概述
目录
- 第七章 网络安全
- (1)网络安全的基本概念
- 1)网络安全威胁
- 2)网络攻击
- 3)基本安全技术
- 4)安全措施的目标
- (2)数据加密技术
- (3)认证技术(MD5、SHA)与数字签名(非对称算法RSA)
- 1)3种认证技术
- 2)报文摘要算法
- 3)数字证书(从CA下获得)
- 4)密匙管理
- (4)虚拟专用网(VPN)
- 1)VPN技术:虚拟专用网,
- 2)VPN四个关键技术:
- 3)VPN三种应用解决方案:
- 4)Windows Server 2003平台的VPN配置
- (5)应用层安全协议
- 1)S-HTTP和HTTPS的区别
- 2)邮件加密软件(PGP、S/MIME与前者相似)
- 3)安全电子交易协议SET
- 4)Kerberos系统
- (6)防火墙的配置
- 1)防火墙的物理特性
- 2)防火墙的主要功能
- 3)防火墙的附加功能
- 4)防火墙的局限性
- 5)防火墙的技术分类
- 6)防火墙的分类
- 7)防火墙的体系结构
- 8)防火墙的工作模式
- (7)入侵检测(IDS)和入侵防御(IPS)
- 1)入侵检测系统IDS
- 2)入侵防御系统IPS
- 3)IPS/IDS和防火墙的区别
- (8)病毒防护
- 1)病毒、木马、恶意代码
- 2)病毒木马的特征分类
- 3)病毒的生存期
- 4)病毒分类
- 5)防病毒技术
第七章 网络安全
(1)网络安全的基本概念
1)网络安全威胁
漏洞类型:物理、软件、不兼容、其他等。
2)网络攻击
1.被动攻击
2.主动攻击
3.物理临近攻击
4.内部人员攻击
5.分发攻击
3)基本安全技术
数据加密:数据按照规则打乱,重新组合。
数字签名:证明发送者签发,也可完整性。
身份认证:用户合法性,身份真实没假冒。
防火墙:控制内外数据进出,阻挡病毒木马。
入侵检测(IDS):采用异常检测特征保护网络。
网络隔离:内外网隔离分开使用,如网闸。
4)安全措施的目标
(1) 访问控制。确保会话对方(人或计算机)有权做它所声称的事情。
(2) 认证。确保会话对方的资源(人或计算机)与它声称的相一致。
(3) 完整性。确保接收到的信息与发送的一致。
(4) 审计。确保任何发生的交易在事后可以被证实,发信者和收信者都认为交换发生过,即所谓的不可抵赖性。
(5) 保密 。确保敏感信息不被窃听。
为此总结了网络安全信息数据五大特征
1.完整性
2.保密性
3.可用性
4.不可否认性
5.可控性
(2)数据加密技术
现代信息加密的基本方法:对称(单密匙体制或隐蔽密匙体制)和非对称(公开密匙体制)加密
类型 | 名称说明 | 密匙长度 | 分组长度 | 安全性 |
---|---|---|---|---|
DES | 数据加密标准,速度较快,适用于加密大量数据的场合 | 56 | 64 | 依赖密匙受穷举法攻击 |
3DES | 在DES基础上,用2个不同的密匙进行3次加密,强度更高 | 112 | 64 | 军事级,可抗差值等相关分析 |
AES | 高等加密标准,下一代加密算法标准,速度快,安全级别高 | 128、192、256 | 64 | 安全级别高,高级加密标准 |
IDEA | 国际数据加密算法,使用128位密匙提供非常强的安全性 | 128 | 64 | 能抵抗差分密码分析的攻击 |
RSA | 非对称分组密码体制 | 主要是为数字签名设计的 |
(3)认证技术(MD5、SHA)与数字签名(非对称算法RSA)
1)3种认证技术
1.基于共享密匙的认证(依赖于密匙分发中心KDC)
2.Beedham-Schroeder认证模式(防止重放攻击)
3.基于公钥的认证(公钥基础,不依赖物理通道)
2)报文摘要算法
在2015年下半年考过
类型 | 名称说明 | 密匙长度 | 分组长度 | 安全性 |
---|---|---|---|---|
MD5 | 信息-摘要算法Message-Digest5 | 128 | 512 | 主要是为报文认证而设计的 |
