精選優(yōu)質文檔-----傾情為你奉上精選優(yōu)質文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質文檔-----傾情為你奉上專心---專注---專業(yè)安全威脅cisco安全解決方案安全連接：VPN技術威脅防衛(wèi)：防火墻(PIX,ASA,FWSM,IPS,IDS)信任和身份識別：NAC(networkadmincontrol)(網(wǎng)絡準入機制，什么情況下可以接入網(wǎng)絡),ACS,802.1x技術安全管理：MARS(managementanalyzereportsystem)安全實現(xiàn)的三個步驟integratedsecurity集成的安全：把安全功能整合到網(wǎng)絡設備上，使得網(wǎng)絡安全不依賴于邊界collaborativesecuritysystem互操作性的安全系統(tǒng)：把不同設備整合到一起，協(xié)同工作，共同對應安全事件adaptivethreatdefense自適應的威脅防范：能夠自動發(fā)現(xiàn)安全威脅(由IPS,AV等對控制服務器發(fā)出告警，由控制服務器指示網(wǎng)絡設備做出反應，隔離威脅流量)（反病毒，蠕蟲，垃圾郵件，攻擊…）網(wǎng)絡攻擊的分類reconnaissance偵測:掃描accessattacks:提升或者獲取權限訪問機密信息DoS:是系統(tǒng)不能正常提供服務編寫木馬，病毒，蠕蟲；針對應用層漏洞的攻擊；威脅網(wǎng)絡管理流量reconnaissance偵測攻擊：packetsniffer,portscan,pingsweep,internetinformationqueries（通過英特網(wǎng)獲取信息）sniffer：大多需要將網(wǎng)卡設置為promiscuousmode混雜模式目標：監(jiān)聽流量中明文內(nèi)容，如telnet,ftp,snmp,pop,http等如果用以太網(wǎng)口抓包，需要保證攻擊者和目標在同一沖突域內(nèi)sniffer的防御方法：使用更加有效的認證方式。如果密碼是明文的話，盡量使用OTP一次性密碼（如使用tokencard,S/key軟件）盡量使用加密方式，ipsec,ssh,ssl等antisniffertool。用來比較正常響應時間和實際響應時間，來發(fā)現(xiàn)是否存在中間人攻擊使用switch架構，而不是hubpoarscan分類：全連接掃描：向開放的端口建立完整的TCP連接半連接掃描：向端口發(fā)送連接請求SYN，收到ACK響應就認為端口是開放的（比全連接掃描更加隱蔽）基于奇特的TCP標志位組合的掃描：[TCP標志位有SYN,ACK,FIN,RESET,PUSH(push整個數(shù)據(jù)包很緊急),URT(urgent數(shù)據(jù)包中的某個位置很緊急)] 例如6個標志位全為1，全為0，或者一開始就發(fā)送FIN消息等。LINUX,UNIX收到奇異標志位的話，會中止會話，這樣就能夠得知端口是否開放[掃描工具NmapWin,blue’sportscanner]poarscan,pingsweep的防御方法：掃描來自外網(wǎng)的話，防火墻可以限制針對來自內(nèi)網(wǎng)的掃描，只能通過IPS,IDS進行internetinformationqueries： 通過whois數(shù)據(jù)庫或者googleaccessattacks：密碼猜解，信任關系漏洞，端口重定向，中間人攻擊，利用程序緩存溢出漏洞密碼猜解：通過sniffer或者木馬或者字典/暴力破解或者網(wǎng)絡釣魚手段[WIN:SAM;Linux:shawsd數(shù)據(jù)庫中中存著用戶密碼文件，可以獲取后做離線破解]防御方法：不同系統(tǒng)不使用相同密碼；嘗試多次后所定賬戶；密碼不使用明文方式存放；使用強壯的密碼[DMZ主機和內(nèi)網(wǎng)主機之間不應該建立域信任關系]portredirection端口重定向：利用攻破DMZ主機后安全端口重定向程序，使外網(wǎng)-內(nèi)網(wǎng)的訪問可以繞過防火墻的限制中間人攻擊：可以進行數(shù)據(jù)包竊聽和篡改防御方法：使用IPsec加密DoS： 目標可以是消耗網(wǎng)絡帶寬，或者消耗主機資源 常用手段是ipspoofing地址欺騙，例如同步泛洪（SYNflood），pingsmurf(源地址是假的，目的地址是網(wǎng)絡廣播地址)[不同的DDoS方法大同小異，只是client-handler-agent之間的通訊機制可能不同，例如TCP/UDP通訊（可用通過ACL防御），ICMPtunnel]防御方法：在路由器和防火墻上防止反地址欺騙，例如在防火墻外口設置訪問控制列表，過濾掉一些明顯虛假的源地址流量（例如子網(wǎng)地址，組播地址，全0，全1地址）[對內(nèi)部也可以利用ACL，例如，三層交換機下連一個末端網(wǎng)段/24，設置ACL只允許源地址是/24的數(shù)據(jù)從接口進入，防止網(wǎng)段下的主機對他人進行地址欺騙]防DoS功能。例如，在路由器或者防火墻上使用SYNproxy功能（由防火墻與用戶建立TCP連接，只有當TCP連接完全建立時才轉交給服務器）通過ISP做流量限速virus，必須通過用戶執(zhí)行文件觸發(fā) 防御方法：安裝防病毒軟件，及時更新；部署主機級的個人防火墻；系統(tǒng)及時補丁worm，會自我復制，不需要觸發(fā)。worm程序三個部分：檢查漏洞機制，復制傳播機制防御方法：隔離；免疫（在未受感染的主機上消除漏洞）；隔離（把受感染主機從網(wǎng)絡上斷開）；處理感染主機Trojanhorse，偽裝成合法程序的惡意軟件應用層攻擊：利用應用程序的漏洞進行攻擊；利用常規(guī)端口繞開防火墻監(jiān)控工具：Netcat(可以監(jiān)聽端口，在端口被連接時完成端口重定向，或打開應用程序)對管理程序的攻擊 使用安全的管理工具（SSH,IPsec