目录
一.HTTP协议安全威胁
1.钓鱼攻击
通过伪造web网站,让用户登录,使用户输入个人信息,盗取其个人信息
2.跨站脚本攻击
脚本:小程序,可以被浏览器解释执行(通过脚本语言编写)
脚本攻击:攻击者将具有攻击性的脚本发送给浏览器解释执行,从而获取用户数据或破坏系统
为了保护用户的数据安全,浏览器一般不允许脚本程序访问跨会话数据
会话指主机与服务器建立的连接,如TCP连接
跨站脚本攻击是一种常见的网络安全漏洞,攻击者通过在受害者的网页中注入恶意脚本来利用该漏洞。这些恶意脚本会在受害者的浏览器上执行,从而使攻击者能够获取用户的敏感信息、劫持会话或进行其他恶意活动。
跨站脚本攻击的原理是利用了网站没有对用户输入进行充分的过滤和验证。攻击者可以在输入字段和表单中注入恶意脚本代码。当受害者浏览该网页时,这些恶意脚本会被执行,而不是按照正常的预期进行处理。这样,攻击者就能够利用该漏洞获取用户的敏感信息,如用户名、密码等,或者进行其他恶意操作。
攻击者可以向服务器发送恶意脚本,当用户访问网页,连接服务器时,该脚本就会通过Cookie保留的用户信息对其进行盗用
发生跨站脚本攻击的条件:
1.一个允许用户输入信息的web应用
2.用户输入数据可用于动态生成页面
3.用户的输入未作合法性验证
为什么需要用户输入数据可用于动态生成页面?
-
动态生成页面是现代Web应用程序常用的一种方式。许多网站允许用户通过表单或其他输入方式提交数据,然后将这些数据用于生成动态内容。攻击者可以利用这个功能将恶意脚本注入到动态生成的页面中。
-
当用户访问包含恶意脚本的动态生成页面时,浏览器会将这些脚本当做正常的JavaScript代码执行。这意味着攻击者可以利用这些恶意脚本来窃取用户的敏感信息,劫持用户的会话,或者进行其他恶意行为。
-
用户输入数据是攻击者注入恶意脚本的一个入口。攻击者可以通过各种途径将恶意脚本注入到用户输入的数据中,如通过表单、URL参数等。一旦这些恶意脚本被动态生成页面使用,就会被用户的浏览器执行。
总结来说,为了发动跨站脚本攻击,攻击者需要用户输入数据可用于动态生成页面,因为这提供了一个机会让攻击者将恶意脚本注入到页面中,并在用户访问页面时执行这些脚本。因此,保护动态生成的页面免受跨站脚本攻击是一个重要的安全措施
3.跨站脚本攻击的分类
持久性跨站
攻击数据永久存放于服务器,当用户访问正常网页时,服务端会将恶意的指令夹杂在正常网页中回传给用户,具有很高的隐蔽性
非持久性跨站
恶意脚本程序脚本在受害者请求HTTP后得到一个即刻的响应时执行
文档对象模型跨站
如果客户端脚本动态生成HTML的时候,没有严格检查和过滤参数,则可以导致DOM跨站攻击
二.网络设备隔离技术
隔离技术是为了将需要不同安全需求的应用系统进行分类保护
隔离设备可以是网络设备,也可以是专门的隔离设备
包括集线器隔离,交换机隔离,路由器隔离
交换机通常利用划分VLAN来实现网络的隔离,保证数据传输的安全
路由器一般作为安全组件的一部分与专门的隔离设备进行协同隔离,在整个安全防护系统中,一般用作屏蔽设备,执行简单的包过滤功能,由防火墙执行数据包深度检查等工作
三.防火墙
防火墙是用一个或一组网络设备(计算机系统或路由器,即软硬件)
主要是为了防止外部网络的攻击,防火墙作为外部网络数据进入内部网络数据的唯一接口,能够根据一定的访问控制策略,对出入网络的信息流进行控制
防火墙的功能有:
1.监控审计:防火墙能对外部网络数据的访问进行记录形成日志,并对网络使用的情况进行数据统计
2.防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响
3.日志记录与事件通知:进出网络的数据都必须经过防火墙,防火墙通过日志对其进行记录,能提供网络使用的详细统计信息。当发生可疑事件时,防火墙更能根据机制进行报警和通知,提供网络是否受到威胁的信息。
1.防火墙的包过滤技术
通过依据源IP地址,目的IP地址,源端口等类型IP包头信息,允许或拒绝IP包通过
优点:简单,易于使用,实现成本低,处理开销小,对使用该技术的防火墙系统的性能影响不大
缺点:
(1)当过滤规则较多时,对过滤规则表的管理和维护较为麻烦
(2)无法识别入侵
(3)无法识别恶意代码
(4)易遭受IP地址欺骗
2.状态检测技术
状态检测技术是指根据协议数据的状态来实现包过滤功能的访问控制技术
在TCP中,状态指协议过去执行的历史信息,如三报文握手,UDP是无状态协议
具体的状态有:是否已经通过防火墙认证,以前的网络通信信息,所有TCP/IP协议的当前信息
为了获得无状态协议(UDP)的状态信息,可以通过建立虚连接