SHA | 安全散列算法Secure Hash Algorithm | 160 | 512 | 可实现报文认证和MD5相似 |
3)数字证书(从CA下获得)
CA作为权威、可信赖的、公正的第三方继构,专门负责为各种认证需求提供数字证书。
4)密匙管理
(4)虚拟专用网(VPN)
1)VPN技术:虚拟专用网,
①建立在公网上。
②虚拟性,没有专用物理连接。
③专用性,非VPN用户无法访问。
(一句话概括,在不安全的公网上,通过建立专用(免费安全的)虚拟隧道,传输数据。)
2)VPN四个关键技术:
①隧道技术。
②加解密技术。(ESP)
③密钥管理技术。(PKI)
④身份认证技术。(AH)
3)VPN三种应用解决方案:
①内联网VPN(Intranet VPN):企业内部用于连通总部和分部的各个LAN。
②外联网VPN(Extranet VPN):企业外部用于实现企业与客户、银行、供应商互通。
③远程接入VPN(Access VPN):解决远程用户出差访问企业内部网络。
IPSec:IP安全性,在IP层通过加密 与数据源验证,来保证数据包传输安全。
①认证头AH,用于数据完整和数据源认证、 防重放。
②封装安全负荷ESP,提供数据保密、数据完 整、辅助防重放。
③密钥交换协议IKE,生成分发密钥。
IPSec两种模式:传输模式和隧道模式。
SSL安全套接层:和TLS(传输层安 全标准)是双胞胎。在传输层上4.5层套接安全协议。
SSL/TLS被称为HTTPS,工作在传输层,对传输层、应用层都可以控制。
IPSec | SSL |
---|---|
IPSec在网络层建立隧道 | SSL是通过应用层的web连接建立的 ,工作在传输层。 |
适用于固定的 VPN。 | 适合移动用户远程访问公司的VPN |
4)Windows Server 2003平台的VPN配置
在该服务器中,VPN服务被称为路由和远程访问,默认状态安装即可。
1.安装VPN服务器
2.配置VPN 用户,设置用户权限
3.在客户端中的‘’网络连接‘’,创建一个到工作位置的网络连接,创建虚拟专用网络连接,按指示进行配置即可。
(5)应用层安全协议
1)S-HTTP和HTTPS的区别
S-HTTP | HTTPS |
---|---|
Sec HTTP | HTTP+SSL/TLS |
安全超文本传输协议(是HTTP扩展,使用TCP的80端口) | 传输层安全标准(使用TCP的443端口,4.5层协议) |
2)邮件加密软件(PGP、S/MIME与前者相似)
PGP,电子邮件加密软件包,是一款软件,把 RSA 公钥体系的高保密和传统加密体系的高速度巧妙结合起来,成为最流行的电子邮件加密系统。可以用来加密件防止非授权者阅读,还能数字签名, 防止篡改。
PGP提供2种服务:数据加密和数字签名,使用RSA对公钥证书加密认证(非对称算法),IDEA(128位密 钥)进行数据加密(对称算法),MD5进行完整性验证(报文摘要算法)。
(长的用对称加密,证书(数字证书/数字签名)用非对称加密,报文(认证)完整性用MD5)
加密算法:支持IDEA、CAST、3DES算法对 消息进行加密;采用 ElGamal或RSA算法用接 收方的公钥加密会话密钥。
数据签名:采用SHA-1、MD5消息摘要算法计 算消息的摘要值(散列码),用发送者的私钥 按DSS或RSA算法加密消息摘要。
3)安全电子交易协议SET
用于电子商务的行业规范。
SET是安全协议和报文格式集合,融合了SSL、 STT、SHTTP、PKI等加密签名认证等。
采用公钥密码体制和X.509数字证书。
成为目前公认的信用卡网上交易的国际标准。
4)Kerberos系统
Kerberos(用户的用户名和密码长期保存在内存中,以便下次使用): 是一项认证服务,3A(AAA)认证有验证、授权和记账。防重放、保护数据完整性。AS认证服务器,TGS票据授予服务器,V应用服务器。
(6)防火墙的配置
