本科网络安全与保密第16章
网络安全等级保护原理与实践
目录分析
第2章络安全等级 保护标准体系
第1章络安全形势 与等级保护制度
第3章络安全等级 保护工作
1.1络安全概述 1.2络安全等级保护概述 1.3络安全等级保护的含义 1.4络安全等级保护的重要意义 1.5络安全等级保护发展历程 1.6思考与练习
2.1络安全等级保护的法律地位 2.2络安全等级保护的主要标准 2.3络安全等级保护标准的变化与特点 2.4络安全等级保护主要标准间的关系 2.5思考与练习
网络安全等级保护原理与实践
读书笔记模板
01 思维导图
03 目录分析 05 精彩摘录
目录
02 内容摘要 04 读书笔记 06 作者介绍
思维导图
关键字分析思维导图
等级
实践
系统安全
工作
要求
相关
系统
实践
等级
保护 等级
思考
校园
内容摘要
本书全面介绍络安全等级保护的基本理论、络安全基础知识、络安全等级保护实践应用及工程项目建设实施。 全书分为络安全等级保护基础、络安全等级保护实践和络安全等级保护实施三篇共16章。主要内容包括开展络安 全等级保护的缘由及意义,络安全等级保护发展历程、标准体系、工作流程、工作范围和角色职责,络安全基础 知识、络安全等级保护基本要求条款的深层含义解读、各控制点安全实践,以及络安全等级保护工程实施的安全 解决方案。本书按照从基本知识点讲解到实践应用,再从实践应用到工程项目实践的方式来编排,全面阐述了络 安全等级保护工作涉及的各知识领域,以帮助读者掌握络安全等级保护的相关技术。本书内容由浅入深,突出实 践,理论和实践相结合,适合作为高等院校络空间安全、信息安全及相关专业的教材,也可作为从事络安全等级 保护工作人员的参考书。
网路保密知识点总结
网路保密知识点总结网络保密是指通过各种网络安全技术手段保护信息系统和网络资源的机密性、完整性和可用性,防止信息泄露、窃取、篡改和拒绝服务等安全威胁的行为。
随着信息技术的快速发展和网络应用的普及,网络保密已成为各种组织和个人必须关注和重视的问题。
一、网络保密的基本概念1.1 信息安全信息安全是指在信息系统中保护信息和信息系统的机密性、完整性和可用性,防止信息泄露、篡改、破坏和拒绝服务等安全威胁的技术、组织和管理措施。
信息安全是网络保密的核心内容,是保障信息系统及网络资源安全的基础。
1.2 网络安全网络安全是指通过网络安全技术手段保护计算机网络系统和网络资源的机密性、完整性和可用性,防止网络威胁的行为。
网络安全是信息安全的一个重要方面,涉及网络设备、网络通信、网络应用等方面的安全问题。
1.3 网络威胁网络威胁是指对网络系统和网络资源的机密性、完整性和可用性构成威胁的各种行为,包括网络攻击、网络病毒、网络木马、网络蠕虫、网络钓鱼、网络间谍等网络安全威胁。
1.4 网络攻击网络攻击是指通过各种网络技术手段对网络系统和网络资源进行攻击的行为,包括网络入侵、网络渗透、拒绝服务攻击、网络蠕虫攻击、DDoS攻击等。
1.5 网络安全技术网络安全技术是指通过各种技术手段保护网络系统和网络资源的机密性、完整性和可用性,包括防火墙、入侵检测系统、加密技术、密钥管理、身份认证、访问控制、安全审计等。
1.6 网络保密管理网络保密管理是指通过各种管理手段保护网络系统和网络资源的机密性、完整性和可用性,包括网络风险评估、安全策略制定、安全培训、安全监控、应急响应等。
二、网络保密知识点2.1 密码学基础密码学是指研究信息安全和数据保密技术的学科,是网络保密的重要基础。
密码学包括对称加密算法、非对称加密算法、哈希算法等内容,是保障网络通信和数据安全的基础。
2.2 加密技术加密技术是指使用密码学算法对信息进行加密转换,使得未经授权的用户无法获取原始信息的安全技术。