状态过滤规则表(举例)
优点:安全性好,灵活性强
缺点:计算开销大,处理速度慢,规则管理复杂
3.应用代理技术
应用代理技术:在应用层某个应用为另外一个应用获取某项服务
防火墙的应用代理服务是一种网络安全技术,它通过在网络中充当中间人的角色,将用户和目标服务器之间的通信流量进行过滤和控制。它可以用于保护网络免受恶意攻击和非授权访问。
应用代理服务通常作为防火墙的一部分,用于检查和管理特定应用程序的流量。它可以深入分析应用层协议,识别和过滤恶意内容、控制应用的访问权限、实施数据加密等功能。
即客户向外部网络通信时,由防火墙作为代理人进行通信,保证客户接收到的数据的安全
四.防火墙结构
1.堡垒主机结构
堡垒主机是一种被强化的可以防御网络攻击的计算机,一般暴露于互联网上,作为外部网络通信进入内部网络的一个检查点,防火墙和包过滤路由器都可以看作堡垒主机
堡垒主机的要求
(1)关闭所有不必要的服务,协议,程序和网络端口
(2)必须启用安全审计功能,形成日志
(3)不能和内部主机之间共享任何信息
优点:成本低,管理简单
缺点:
安全性低,只有包过滤路由器作为唯一的安全设备
过滤规则简单,只能通过网络层(路由器)来对信息进行过滤
隐蔽性差,内部网络的IP地址并没有被隐藏起来,不具备监测,跟踪和记录功能
2.屏蔽主机结构防火墙系统
屏蔽主机结构的防火墙系统也叫单宿主堡垒主机防火墙,即只有一个网络接口的堡垒主机
单宿主堡垒主机通常采用应用代理技术
堡垒主机结构与屏蔽主机结构防火墙系统的区别在于一个只用包过滤路由器作为堡垒主机,一个采用两个安全设备,以过滤路由器作为接口,用专门的计算机作为堡垒主机
能对内屏蔽主机结构是因为防火墙利用了NAT地址转换技术
优点:对内部网络有一定的隐蔽性
缺点:路由器为网络层设备的安全瓶颈,缺少防范内部欺骗的能力
3.屏蔽子网结构防火墙系统
利用两个包过滤路由器和一个堡垒主机搭建拓扑结构
屏蔽子网结构是为了防止网络内部的欺骗,对重要服务器和主机实现双重保护
五.网络隔离技术
1.物理隔离
用户在同一时刻只能连接到一个网络,若同时访问两个会将公网的病毒带入专网,也会将专网的机密信息泄露到公网
物理隔离是指处于不同安全域的网络之间不能以直接或间接的方式相连接
物理隔离是通过物理隔离部件来实现的,物理隔离技术包括:物理断开,单向隔离,网闸隔离
2.物理断开
用物理隔离卡来实现物理断开
物理断开的作用
3.单向隔离技术
单向隔离通过单向隔离卡来实现,在物理上实现信息只能从一个安全域流向另一个安全域
数据流动方向由单向隔离卡决定,且只能按照安全策略规定的方向流动
单向隔离卡只允许数据从安全等级低的安全域流向安全等级高的安全域
4.网闸隔离技术
网闸是位于两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的数据可以通过
在任意时刻,中间转存设备都只能与一个安全域相连
六.网络地址转换技术
用户内部私用网络使用的私有IP地址不能直接访问公用网络,即外部因特网,所以需要利用网络地址转换技术,将两个网络进行互转,利用转发表将私有网络与公有网络一一对应
1.静态NAT
静态地址转换是需要手动先配置好每一个私有网络对应的公有网络形成一张表,使内部网络的每个主机都永久映射外部网络的某个合法地址,当需要进行信息交流时便查询该表
优点:简单
缺点:由于是固定映射,容易被攻击者通过观测转换后的IP包了解到内部网络的状态信息
2.动态NAT
动态地址转换是将两种地址随机配对,即当需要进行数据传递时,外部网络的公有IP地址会被随机配对一个内部网络的私有IP,实现动态绑定
优点:可以隐藏内部网络信息
缺点:动态NAT一般采用“先到先得”原则分配IP地址,可能会使某些紧急数据传递的信息无法匹配到合法的IP地址
3.端口转换网络地址技术
端口转换NAT是将内部主机的IP地址映射为外部IP地址和一个特定端口号的技术
端口转换技术从内部网络设备发送的数据包中获取源端口号,并将其与NAT设备的公共IP地址进行映射,生成一个新的外部网络端口号。当响应的数据包返回时,PAT将目标端口号映射回原始的内部网络端口号,以便正确地将数据包传递给相应的内部设备。
因此,可以说端口转换技术同时涉及内部网络端口和外部网络端口。
优点:
缺点:
4.网络地址转换与防火墙关系
若NAT在内网与防火墙之间,则每次数据传输私有IP都会随机配对公有IP,防火墙就不能制定一套固定的IP状态规则
若NAT在外网与防火墙之间,则公有IP转换为私有IP后,防火墙就不能判断这是否是一个合法IP数据包
所以NAT只能安装在防火墙上,在防火墙内实现网络地址转换技术