返回
系统安全设计

系统安全设计

ID:69112916

大小:91.50 KB

页数:21页

时间:2021-10-28

系统安全设计_第1页
系统安全设计_第2页
系统安全设计_第3页
系统安全设计_第4页
系统安全设计_第5页
系统安全设计_第6页
系统安全设计_第7页
系统安全设计_第8页
系统安全设计_第9页
系统安全设计_第10页
资源描述:

《系统安全设计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、..-一系统平安设计1.1常用平安设备1.1.1防火墙主要是可实现根本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:port的访问。根本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。1.1.2抗DDOS设备防火墙的补充,专用抗DDOS设备,具备很强的抗攻击能力。1.1.3IPS以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的容,解决传统防火墙只能工作在4层以下的问题。和IDS一样,IPS也要像防病毒系统定义N种的攻击模式,并主要通过模式匹配去阻断非法访问。

2、1.1.4SSLVPN它处在应用层,SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议和TCP/IP之间进展数据交换的平安机制,为TCP/IP连接提供数据加密、效劳器认证以及可选择的客户机认证。..word.zl-..-1.1.1WAF〔WEB应用防火墙〕Web应用防护系统〔WebApplicationFirewall,简称:WAF〕代表了一类新兴的信息平安技术,用以解决诸如防火墙一类传统设备束手无策的Web应用平安问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自W

3、eb应用程序客户端的各类请求进展容检测和验证,确保其平安性与合法性,对非法的请求予以实时阻断,从而对各类站点进展有效防护。产品特点l异常检测协议Web应用防火墙会对HTTP的请求进展异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的局部选项通过,从而减少攻击的影响围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。l增强的输入验证增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web效劳器被攻击的可能性。l及时补丁修补Web平安漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒

4、有什么样的漏洞出现,会为Web应用带来什么样的危害。WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间屏蔽掉这个漏洞。当然,这种屏蔽掉漏洞的方式不是非常完美的,并且没有安装对应的补丁本身就是一种平安威胁,但我们在没有选择的情况下,任何保护措施都比没有保护措施更好。..word.zl-..-〔附注:及时补丁的原理可以更好的适用于基于XML的应用中,因为这些应用的通信协议都具规性。〕l基于规那么的保护和基于异常的保护基于规那么的保护可以提供各种Web应用的平安规那么,WAF生产商会维护这个规那么库,并时时为其更新。用户可以按照这些规那么对应用进展全方面

5、检测。还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到,可现实中这是十分困难的一件事情。l状态管理WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件〔比方登陆失败〕,并且在到达极限值时进展处理。这对暴力攻击的识别和响应是十分有利的。l其他防护技术WAF还有一些平安增强的功能,可以用来解决WEB程序员过分信任输入数据带来的问题。比方:隐藏表单域保护、抗入侵躲避技术、响应监视和信息泄露保护。1.1网络

6、平安设计1.1.1访问控制设计..word.zl-..-防火墙通过制定严格的平安策略实现外网络或部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒的访问控制。其中防火墙产品从网络层到应用层都实现了自由控制。屏蔽主机网关易于实现,平安性好,应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络,同时一个堡垒主机安装在部网络上。堡垒主机只有一个网卡,与部网络连接。通常在路由器上设立过滤规那么,并使这个单宿堡垒主机成为从Internet惟一可以访问的主机,确保了部网络不受未被授权的外部用

7、户的攻击。而Intranet部的客户机,可以受控制地通过屏蔽主机和路由器访问Internet。1.1.1拒绝效劳攻击防护设计对某些域名效劳器的大规模拒绝效劳攻击会造成互联网速度普遍下降或停顿运行;以使得被攻击计算机或网络无法提供正常的效劳或者资源,合法用户的请求得不到及时的响应。由于DoS的攻击具有隐蔽性,到目前为止还没有行之有效的防御方法。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DoS攻击。1〕和ISP协调工作,让他们帮助实施正确的路

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。