随着云计算、大数据、移动互联网、物联网(IoT)、第五代移动通信(5G)等新技术的崛起,传统的网络安全架构难以适应时代发展需求,一场网络安全架构的技术革命正在悄然发生,其受到越来越多企业IT决策者的认可。
在传统安全理念中,企业的服务器和终端办公设备主要运行在内部网络中,因此,企业的网络安全主要围绕网络的“墙”建设,即基于边界防护。然而,物理安全边界有天然的局限性。随着云计算、大数据、移动互联网、物联网等技术的融入,企业不可能将数据局限在自己的内部网络中。例如,企业要上云,就不能将公有云装入自己的防火墙;企业要发展移动办公、物联网,防火墙却无法覆盖外部各角落;企业要拥抱大数据,就不可避免地要与合作伙伴进行数据交换。因此,传统安全边界模型在发展新技术的趋势下逐渐瓦解,在万物互联的新时代成为企业发展的障碍,企业需要建立新的网络安全模型。
在这样的时代背景下,基于零信任理念的新一代网络安全架构应运而生。它打破了传统安全边界,不再默认企业物理边界内的安全性,不再基于用户与设备在网络中的位置判断是否可信,而是始终验证用户的身份、设备的合法性及权限,即遵循“永不信任,始终校验(Never Trust,Always Verify)”的零信任理念。在零信任理念下,网络位置变得不再重要,其完全通过软件来定义企业的安全边界,“数据在哪里,安全就到哪里”。SDP依托自身优势成为解决新时代诸多安全问题的最佳选项,其安全性和易用性也通过大量企业的实践得到了验证。为了推进SDP技术在中国的落地,CSA(大中华区)于2019年成立SDP工作组。
本书基于SDP工作组的若干成果,对分散在不同文献中的理论与概念进行汇总和整理,自上而下地对SDP的完整架构进行详细介绍,并结合大量实践案例,为读者提供完整的软件定义边界技术架构指南。
(1)企业信息安全决策者。本书为企业信息安全决策者设计基于SDP的企业信息安全战略提供完整的技术指导和案例参考。
(2)信息安全、企业架构或安全合规领域的专业人员。本书将指导他们对SDP解决方案进行评估、设计、部署和运营。
(3)解决方案供应商、服务供应商和技术供应商将从本书提供的信息中获益。
(4)安全领域的研究人员。
(5)对SDP有兴趣并有志从事安全领域工作的人。
第1章对SDP的基本概念、主要功能等进行介绍。
第2章对SDP架构、工作原理、连接过程、访问控制及部署模式等进行介绍。
第3章对SDP架构的具体协议及日志进行介绍。
第4章对SDP架构部署模式及其适用场景进行介绍,为企业部署SDP架构做技术准备。
第5章对企业部署SDP需要考虑的问题、SDP与企业信息安全要素集成及SDP的应用领域进行介绍。
第6章对技术原理和IaaS使用场景进行分析与介绍,指导企业安全上云。
第7章通过展示SDP对DDoS攻击的防御机制,加强读者对SDP的认识和理解。
第8章介绍SDP对等保20各级要求的适用情况。通过对等保20的深入解读,展示如何通过SDP满足企业的等保20合规要求。
第9章对SDP战略规划与部署迁移方法进行介绍,在战略规划和部署迁移层面为企业提供指导。
第10章对NIST、Google、微软及Forrester的零信任架构与实现进行介绍。
第11章精选了国内主要的SDP和零信任实践案例,对其进行介绍。
(1)本书主要基于公有云的IaaS产品,如Amazon Web Services、Microsoft Azure、Google Compute Engine和Rackspace Public Cloud等。其相关用例和方法同样适用于私有化部署的IaaS,如基于VMware或OpenStack的私有云等。
(2)按照SDP规范实现商业化的厂商与没有严格按照SDP规范进行产品开发的厂商,在构建产品的过程中,有不同架构、方法和能力。本书对厂商保持中立并避免涉及与头部厂商相关的能力。如果有因为厂商能力产生的差异化案例,本书尽量使用“也许、典型的、通常”等词语来解释这些差异,避免减弱本书的可读性。
(3)高可用性和负载均衡不在本书的讨论范围内。
(4)SDP策略模型不在本书的讨论范围内。本书讨论的SDP用例和方法也适用于平台即服务(PaaS)。
(5)下列内容为引用文字。
零信任网络又称软件定义边界(SDP),是围绕某个应用或某组应用创建的基于身份和上下文的逻辑访问边界。应用是隐藏的,无法被发现,并且通过信任代理限制一组指定实体访问。在允许访问前,代理会验证指定访问者的身份、上下文和策略合规性。该机制将应用资源从公共视野中消除,从而显著缩小可攻击面。
(6)下列内容为数据包格式。
