- 一、TACACS+协议与访问控制机制
- 二、蜜网(Honeynet)
- 三、审计系统
- 四、WAPI无线安全协议
- 五、总结
- 六、路由器访问控制列表(ACL)
- 七、防火墙部署模式
- 八、入侵检测系统(IDS)
- 九、网络入侵检测系统(NIDS)
- 十、总结
本文涵盖CISP认证中的访问控制机制、蜜网技术、审计系统和无线安全协议等重要知识点。
一、TACACS+协议与访问控制机制
1.1 访问控制机制类型
访问控制机制根据控制方式可分为集中式和分布式两种类型。
🔐 访问控制机制分类
两种主要访问控制机制:
🏢 集中式访问控制(Centralized Access Control)
- 访问控制决策由中央服务器统一管理
- 所有访问请求都需要向中央服务器查询
- 便于统一管理和策略执行
- 典型协议:TACACS+、RADIUS、Kerberos
🌐 分布式访问控制(Distributed Access Control)
- 访问控制决策分散在各个节点
- 每个节点独立做出访问决策
- 提高系统可扩展性和容错性
- 典型实现:区块链、分布式账本
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.2 TACACS+协议
💡 TACACS+协议特点
TACACS+(Terminal Access Controller Access-Control System Plus)
✅ 提供集中式访问控制
- 由中央服务器统一管理访问控制策略
- 所有访问决策由TACACS+服务器做出
- 网络设备作为客户端向服务器查询
🔐 AAA功能分离
- Authentication(认证):验证用户身份
- Authorization(授权):确定用户权限
- Accounting(计费/审计):记录用户活动
- 三个功能独立实现,可单独配置
🛡️ 安全特性
- 全程加密通信
- 使用TCP协议(端口49)
- 支持多种认证方式
TACACS+工作流程:
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.3 TACACS+ vs RADIUS
两种集中式访问控制协议对比:
| 特性 | TACACS+ | RADIUS |
|---|---|---|
| 访问控制类型 | ✅ 集中式 | ✅ 集中式 |
| AAA功能 | 分离(独立) | 合并(认证+授权) |
| 传输协议 | TCP(端口49) | UDP(端口1812/1813) |
| 加密方式 | 全程加密 | 仅密码加密 |
| 主要应用 | 网络设备管理 | 网络接入控制 |
| 厂商支持 | Cisco主导 | 开放标准 |
💡 TACACS+的优势
为什么选择TACACS+:
✅ AAA功能分离
- 可以单独配置认证、授权、审计
- 灵活性更高
- 便于细粒度控制
✅ 全程加密
- 整个通信过程加密
- 安全性更高
- 防止信息泄露
✅ 使用TCP
- 可靠传输
- 连接状态管理
- 适合设备管理
1.4 集中式访问控制的优势
集中式访问控制的特点:
集中式访问控制优势:
├── 统一管理
│ ├── 集中配置策略
│ ├── 统一用户管理
│ └── 便于维护更新
├── 一致性保证
│ ├── 策略统一执行
│ ├── 避免配置不一致
│ └── 减少安全漏洞
├── 审计便利
│ ├── 集中日志记录
│ ├── 便于审计分析
│ └── 合规性检查
└── 扩展性好
├── 易于添加新设备
├── 策略自动下发
└── 减少配置工作二、蜜网(Honeynet)
2.1 蜜网概述
🍯 蜜网的定义
**蜜网(Honeynet)**是一种网络安全技术,通过部署诱饵系统来吸引、监控和分析攻击者的行为。
核心思想:
- 部署看似真实但实际是陷阱的系统
- 吸引攻击者进行攻击
- 在不被察觉的情况下记录攻击行为