第16章--网络安全隔离课件
第16章 网络全隔离
16.2 安全隔离的原理
16.2.1 安全隔离理论模型 安全隔离的安全思路来自于“不同时连接”,如图16- 1所 示,不同时连接两个网络,近似于人工的“U盘摆渡”方式, 通过一个中间缓冲区来“摆渡”业务数据。安全隔离的安全性 来自于它摆渡的数据的内容清晰可见。安全隔离的设计是“ 代理+摆渡”。代理不是仅仅完成简单的协议转换或“隧道”式 的外部封装,而是将整个数据包报文进行彻底的“拆卸”,把 数据还原成原始的部分,拆除各种通信协议添加的包头和包 尾,通信协议落地,用专用协议、单向通道技术、存储等方 式阻断业务的连接,用代理方式支持上层业务。
第一代网闸利用单刀双掷开关使得内外网的处理单元分时存 取共享存储设备来完成数据交换。安全原理是通过应用层数据提 取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效 果。第二代网闸吸取了第一代网闸的优点,利用专用交换通道 (Private Exchange Tunnel ,PET)技术,在不降低安全性的前提下 能够完成内外网之间高速的数据交换,有效地克服了第一代网闸 的弊端。第二代网闸的安全数据交换过程是通过专用硬件通信卡、
要经历数据的接收、存储和转发三个过程。
第16章 网络安全隔离
物理隔离的一个特征,就是内网与外网永不连接,内网 和外网在同一时间最多只有一个与隔离设备建立非TCP/IP协 议的数据连接。其数据传输机制是存储和转发。物理隔离的 好处很明显,即使外网处在最坏的情况下,内网也不会有任 何破坏,修复外网系统也非常容易。安全隔离与信息交换系 统对数据的交换不依赖于任何通用协议,没有数据包的处理 及连接会话的建立,而是以静态的专有格式化数据块的形式 在内/外网间传递,因此不会受到任何已知或未知网络层漏 洞的威胁。
大学生网络保密教育PPT
谢谢您的观赏聆听
网络保密意识
什么是网络保密:网络保密指的是在使 用互联网过程中保护个人信息和隐私的 措施。 为什么重要:网络安全威胁日益增加, 不保护个人信息
盗取个人信息的危害:个人隐 私泄露,身份盗窃,财产损失 等。
网络保密措施
网络保密措施
使用强密码:设置密码时应复杂且难以 猜测,包括大小写字母、数字和特殊字 符等。 定期更改密码:定期更改密码可以减少 密码被破解的风险。
网络保密教育资源
官方机构网站:各国网络安全 机构提供丰富的网络保密知识 和资源,大学生可从官方网站 获取相关信息。
在线课程:网络平台提供免费 的网络安全课程,学生可以通 过在线学习进一步了解网络保 密知识。
网络保密教育资源
安全应用程序:安全应用程序如防火墙 、杀毒软件等可以帮助大学生保护个人 电脑和移动设备安全。
大学生网络保 密教育PPT
目录 引言 网络保密意识 网络保密措施 网络保密教育资源
引言
引言
重要性:网络安全是当今时代一个 重要的议题,大学生作为积极参与 网络活动的群体,需要了解并掌握 网络保密知识。
目标:本PPT旨在向大学生传授网 络保密教育,以提高网络安全意识 和保护个人隐私。
网络保密意识
网络保密措施
避免公共Wi-Fi:不要在公共场所 使用未经加密的Wi-Fi网络,以防 止个人信息被窃听。 注意社交媒体隐私设置:确保社交 媒体账户的隐私设置得当,仅向信 任的人展示个人信息。
网络保密措施
谨防网络钓鱼:小心谨慎处理来自陌生 人的链接和附件,避免成为网络钓鱼的 受害者。
网络保密教育 资源
通信网络安全与保密(大作业答案)
通信网络安全与保密(大作业答案)第一篇:通信网络安全与保密(大作业答案)一、什么是计算机病毒?简单说明病毒的几种分类方法?计算机病毒的基本特征是什么?答:(1)计算机病毒(Computer Virus):是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,具有破坏性,复制性和传染性。
