基础设施PMI
- - PMI属性证书结构
防火墙技术
- 防火墙简介
- 包过滤防火墙
- 应用网关防火墙
- 代理服务防火墙
- 状态检测防火墙

访问控制授权

访问控制授权是网络系统的基本安全机制，用于控制用户对网络系统和资源的访问，防止未经授权的非法用户登录网络系统，违规访问网络资源。
访问控制授权包括用户身份验证和用户权限控制两种安全措施。
- 身份验证是防止未经许可的用户非法进入网络。例如：口令权限系统
- 权限控制是防止用户访问未经授权的网络资源。例如：权限管理基础设施 PMI

口令权限系统

口令权限系统是一种安全机制，用于控制用户对计算机系统、网络或应用程序的访问。这种系统通常基于用户提供的身份验证信息，如用户名和密码，来验证用户的身份，并根据其权限级别授予相应的访问权限。、

主要组成部分：

用户账户管理：系统中存储和管理所有用户的账户信息，包括用户名、密码和其他身份验证信息。
身份验证：用户尝试访问系统时，需要提供正确的用户名和密码进行身份验证。
权限分配：根据用户的角色或职位，系统分配不同的权限级别，如读取、写入或执行特定资源的权限。
审计和监控：记录用户的访问行为和操作，以便进行安全审计和监控，确保系统的安全性。

工作流程：

用户登录：用户输入用户名和密码进行登录。
身份验证：系统验证用户提供的信息是否与存储的账户信息匹配。
权限检查：一旦身份验证成功，系统检查用户的权限级别，决定用户可以访问哪些资源和执行哪些操作。
访问授权：根据权限检查的结果，系统授权用户访问相应的资源。

安全特性：

密码加密：存储的密码通常是加密的，以防止未授权访问。
多因素认证：除了密码外，还可以结合其他认证方式，如指纹、面部识别或安全令牌，提高安全性。
定期更新：鼓励或强制用户定期更新密码，减少密码泄露的风险。
异常检测：系统可以检测并响应异常登录尝试，如多次失败的登录尝试，可能表明有未授权的访问尝试。

口令系统与口令攻击

口令攻击：攻击者使用某些合法用户的账号和密码，登录到目标主机，进而实施攻击的方法。
攻击者获得合法用户的身份和访问权限，并利用主机与网络系统之间的信任关系获得对其他主机的访问权和控制权，形成多米诺骨牌效应，进而控制和攻击整个系统。
口令攻击是黑客攻击的常用方法之一，寻找系统是否存在无口令账户，字典攻击弱口令，利用找回口令漏洞获取口令，破解加密的口令文件，网络监听(pop3,Telnet,FTP登录均为明文口令)、木马等。
- 举例：利用无主注册邮箱
- 举例：利用木马盗取口令

Web服务器的口令系统

加密口令：用户键入账号和口令后，浏览器客户端程序对用户输入的口令字符串和一个由服务器产生的随机数进行哈希运算，然后再将账号和加密口令传送给服务器。
口令认证：服务器收到账号和加密口令后，根据账号从用户数据库中取出对应口令，按同样的方法计算哈希值并比较是否相同。

安全口令

原则：口令时限低于破解时间。
一次性口令：
- 挑战应答：服务器发送随机数，用户计算秘密固定口令与随机数的哈希值应答，服务器计算验证。
- 时间同步：将当前时间作为计算哈希值的随机数。
- 口令纸：合法口令列表。
硬件口令：U盾

权限管理基础设施PMI

PKI体系通过身份证书实现对证书持有者的身份认证，但网络服务中的访问授权不仅依赖于用户的身份，还依赖于用户的权限，X.509 v4提出了权限管理基础设施（Privilege Management Infrastructure，PMI）来管理用户的权限属性，支持访问控制授权。
PMI使用属性证书来实现用户身份与权限属性的绑定，第三方属性权威机构（Attribute Authority，AA）负责属性证书的申请、签发、维护和撤销，管理着属性证书的整个生命周期。

PMI属性证书结构

AttributeCertificate ::= SEQUENCE {
acinfo               AttributeCertificateInfo,
signatureAlgorithm    AlgorithmIdentifier,
signatureValue        BIT STRING
}
AttributeCertificateInfo ::= SEQUENCE {
version               AttCertVersion, --version is v2,
holder                Holder,
issuer                AttCertIssuer,
signature             AlgorithmIdentifier,
serialNumber          CertificateSerialNumber,
attrCertValidityPeriod   AttCertValidityPeriod,
attributes             SEQUENCE OF Attribute,
issuerUniqueID        UniqueIdentifier  OPTIONAL,
extensions            Extensions  OPTIONAL
}

以下是将您提供的信息整理为表格的形式：

属性	说明
版本号	属性证书使用了哪个版本的X.509标准
证书持有者标识	通常使用PKI证书序列号
发布者名称	证书发布者名称
签名算法标识符	AA所使用的签名算法
序列号	AA为该属性证书分配的唯一序列号，证书被撤消时该序列号将被放入CRL中
有效期	包括属性证书的生效时间和失效时间
证书持有者的属性信息
发布者的唯一标识符
扩展信息	有关该证书或证书持有者的附加说明
发布者的数字签名

防火墙技术

防火墙简介

防火墙是在被保护的内部网络与Internet外部网络之间限制访问的安全网关。所有内部网与外部网之间的通信都必须经过防火墙，并在此进行检查和连接，只有被授权的合法通信才能通过，从而实现被保护内部网络与外部网络之间的逻辑隔离，防止非法入侵，执行安全管理策略，记录所有可疑事件。
从实现技术来看，防火墙可分为包过滤防火墙、应用网关防火墙、代理服务防火墙、状态检测防火墙等。

包过滤防火墙

包过滤防火墙动态检查流过数据包的报头，根据预先设置的一套规则，允许或禁止数据包的通过，允许通过的数据包被送往目的地，禁止通过的数据包则被丢弃。
对于每一个数据包，包过滤器从第一条规则开始顺序检查，直到找到适合该包的一条规则或用完所有规则，因而规则表中各规则的设置顺序非常重要，它直接影响数据包的传输效率。规则：黑名单与白名单

应用网关防火墙

应用网关防火墙不使用通用的一套规则来允许或禁止各种不同种类数据包的通过，而是针对不同应用设置不同的过滤规则，并能够对数据包进行分析，形成分析报告。
应用网关防火墙控制灵活、规则粒度细，安全性高，但需要为每种应用设计不同的过滤规则，维护比较困难，效率也较低。

代理服务防火墙

代理服务防火墙是位于内部网和外部网之间的物理屏障，它可以是具有一个外部网络接口和一个内部网络接口的双宿主网关，也可以是既能访问外部网又能访问内部网的堡垒主机。
对于内部网或外部网用户的服务请求，代理服务器根据管理员设定的安全策略检查并确认是否授权通过，若是合法的用户服务请求，代理服务器提供内部网与外部网之间的替代连接并充当服务网关，在幕后处理内部网与外部网之间的通信，以代替直接交谈，从而保护内部资源不受侵害。
代理服务防火墙具有更好的安全性，但效率更低