安全技术

随着互联网的飞速发展，网络安全已成为全球组织面临的主要问题。由于侵入企业组织网络安全所需的信息和工具与技术广泛可用，这加剧了安全问题。

如今，根本问题在于，许多安全技术旨在阻止攻击者进入，一旦失败，防御也就失效了。任何使用互联网的组织都需要安全技术来覆盖三种主要的控制类型——预防性、检测性和纠正性，以及提供审计和报告。大多数安全都基于以下一种或多种：我们拥有的（如钥匙或身份证），我们知道的（如 PIN 或密码），或者我们是什么（如指纹）。

下面将描述一些在网络安全领域使用的重要安全技术-

防火墙

防火墙是一种计算机网络安全系统，旨在防止未经授权的访问私人网络。它可以作为硬件、软件或两者的组合来实现。防火墙用于阻止未经授权的互联网用户访问与互联网连接的私人网络。所有进出内联网的消息都必须通过防火墙。防火墙会检查每条消息，并阻止不符合指定安全标准的消息。

防火墙的类别

防火墙可分为以下几类-

1. 处理模式

防火墙可以分为五种处理模式-

包过滤

包过滤防火墙会检查进入网络的数据包的头部信息。这种防火墙安装在 TCP/IP 网络上，并根据防火墙中编程的规则决定是将数据包转发到下一个网络连接还是丢弃。它扫描网络数据包，查找防火墙数据库中规则的违规情况。大多数防火墙通常基于组合的

• 互联网协议（IP）源和目标地址。
• 方向（入站或出站）。
• 传输控制协议（TCP）或用户数据报协议（UDP）源和目标端口请求。

包过滤防火墙可分为三种类型-

1. 静态过滤： 系统管理员设置防火墙规则。这些控制防火墙如何决定允许哪些数据包和拒绝哪些数据包的过滤规则是已开发并安装好的。

2. 动态过滤： 它允许防火墙自行设置一些规则，例如丢弃来自发送大量错误数据包的地址的数据包。

3. 状态检查： 状态防火墙使用状态表跟踪内部和外部系统之间的每个网络连接。

应用网关

它是一种防火墙代理，通常安装在专用计算机上以提供网络安全。这种代理防火墙充当请求者和受保护设备之间的中介。这种防火墙代理会根据特定规范过滤传入的节点流量，这意味着只有传输的网络应用程序数据才会被过滤。此类网络应用程序包括 FTP、Telnet、实时流协议（RTSP）、BitTorrent 等。

电路网关

电路级网关是一种在传输层运行的防火墙。它提供 UDP 和 TCP 连接安全，这意味着它可以重组、检查或阻止 TCP 或 UDP 连接中的所有数据包。它在传输层和应用层（如会话层）之间工作。与应用网关不同，它会监视 TCP 数据包握手和防火墙规则和策略的会话满足情况。它还可以通过执行防火墙到防火墙的加密来充当互联网上的虚拟专用网络（VPN）。

MAC 层防火墙

这种防火墙旨在 OSI 网络模型的媒体访问控制层上运行。它能够在过滤决策中考虑特定主机计算机的身份。特定主机计算机的 MAC 地址与访问控制列表（ACL）条目相关联。此条目标识可以发送到每个主机的特定类型的数据包，所有其他流量都会被阻止。它还会检查请求者的 MAC 地址，以确定所使用的设备是否能够建立连接以及是否授权访问数据。

混合防火墙

这是一种结合了其他四种类型防火墙功能的防火墙。它们是包过滤和代理服务的元素，或包过滤和电路网关的元素。

2. 开发时代

防火墙可根据代际进行分类。它们是-

• 第一代
• 第二代
• 第三代
• 第四代
• 第五代

第一代

第一代防火墙配备了静态包过滤防火墙。静态包过滤器是最简单、成本最低的防火墙保护形式。在此代，会检查进出网络的每个数据包，并根据用户定义的规则对其进行放行或拒绝。我们可以将这种安全性与俱乐部的保镖进行比较，保镖只允许 21 岁以上的人进入，而 21 岁以下的人则被拒绝。