1)防火墙的物理特性
至少具有3个接口(网络),超过3个接口(网络)的为自定义区域
1.内部区域(inbound内网,默认优先级最高)
2.外部区域(outbound外网,默认优先级最低)
3.非军事区(DMZ)
优先级高的可以访问优先级低的,而优先级低的不能访问优先级高的。
2)防火墙的主要功能
①访问控制功能。
②内容控制功能。
③全面的日志功能。
④集中管理功能。
⑤自身的安全功能。
3)防火墙的附加功能
①流量控制。
②网络地址 转换NAT。
③虚拟专用网VPN。
4)防火墙的局限性
①关闭限制了一些服务带来不便。
②对内部的攻击无能为力。
③带来传输延迟单点失效等。
④还有其他局限。
5)防火墙的技术分类
包过滤防火墙; 代理防火墙; 状态化包过滤防火墙 3类等
6)防火墙的分类
个人防火墙:保护单个主机,有瑞星防火墙、 天网防火墙、费尔防火墙等。
企业防火墙:对整个网络实时保护,有赛门铁克防火墙、诺顿防火墙、思科防火墙、华为防火墙、Juniper防火墙等)。
软件防火墙:有瑞星防火墙、天网防火墙、微 软ISA Server、卡巴斯基防火墙等。
硬件防火墙:思科防火墙、Juniper防火墙等。
7)防火墙的体系结构
①双宿主机模式
②屏蔽子网模式
8)防火墙的工作模式
(7)入侵检测(IDS)和入侵防御(IPS)
位于防火墙之后的第二道安全屏障,是防火墙的的有力补充。
1)入侵检测系统IDS
通过对网络关键点收集信息并对其分析,检测到违反安全策略的行为和入侵的迹象,如果管理
员配置了攻击警告,还会通知管理员。(只做检测,不做具体处理)
安装部署位置通常是:
①服务器区域的交换机上。
②Interner 接入路由器 之后的第一 台交换机上。
③其他重点保护网段的交换机上。
通常是并联、不断网。
2)入侵防御系统IPS
通过对网络关键点收集信息并对其分析,检测到攻击企图,就会自动将攻击包丢掉或采取措施阻挡攻击源,切断网络。(检测,并丢弃攻击包)
通常是串联、会断网。
3)IPS/IDS和防火墙的区别
防火墙:一般只检测网络层和传输层的数据包,不能检测应用层的内容。
IPS/IDS:可以检测字节内容。
IPS和IDS的区别:
IPS:串接在网络中,会切断网络。
IDS:旁路式并联在网络上,不切断网络。
IDS/IPS:连接时需要把交换机端口配置成在镜像端口上,可以检测到全网流量。
(8)病毒防护
1)病毒、木马、恶意代码
病毒、木马、恶意代码都是人为制造的
病毒:一段可执行的程序代码,通过其他可执行程序启动和感染传播,可自我复制, 难以清除,破坏性强。(强盗)
木马:一种潜伏在计算机里并且秘密开放一个 甚至多个数据传输通道的远程控制程序。C/S 结构,客户端也称为控制端。偷偷盗取账号、 密码等信息。(间谍)
恶意代码:又称恶意软件。也称为广告软件、 间谍软件,没有作用却会带来危险。(恶搞)
2)病毒木马的特征分类
①文件宏病毒:感染office文件,前缀Macro或 者word/excel等。
②蠕虫病毒:前缀Worm通过系统漏洞传播。
③木马病毒:前缀Trojan,黑客病毒前缀Hack, 往往成对出现。
④系统病毒:前缀Win32、PE、Win95等。
⑤脚本病毒:前缀Script,脚本语言编写的, 通过网页传播。
3)病毒的生存期
①潜伏阶段
②繁殖阶段
③触发阶段
④执行阶段
4)病毒分类
(1)寄生病毒
(2)存储器驻留病毒
(3)引导区病毒
(4)隐形病毒
(5)多形病毒
5)防病毒技术
==预防病毒(发生前)、检测病毒(发生前后)、消除病毒(发生后)==等技术
需要定时更新杀毒软件,硬件防火墙定期更新病毒库等
最后
以上就是飘逸黑猫为你收集整理的网工浓缩笔记以及考点(第七章 网络安全)第七章 网络安全的全部内容,希望文章能够帮你解决网工浓缩笔记以及考点(第七章 网络安全)第七章 网络安全所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复