- 分析攻击手法和工具
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2.2 蜜网的功能
💡 蜜网的正确功能
蜜网的核心功能:
✅ 吸引和转移攻击
- 可以吸引或转移攻击者的注意力
- 延缓他们对真正目标的攻击
- 保护真实系统
✅ 隐蔽监控
- 吸引入侵者来嗅探、攻击
- 同时不被觉察地将入侵者的活动记录下来
- 获取攻击情报
✅ 监视、检测和分析
- 可以对攻击活动进行监视
- 检测攻击行为
- 分析攻击手法和工具
❌ 不是实时报警系统
- 蜜网不能进行攻击检测和实时报警
- 这是入侵检测系统(IDS)的功能
- 蜜网主要用于研究和分析
蜜网 vs IDS功能对比:
| 功能 | 蜜网(Honeynet) | 入侵检测系统(IDS) |
|---|---|---|
| 吸引攻击 | ✅ 主要功能 | ❌ 不具备 |
| 转移注意力 | ✅ 主要功能 | ❌ 不具备 |
| 隐蔽记录 | ✅ 主要功能 | ⚠️ 部分具备 |
| 监视分析 | ✅ 主要功能 | ✅ 主要功能 |
| 实时检测 | ❌ 不具备 | ✅ 主要功能 |
| 实时报警 | ❌ 不具备 | ✅ 主要功能 |
| 主动防御 | ❌ 不具备 | ⚠️ IPS具备 |
2.3 蜜网的工作原理
蜜网部署架构:
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蜜网工作流程:
蜜网工作流程:
├── 1. 部署阶段
│ ├── 设置诱饵系统(蜜罐)
│ ├── 配置监控机制
│ └── 隔离真实网络
├── 2. 吸引阶段
│ ├── 模拟真实系统
│ ├── 暴露漏洞
│ └── 吸引攻击者
├── 3. 监控阶段
│ ├── 记录所有活动
│ ├── 捕获攻击数据
│ └── 保持隐蔽性
└── 4. 分析阶段
├── 分析攻击手法
├── 研究攻击工具
└── 提取威胁情报2.4 蜜网的应用价值
蜜网的主要用途:
| 用途 | 说明 | 价值 |
|---|---|---|
| 威胁情报收集 | 了解最新攻击手法 | 提前防范 |
| 攻击工具研究 | 分析恶意软件 | 开发防护措施 |
| 攻击者画像 | 了解攻击者行为模式 | 预测攻击 |
| 延缓攻击 | 转移攻击者注意力 | 保护真实系统 |
| 安全研究 | 学习攻击技术 | 提升防御能力 |
| 取证分析 | 收集攻击证据 | 法律追责 |
⚠️ 蜜网的局限性
蜜网不能做什么:
❌ 不能实时报警
- 蜜网主要用于研究和分析
- 不是实时防护系统
- 需要配合IDS/IPS使用
❌ 不能主动防御
- 只能被动接受攻击
- 不能阻止攻击
- 需要其他安全措施配合
⚠️ 存在风险
- 可能被攻击者识破
- 可能成为攻击跳板
- 需要严格隔离
三、审计系统
3.1 审计系统的基本组成
📊 审计系统的正确组成
审计系统一般包含三个部分:
📝 日志记录(Log Recording)
- 记录系统活动和事件
- 捕获用户操作
- 存储审计数据
🔍 日志分析(Log Analysis)
- 分析日志数据
- 识别异常行为
- 发现安全事件
📄 日志报告(Log Reporting)
- 生成审计报告
- 展示分析结果
- 支持决策制定
Z3JhcGggTFIKICAgIEFbIuWuoeiuoeezu+e7nyJdCiAgICAKICAgIEJbIjEuIOaXpeW/l+iusOW9lTxici8+TG9nIFJlY29yZGluZyJdCiAgICBDWyIyLiDml6Xlv5fliIbmnpA8YnIvPkxvZyBBbmFseXNpcyJdCiAgICBEWyIzLiDml6Xlv5fmiqXlkYo8YnIvPkxvZyBSZXBvcnRpbmciXQogICAgCiAgICBBIC0tPiBCCiAgICBBIC0tPiBDCiAgICBBIC0tPiBECiAgICAKICAgIEIgLS0+IEIxWyLorrDlvZXmtLvliqgiXQogICAgQyAtLT4gQzFbIuWIhuaekOaVsOaNriJdCiAgICBEIC0tPiBEMVsi55Sf5oiQ5oql5ZGKIl0KICAgIAogICAgQiAtLT4gQwogICAgQyAtLT4gRAogICAgCiAgICBzdHlsZSBCIGZpbGw6I2UzZjJmZCxzdHJva2U6IzE5NzZkMgogICAgc3R5bGUgQyBmaWxsOiNmZmYzZTAsc3Ryb2tlOiNmNTdjMDAKICAgIHN0eWxlIEQgZmlsbDojZThmNWU5LHN0cm9rZTojMzg4ZTNk3.2 审计系统组成详解
1. 日志记录(Log Recording)
日志记录功能:
├── 记录内容
│ ├── 用户登录/登出
│ ├── 文件访问
│ ├── 系统配置变更
│ ├── 权限变更
│ └── 异常事件
├── 记录方式
│ ├── 实时记录
│ ├── 自动记录
│ └── 完整记录
└── 存储要求
├── 安全存储
├── 防篡改
└── 长期保存2. 日志分析(Log Analysis)
日志分析功能:
├── 分析方法
│ ├── 模式匹配
│ ├── 统计分析
│ ├── 关联分析
│ └── 异常检测
├── 分析目标
│ ├── 识别违规行为
│ ├── 发现安全事件
│ ├── 追踪攻击路径
│ └── 评估风险
└── 分析工具
├── SIEM系统
├── 日志分析软件
└── 大数据分析3. 日志报告(Log Reporting)
日志报告功能:
├── 报告类型
│ ├── 定期报告
│ ├── 事件报告
│ ├── 合规报告
│ └── 统计报告
├── 报告内容
│ ├── 审计结果
│ ├── 安全事件
│ ├── 违规行为
│ └── 改进建议
└── 报告用途
├── 管理决策
├── 合规审查
├── 事件调查
└── 安全改进3.3 审计系统的作用
💡 安全审计的作用
安全审计是对系统活动和记录的独立检查和验证,主要作用包括:
✅ 辅助辨识和分析未经授权的活动或攻击
- 通过日志分析发现异常行为
- 识别潜在的安全威胁
- 追踪攻击路径
✅ 对与已建立的安全策略的一致性进行核查
- 检查是否遵守安全策略
- 验证访问控制有效性
- 确保合规性
✅ 帮助发现需要改进的安全控制措施
- 识别安全弱点
- 提出改进建议
- 优化安全策略
❌ 不能及时阻断违规访问
- 审计系统是事后检查机制
- 不能实时阻断访问
- 这是访问控制系统的功能
审计系统 vs 访问控制系统:
| 功能 | 审计系统 | 访问控制系统 |
|---|---|---|
| 记录活动 | ✅ 主要功能 | ⚠️ 部分功能 |
| 分析行为 | ✅ 主要功能 | ❌ 不具备 |
| 生成报告 | ✅ 主要功能 | ❌ 不具备 |
| 实时阻断 | ❌ 不具备 | ✅ 主要功能 |
| 事后分析 | ✅ 主要功能 | ❌ 不具备 |
| 合规检查 | ✅ 主要功能 | ⚠️ 部分功能 |
3.4 审计系统的实施
审计系统实施要点:
审计系统实施:
├── 1. 规划阶段
│ ├── 确定审计目标
│ ├── 识别审计对象
│ ├── 制定审计策略
│ └── 选择审计工具
├── 2. 部署阶段
│ ├── 配置日志记录
│ ├── 部署分析工具
│ ├── 设置报告机制
│ └── 测试验证
├── 3. 运行阶段
│ ├── 持续记录日志
│ ├── 定期分析数据
│ ├── 生成审计报告
│ └── 响应发现问题
└── 4. 改进阶段
├── 评估审计效果
├── 优化审计策略
├── 更新审计规则
└── 培训审计人员四、WAPI无线安全协议
4.1 WAPI概述
📡 WAPI协议
