术语表.docx

术语表.docx

《术语表.docx》由会员分享，可在线阅读，更多相关《术语表.docx（52页珍藏版）》请在冰豆网上搜索。

术语表

术语表

符号和数字

3DES

三重DES。

一种加密算法，接连快速使用三个56位DES加密密钥（效果相当于168位）。

有一种3DES替代版本只采用两个56位DES密钥，但其中的一个使用两次，因而其效果相当于112位密钥长度。

仅在美国使用合法。

请参阅DES。

802.1x

802.1x是一种用于媒体级访问控制的IEEE标准，提供了基于用户或机器标识允许或拒绝网络连接、控制VLAN访问以及应用通信策略的功能。

A

AAA

验证、授权和记帐管理。

读作"3A"。

AAL5-SNAP

ATM适配第5层子网访问协议。

AAL5-MUX

ATM适配第5层多路复用器。

ACE

访问控制项。

ACL中的一项指定了源主机或网络以及是否允许该主机的通信。

ACE也可以指定目标主机或网络以及通信类型。

ACL

访问控制列表。

有关设备的信息，该信息指定允许哪些实体访问设备或设备所属网络。

访问控制列表由一个或多个访问控制项（ACE）组成。

ACS

Cisco安全访问控制服务器。

Cisco软件可以执行RADIUS服务器或TACACS+服务器。

ACS用于存储EasyVPN、NAC和其它功能使用的策略数据库，从而控制对网络的访问。

ADSL

非对称数字用户线路。

AH

验证报头。

这是一种较早的IPSec协议，在多数网络中其重要性次于ESP。

AH提供验证服务但不提供加密服务。

提供此协议是为了确保与不支持ESP的IPSec对等方兼容，ESP既提供验证又提供加密。

AH-MD5-HMAC

采用MD5（HMAC变体）散列算法的"验证报头"。

AH-SHA-HMAC

采用SHA（HMAC变体）散列算法的"验证报头"。

AHP

验证报头协议。

一种提供源主机验证和数据完整性的协议。

AHP不提供保密功能。

AMI

信号交替反转。

ARP

地址解析协议实现通过IP地址得知其物理地址。

-这是一种低层TCP/IP协议，将节点硬件地址（称为MAC地址）映射到其IP地址。

ASA

自适应安全算法。

允许单向（由内到外）连接，而无需显式配置每个内部系统和应用程序。

ATM

异步传输模式。

信元中继国际标准，采用固定长度（53字节）的信元来传送多种服务类型（如语音、视频和数据）。

固定长度的信元允许在硬件中处理信元，因而减少了途中延迟。

安全关联生命期

预先确定的SA有效时间长度。

安全区域

可向其应用策略的一组接口。

安全区域应由共享相似功能的接口组成。

例如，在路由器上，接口Ethernet0/0和Ethernet0/1可能连接到本地LAN。

因为这两个接口都代表内部网络，所以很相似，因此可以将它们分到一个区域进行防火墙配置。

B

BOOTP

自举协议。

网络节点确定其影响网络引导的以太网接口的IP地址时所使用的协议。

本地子网

子网络是网络管理员（通过子网掩码）任意分段而成的IP网络，其目的是要在使屏蔽子网免受相连网络寻址复杂性影响的同时提供多级、分层路由结构。

本地子网是与您所在传输端关联的子网。

变换

对安全协议及其相应算法的说明。

变换集

变换集是应用于IPSec受保护通信的安全协议、算法及其它设置的可接受组合。

在IPSec安全关联协商期间，各对等方同意在保护特定数据流时使用特定变换集。

标准规则

在CiscoSDM中，指一类访问规则或NAT规则。

标准规则将数据包的源IP地址与其IP地址条件进行比较以确定匹配项。

标准规则使用通配符掩码来确定IP地址的哪些部分必须匹配。

C

C3PL

Cisco常用分类策略语言。

C3PL是一种对特定功能配置命令的结构化替代形式，它允许可配置的功能以事件、条件和操作的形式表示。

CA

证书颁发机构。

可签发和/或撤回数字证书的第三方受信实体。

有时称为公证机构或认证中心。

在给定CA的域内，每个设备只需要其自身的证书和CA的公用密钥即可对该域中的其它每个设备进行验证。

CA服务器

证书颁发机构服务器。

用来签发和/或撤回数字证书的网络主机。

CA证书

由另一证书颁发机构授予某一证书颁发机构（CA）的数字证书。

CBAC

