網工濃縮筆記以及考點（第七章 網絡安全）

目錄

• 第七章 網絡安全
• • （1）網絡安全的基本概念
  • • 1）網絡安全威脅
    • 2）網絡攻擊
    • 3）基本安全技術
    • 4）安全措施的目标
  • （2）資料加密技術
  • （3）認證技術（MD5、SHA）與數字簽名（非對稱算法RSA）
  • • 1）3種認證技術
    • 2）封包摘要算法
    • 3）數字證書（從CA下獲得）
    • 4）密匙管理
  • （4）虛拟專用網（VPN）
  • • 1)VPN技術：虛拟專用網，
    • 2)VPN四個關鍵技術：
    • 3）VPN三種應用解決方案：
    • 4）Windows Server 2003平台的VPN配置
  • （5）應用層安全協定
  • • 1）S-HTTP和HTTPS的差別
    • 2)郵件加密軟體（PGP、S/MIME與前者相似）
    • 3）安全電子交易協定SET
    • 4）Kerberos系統
  • （6）防火牆的配置
  • • 1）防火牆的實體特性
    • 2）防火牆的主要功能
    • 3）防火牆的附加功能
    • 4）防火牆的局限性
    • 5）防火牆的技術分類
    • 6）防火牆的分類
    • 7）防火牆的體系結構
    • 8）防火牆的工作模式
  • （7）入侵檢測（IDS）和入侵防禦（IPS）
  • • 1）入侵檢測系統IDS
    • 2）入侵防禦系統IPS
    • 3）IPS/IDS和防火牆的差別
  • （8）病毒防護
  • • 1）病毒、木馬、惡意代碼
    • 2）病毒木馬的特征分類
    • 3）病毒的生存期
    • 4）病毒分類
    • 5）防病毒技術

第七章 網絡安全

（1）網絡安全的基本概念

1）網絡安全威脅

漏洞類型：實體、軟體、不相容、其他等。

2）網絡攻擊

1.被動攻擊

2.主動攻擊

3.實體臨近攻擊

4.内部人員攻擊

5.分發攻擊

3）基本安全技術

資料加密：資料按照規則打亂，重新組合。

數字簽名：證明發送者簽發，也可完整性。

身份認證：使用者合法性，身份真實沒假冒。

防火牆：控制内外資料進出，阻擋病毒木馬。

入侵檢測（IDS）：采用異常檢測特征保護網絡。

網絡隔離：内外網隔離分開使用，如網閘。

4）安全措施的目标

(1) 通路控制。確定會話對方（人或計算機）有權做它所聲稱的事情。

(2) 認證。確定會話對方的資源（人或計算機）與它聲稱的相一緻。

(3) 完整性。確定接收到的資訊與發送的一緻。

(4) 審計。確定任何發生的交易在事後可以被證明，發信者和收信者都認為交換發生過，即所謂的不可抵賴性。

(5) 保密 。確定敏感資訊不被竊聽。

為此總結了網絡安全資訊資料五大特征

1.完整性

2.保密性

3.可用性

4.不可否認性

5.可控性

（2）資料加密技術

現代資訊加密的基本方法：對稱（單密匙體制或隐蔽密匙體制）和非對稱（公開密匙體制）加密

類型	名稱說明	密匙長度	分組長度	安全性
DES	資料加密标準，速度較快，适用于加密大量資料的場合	56	64	依賴密匙受窮舉法攻擊
3DES	在DES基礎上，用2個不同的密匙進行3次加密，強度更高	112	64	軍事級，可抗內插補點等相關分析
AES	高等加密标準，下一代加密算法标準，速度快，安全級别高	128、192、256	64	安全級别高，進階加密标準
IDEA	國際資料加密算法，使用128位密匙提供非常強的安全性	128	64	能抵抗差分密碼分析的攻擊
RSA	非對稱分組密碼體制	主要是為數字簽名設計的

（3）認證技術（MD5、SHA）與數字簽名（非對稱算法RSA）

1）3種認證技術

1.基于共享密匙的認證（依賴于密匙分發中心KDC）

2.Beedham-Schroeder認證模式（防止重播攻擊）

3.基于公鑰的認證（公鑰基礎，不依賴實體通道）

2）封包摘要算法

在2015年下半年考過

類型	名稱說明	密匙長度	分組長度	安全性
MD5	資訊-摘要算法Message-Digest5	128	512	主要是為封包認證而設計的
SHA	安全雜湊演算法Secure Hash Algorithm	160	512	可實作封包認證和MD5相似