WAPI(WLAN Authentication and Privacy Infrastructure)
WAPI是中国自主研发的无线局域网安全标准,用于保护无线网络的安全。
安全机制组成:
- WAI(WLAN Authentication Infrastructure):身份鉴别
- WPI(WLAN Privacy Infrastructure):数据加密
Z3JhcGggVEIKICAgIEFbIldBUEnlronlhajmnLrliLYiXQogICAgCiAgICBCWyJXQUk8YnIvPui6q+S7vemJtOWIqyJdCiAgICBDWyJXUEk8YnIvPuaVsOaNruWKoOWvhiJdCiAgICAKICAgIEEgLS0+IEIKICAgIEEgLS0+IEMKICAgIAogICAgQiAtLT4gQjFbIuWunueOsOWvueeUqOaIt+i6q+S7veeahOmJtOWIqyJdCiAgICBCIC0tPiBCMlsi5Y+M5ZCR6K6k6K+BIl0KICAgIEIgLS0+IEIzWyLor4HkuaborqTor4EiXQogICAgCiAgICBDIC0tPiBDMVsi5a6e546w5a+55Lyg6L6T55qE5pWw5o2u5Yqg5a+GIl0KICAgIEMgLS0+IEMyWyLkv53miqTmlbDmja7mnLrlr4bmgKciXQogICAgQyAtLT4gQzNbIuS/neaKpOaVsOaNruWujOaVtOaApyJdCiAgICAKICAgIHN0eWxlIEIgZmlsbDojZTNmMmZkLHN0cm9rZTojMTk3NmQyCiAgICBzdHlsZSBDIGZpbGw6I2U4ZjVlOSxzdHJva2U6IzM4OGUzZA==4.2 WAPI安全机制详解
WAI(WLAN Authentication Infrastructure)
🔐 WAI - 身份鉴别
WAI实现对用户身份的鉴别
✅ 主要功能:
- 验证用户身份
- 双向认证(用户和接入点互相认证)
- 基于证书的认证
🔑 认证过程:
- 使用公钥基础设施(PKI)
- 支持数字证书
- 防止非法接入
WPI(WLAN Privacy Infrastructure)
🔒 WPI - 数据加密
WPI实现对传输的数据加密
✅ 主要功能:
- 加密无线传输数据
- 保护数据机密性
- 保护数据完整性
🛡️ 加密特点:
- 使用对称加密算法
- 动态密钥管理
- 防止窃听和篡改
4.3 WAPI功能对比
WAPI各组件功能对比:
| 组件 | 功能 | 实现方式 | 保护目标 |
|---|---|---|---|
| WAI | 身份鉴别 | 证书认证、双向认证 | 防止非法接入 |
| WPI | 数据加密 | 对称加密、密钥管理 | 保护数据安全 |
⚠️ 常见误区
错误说法:WAI实现对传输的数据加密
❌ 问题:
- WAI负责身份鉴别,不是数据加密
- 数据加密是WPI的功能
- 混淆了两个组件的职责
✅ 正确理解:
- WAI:身份鉴别(Who you are)
- WPI:数据加密(Protect your data)
- 两者配合提供完整安全
4.4 WAPI vs WPA/WPA2
无线安全协议对比:
| 特性 | WAPI | WPA/WPA2 |
|---|---|---|
| 标准来源 | 中国国家标准 | 国际标准 |
| 认证方式 | 证书认证(WAI) | PSK或802.1X |
| 加密方式 | WPI | TKIP/AES |
| 安全性 | 高 | 高 |
| 应用范围 | 主要在中国 | 全球通用 |
| 强制性 | 中国强制 | 国际推荐 |
五、总结
访问控制机制、蜜网、审计系统与WAPI的核心要点:
🎯 关键要点
TACACS+协议:
- TACACS+提供集中式访问控制机制
- 不是分布式访问控制
- AAA功能分离,全程加密