(2)按计算机病毒破坏性产生的后果分类:a、良性病毒:指那些只是只占用CPU资源或干扰系统工作的计算机病毒;b、恶性病毒:指病毒制造者在主观上故意要对被感染的计算机实施破坏,这类病毒一旦发作,使系统处于瘫痪状态。
按计算机病毒的寄生方式分类:a、系统引导型病毒,也被称为操作系统型病毒,当系统引导时,病毒程序对外传播病毒,并在一定条件下发作,实施破坏。
b、文件型病毒,也叫外壳型病毒,是将自身嵌入到系统可执行文件之中,运行可执行文件时,病毒程序获得对系统的控制权,再按同样的方式将病毒程序传染到其它执行的文件中。
按广义的计算机概念可以分为:a、蠕虫:是一种短小的程序,常驻于一台或多台机器中,并有重定位的能力。
b、逻辑炸弹:当满足某些触发条件时就会发作引起破坏的程序。
c、特洛伊木马:通常由远程计算机通过网络控制本地计算机的程序,为远程攻击提供服务。
d、陷门:由程序开发者有意安排。
e、细菌:可不断在系统上复制自己,以占据计算机系统存储器。
(3)计算机病毒的特征:a、隐蔽性,指它隐藏于计算机系统中,不容易被人发现的特性;b、传染性,指病毒将自身复制到其它程序或系统的特性;c、潜伏性,指病毒具有依附于其它介质而寄生的特性。
d、可触发性,指只有达以设定条件,病毒才开始传染或者表现的特性。
e、表现性或破坏性,表现性是指当病毒触发条件满足时,病毒在受感染的计算机上开始发作,表现基特定的行为,而这种行为如果是恶意的,以毁坏数据、干扰系统为目的,则这种表现性就是一种破坏性。
二、什么是对称密码算法?什么是非对称密码算法?二者各有什么优缺点?答:(1)对称密码算法:在对称密钥算法中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。
大学计算机网络教案:网络安全与隐私保护
大学计算机网络教案:网络安全与隐私保护1. 简介网络安全与隐私保护是现代计算机网络领域中的重要课题。
本教案旨在引导大学生系统地学习和理解网络安全的基本概念、原则和技术,以及个人隐私保护的方法与措施。
2. 基础知识2.1 计算机网络基础•计算机网络定义与分类•OSI模型和TCP/IP协议族•网络拓扑结构和组网技术•局域网、广域网和互联网2.2 网络攻击与防御•常见的网络攻击类型(如DDoS, SQL注入等)•防火墙与入侵检测系统•黑客攻击手段与渗透测试•加密技术与数据完整性保护3. 网络安全体系结构3.1 身份验证与访问控制•用户认证与口令管理•访问控制模型(如DAC, MAC, RBAC等)•双因素认证和单点登录3.2 数据加密与传输安全•对称加密算法(如DES, AES等)•非对称加密算法(如RSA, ECC等)•数字签名和证书管理3.3 网络设备与安全配置•路由器、防火墙和交换机的安全配置•网络入口和出口过滤策略•VLAN隔离和网络隔离技术4. 隐私保护与数据安全4.1 隐私保护法律法规•个人信息保护相关法律•数据隐私合规与数据泄露风险评估•组织内部数据权限管理4.2 安全存储与访问控制•数据备份与灾备技术•数据分类、分级与密级管理•访问控制列表(ACL)和访问审计5. 实践案例分析与练习通过分析真实的网络安全事件案例,学生将能够应用前述所学知识来了解和解决不同类型的网络安全问题。
此外,还将提供实践练习来强化学生对网络安全和隐私保护的实际操作能力。
6. 总结与展望在本教案中,我们概述了大学计算机网络教育中重要的主题之一:网络安全与隐私保护。
