网络安全技术期末复习总结.docx
《网络安全技术期末复习总结.docx》由会员分享,可在线阅读,更多相关《网络安全技术期末复习总结.docx(29页珍藏版)》请在冰点文库上搜索。
网络安全技术期末复习总结
公钥基础设施:
1为什么引入PKI:
PKI是一种比较完整的网络安全解决方案,能够全面保证信息的完整性,真实性,机密性和不可否认性。
2什么是PKI:
PKI是一种运用弓公钥密码的概念与技术,是一种实施并提供安全服务的具有普适性的网络安全基础设施。
3信任类型(服务):
(1)身份认证
(2)机密性
(3)完整性
(4)不可抵赖性
(5)支持密钥管理
4PKI组成(系统结构)
5认证中心CA:
CA是PKI体系的核心,是PKI的主要组成实体,由可信第三方充当,负责管理密钥和数字证书的整个生命周期。
6CA的核心功能:
(1)证书审批:
接收并验证最终用户数字证书的申请,确定是否接收
(2)证书颁发:
向申请者颁发、拒绝颁发数字证书。
(3)证书更新:
接收、处理最终用户的数字证书更新请求。
(4)证书查询:
接收用户对数字证书的查询;提供目录服务,可以查询相关信息。
(5)证书撤销:
产生和发布证书吊销列表,验证证书状态;
(6)证书归档:
数字证书归档及历史数据归档。
(7)各级CA管理
7注册中心RA:
RA是PKI信任体系的重要组成部分,是用户和CA之间的一个接口,是认证机构信任范围的一种延伸。
RA接受用户的注册申请,获取并认证用户的身份,主要完成收集用户信息和确认用户身份的功能。
8数字证书:
数字证书是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即在Internet上解决“我是谁”的问题。
9证书的操作流程图P62
10证书管理(构建PKI的核心工作):
1.用户申请
2.证书生成
3.证书发布
4.证书验证
5.证书撤销
6.证书更新
7.证书归档
8.证书存储
9.证书使用
11证书的申请方式:
证书的申请有离线申请方式和在线申请方式两种
12密钥管理:
密钥管理也是PKI(主要指CA)中的一个核心问题,主要是指密钥对的安全管理,包括密钥产生、密钥备份、密钥恢复和密钥更新等。
13信任模型:
1)实际网络环境中不可能只有一个CA,
2)多个认证机构之间的信任关系必须保证:
原有的PKI用户不必依赖和信任专一的CA,否则将无法进行扩展、管理和包含。
3)信任模型建立的目的是确保一个认证机构签发的证书能够被另一个认证机构的用户所信任。
14常见的信任模型:
1)严格层次结构模型
2)分布式信任结构模型
3)基于Web模型的信任模型
4)以用户为中心的信任模型
15层次结构信任模型:
图P66
16层次结构模型的建立规则:
1)根CA具有一个自签名的证书。
2)根CA依次为其下级CA颁发证书。
每个CA都拥有零个或多个子节点。
上层的CA既可以认证其他CA,也可以直接为终端实体颁发证书,但在实际应用中,为了便于管理,用于认证下级CA,不为用户认证终端实体。
3)终端实体就是PKI的用户,处于层次模型的叶子节点,其证书由其父节点CA颁发。
对于终端实体而言,它需要信任根CA,中间的CA可以不必关心(透明的)。
4)层次模型中,除根CA之外的每个节点CA上,至少需要保存两种数字证书。
向上证书:
父节点CA发给它的证书;
向下证书:
由它颁发给其他CA或者终端实体的证书。
17层次结构例题:
ppt
18优缺点:
管理开销小
减轻根CA的工作量
层次结构与组织的内部结构比较吻合
最终实体到信任锚的路径固定,可得在最终实体证书中传送路径
可扩展性好
世界范围内不可能只有单个根CA。
商业和贸易等信任关系不必要采用层次型结构。
根CA私钥的泄露的后果非常严重,恢复也十分困难。
18分布式信任模型:
分布式信任结构把信任分散在两个或多个CA上,每个CA所在的子系统构成系统的子集,并且是一个严格的层次结构。
19交叉认证技术:
所谓交叉认证就是通过在独立的CA间建立起信任关系,使得它们各自的终端用户建立起信任关系。
交叉认证可以是双向的,也可以是单向的。
网络攻击技术
1攻击流程:
2主要攻击方法:
1)获取口令
2)www欺骗技术
3)电子邮件攻击
4)网络嗅探
5)寻找系统漏洞
6)DoS攻击
7)缓冲区溢出攻击
3常用端口:
TCP:
序号端口号协议
120FTP数据连接
221FTP控制连接
323TELNET协议
425SMTP协议
580WWW协议
UDP:
DNS服务:
53
SNMP:
161
QQ:
8000和4000
4TCP建立连接和释放:
建立连接:
三次握手
释放链接:
四次挥手
5常用扫描技术:
1、TCPConnect扫描(全连接扫描):
