osi七层网络模型安全加固

## 应用层加固

### 应用层攻击：

1、应用层协议攻击：HTTP攻击、DNS攻击、电子邮件攻击等，利用应用层协议的漏洞构造恶意数据包，导致目标服务器执行恶意代码或暴露敏感信息

HTTP攻击：XSS、CSRF、HTTP头注入攻击、Cookie攻击和重定向攻击等。

DNS攻击：利用域名系统漏洞的攻击，通常通过欺骗或篡改DNS解析的方式，导致用户被重定向到恶意网站或服务器。

2、针对应用程序的攻击：如FTP、SMTP、HTTP等应用程序

3、后门攻击：攻击者可能利用后门程序控制目标主机或网络，通过后门进行非法访问和操作。

4、拒绝服务攻击（DoS）：攻击者发送大量无效或高流量的数据包，导致目标服务器耗尽资源，无法提供正常服务。

5、分布式拒绝服务攻击（DDos）：DNS Flood攻击、HTTP Flood攻击、CC攻击等。

6、缓冲区溢出攻击：攻击者向目标程序发送过长的数据，导致缓冲区溢出，从而覆盖程序的内存区域，甚至执行恶意代码。

7、注入攻击：SQL注入、操作系统注入等。攻击者向应用程序输入恶意数据，导致应用程序执行意外的命令或查询，从而获取敏感信息或破坏系统。

8、会话劫持攻击：劫持用户的会话，窃取用户的敏感信息并执行其他恶意操作。

### 应用层加固：

1. **严格输入并验证用户输入**，避免注入攻击和缓冲区溢出攻击

2. **对输出数据进行编码和转义**，防止跨站脚本注入攻击和标签注入攻击。

3.使用安全会话管理：使用https协议、使用强密码、使用多重身份验证（指纹、验证码）、定期检查和分析日志、限制会话时间、加密会话数据

4. **限制权限并进行访问控制**，确保用户只能访问自己需要的数据和功能，避免敏感信息泄露和未经授权的访问。

5. 加密通讯：使用HTTPS协议

6. **及时更新服务器和应用程序，修复已知安全漏洞**

7. **利用日志记录和监控及时发现并处理安全事件**

8. **拥抱安全编码和审计：编写安全的应用程序代码并进行代码审查和安全测试，以减少漏洞和弱点**

## 传输层加固

### 传输层攻击：

1、Syn Flood攻击：攻击者在TCP连接请求中向目标主机发送大量伪造的SYN报文，但未完成三向握手，导致目标主机资源耗尽，无法处理新的连接请求，导致服务不可用。

2. TCP重置攻击：攻击者向通信双方发送伪造的TCP重置（RST）数据包，导致已建立的TCP连接中断。这可用于中断通信、终止连接和欺骗目标主机。

3. TCP欺骗：攻击者伪造TCP数据包的源IP地址和端口号，欺骗目标主机认为该数据包来自合法的通信源。 TCP 欺骗可用于绕过网络访问控制、执行身份欺骗或执行中间人攻击。

4、UDP洪水攻击：攻击者向目标主机的特定端口发送大量UDP数据包，导致目标主机资源耗尽或服务不可用。

5、端口扫描：攻击者利用各种技术和工具扫描目标主机上开放的端口，以获取目标主机上运行的服务和系统信息。

### 传输层加固：

1. **加密传输数据**：如TLS/SSL协议，对数据进行加密和保护。

2. **使用安全传输层协议**：使用TCP协议进行传输，避免使用UDP协议。

3、**安全设备**：利用防火墙、入侵检测系统等设备来控制访问，限制对网络资源的访问，保证只有授权的用户才能访问网络服务；配置相应的规则，防御syn Flood攻击、TCP Reset攻击等。

## 网络层安全加固

### 网络层攻击：

1、DDOS攻击：ICMP洪水攻击、ARP洪水攻击

2.网络嗅探：通过拦截数据包获取敏感信息

3.IP欺骗

###网络层安全加固：

1. **设置访问控制**：通过防火墙、入侵检测系统（IDS/IPS）等设备监控和过滤网络流量，防止恶意流量和未经授权的访问

2. **配置加固**：安全地配置网络设备，例如关闭不必要的端口、更改默认密码、配置访问控制列表等。

3. **安全审计**：定期进行安全审计和日志分析，以发现异常行为和潜在威胁。

4、定期更新和打补丁：及时更新系统和应用补丁，修复已知安全漏洞。

5. 加强身份验证：实施多重身份验证和强密码策略

6. **防止DDOS攻击**：通过部署设备或服务来防御DDOS

7.使用蜜罐技术：设置蜜罐来捕获恶意流量和攻击

8.使用VPN技术：保护敏感数据的传输

9、使用TLS/SSL、IPSec等安全协议替代FTP、telnet等。

## 数据链路层

### 数据链路层攻击

1. MAC地址欺骗

2.ARP欺骗

###数据链路层安全加固：

1. **802.1x认证**：使用802.1认证协议对接入设备进行认证，确保只有授权的设备才能接入网络。

2. **MAC地址绑定**：将IP地址和MAC地址进行绑定，防止MAC地址欺骗攻击。

3. **使用vlan**：将网络划分为不同的虚拟局域网（VLAN），实现逻辑隔离。防止未经授权的访问并限制攻击者在网络内移动的能力。

4. **配置端口**：限制交换机端口上的MAC地址数量。

5. 监控和记录：监控和记录网络流量以检测异常活动和安全事件。这可以通过使用入侵检测系统（IDS）或入侵防御系统（IPS）来实现。

6. **防止ARP 欺骗**：这是通过配置网络设备禁用动态ARP 条目更改、启用静态ARP 绑定并使用ARP 检测工具来实现的。

## 物理层

### 物理层加固：

1、物理访问控制：通过安装门禁系统、锁上机房门、使用安全柜或柜锁等方式实现，只有授权人员才能访问和操作网络设备。

2、视频监控：安装视频监控系统，对机房、设备房、数据中心等重点区域进行监控。监控记录可用于跟踪和调查任何未经授权的物理访问或异常活动。

3、线缆保护：保证物理连接线缆的安全。使用加密连接电缆（例如光纤）来防止窃听和干扰。此外，对电缆进行适当的标记和分类，以便于识别和管理。

4. 防火和防灾：实施适当的防火和防灾措施，例如安装烟雾探测器、灭火系统和备用电源。定期进行消防演习并制定紧急情况应急预案。

5、硬件安全：保证服务器、交换机、路由器等网络设备的物理安全。将设备放置在安全的位置，锁定设备柜，并防止未经授权的物理访问。

6、环境控制：保持适宜的环境条件，如温度、湿度、通风等。过高或过低的温度和湿度可能会对设备的正常运行产生负面影响。

7、电源保护：使用稳定的电源，并提供UPS（不间断电源）等电源备份系统，防止因电源波动、停电、停电等原因造成设备损坏或中断。

8.安全摄像头监控：在关键区域安装安全摄像头，以监控物理访问和异常活动。确保摄像机监控系统记录安全存储，并且只有授权人员才能访问。

9、定期维护和检查：定期检查和维护物理设备，包括检查电缆连接、设备状态和设备安全。确保设备已更新并修复已知的安全漏洞。转载自FREEBUF社区：https://www.freebuf.com/articles/network/389392.html

添加一名作者