基于上下文的访问控制。

一种协议，可向内部用户提供对每个应用和所有跨越网络边界通信的安全访问控制。

CBAC会彻查源地址和目标地址，并跟踪每个应用程序的连接状态。

CDP

Cisco发现协议。

一种与媒体和协议无关的设备发现协议，可运行于所有Cisco制造的设备，包括路由器、访问服务器、桥接器和交换机。

使用CDP，设备可以向同一LAN或某一WAN远侧的其它设备通告其存在并接收有关这些设备的信息。

CDP

证书撤销列表分布点。

可以检索"证书撤销列表"的位置。

CDP通常是一个HTTP或LDAPURL。

CEP

证书注册协议。

一种证书管理协议。

CEP是对"证书请求语法"（CRS）的早期实现，后者是向"Internet工程任务组"（IETF）提议的一个标准。

CEP规定了设备如何与CA通信，包括如何检索CA的公用密钥、如何用CA注册设备以及如何检索证书撤回列表（CRL）。

CEP使用PKCS（公用密钥密码术标准）7和10作为主要组成技术。

IETF的公用密钥基础结构工作组（PKIX）正在为这些功能（CRS或等效功能）制订标准化协议。

有了稳定的IETF标准之后，Cisco将加大对其的支持。

CEP是由CiscoSystems和VeriSign,Inc.联合开发的。

CET

Cisco加密技术。

CiscoIOS版本11.2中引入的专有网络层加密方法。

CET在IP数据包级别提供网络数据加密，并实现了下列标准：

DH、DSS和40及56位DES。

CHAP

盘问握手验证协议。

采用PPP封装的线路所支持的安全功能，用于阻止XX的访问。

CHAP本身并不阻止XX的访问，它只对远端进行识别。

然后，路由器或访问服务器将确定是否允许该用户访问。

另请参阅PAP。

chargen

字符生成。

通过TCP提供的一种服务，可一直发送连续的字符流，直至被客户机停止。

通过UDP，客户机每次发送数据报时，服务器都会发送随机数量的字符。

CiscoSDM

CiscoRouterandSecurityDeviceManager。

CiscoSDM是基于Internet浏览器的软件工具，设计用于在路由器上配置LAN、WAN和安全功能。

有关详细信息，请参阅入门。

CLI

命令行界面。

用于向路由器输入配置命令和监视命令的主界面。

要了解可从CLI输入哪些命令，请参阅所配置路由器的"配置指南"。

CNS

Cisco网络服务。

一整套服务，支持可伸缩网络部署、配置、服务保证监视以及服务交付。

comp-lzs

一种IP压缩算法。

cookie

cookie是一种web浏览器功能，可将信息（如用户首选项）存储或检索至永久存储器。

在Netscape和InternetExplorer中，cookie是通过将一个小的文本文件保存到本地硬盘来实现的。

可在下次运行Javaapplet或访问网站时加载该文件。

以这种方式，可在各次会话之间保存对于用户您唯一的信息。

cookie的最大大小约为4KB。

CPE

客户场所设备。

CRL

证书撤回列表。

由证书颁发机构（CA）维护和签署的所有未到期而撤回的数字证书列表。

参数映射

参数映射为区域策略防火墙和某些参数（例如拒绝服务保护、会话和连接定时器以及日志记录设置等）指定检查行为。

参数映射也与第7层类别和策略映射配合使用以定义特定于应用的行为，例如HTTP对象、POP3、IMAP验证请求和其它特定于应用的信息。

策略映射

策略映射由对通信采取的配置操作组成。

通信由相关的类别映射定义。

撤回密码

请求CA撤回路由器的数字证书时向其提供的密码。

有时称为盘问密码。

重放检测

一种标准IPSec安全功能，将序号与验证结合在一起，使得通信接收方可以拒绝旧的或重复的数据包以防止重放攻击。

纯文本

普通未加密数据。

纯信道

纯信道是指未加密通信可以流经的信道。

纯信道不对传输数据设置安全限制。

D

delta文件

由CiscoIOSIPS创建用于储存对签名所作更改的文件。

DES

数据加密标准。

由美国国家标准与技术研究所（NIST）开发和标准化的标准加密算法。

使用秘密的56位加密密钥。

许多加密标准中都包含DES算法。

DH、Diffie-Hellman

一种公用密钥密码术协议，允许双方通过不安全通信信道建立共享秘密。