3）數字證書（從CA下獲得）

CA作為權威、可信賴的、公正的第三方繼構，專門負責為各種認證需求提供數字證書。

4）密匙管理

（4）虛拟專用網（VPN）

1)VPN技術：虛拟專用網，

①建立在公網上。

②虛拟性，沒有專用實體連接配接。

③專用性，非VPN使用者無法通路。

（一句話概括，在不安全的公網上，通過建立專用（免費安全的）虛拟隧道，傳輸資料。）

2)VPN四個關鍵技術：

①隧道技術。

②加解密技術。（ESP）

③密鑰管理技術。（PKI）

④身份認證技術。（AH）

3）VPN三種應用解決方案：

①内聯網VPN（Intranet VPN）：企業内部用于連通總部和分部的各個LAN。

②外聯網VPN（Extranet VPN）：企業外部用于實作企業與客戶、銀行、供應商互通。

③遠端接入VPN（Access VPN）：解決遠端使用者出差通路企業内部網絡。

IPSec：IP安全性，在IP層通過加密 與資料源驗證，來保證資料包傳輸安全。

①認證頭AH，用于資料完整和資料源認證、 防重放。

②封裝安全負荷ESP，提供資料保密、資料完 整、輔助防重放。

③密鑰交換協定IKE，生成分發密鑰。

IPSec兩種模式：傳輸模式和隧道模式。

SSL安全套接層：和TLS（傳輸層安 全标準）是雙胞胎。在傳輸層上4.5層套接安全協定。

SSL/TLS被稱為HTTPS，工作在傳輸層，對傳輸層、應用層都可以控制。

IPSec	SSL
IPSec在網絡層建立隧道	SSL是通過應用層的web連接配接建立的 ，工作在傳輸層。
适用于固定的 VPN。	适合移動使用者遠端通路公司的VPN

4）Windows Server 2003平台的VPN配置

在該伺服器中，VPN服務被稱為路由和遠端通路，預設狀态安裝即可。

1.安裝VPN伺服器

2.配置VPN 使用者，設定使用者權限

3.在用戶端中的‘’網絡連接配接‘’，建立一個到工作位置的網絡連接配接，建立虛拟專用網絡連接配接，按訓示進行配置即可。

（5）應用層安全協定

1）S-HTTP和HTTPS的差別

S-HTTP	HTTPS
Sec HTTP	HTTP+SSL/TLS
安全超文本傳輸協定（是HTTP擴充，使用TCP的80端口）	傳輸層安全标準（使用TCP的443端口，4.5層協定）

2)郵件加密軟體（PGP、S/MIME與前者相似）

PGP，電子郵件加密軟體包，是一款軟體，把 RSA 公鑰體系的高保密和傳統加密體系的高速度巧妙結合起來，成為最流行的電子郵件加密系統。可以用來加密件防止非授權者閱讀，還能數字簽名， 防止篡改。

PGP提供2種服務：資料加密和數字簽名，使用RSA對公鑰證書加密認證（非對稱算法），IDEA(128位密 鑰)進行資料加密（對稱算法），MD5進行完整性驗證（封包摘要算法）。

（長的用對稱加密，證書（數字證書/數字簽名）用非對稱加密，封包（認證）完整性用MD5）

加密算法：支援IDEA、CAST、3DES算法對 消息進行加密；采用 ElGamal或RSA算法用接 收方的公鑰加密會話密鑰。

資料簽名：采用SHA-1、MD5消息摘要算法計 算消息的摘要值（散列碼），用發送者的私鑰 按DSS或RSA算法加密消息摘要。

3）安全電子交易協定SET

用于電子商務的行業規範。

SET是安全協定和封包格式集合，融合了SSL、 STT、SHTTP、PKI等加密簽名認證等。

采用公鑰密碼體制和X.509數字證書。

成為目前公認的信用卡網上交易的國際标準。

4）Kerberos系統

Kerberos（使用者的使用者名和密碼長期儲存在記憶體中，以便下次使用）： 是一項認證服務，3A(AAA)認證有驗證、授權和記賬。防重放、保護資料完整性。AS認證伺服器，TGS票據授予伺服器，V應用伺服器。