IP TCP AID(32位) 密码(32位) 计数器(64位)
(7)标题带有“JSON规范格式”字样的方框中的内容为JSON文件的标准格式。
JSON规范格式
{
“sid”: <256-bit IH Session ID>,
“seed”:<32-bit SPA seed>,
“counter”: <32-bit SPA counter>
[
“id”:<32-bit Service ID>
]
}“掌航e物联”是一款物联网平台,用于连接和管理各种物联网设备。如果您在使用该平台时遇到“网络错误”,可能有以下几种原因:
1 无法连接到互联网:您的设备可能没有连接到互联网,或者存在网络连接问题。您可以检查您的设备是否已连接到互联网,或尝试重新连接Wi-Fi或移动数据网络。
2 掌航e物联平台服务器发生故障:当掌航e物联平台服务器发生故障时,您可能会遇到网络错误。您可以尝试等待一段时间并再次尝试连接。
3 物联网设备故障:如果您的设备出现故障,则可能无法通过掌航e物联平台连接。您应检查您的设备是否正常运行,并联系设备制造商解决问题。
4 安全防护措施:您的网络可能采取了某些安全措施,例如防火墙、代理服务器等,从而导致您无法连接到掌航e物联平台。您可以尝试调整您的网络设置,或联系网络管理员以获取更多帮助。
综上所述,掌航e物联网络错误可能有许多原因,需要根据具体情况进行排查和解决。尽管IPv4中常见的攻击方式将在IPv6网络中失效,使来自网络层的一些安全攻击得以抑制,但采用IPv6并不意味着关紧了安全的大门,来自应用层的威胁将以新的方式出现。 总有人误认为“网络改成IPv6,安全问题就全面解决了”。诚然,IPv4中常见的一些攻击方式将在IPv6网络中失效,例如网络侦察、报头攻击、碎片攻击、假冒地址及蠕虫病毒等,但IPv6不仅不可能彻底解决所有安全问题,反而还会产生新的安全问题。
虽然与IPv4相比,IPv6在网络保密性、完整性方面做了更好的改进,在可控性和抗否认性方面有了新的保证,但目前多数网络攻击和威胁来自应用层而非网络层。因此,保护网络安全与信息安全,只靠一两项技术并不能实现,还需配合多种手段,诸如认证体系、加密体系、密钥分发体系、可信计算体系等。
安全新问题如影随形
IPv6是新的协议,在其发展过程中必定会产生一些新的安全问题,主要包括:
● 针对IPv6的网管设备和网管软件都不太成熟。
IPv6的管理可借鉴IPv4。但对于一些网管技术,如SNMP(简单网络管理)等,不管是移植还是重建,其安全性都必须从本质上有所提高。由于目前针对IPv6的网管都不太成熟,因此缺乏对IPv6网络进行监测和管理的手段,对大范围的网络故障定位和性能分析的能力还有待提高。
● IPv6中同样需要防火墙、、IDS(入侵检测系统)、漏洞扫描、网络过滤、防病毒网关等网络安全设备。
事实上,IPv6环境下的病毒已经出现。例如,有研究人员在IPv6中发现了一处安全漏洞,可能导致用户遭受拒绝服务攻击。据悉,该漏洞存在于IPv6的type 0路由头(RH0)特征中。某些系统在处理IPv6 type 0路由头时存在拒绝服务漏洞。
● IPv6协议仍需在实践中完善。
IPv6组播功能仅仅规定了简单的认证功能,所以还难以实现严格的用户限制功能。移动IPv6(Mobile IPv6)也存在很多新的安全挑战,目前移动IPv6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。另外,DHCP( Dynamic Host Configuration Protocol,动态主机配置协议)必须经过升级才可以支持IPv6地址,DHCPv6仍然处于研究、制订之中。
●向IPv6迁移过程中可能出现漏洞。
目前安全人员已经发现从IPv4向 IPv6转移时出现的一些安全漏洞,例如黑客可以非法访问采用了IPv4和IPv6两种协议的LAN网络资源,攻击者可以通过安装了双栈的IPv6主机建立由IPv6到IPv4的隧道,从而绕过防火墙对IPv4进行攻击。
IPv6协议在网络安全上的改进
● IP安全协议(IPSec)技术
IP安全协议(IPSec)是IPv4的一个可选扩展协议,而在IPv6中则是一个必备的组成部分。IPSec协议可以“无缝”地为IP提供安全特性,如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证,以及抗重播(Replay)攻击等。
IPSec通过三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