Diffie-Hellman在"Internet密钥交换"（IKE）中用于建立会话密钥。

Diffie-Hellman是Oakley密钥交换的组成部分。

DHCP

动态主机配置协议。

提供一种向主机动态分配IP地址的机制，以便在主机不再需要这些地址时可以重用它们。

Diffie-Hellman密钥交换

一种公用密钥密码术协议，允许双方通过不安全通信信道建立共享秘密。

Diffie-Hellman在"Internet密钥交换"（IKE）中用于建立会话密钥。

Diffie-Hellman是Oakley密钥交换的组成部分。

CiscoIOS软件支持768位和1024位Diffie-Hellman组。

DLCI

数据链路连接标识符。

帧中继连接中两个端点之间的特定数据链路连接的标识符。

DMVPN

动态多点虚拟专用网络。

一种虚拟专用网络，其中路由器按逻辑集中星型拓扑进行安排，并且各集线器之间具有点对点"基于IPSec的GRE"连接。

DMVPN使用GRE和NHRP，使得数据包能够流向网络中的目的地。

DMZ

隔离区。

DMZ是Internet与专用网络之间的一个缓冲区。

它可以是一个公共网络，通常用于由Internet上的外部客户机访问的Web、FTP和电子邮件服务器。

将这些公共访问服务器置于单独孤立的网络中可为内部网络提供额外的安全措施。

DN

区别名。

"证书颁发机构"客户的唯一标识符，包括在该客户从该"证书颁发机构"收到的每个证书中。

DN通常包括用户的常用名、用户所属公司或组织的名称、用户所在国家的双字母代码、用于联系用户的电子邮件地址、用户的电话号码、用户的部门编号以及用户所居住的城市。

DNS

域名系统（或服务）。

一种Internet服务，用于将由字母组成的域名转换成由数字组成的IP地址。

DPD

失效对等项检测。

DPD通过向能够响应的对等项定期发送持久连接消息，以确定对等项是否仍处于活动状态。

如果对等项在指定的时间段内没有响应，则连接已终止。

DRAM

动态随机存取存储器。

用电容器存储信息的RAM，电容器必须定期刷新。

DSCP

差分服务代码点DSCP标记可用来为QoS的通信分类。

另请参阅NBAR

DSLAM

数字用户线接入多路复用器。

DSS

数字签名标准。

也称为数字签名算法（DSA），DSS算法是许多密码签名公用密钥标准的组成部分。

单DMVPN

具有单DMVPN配置的路由器连接到一个DMVPN集线器，并且具有一个用于DMVPN通信的已配置GRE通道。

集中星型结构的GRE通道地址必须在同一子网中。

到期日期

证书或密钥中的到期日期表示其有限生命期的结束。

到期日期过后，证书或密钥将不再受到信任。

地址转换

将一个网络地址和/或端口转换为另一网络地址和/或端口。

另请参阅IP地址、NAT、PAT、静态PAT。

第3层接口

第3层接口支持互联网路由。

VLAN是第3层逻辑接口的示例。

以太网端口是第3层物理接口的示例。

电子欺骗

欺骗

一种欺骗行为，数据包非法声称自己来自某一地址，而实际上它并不是从该处发出的。

电子欺骗意欲挫败诸如过滤器和访问列表之类的网络安全机制。

动态路由选择

自动根据网络拓扑或通信变化进行调整的路由选择技术。

也称为自适应路由选择。

对称密钥

对称密钥用于对其先前所加密的信息进行解密。

对等方

在IKE中，对等方是指担当IKE通道参与者代理的路由器。

在IPSec中，对等方指的是通过交换密钥或交换数字证书进行安全通信的设备或实体。

对等网

一种网络形式，其中所有主机均共享大致相等的功能。

也称为P2P，许多文件共享网络都使用对等网络。

E

EAPoUDP

基于用户数据报协议的可扩展验证协议。

有时缩写为EOU。

客户机和NAD可使用该协议进行状态验证。

EasyVPN

以CiscoUnifiedClientFramework为基础的集中化VPN管理解决方案。

CiscoEasyVPN由两个组件组成：

CiscoEasyVPNRemote客户机和CiscoEasyVPN服务器。

ECHO

请参阅ping、ICMP。

eDonkey

也称为eDonkey2000或ED2K，它是一个庞大的对等网文件共享网络。

eDonkey执行"多源文件传输协议"（MFTP）。