第二代

第二代防火墙配备了应用层或代理服务器。这一代防火墙提高了可信网络和不可信网络之间的安全性。应用层防火墙使用软件来拦截每个 IP 的连接，并执行安全检查。它涉及充当内部可信网络上的用户与互联网之间接口的代理服务。每台计算机都通过代理程序传输网络流量来相互通信。该程序评估从客户端发送的数据，并决定哪些数据将被移动，哪些将被丢弃。

第三代

第三代防火墙配备了状态检查防火墙。这一代防火墙已经发展到满足企业网络对更高安全性的主要需求，同时最大限度地减少对网络性能的影响。随着对 VPN、无线通信和增强的病毒防护支持的不断增长，第三代防火墙的需求将更加严苛。这一演变中最具挑战性的方面是在不损害灵活性的情况下保持防火墙的简单性（及其可维护性和安全性）。

第四代

第四代防火墙配备了动态包过滤防火墙。这种防火墙会监视活动连接的状态，并根据此信息决定允许哪些网络数据包通过防火墙。通过记录会话信息（如 IP 地址和端口号），动态包过滤器可以实现比静态包过滤器更严格的安全态势。

第五代

第五代防火墙配备了内核代理防火墙。这种防火墙在 Windows NT Executive 的内核下运行。这种防火墙代理在应用层运行。在这种情况下，当数据包到达时，会创建一个新的虚拟堆栈表，其中仅包含检查特定数据包所需的协议代理。这些数据包在堆栈的每一层进行检查，包括评估数据链路头部、网络头部、传输头部、会话层信息和应用层数据。这种防火墙比所有应用层防火墙都快，因为所有评估都在内核层进行，而不是在操作系统的更高层进行。

3. 预期部署结构

防火墙也可以根据结构进行分类。它们是-

商业设备

它运行在定制操作系统上。这种防火墙系统由运行在通用计算机上的防火墙应用程序软件组成。它旨在为中大型企业网络提供保护。大多数商业防火墙都相当复杂，通常需要专门的培训和认证才能充分利用其功能。

小型办公室家庭办公室

SOHO 防火墙专为需要免受互联网安全威胁保护的小型办公室或家庭办公室网络而设计。SOHO（小型办公室家庭办公室）防火墙是第一道防线，在整体安全策略中起着至关重要的作用。SOHO 防火墙资源有限，因此它们实施的防火墙产品必须相对易于使用和维护，并且具有成本效益。这种防火墙将用户的局域网或特定计算机系统连接到互联网设备。

住宅软件

住宅级防火墙软件直接安装在用户的系统上。其中一些应用程序将防火墙服务与其他保护（如防病毒或入侵检测）结合起来。软件防火墙可以提供的可配置性和保护程度是有限的。

4. 架构实现

最适合某个组织的防火墙配置取决于三个因素：网络目标、组织开发和实施架构的能力以及该功能可用的预算。

有四种常见的防火墙架构实现方式

包过滤路由器

包过滤防火墙用于通过监视出站和入站数据包来控制网络访问。它允许根据源和目标 IP 地址、协议和端口来放行或阻止它们。在通信过程中，节点会传输一个数据包；该数据包会被过滤并与预定义的规则和策略进行匹配。一旦匹配成功，数据包就被视为安全和已验证，可以被接受，否则将被阻止。

筛选主机防火墙

这种防火墙架构结合了包过滤路由器和独立的专用防火墙。应用网关只需要一个网络接口。它允许路由器对数据包进行预筛选，以最大限度地减少内部代理的网络流量和负载。包过滤路由器会过滤危险协议，防止它们到达应用网关和站点系统。

双宿主主机防火墙

双宿主主机防火墙的网络架构很简单。其架构围绕双宿主主机计算机构建，这是一台至少有两个网卡的计算机。一个网卡连接到外部网络，另一个连接到内部网络，提供了额外的保护层。通过这些网卡，所有流量必须通过防火墙才能在内部和外部网络之间移动。