(1)验证:通过认证可以确定所接受的数据与所发送的数据是否一致,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
(3)保密:使相应的接收者能获取发送的真正内容,而无关的接收者无法获知数据的真正内容。
需要指出的是,虽然IPSec能够防止多种攻击,但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IPSec作为一个网络层协议,只能负责其下层的网络安全,不能对其上层如Web、E-mail及FTP等应用的安全负责。
●灵活的扩展报头
一个完整的IPv6数据包包括多种扩展报头,例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础,同时也为安全性提供了保障。
比较IPv4和Ipv6的报头可以发现,IPv6报头采用基本报头+扩展报头链组成的形式,这种设计可以更方便地增添选项,以达到改善网络性能、增强安全性或添加新功能的目的。
IPv6基本报头被固定为40bit,使路由器可以加快对数据包的处理速度,网络转发效率得以提高,从而改善网络的整体吞吐量,使信息传输更加快速。
IPv6基本报头中去掉了IPv4报头中的部分字段,其中段偏移选项和填充字段被放到IPv6扩展报头中进行处理。
去掉报头校验(Header Checksum,中间路由器不再进行数据包校验)的原因有三: 一是因为大部分链路层已经对数据包进行了校验和纠错控制,链路层的可靠保证使得网络层不必再进行报头校验; 二是端到端的传输层协议也有校验功能以发现错包; 三是报头校验需随着TTL值的变化在每一跳重新进行计算,增加包传送的时延。
●地址分配与源地址检查
地址分配与源地址检查在IPv6的地址概念中,有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说,这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系,网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务,那么就可以只给这台服务器分配一个本地网络地址,而企业网外部的任何人都无法访问这些主机。
由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构,因此,IPv6接入路由器对用户进入时进行源地址检查,使得ISP可以验证其客户地址的合法性。
源路由检查出于安全性和多业务的考虑,允许核心路由器根据需要,开启反向路由检测功能,防止源路由篡改和攻击。
IPv6固有的对身份验证的支持,以及对数据完整性和数据机密性的支持和改进,使得IPv6增强了防止未授权访问的能力,更加适合于那些对敏感信息和资源有特别处理要求的应用。
通过端到端的安全保证,网络可以满足用户对安全性和移动性的要求。IPv6限制使用NAT(Network Address Translation,网络地址转换),允许所有的网络节点使用全球惟一的地址进行通信。每当建立一个IPv6的连接,系统都会在两端主机上对数据包进行 IPSec封装,中间路由器对有IPSec扩展头的IPv6数据包进行透明传输。通过对通信端的验证和对数据的加密保护,使得敏感数据可以在IPv6 网络上安全地传递,因此,无需针对特别的网络应用部署ALG(应用层网关),就可保证端到端的网络透明性,有利于提高网络服务速度。
●域名系统DNS
基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础,有助于抵御网上的身份伪装与偷窃。当采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions)协议时,能进一步增强对DNS新的攻击方式的防护,例如网络钓鱼(Phishing)攻击、DNS中毒(DNS poisoning)攻击等,这些攻击会控制DNS服务器,将合法网站的IP地址篡改为假冒、恶意网站的IP地址。QoS(Quality of Service,服务质量),就是在网络对某设备进行限速控制,也可以针对数据包(通过运用端口号进行识别)进行优先级控制,比如:游戏优先,网页优先,视频优先等智能控制。
DDNS(Dynamic Domain Name Server,动态域名服务),可以将运营商动态分配给你的IP地址(不断变化的)和固定的域名绑定。此功能可以运用于在家里建立小型网站(不过一般运用树莓派会更好一点)。