（6）防火牆的配置

1）防火牆的實體特性

至少具有3個接口（網絡），超過3個接口（網絡）的為自定義區域

1.内部區域（inbound内網，預設優先級最高）

2.外部區域（outbound外網，預設優先級最低）

3.非軍事區（DMZ）

優先級高的可以通路優先級低的，而優先級低的不能通路優先級高的。

2）防火牆的主要功能

①通路控制功能。

②内容控制功能。

③全面的日志功能。

④集中管理功能。

⑤自身的安全功能。

3）防火牆的附加功能

①流量控制。

②網絡位址 轉換NAT。

③虛拟專用網VPN。

4）防火牆的局限性

①關閉限制了一些服務帶來不便。

②對内部的攻擊無能為力。

③帶來傳輸延遲單點失效等。

④還有其他局限。

5）防火牆的技術分類

包過濾防火牆； 代理防火牆； 狀态化包過濾防火牆 3類等

6）防火牆的分類

個人防火牆：保護單個主機，有瑞星防火牆、 天網防火牆、費爾防火牆等。

企業防火牆：對整個網絡實時保護，有賽門鐵克防火牆、諾頓防火牆、思科防火牆、華為防火牆、Juniper防火牆等)。

軟體防火牆：有瑞星防火牆、天網防火牆、微 軟ISA Server、卡巴斯基防火牆等。

硬體防火牆：思科防火牆、Juniper防火牆等。

7）防火牆的體系結構

①雙主控端模式

②屏蔽子網模式

8）防火牆的工作模式

（7）入侵檢測（IDS）和入侵防禦（IPS）

位于防火牆之後的第二道安全屏障，是防火牆的的有力補充。

1）入侵檢測系統IDS

通過對網絡關鍵點收集資訊并對其分析，檢測到違反安全政策的行為和入侵的迹象，如果管理

員配置了攻擊警告，還會通知管理者。（隻做檢測，不做具體處理）

安裝部署位置通常是：

①伺服器區域的交換機上。

②Interner 接入路由器 之後的第一 台交換機上。

③其他重點保護網段的交換機上。

通常是并聯、不斷網。

2）入侵防禦系統IPS

通過對網絡關鍵點收集資訊并對其分析，檢測到攻擊企圖，就會自動将攻擊包丢掉或采取措施阻擋攻擊源，切斷網絡。（檢測，并丢棄攻擊包）

通常是串聯、會斷網。

3）IPS/IDS和防火牆的差別

防火牆：一般隻檢測網絡層和傳輸層的資料包，不能檢測應用層的内容。

IPS/IDS：可以檢測位元組内容。

IPS和IDS的差別：

IPS：串接在網絡中，會切斷網絡。

IDS：旁路式并聯在網絡上，不切斷網絡。

IDS/IPS：連接配接時需要把交換機端口配置成在鏡像端口上，可以檢測到全網流量。

（8）病毒防護

1）病毒、木馬、惡意代碼

病毒、木馬、惡意代碼都是人為制造的

病毒：一段可執行的程式代碼，通過其他可執行程式啟動和感染傳播，可自我複制， 難以清除，破壞性強。（強盜）

木馬：一種潛伏在計算機裡并且秘密開放一個 甚至多個資料傳輸通道的遠端控制程式。C/S 結構，用戶端也稱為控制端。偷偷盜取賬号、 密碼等資訊。（間諜）

惡意代碼：又稱惡意軟體。也稱為廣告軟體、 間諜軟體，沒有作用卻會帶來危險。（惡搞）

2）病毒木馬的特征分類

①檔案宏病毒：感染office檔案，字首Macro或 者word/excel等。

②蠕蟲病毒：字首Worm通過系統漏洞傳播。

③木馬病毒：字首Trojan，黑客病毒字首Hack， 往往成對出現。

④系統病毒：字首Win32、PE、Win95等。

⑤腳本病毒：字首Script，腳本語言編寫的， 通過網頁傳播。

3）病毒的生存期

①潛伏階段

②繁殖階段

③觸發階段

④執行階段

4）病毒分類

（1）寄生病毒

（2）存儲器駐留病毒

（3）引導區病毒

（4）隐形病毒

（5）多形病毒

5）防病毒技術

==預防病毒（發生前）、檢測病毒（發生前後）、消除病毒（發生後）==等技術

需要定時更新防毒軟體，硬體防火牆定期更新病毒庫等