EIGRP

增强型内部网关路由协议。

由CiscoSystems开发的IGRP高级版本。

可提供卓越的收敛特性和运行效率，集链路状态协议与距离向量协议的长处于一身。

ERR

事件风险等级。

ERR是用来控制用户努力将错误认证最小化时选择采取的行为的等级。

ESP

封装安全有效负载。

一种IPSec协议，可同时提供数据完整性和数据机密性。

ESP又称为"封装安全有效负载"，可提供机密性、数据起源验证、重放检测、无连接完整性、部分序列完整性以及有限通信流机密性。

ESP_SEAL

采用160位密钥SEAL（软件加密算法）加密算法的ESP。

12.3（7）T中引入了该功能。

要使用该功能，路由器不能启用硬件IPSec加密。

esp-3des

采用168位DES加密算法（3DES或三重DES）的ESP（封装安全有效负载）变换。

esp-des

采用56位DES加密算法的ESP（封装安全有效负载）变换。

ESP-MD5-HMAC

采用MD5变体SHA验证算法的ESP（封装安全有效负载）变换。

esp-null

不提供加密与机密性的ESP（封装安全有效负载）变换。

ESP-SHA-HMAC

采用HMAC变体SHA验证算法的ESP（封装安全有效负载）变换。

F

fasttrack

一种文件共享网络，其中索引功能会动态分配给已连接上的对等项（称为超节点）。

finger

用于确定某人是否具有特定Internet站点帐户的一种软件工具。

许多站点不允许finger请求进入。

FTP

文件传输协议。

TCP/IP协议栈的组成部分，用于在主机之间传输文件。

防火墙

一台或多台路由器或访问服务器，它们被指定作为任意连接公共网络与专用网络之间的缓冲区域。

防火墙路由器使用访问列表和其它方法确保专用网络的安全。

访问控制、访问控制规则

在配置中输入的信息，可以此来指定允许或拒绝何种类型的通信进入某个接口。

默认情况下，拒绝未显式允许的通信。

访问控制规则由访问控制项（ACE）组成。

非对称加密

又称为公用密钥系统，此方法允许任何人获取他人的公用密钥，进而使用该公用密钥向其人发送加密消息。

非对称密钥

一对数学上相关的密钥。

使用公用密钥加密的信息只能通过私有密钥来解密，反之亦然。

另外，只有通过公用密钥才能验证用私有密钥签名的数据。

非否认服务

一种第三方安全服务，用于存储与通信中包括的所有数据的起源和目的地有关的证据，以备今后可能进行检索，但它不存储实际数据。

此证据可用来保护该通信中所有参与者既不受任何已发送了信息而拒绝承认的参与者的侵害，也不受任何已收到信息而拒绝承认的参与者的侵害。

分布式密钥

分成若干部分的共享密钥，每部分提供给不同的参与者。

封装

将数据封装在特定的协议报头中。

例如，以太网数据在经过网络之前被封装在特定的以太网报头中。

另外，在桥接相异网络时，只需将来自一个网络的整个帧置于另一网络的数据链路层协议所使用的报头中即可。

否认

在密码系统中，否认是指某一卷入通信的实体拒绝承认曾全部或部分参与了该次通信。

辐端

在DMVPN网络中，辐路由器是网络中的逻辑端点，与DMVPN集线器路由器具有点对点IPSec连接。

G

gnutella

一种分散型P2P文件共享协议。

使用安装好的Gnutella客户机，用户可以通过Internet搜索、下载和上载文件。

GRE

通用路由封装。

由Cisco开发的通道协议，可在IP通道内封装多种协议数据包类型，同时在IP互联网络之上创建与远点处Cisco路由器的虚拟点对点链路。

通过在单协议主干环境中连接多协议子网，IP通道技术即可利用GRE进行跨单协议主干环境的网络扩展。

G.SHDSL

G.SHDSL也称为G.991.2，是国际电信联盟开发的一种对称DSL国际标准。

G.SHDSL专供用来在一对铜线上以192kbps到2.31Mbps之间的速率发送和接收高速对称数据流。

高速缓存

先前任务执行过程中所累积的可重用信息的临时储存地，这样可以减少执行任务所需的时间。

根CA

终极证书颁发机构（CA），负责签署下属CA的证书。

根CA有一个包含自身公用密钥的自签名证书。

公用密钥加密

在公用密钥加密系统中，每个用户既有公用密钥又有私有密钥。

每个私有密钥由单个用户保留，不与任何人共享。