通过理论概念、技术原理和实践案例的学习,学生将具备对网络安全问题的识别和分析能力,并能应用相应的解决方案来保护个人信息和数据的安全。
以上是基于您提供的主题,设计的大学计算机网络教案《网络安全与隐私保护》。
这个教案将帮助学生系统地学习和掌握网络安全知识,并了解个人隐私的保护方法与措施。
网络安全行业保密书
网络安全行业保密书一、保密范围本保密书适用于网络安全行业涉及的所有机密信息,包括但不限于技术资料、商业计划、客户信息、合同文件、软件源代码等。
接受者无论通过口头、书面或电子形式接触到上述信息,均需严格保密。
二、保密义务1. 接受者承诺对所获取的机密信息保持绝对保密,并采取一切必要措施防止机密信息泄露,包括但不限于:- 限制机密信息的访问范围,仅授权人员可以接触;- 对机密信息进行加密、锁定或其他技术手段保护;- 建立完善的信息安全管理制度,确保机密信息的安全性;- 在合同期满或终止后,归还或销毁所有机密信息的副本。
2. 接受者不得将机密信息用于任何未经授权的商业用途,包括但不限于:- 将机密信息泄露给第三方;- 利用机密信息进行产品开发或技术研究;- 使用机密信息与本公司进行商业竞争。
三、违约责任1. 若接受者违反本保密书约定,泄露了机密信息或未经授权使用机密信息,应承担以下责任:- 赔偿因泄露机密信息给本公司造成的损失;- 承担法律责任,包括但不限于侵权行为的民事赔偿和刑事责任;- 接受本公司采取法律手段维护自身权益的行为。
2. 本公司保留追究接受者违约行为的权利,并可能采取法律手段追偿损失。
四、保密期限1. 本保密书自当事人签署之日起生效,并在双方约定的合作期限内持续有效。
2. 合作期限届满或合作终止后,接受者应立即归还本公司的所有机密信息及其副本,并确认已彻底销毁所有机密信息的复制品。
五、司法管辖和争议解决本保密书的效力和解释受相关法律的约束。
对于因本保密书引起的任何争议,应通过友好协商解决。
如协商不成,应向本公司所在地的人民法院提起诉讼。
六、其他事项本保密书的任何修改或补充,应经双方协商一致,并以书面形式进行。
七、生效方式本保密书采用电子签名的方式签署,具有法律效力。
本保密书一式两份,受让方和提供方各执一份,具有同等效力。
签署时间:______年______月______日签署方:(提供方)________________________(受让方)________________________备注:此文本为演示用途,具体内容应根据实际情况进行调整。
网络安全与保密(第二版) (1)
第1章 网络安全综述
显然,我们可以有更多的安全措施。但是一般我们是基 于以下三个因素来选择一个合适的安全目标:
安全措施的目标主要有以下几类: (1) 访问控制(Access Control):确保会话对方(人或计算 机)有权做他所声称的事情。 (2) 认证(Authentication):确保会话对方的资源(人或计 算机)同他声称的相一致。 (3) 完整性(Integrity):确保接收到的信息同发送的一致。 (4) 审计(Accountability):确保任何发生的交易在事后可 以被证实。收发双方都认为交换发生过。即所谓的不可否认 性(Non-repudiation)。 (5) 保密(Privacy):确保敏感信息不被窃听,通常方法 是加密。
第1章 网络安全综述
所有这些目标同你所要传输的信息是密切相关的。 网络安全还必须考虑网络环境。网络环境包括在计算设 备上运行的软件、在这些设备上存储以及传送的信息或这些 设备生成的信息。容纳这些设备的设施和建筑也是网络环境 的一部分。网络安全必须将这些因素考虑在内。
第1章 网络安全综述1.2 网络ຫໍສະໝຸດ 全威胁第1章 网络安全综述
1.2.2 网络威胁的类型 威胁定义为对脆弱性的潜在利用,这些脆弱性可能导致