NAS(Network Attached Storage,网络附属储存),简单来讲就是在局域网中的网盘,家用一般用来离线下载。而带有此功能的路由器基本可以等同于一个NAS(比如某某路由器自带1T储存这种),但是性能以及功能上还是不如真正的NAS(比如不支持RAID)。但是取决于NAS过于昂贵,带有此功能的家用无线路由器还是有实际意义的。
防火墙(Firewall,也称防护墙),除了 *** 作系统上的软件防火墙外,自然有更加强大的硬件防火墙。现在的家用无线路由器一般都带有了基本的防火墙功能(虽然比不上真正的路由器甚至是单独的硬件防火墙),但是一般只用于屏蔽广告而已,只有最基本的包过滤技术。防火墙破坏。根据查询iot设备的简介得知,网络信息安全风险受到的攻击形式不包括防火墙破坏,网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络工程是指按计划进行的以工程化的思想、方式、方法,设计、研发和解决网络系统问题的工程。培养掌握网络工程的基本理论与方法以及计算机技术和网络技术等方面的知识,能运用所学知识与技能去分析和解决相关的实际问题,可在信息产业以及其他国民经济部门从事各类网络系统和计算机通信系统研究、教学、设计、开发等工作的高级网络科技人才。
专业特色
网络通信技术和计算机技术
中文名称
网络工程
外文名称
Network Engineering
分类
硬件工程、布线工程
授予学位
工学学位
就业方向
现代信息网络办公师
交叉学科
信息与通信工程
主干学科
计算机科学与技术
收起
分类
网络工程(Network Engineering)分为:硬件工程和布线工程。
硬件工程
网络工程
硬件工程是指计算机网络所使用的设备(交换机、防火墙、
内核 、硬件内存、cpu、服务器等),工程包括网络的需求分析
、网络设备的选择、网络拓扑结构的设计、施工技术要求等。
布线工程
布线工程:也称综合布线,它的目的是为了保持正常通讯而使用
光缆、铜缆将网络设备进行连接。工程包括线缆路由的选择、
桥架设计、线缆及接插件的选
网关是将两个使用不同传输协议的网络段连接在一起的设备,网关一般用作网络的入口和出口点,因为所有数据必须在路由之前通过或与网关通信。在大多数基于IP的网络中,唯一不通过至少一个网关的流量是在同一局域网(LAN)段上的节点之间流动的流量。
在个人或企业场景中使用网关的主要优点是将互联网连接简化为一个设备。在企业中,网关节点还可以充当代理服务器和防火墙。
网关如何工作
所有网络都有一个边界,限制与直接连接到它的设备的通信。因此,如果网络想要与该边界之外的设备,节点或网络通信,则它们需要网关的功能。网关通常被表征为路由器和调制解调器的组合。
网关在网络边缘实现,并管理从该网络内部或外部定向的所有数据。当一个网络想要与另一个网络通信时,数据包将传递到网关,然后通过最有效的路径路由到目的地。除路由数据外,网关还将存储有关主机网络内部路径的信息以及遇到的任何其他网络的路径。
网关基本上是协议转换器,促进两个协议之间的兼容性,并在开放系统互连(OSI)模型的任何层上 *** 作。
网关的一个用途是在物联网环境和云之间创建通信链路。
网关类型
网关可以采用多种形式并执行各种任务。这方面的例子包括:
Web应用程序防火墙:此类型过滤来自Web服务器的流量并查看应用程序层数据。
云存储网关:此类型使用各种云存储服务API调用转换存储请求。它允许组织将存储从私有云集成到应用程序中,而无需迁移到公共云。
API、OA或XML网关:此类型管理流入和流出服务,面向微服务的体系结构或基于XML的Web服务的流量。
物联网网关:此类型聚合来自物联网环境中设备的传感器数据,在传感器协议之间进行转换,并在向前发送之前处理传感器数据。
媒体网关:此类型将数据从一种网络所需的格式转换为另一种网络所需的格式。
电子邮件安全网关:此类型可防止传输违反公司政策或将以恶意目的传输信息的电子邮件。
VoIP中继网关:这种类型便于使用普通老式电话服务设备,如固定电话和传真机,以及IP语音(VoIP)网络。
此外,服务提供商可以开发网关,供客户使用。
网关和路由器的相似之处在于它们都可用于调节两个或多个独立网络之间的流量。但是,路由器用于连接两个相似类型的网络,网关用于连接两个不同的网络。由于这种逻辑,路由器可能被视为网关,但网关并不总是被视为路由器。路由器是最常用的网关,用于将家庭或企业网络连接到互联网。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)