这种架构的实现经常利用 NAT。NAT 是一种将分配的 IP 地址映射到特殊范围的不可路由内部 IP 地址的方法，从而为防止外部攻击者入侵创造了另一道屏障。

筛选子网防火墙

通过添加一个周界网络（Perimeter Network），该架构为筛选主机架构增加了额外的安全层（周界网络），以进一步隔离内部网络与互联网。在这种架构中，有两个筛选路由器，它们都连接到周界网络。一个路由器位于周界网络和内部网络之间，另一个路由器位于周界网络和外部网络之间。要攻破内部网络，攻击者必须绕过两个路由器。没有单一的薄弱点会危及内部网络。

VPN

VPN 代表虚拟专用网络。它是一种技术，可在互联网上从设备到网络创建安全且加密的连接。这种连接有助于确保我们的敏感数据安全传输。它防止我们的连接被窃听网络流量，并允许用户安全地访问专用网络。这项技术被广泛应用于企业环境。

VPN 的工作方式与防火墙类似，防火墙保护设备本地的数据，而 VPN 则保护在线数据。为了确保互联网上的安全通信，数据通过安全隧道传输，VPN 用户使用身份验证方法来获得 VPN 服务器的访问权限。VPN 被需要访问企业资源的远程用户、想要下载文件的消费者以及想要访问地理限制站点的商务旅客使用。

入侵检测系统 (IDS)

IDS 是一种安全系统，用于监视计算机系统和网络流量。它分析流量，以检测来自外部的潜在恶意攻击，以及来自内部的系统滥用或攻击。防火墙负责过滤来自互联网的入站流量，而 IDS 以类似的方式补充防火墙安全。例如，防火墙保护组织的敏感数据免受互联网上的恶意攻击，而入侵检测系统则在有人试图突破防火墙安全并试图访问受信任网络上的任何网络时向系统管理员发出警报。

入侵检测系统有不同类型来检测可疑活动-

1. NIDS-

这是一种网络入侵检测系统，它监视网络上所有设备之间的入站和出站流量。

2. HIDS-

这是一种主机入侵检测系统，它运行在网络上的所有设备上，这些设备可以直接访问互联网和企业内部网络。它可以检测源自组织内部的异常网络数据包，或者 NIDS 未能捕获的恶意流量。HIDS 还可能识别源自主机本身的恶意流量。

3. 基于签名的入侵检测系统-

这是一种检测系统，它通过查找特定模式来检测攻击，例如网络流量中的字节序列，或恶意软件使用的已知恶意指令序列。这种 IDS 源于防病毒软件，它可以轻松检测已知攻击。在这种术语中，无法检测到没有模式的新攻击。

4. 基于异常的入侵检测系统-

这种检测系统主要为了检测未知攻击而引入，因为恶意软件发展迅速。它会提醒管理员注意潜在的恶意活动。它监视网络流量，并将其与已建立的基线进行比较。它确定对于网络而言，就带宽、协议、端口和其他设备而言，什么被认为是正常的。

访问控制

访问控制是一个选择对系统进行限制性访问的过程。这是安全领域的一个概念，用于最大限度地降低未经授权访问业务或组织的可能性。在这种情况下，用户被授予对系统和资源的访问权限和特定特权。在这里，用户必须提供凭证才能获得对系统的访问权限。这些凭证有多种形式，如密码、门禁卡、生物特征识别等。访问控制确保安全技术和访问控制策略能够保护客户数据等机密信息。

访问控制可分为两类-

• 物理访问控制
• 逻辑访问控制

物理访问控制 - 这种类型的访问控制限制对建筑物、房间、园区和物理 IT 资产的访问。

逻辑访问控制 - 这种类型的访问控制限制对计算机网络、系统文件和数据的连接。

更安全的访问控制方法涉及双因素身份验证。第一个因素是希望访问系统的用户必须出示凭证，第二个因素可以是访问代码、密码或生物特征识别。

访问控制包含两个主要组件：授权和身份验证。身份验证是一个验证某人声称已获得访问权限的过程，而授权则提供用户是否应被允许访问系统或被拒绝访问。