非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏。 网络安全与保密所面临的威胁可以来自很多方面,并且是随 着时间的变化而变化。网络安全的威胁可以是来自内部网或 者外部网,根据不同的研究结果表明,大约有80%~95%的 安全事故来自内部网。显然只有少数网络攻击是来自互联网。 一般而言,主要的威胁种类有:
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第16章蜜罐主机和欺骗网络16.1 蜜罐主机(Honeypot)16.2 连累等级(Level of Involvement) 16.3 蜜罐主机的布置16.4 欺骗网络(Honeynet)16.5 总结16.1 蜜罐主机(Honeypot)16.1.1 蜜罐主机基础术语“蜜罐主机”现在是随处可见,不同的厂商都声称他们可以提供蜜罐主机类产品。
但到底什么是蜜罐主机,一直没有确切的定义。
在此,我们把蜜罐主机定义为:蜜罐主机是一种资源,它被伪装成一个实际目标;蜜罐主机希望人们去攻击或入侵它;它的主要目的在于分散攻击者的注意力和收集与攻击和攻击者有关的信息。
16.1.2 蜜罐主机的价值正如前面所述,蜜罐主机不能直接解决任何网络安全问题,甚至于会引来更多的入侵者来进攻自己的网络。
那么,蜜罐主机到底能给我们提供什么有用信息?我们又如何利用这些信息?有两种类型的蜜罐主机:产品型(Production)蜜罐主机和研究型(Research)蜜罐主机。
产品型蜜罐主机用于降低网络的安全风险;研究型蜜罐主机则用于收集尽可能多的信息。
这些蜜罐主机不会为网络增加任何安全价值,但它们确实可以帮助我们明确黑客社团以及他们的攻击行为,以便更好地抵御安全威胁。
蜜罐主机是专门用来被人入侵的一种资源。
所有通过蜜罐主机的通信流量都被认为是可疑的,因为在蜜罐主机上不会运行额外的、会产生其它通信流量的系统。
通常,进出蜜罐主机的通信都是非授权的,因此蜜罐主机所收集的信息也是我们所感兴趣的数据,而且这些信息不会掺杂有其它系统所产生的额外通信数据,因此分析起来相对容易一些。
它所收集的数据的价值相对较高。
但是如果一台蜜罐主机没有被攻击,那么它就毫无意义。
蜜罐主机通常位于网络的某点(Single Point),因此它被攻击者发现的概率是很小的。
蜜罐主机有可能增加额外的风险:入侵者有可能被整个网络所吸引或者蜜罐主机可能被攻陷。
16.1.3 部分蜜罐主机产品比较这一节对部分可用的产品和解决办法进行比较说明[2][3][4]。
表16-1对几种常用蜜罐主机的关键要素进行比较。
表16-1 蜜罐主机比较表主机ManTrap Specter DTK 关键要素交互程度高低中可扩展√—√开放源码——√免费——√费用高低中支持日志文件√√√告警通知√√√配置难容易中GUI图形界面√√—上述各个蜜罐主机有各自的强项。
Specter最容易配置和运行,这得益于它的图形化用户界面。
它的价值并不很高,因为它不是真正的操作系统一级的,当然这也有助于降低安全风险。
ManTrap和DTK这两种蜜罐主机的构造则是高度自定义的。
它们的价值和风险都相对较高,因此它们的日常维护费用也较高。
ManTrap相对于DTK的优势在于其图形化界面,因此配置、分析和管理起来相对容易一些。
16.2 连累等级(Level of Involvement)蜜罐主机的一个重要特性就是连累等级。
连累等级是指攻击者同蜜罐主机所在的操作系统的交互程度。
16.2.1 低连累蜜罐主机一台典型的低连累蜜罐主机只提供某些伪装的服务。
一种最基本的实现形式可以是程序在某一个特定端口侦听。