私有密钥用于生成唯一的数字签名以及对使用公用密钥加密的信息进行解密。

相反，所有人都可以使用用户的公用密钥对专门针对该用户的信息进行加密，或核实该用户的数字签名。

有时称为公用密钥密码术。

共享秘密

一种密钥。

共享密钥

在基于对称密钥的通信会话中所有用户共享的秘密密钥。

规则

以条件语句形式添加到配置中用以定义安全策略的信息，这些语句指示路由器如何针对特定情况作出反应。

H

H.323

一种视频标准，藉此不仅可在局域网（LAN）及其它数据包交换网络上进行视频会议，还可在Internet上传输视频。

HDLC

高级数据链路控制。

由"国际标准化组织"（ISO）开发的面向比特位的同步数据链路层协议。

HDLC针对使用帧字符和校验和的同步串行链路规定了一种数据封装方法。

HMAC

基于散列的消息验证代码。

HMAC是一种使用密码散列函数进行消息验证的机制。

与秘密共享密钥相结合，可将HMAC与任何迭代密码散列函数（如MD5、SHA-1）一同使用。

HMAC的密码强度取决于底层散列函数的特性。

HMAC-MD5

采用MD5的散列消息验证代码（RFC2104）。

带有密钥的MD5版本，使得双方能够使用共享秘密来验证传输信息。

HTTP

HTTP

超文本传输协议、安全超文本传输协议。

Web浏览器和Web服务器用来传输文件（如文本文件和图形文件）的协议。

核实

人员或进程的身份确认。

环回

在环回测试中，信号发送后沿通信路径从某一点折返回其源点。

环回测试常用于确定网络接口的合用性。

会话密钥

只使用一次的密钥。

I

ICMP

Internet控制消息协议。

网路层Internet协议，该协议报告错误并提供与IP数据包处理相关的其它信息。

IDS

入侵检测系统。

CiscoIPS对网络通信执行实时分析以便发现异常和误用，分析时使用一个签名库与通信进行比较。

发现XX的活动或异常时，它可以终止该情况，阻止通信攻击主机，并向IDM发送警报。

IDS传感器

IDS传感器是运行CiscoIDS的硬件。

IDS传感器可以是独立设备，也可以是路由器上安装的网络模块。

IDM

IDS设备管理器。

IDM是用于管理IDS传感器的软件。

IEEE

电气与电子工程师协会。

IETF

Internet工程任务组。

IGMP

Internet组管理协议。

IGMP是IPv4系统用来向邻近多点传送路由器报告IP多点传送成员资格的一种协议。

IKE

Internet密钥交换。

IKE是与IPSec及其它标准联合使用的一种密钥管理协议标准。

可以配置不带IKE的IPSec，但是IKE功能更多、更灵活并且更易于IPSec标准的配置，因而可以增强IPSec。

IKE可提供IPSec对等方验证，协商IPSec密钥，以及协商IPSec安全关联。

每个路由器/防火墙/主机必须先要能够核实其对等方的身份，才能让IPSec通信通过。

这可以通过手动向双方主机输入预共享密钥或者通过CA服务来实现。

IKE是在"Internet安全关联和密钥管理协议"（ISAKMP）框架内实现Oakley密钥交换和Skeme密钥交换的一种混合协议。

（ISAKMP、Oakley和Skeme是由IKE实现的安全协议。

）

IKE简档

可以映射到不同IP安全通道的一组ISAKMP参数。

IKE协商

一种在非安全网络间安全交换私有密钥的方法。

IM

即时通讯。

一种实时通信服务，服务中的双方需同时在线。

常见的IM服务包括Yahoo!

Messenger（YM）、MicrosoftNetworksMessenger和AOLInstantMessenger（AIM）。

IMAP

Internet消息访问协议。

客户端与电子邮件服务器进行通信所使用的一种协议。

IMAP定义于RFC2060中，可使客户端对电子邮件服务器上的消息进行删除、更改状态及其它操作，同时可以对这些消息进行检索。

intranet

内联网。

使用IP和Internet协议如SNMP、FTP和UDP的LAN。

另请参阅网络、Internet。

Internet

使用IP、Internet协议的全球网络。

不是LAN。

另请参阅intranet。

IOS

CiscoIOS软件。

为CiscoFusion体系结构下的所有产品提