《网络与安全》读书笔记
徐爱国 张森 彭俊好（2007），网络与安全

---

1. 安全模型

• PDRR：
  保护（Protection）-> 检测（Detection）-> 响应（Reaction）-> 恢复（Restore）
• P2DR：
  策略（Policy） -> 防护（Protection）-> 检测（Detection）-> 响应（Response）

2. 经典网络安全技术

• 网络身份认证

• 网络访问控制

  • 防火墙
  • 物理隔离

• 虚拟专用网技术

• 检测、扫描技术

  • 入侵检测系统（IDS)
  • 入侵防护系统（IPS）

3. 网络身份认证

• 认证
  • Password Authentication
  • Pub-key Authentication
  • Kerberos
  • 数字签名
    • PKI
      • CA -- Certificate Authority
      • RA -- Registration Authority
      • Central directory -- LDAP
  • 生物认证
• 消息完整性验证
  • MAC -- Message Authentication Code
  • 杂凑算法（HASH）
• 消息加密
  • 对称加密
  • 非对称加密

4. 网络访问控制

4.1 防火墙

防火墙 -- 将内网与外网之间的访问进行控制，也称为网络边界控制； 在保障互联互通情况下尽可能安全。

• 防火请功能

  • 访问控制
    • 白名单
    • 黑名单
  • 监视网络的安全性，并产生报警
  • 审计、记录

• 防火墙失效状态

  • 不重启，可以继续正常工作
  • 关闭，禁止所有的数据通行
  • 关闭，允许所有的数据通行
  • 重启，可以恢复工作

• 防火墙类型

  • 包过滤防火墙 过滤信息
    • 源IP和目的IP
    • 网络层协议信息
    • 传输层协议信息
    • 端口号
    • TCP控制标记，如SYN、ACK等
  • 状态防火墙 保持对连接状态的跟踪（状态表）
  • 应用网关
    • 连接网关防火墙（CGF，Connection Gateway Firewall）
      所有连接都检查认证信息
    • 直通代理（CTP，Cut-Through Proxy）
      一个客户端一次认证通过后，接下来所有数据由L7转到L3/L4处理
  • 地址翻译（NAT，Network Address Translation）
    • Static NAT
    • Pooled NAT
    • 端口NAT（PAT）
  • 病毒防火墙

• 防火墙体系

  • 双宿网关防火墙：包过滤+代理；防火墙是内外网隔离的唯一屏障
  • 屏蔽主机防火墙：外部主机 -- 包过滤 -- 堡垒机 -- 内网主机
  • 屏蔽子网防火墙：外部主机 -- 包过滤 -- 堡垒机 -- 包过滤 -- 内网主机；两个包过滤防火墙之间为DMZ区。

4.2 物理隔离

物理隔离 -- 保证必须安全情况下尽可能互联互通。

• 数据二极管技术 -- 单工连接
• 存储池交互技术

5. 虚拟专用网技术（VPN，Virtual Private Network）

虚拟专用网技术 -- 在不可信的公网资源上建立可信的虚拟专用网（VPN）以保证局域网间的通信安全。
虚拟专用网协议需要包括 身份认证、数据加密、数据完整性验证。

• VPN相关技术
  • 隧道技术：协议A封装在协议B中传输
  • 秘钥管理，常用IKE、SKIP、Kerberos
  • QoS机制
• VPN协议
  • 链路层 -- L2F、PPTP、L2TP等
  • 网络层 -- GRE封装、IP/IP封装；IPSec
  • 传输层 -- SSL、SSH、SOCKS

6. 入侵检测系统

入侵检测系统（IDS，Intrusion Detection Sysetem）-- 包括 数据源采集、检测策略和响应策略等几个功能模块，数据源可以是系统日记和网络通信数据包等。
入侵检测是安全审计的核心技术之一。

• IDS技术
  • 误用检测技术 -- 利用已知系统和应用软件的弱点攻击模式进行检测
    • 专家系统
    • 模型推理
    • 状态转换分析
  • 异常检测技术 -- 根据异常行为和使用计算机资源的情况进行检测
    • 概率统计
    • 神经网络
  • 高级检测技术
    • 文件完整性检查
    • 计算机免疫技术
    • 遗传算法
    • 模糊证据理论
    • 数据挖掘
    • 数据融合
    • 高速网络的实时入侵检测技术
      • 零拷贝技术
      • 负载均衡技术
      • 匹配算法
• IDS模型
  • CIDF模型
    • Event generators
    • Event analyzers
    • Response units
    • Event database
  • Denning模型

7. 入侵防护系统

入侵防护系统（IPS，Intrusion Prevention System）-- 主动的、智能的入侵检测、防范、阻止系统。

• IPS分类
  • HIPS（Host IPS）
  • NIPS（Network IPS）
  • AIP（Application Instruction Prevention）

8. 其他

• 蜜罐技术
• 扫描和评估 -- 识别检测对象的系统资源，分析资源被攻击的可能性，了解系统的脆弱性，评估存在的安全风险和可能产生的后果。
• 网络监控与审计 -- 对网络通信过程中可疑、有害信息进行记录，为事后处理提供依据。