例如,一条简单的命令“netcat-1-p80>/1og/honeypot/port_80.log”,就可以侦听80号端口(HTTP),并记录所有进入的通信到一个日志文件当中。
当然这种方法无法实现复杂协议通信数据的捕获。
例如由于没有对进入的请求进行应答,所以仅仅依赖一个初始SMTP握手数据包并不能获得太多有用信息。
图16-1 低连累蜜罐主机F a k e D a e m o n操作系统(Operating System)硬盘其它本地资源在一个低连累蜜罐主机上,由于攻击者并不与实际的操作系统打交道,从而可以大大降低蜜罐主机所带来的安全风险。
不过这种蜜罐也有其缺点,那就是蜜罐无法看到攻击者同操作系统的交互过程。
一个低连累蜜罐主机就如同一条单向连接,我们只能听,无法提出问题。
这是一种被动式蜜罐,如图16-1所示。
低连累蜜罐主机类似于一个被动的入侵检测系统,它们不对通信流进行修改或者同攻击者进行交互。
如果进入的包匹配某种实现定义的模式,它们就会产生日志和告警信息。
图16-2 中连累蜜罐主机同攻击者进行交互F a k e D a e m o n操作系统(Operating System)硬盘其它本地资源16.2.2 中连累蜜罐主机中连累蜜罐主机(如图16-2所示)提供更多接口同底层的操作系统进行交互,伪装的后台服务程序也要复杂一些,对其所提供的特定服务需要的知识也更多,同时风险也在增加。
随着蜜罐主机复杂度的提升,攻击者发现其中的安全漏洞的机会也在增加,攻击者可以采取的攻击技术也相应更多。
由于协议和服务众多,开发中连累蜜罐主机要更复杂和花费更多时间。
必须特别注意的是,所有开发的伪装后台服务程序必须足够安全,不应该存在出现在实际服务中的漏洞。
16.2.3 高连累蜜罐主机高连累蜜罐主机如图16-3所示,由于高连累蜜罐主机与底层操作系统的交互是“实实在在”的,所以随着操作系统复杂性的提高,由蜜罐主机所带来的安全风险也不断增高。
同时,蜜罐主机所能够收集到的信息越多,也就越容易吸引入侵者。
黑客的目标就是完全控制蜜罐主机,而高连累蜜罐主机也确实为黑客提供了这样的工作环境。
此时,整个系统已经不能再被当作是安全的,虽然,蜜罐主机通常运行在一个受限制的虚拟环境中(所谓的沙箱或者VMWare[5]),但入侵者总会有办法突破这个软件边界。
由于高连累蜜罐主机的高安全风险,因而我们有必要对蜜罐一直进行监视,否则蜜罐主机本身可能成为另一个安全漏洞。
因此,蜜罐主机可以访问的资源和范围必须受到一定的限制,对于进出蜜罐主机的通信流必须进行过滤,以防止成为黑客发动其它攻击的跳板。
图16-3 高连累蜜罐主机F a k e D a e m o n操作系统(Operating System)硬盘其它本地资源由于高连累蜜罐主机给攻击者提供的是完整的操作系统,攻击者不仅可以同蜜罐主机交互,还可以同操作系统交互,因此它可以成功入侵系统的概率也就很大。
当然,我们从蜜罐主机获得的信息也就越多。
表16-2对不同连累等级蜜罐主机的优缺点进行了比较。
表16-2 各连累等级蜜罐的优缺点比较等级低中高交互等级低中高真实操作系统——√安全风险低中高信息收集按连接按请求全面希望被入侵——√运行所需知识低低高开发所需知识低高中高维护时间低低很高16.3 蜜罐主机的布置蜜罐主机对于其运行环境并没有太多限制,正如一台标准服务器一样,可以位于网络的任何位置,但对于不同的摆放位置有其不同的优缺点。
根据所需要的服务,蜜罐主机既可以放置于互联网中,也可以放置在内联网中。
如果把密罐主机放置于内联网,那么对于检测内部网的攻击者会有一定的帮助。
但是必须注意的是,一旦蜜罐主机被突破,它就像一把尖刀直插你的心脏,因此要尽量降低其运行等级。