蜜网功能:
- 可以吸引或转移攻击者的注意力
- 可以隐蔽记录入侵者的活动
- 可以对攻击活动进行监视、检测和分析
- 不能进行攻击检测和实时报警
审计系统组成:
- 日志记录:记录系统活动
- 日志分析:分析日志数据
- 日志报告:生成审计报告
- 三个部分缺一不可
审计系统作用:
- 辅助辨识和分析未经授权的活动或攻击
- 对安全策略的一致性进行核查
- 帮助发现需要改进的安全控制措施
- 不能及时阻断违反安全策略的访问
WAPI安全机制:
- WAI实现对用户身份的鉴别
- WPI实现对传输的数据加密
- 两者配合提供完整的无线安全
💡 实践建议
- 使用集中式访问控制简化管理
- 部署蜜网收集威胁情报
- 建立完善的审计系统
- 定期分析审计日志
- 在无线网络中使用WAPI或WPA2
- 区分各组件的功能和职责
- 配合多种安全机制形成纵深防御
六、路由器访问控制列表(ACL)
6.1 标准访问控制列表
🔐 标准ACL的判别条件
路由器的标准访问控制列表以数据包的源地址作为判别条件
✅ 标准ACL特点:
- 只检查数据包的源IP地址
- 编号范围:1-99, 1300-1999
- 判断简单,性能较高
- 功能相对有限
❌ 标准ACL不检查:
- 数据包的大小
- 数据包的端口号
- 数据包的目的地址
- 协议类型
标准ACL vs 扩展ACL:
| 特性 | 标准ACL | 扩展ACL |
|---|---|---|
| 判别条件 | 仅源IP地址 | 源/目的IP、端口、协议 |
| 编号范围 | 1-99, 1300-1999 | 100-199, 2000-2699 |
| 功能 | 简单过滤 | 精细控制 |
| 性能 | 较高 | 相对较低 |
| 应用场景 | 简单访问控制 | 复杂安全策略 |
七、防火墙部署模式
7.1 桥接/透明模式
🛡️ 桥接模式的特点
桥接或透明模式的优点:
✅ 不需要修改网络配置
- 防火墙对网络透明
- 不需要修改IP地址
- 部署简单快速
✅ 性能比较高
- 工作在数据链路层
- 处理速度快
- 延迟较低
✅ 防火墙本身不容易受到攻击
- 没有IP地址
- 攻击者难以定位
- 隐蔽性好
❌ 不易实现NAT
- NAT需要工作在网络层
- 桥接模式工作在数据链路层
- 无法进行地址转换
防火墙部署模式对比:
| 特性 | 路由模式 | 桥接/透明模式 |
|---|---|---|
| 工作层次 | 网络层(Layer 3) | 数据链路层(Layer 2) |
| IP地址 | 需要配置 | 不需要 |
| 网络修改 | 需要修改 | 不需要修改 |
| NAT支持 | ✅ 支持 | ❌ 不支持 |
| 性能 | 相对较低 | 较高 |
| 隐蔽性 | 较低 | 高 |
| 部署难度 | 较高 | 较低 |
八、入侵检测系统(IDS)
8.1 IDS检测方法
🔍 IDS的两种检测方法
入侵检测系统的检测方法:
📋 基于特征(Signature-based)
- 也称为基于知识的检测
- 匹配已知攻击特征
- 误报率低
- 无法检测新攻击
📊 基于行为(Behavior-based)
- 也称为基于异常的检测
- 检测偏离正常行为的活动
- 可以检测新攻击
- 误报率高
8.2 两种检测方法对比
💡 IDS检测方法的正确理解
关键区别:
✅ 基于特征的系统
- 只能检测已知攻击类型
- 不能检测新的攻击类型
- 误报率低(因为匹配已知特征)
- 需要定期更新特征库
✅ 基于行为的系统
- 可以检测新的攻击类型
- 误报率高(正常行为可能被误判)
- 需要建立正常行为基线
- 维护行为模型数据库
IDS检测方法详细对比:
| 特性 | 基于特征(Signature-based) | 基于行为(Behavior-based) |
|---|---|---|
| 检测原理 | 匹配已知攻击特征 | 检测异常行为 |
| 检测新攻击 | ❌ 不能 | ✅ 能 |