1)实现原理:
通过调用socket函数connect()连接到目标计算机上,完成一次完整的三次握手过程。
如果端口处于侦听状态,那么connect()就能成功返回。
返回-1,则表示端口关闭。
2)优点:
稳定可靠,不需要特殊的权限
3)缺点:
扫描方式不隐蔽,服务器日志会记录下大量密集的连接和错误记录,并容易被防火墙发现和屏蔽
2、TCPSYN扫描(半连接扫描):
1)实现原理:
扫描器向目标主机端口发送SYN包。
如果应答是RST包,那么说明端口是关闭的;如果应答中包含SYN和ACK包,说明目标端口处于监听状态,再传送一个RST包给目标机从而停止建立连接。
由于在SYN扫描时,全连接尚未建立,所以这种技术通常被称为半连接扫描
2)优点:
隐蔽性较全连接扫描好,一般系统对这种半扫描很少记录
3)缺点:
通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用
3、TCPFIN扫描(秘密扫描):
打开的端口:
数据包则被简单的丢掉,并不返回任何信息
关闭的端口:
数据包会被丢掉,并且回返回一RST数据包
4、分段扫描
原理:
并不直接发送TCP探测数据包,是将数据包分成两个较小的IP段,这样就将一个TCP头分成好几个数据包,从而包过滤器就很难探测到
优点:
隐蔽性好,可穿越防火墙
缺点:
可能被丢弃,某些程序在处理这些小数据包时可能会出现异常
5、UDPICMP端口不能到达扫描
许多主机在用户向一个未打开的UDP端口发送一个数据包时,会返回一个
ICMP_PORT_UNREACH错误,通过这个就能判断哪个端口是关闭的。
6、FTP代理扫描(FTP反弹扫描)
文件传输协议(FTP)允许数据连接与控制连接位于不同的机器上,并支持代理FTP连接。
FTP代理扫描正是利用了这个缺陷,使用支持代理的FTP服务器来扫描TCP端口。
这种扫描方式又被称为FTP反弹扫描(FTPBounceAttack)。
优点:
FTP代理扫描不但难以跟踪,而且可以穿越防火墙
缺点:
一些ftpserver禁止这种特性
6端口扫描的对策:
1)设置防火墙过滤规则,阻止对端口的扫描
2)使用入侵检测系统
3)禁止所有不必要的服务,把自己的暴露程度降到最低
7网络嗅探原理:
利用计算机网络接口在他方未察觉的情况下捕获其通信报文或通信内容的技术
8缓冲区溢出原理:
构建数据超出缓冲区大小,引起溢出,导致系统异常
9DoS攻击技术:
拒绝服务攻击(DenialofService,DoS)攻击是通过向服务器、主机发送大量的服务请求,用大量的数据包“淹没”目标主机,迫使目标主机疲于处理这些垃圾数据,或造成程序缓冲区溢出错误,而无法向合法用户提供正常服务的一种攻击。
10直接攻击:
PingFlood,SYNFlood,UDPFlood,电子邮件炸弹,恶意访问攻击,pingofdeath;反射攻击:
Smurf,Land
11分布式拒绝服务攻击:
分布式拒绝服务攻击是利用DoS攻击方式,通过大量主机同时攻击某一个目标,造成目标无法正常工作。
计算机病毒:
1、计算机病毒的定义:
指编制或在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令后者程序代码
2、计算机病毒的特征:
破坏性,隐蔽性,潜伏性,传染性
3、计算机病毒的三大机制:
感染机制,触发机制,破坏机制
4、网络蠕虫的定义:
可以独立运行,并能把自身的一个包含的所有功能的版本传播到另外的计算机上,自我复制
5、网络蠕虫的攻击机制:
信息收集,攻击渗透,现场处理
6、蠕虫的特征:
主动攻击造成网络拥塞,消耗系统资源,反复性,破坏性
7、木马的定义:
是非授权的远程控制程序,是一种恶意程序,是一种基于远程控制的黑客工具(无传染性)
8、木马的特点:
隐蔽性,自动运行,欺骗性,自动恢复,功能的特殊性
9、木马的关键技术:
植入技术,自动加载技术,隐藏技术,监控技术
操作系统安全:
1、访问控制的三要素:
客体,主体,访问策略
2、基本的访问控制策略:
自助访问控制,强制访问控制,基于角色的访问控制
3、自主访问控制DAC:
资源的所有者可以对资源的访问进行控制,任意规定谁可以访问其资源,也可自主的直接或间接的将权限传给其他体
4、强制访问控制(基于规则的访问控制)MAC:
每个主体及客体都被赋予一定的安全级别,通过比较主体和访问客体的安全级别来决定主体是否可以访问改客体
5、基于角色的访问控制RBAC:
将对象的访问权限分配给特定的角色,主体通过扮演不同的角色获得该角色拥有的权限
6、基于角色的访问控制五个特点:
角色作为访问控制的主体,角色继承,最小特权原则,职责分离,角色容量限制
7、Lattice:
主体的安全级别高于客体的安全级别才能访问,下读下写。
BLP:
Biba:
数据安全:
1、存储的核心技术:
磁盘阵列
2、RATD优点:
更大容量,更高效率,更高可靠性
3、存储的三种模式:
直接连接存储DAS,
存储区域网络SAN,
网络连接存储NAS
4、备份的概念:
备份就是针对应用系统的一个或多个完整的数据拷贝当应用系统出现问题时,可以随时从备份中恢复需要的数据
5、备份的类型:
全备份,增量备份,差异备份
6、备份的策略:
完全备份,增量备份,差量备份,按需备份
还原时,差异备份还原的时间消耗比增量少,但是备份时花的时间多。
7、RAID0135100+1
RAID级别
采用技术
读/写速度
最少硬盘
磁盘利用率
容错性能
RAID0
数据条带化
H/H
2
1
无
RAID1
磁盘镜像
H/L
2
0.5
有,允许单个出错
RAID3
数据条带化加奇偶校验盘
H/H
3
n-1/n
有,允许单个出错
RAID5
数据条带化加奇偶校验盘,分布在各盘
H/H
3
n-1/n
有,允许单个出错
RAID10
数据条带化加磁盘镜像
H/H
4
0.5
有
RAID0+1
H/H
4
0.5
有
防火墙:
1、防火墙:
防火墙是指设置在不同网络之间,比如可信任的内部网和不可信的公共网,或者不同网络安全域之间的软硬件系统组合。
2、NAT分类:
静态,动态,PAT
3、防火墙的作用:
1)隔离不同网络、
2)创建要塞点、
3)报警和审计、
4)强化网络安全策略,
5)提供集成功能
4、防火墙的局限性:
1)不能抵御不经过防火墙的攻击、
2)不能防雨“穿墙技术”、
3)依赖于安全策略、
4)内网瓶颈问题、
5)无法控制对病毒文件的传输
5、防火墙的技术与分类:
1)包过滤防火墙(简单包过滤和状态监测包过滤)
2)代理服务防火墙(电路级网关、应用级网关、自适应代理)
6、简单包过滤原理:
1)管理员在防火墙设置的访问控制列表ACL中设置过滤规则
2)根据系统内设置的过滤规则来检查所有进出防火墙的数据包包头信息
3)根据检查结果允许或者拒绝数据包通过
7、状态监测包过滤原理:
1)对于新建立的连接,首先检查预先设置的安全规则,允许符合规则的连接通过,并记录下该链接的相关信息,生成状态表
2)对该链接的后续数据包,只要是符合状态表的就可以通过
8、防火墙的体系结构:
1)包过滤防火墙(组成:
路由器)、
2)双宿主机防火墙(双宿堡垒主机)、
3)屏蔽主机防火墙(路由器与堡垒主机)、
4)屏蔽子网防火墙(内部路由器,外部路由器,堡垒主机,DMZ隔离区)
入侵检测:
1、入侵监测系统IDS的定义:
IDS是通过计算机网络或计算机系统的若干关键点收集信息并对其进行分析从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种技术
2、入侵检测技术及分类:
按数据来源分为:
1)基于主机的入侵检测系统HIDS
2)基于网络的入侵检测系统NIDS;
按分析方法分为:
1)误用检测
2)异常检测
IPSEC&vVPN
1、定义:
IPSec是一种开放标准的框架结构,特定的通信方之间在IP层通过加密和数据摘要(hash)等手段,来保证数据包在Internet网上传输时的私密性、完整性和真实性。
2.3个协议
1)IKE(InternetKeyExchange密钥交换协议
2)AH(AuthenticationHeader认证头
3)ESP(EncapsulatingSecurityPayload封装安全载荷)
3.两个模式
1)传输模式(对IP包载荷的保护)
2)隧道模式(对整个IP包提供保护)
4.一个核心
SA安全关联:
安全关联(SA)是两个IPSec实体之间经过协商建立起来的一种协定。
在双方通信之前建立的一个安全信道,即:
认证、加密算法及其参数、密钥
5、典型隧道协议:
层次
典型隧道协议
2层
L2TP、PPTP、L2F
2.5
MPLS多协议标签交换
3
IPSEC、GRE
高层
SOCKS、SSL、TLS、SMIME
6、VPN的定义:
7、VPN(VirtualPrivateNetwork,虚拟专用网)就是利用开放的公众网络建立逻辑的专用数据传输通道,将远程的分支机构或合作伙伴、移动办公人员等连接起来。
8、隧道技术:
隧道技术通过对数据进行封装,在公共网络上建立一条数据通道,让数据包传输。
3.VPN中的角色:
CE(CustomEdgeRouter),用户边缘路由器,直接与运营商网络相连
PE(ProviderEdgeRouter),运营商边缘路由器,与CE相连,主要负责VPN业务的接入。
P(ProviderRouter):
运营商核心路由器,主要完成路由和快速转发功能
升级会员 