如果你更加关心互联网,那么蜜罐主机可以放置在另外的地方:①防火墙外面(Internet)②DMZ(非军事区)③防火墙后面(Intranet)每种摆放方式都有各自的优缺点。
如果把蜜罐主机放在防火墙外面(见图16-4中的位置(1)),那么对内部网络的安全风险不会有任何影响。
这样就可以消除在防火墙后面出现一台失陷主机的可能性。
图16-4 蜜罐主机的布置FirewallHoneypot(2)DMZInternet Honeypot (1)IntranetHoneypot(3)蜜罐主机有可能吸引和产生大量的不可预期的通信量,如端口扫描或网络攻击所导致的通信流。
如果把蜜罐主机放在防火墙外面,这些事件就不会被防火墙记录或者导致内部入侵检测系统产生告警信息。
对于防火墙或者入侵检测系统,以及任何其它资源来说,最大的好处莫过于在防火墙外面运行的蜜罐主机不会影响它们,不会给它们带来额外的安全威胁。
缺点是外面的蜜罐主机无法定位内部攻击信息。
特别是如果防火墙本身就限制内部通信流直接通向互联网的话,那么蜜罐主机基本上看不到内部网的通信流。
因此把蜜罐主机放在DMZ(见图16-4中的位置(2))似乎是一种较好的解决方案,但这必须首先保证DMZ内的其它服务器是安全的。
大多数DMZ内的服务器只提供所必需的服务,也就是防火墙只允许与这些服务相关的通信经过,而蜜罐主机通常会伪装尽可能多的服务,因此,如何处理好这个矛盾是放置在DMZ 内的密罐主机需要解决的关键问题所在。
如果把蜜罐主机置于防火墙后面(见图16-4中的位置(3)),那么就有可能给内部网络引入新的安全威胁,特别是在蜜罐主机和内部网络之间没有额外的防火墙保护的情况下。
正如前面所述的,蜜罐主机通常都提供大量的伪装服务,因此不可避免地必须修改防火墙的过滤规则,对进出内部网络的通信流和蜜罐主机的通信流加以区别对待。
否则,一旦蜜罐主机失陷,那么整个内部网络将完全暴露在攻击者面前。
从互联网经由防火墙到达蜜罐主机的通信流是畅通无阻的,因此对于内部网中的蜜罐主机的安全性要求相对较高,特别是对高连累型蜜罐主机。
最好的办法就是让蜜罐主机运行在自己的DMZ 内,同其它网络的连接都用防火墙隔离,防火墙可以根据需要建立同互联网或内联网的连接。
这种布置可以很好地解决对蜜罐主机的严格控制以及灵活的运行环境的矛盾,从而实现最高安全。
16.4 欺骗网络(Honeynet)通常情况下,蜜罐主机会模拟某些常见的漏洞、其它操作系统或者是在某个系统上做了设置使其成为一台“牢笼”(Cage)主机。
在物理上,蜜罐主机是单台主机,要控制外出的通信流通常是不太可能的,它需要借助于防火墙等设备才能对通信流进行限制。
这样便慢慢演化出一种更为复杂的欺骗网络环境,被称为欺骗网络(Honeynet)。
一个典型的欺骗网络包含多台蜜罐主机以及防火墙(或网桥式防火墙)来限制和记录网络通信流,通常还会包含入侵检测系统,用以察看潜在的攻击,解码其中的网络通信信息。
图16-5给出了不同的蜜罐主机和欺骗网络的拓扑结构图。
InternetVirtual HoneypotFirewallor BridgeVirtualHoneypot(1)VirtualHoneypot(2)VirtualHoneypot(3)InternetHoneypotInternetHoneypot(1)Honeypot(2)Honeypot(3)Firewallor BridgeRouter图16-5 不同的蜜罐主机和欺骗网络的拓扑结构欺骗网络与传统意义上的蜜罐主机有两个最大的不同点:(1) 一个欺骗网络是一个网络系统,而并非某台单一主机。
这一网络系统是隐藏在防火墙后面的,所有进出的数据都被监视、截获及控制。
这些被截获的数据可以用于分析黑客团体使用的工具、方法及动机。