| 误报率 | ⭐⭐ 低 | ⭐⭐⭐⭐⭐ 高 |
| 漏报率 | ⭐⭐⭐⭐ 高(对新攻击) | ⭐⭐ 低 |
| 维护工作 | 更新特征库 | 维护行为基线 |
| 数据库类型 | 特征数据库 | 行为/状态数据库 |
| 性能开销 | 较低 | 较高 |
| 适用场景 | 已知威胁防护 | 未知威胁检测 |
九、网络入侵检测系统(NIDS)
9.1 NIDS常见技术
🔍 NIDS技术
网络入侵检测系统(NIDS)的常见技术:
✅ 协议分析(Protocol Analysis)
- 分析网络协议
- 检测协议异常
- NIDS的核心技术
✅ 零拷贝(Zero Copy)
- 减少数据复制
- 提高处理性能
- 优化技术
✅ IP碎片重组(IP Fragment Reassembly)
- 重组分片数据包
- 检测分片攻击
- 必要的技术
❌ SYN Cookie
- 防御SYN Flood攻击
- 属于防火墙/IPS技术
- 不属于NIDS技术
NIDS技术分类:
| 技术 | 类型 | 用途 | 是否属于NIDS |
|---|---|---|---|
| 协议分析 | 检测技术 | 分析协议异常 | ✅ 是 |
| 零拷贝 | 性能优化 | 提高处理速度 | ✅ 是 |
| IP碎片重组 | 检测技术 | 检测分片攻击 | ✅ 是 |
| SYN Cookie | 防御技术 | 防御SYN Flood | ❌ 否 |
为什么SYN Cookie不属于NIDS技术:
⚠️ 关键区分
NIDS vs IPS/防火墙:
NIDS(入侵检测系统):
- 被动监控和检测
- 发现攻击并报警
- 不主动阻断攻击
- 技术:协议分析、特征匹配、异常检测
IPS/防火墙(入侵防御系统):
- 主动防御和阻断
- 阻止攻击发生
- 实时防护
- 技术:SYN Cookie、连接限制、主动阻断
SYN Cookie:
- 是一种主动防御技术
- 用于防御SYN Flood攻击
- 属于IPS/防火墙技术
- 不属于NIDS的被动检测技术
十、总结
访问控制机制、蜜网、审计系统、WAPI、ACL、防火墙和IDS的核心要点:
🎯 关键要点
TACACS+协议:
- TACACS+提供集中式访问控制机制
- 不是分布式访问控制
- AAA功能分离,全程加密
蜜网功能:
- 可以吸引或转移攻击者的注意力
- 可以隐蔽记录入侵者的活动
- 可以对攻击活动进行监视、检测和分析
- 不能进行攻击检测和实时报警
审计系统组成:
- 日志记录:记录系统活动
- 日志分析:分析日志数据
- 日志报告:生成审计报告
- 三个部分缺一不可
审计系统作用:
- 辅助辨识和分析未经授权的活动或攻击
- 对安全策略的一致性进行核查
- 帮助发现需要改进的安全控制措施
- 不能及时阻断违反安全策略的访问
WAPI安全机制:
- WAI实现对用户身份的鉴别
- WPI实现对传输的数据加密
- 两者配合提供完整的无线安全
路由器ACL:
- 标准ACL以源地址作为判别条件
- 扩展ACL可以检查源/目的地址、端口、协议
- 标准ACL功能简单但性能高
防火墙部署模式:
- 桥接/透明模式不需要修改网络配置
- 桥接模式性能高,隐蔽性好
- 桥接模式不易实现NAT
IDS检测方法:
- 基于特征:误报率低,不能检测新攻击
- 基于行为:误报率高,能检测新攻击
- 基于行为系统维护行为/状态数据库
NIDS技术:
- 协议分析、零拷贝、IP碎片重组属于NIDS技术
- SYN Cookie不属于NIDS技术
- SYN Cookie是IPS/防火墙的主动防御技术
💡 实践建议
- 使用集中式访问控制简化管理
- 部署蜜网收集威胁情报
- 建立完善的审计系统
- 定期分析审计日志
- 在无线网络中使用WAPI或WPA2
- 根据需求选择标准或扩展ACL
- 根据网络环境选择防火墙部署模式
- 结合基于特征和基于行为的IDS
- 配合多种安全机制形成纵深防御