网络安全技术期末复习总结.docx

1、网络安全技术期末复习总结公钥基础设施：1 为什么引入PKI：PKI是一种比较完整的网络安全解决方案，能够全面保证信息的完整性，真实性，机密 性和不可否认性。2 什么是PKI：PKI是一种运用弓公钥密码的概念与技术，是一种实施并提供安全服务的具有普适性的 网络安全基础设施。3 信任类型（服务）：(1)身份认证(2)机密性(3)完整性(4)不可抵赖性(5)支持密钥管理4 PKI组成（系统结构）5 认证中心CA：CA是PKI 体系的核心，是PKI的主要组成实体，由可信第三方充当，负责管理密钥和 数字证书的整个生命周期。6 CA的核心功能：（1）证书审批：接收并验证最终用户数字证书的申请，确定是否接收

2、（2）证书颁发：向申请者颁发、拒绝颁发数字证书。（3）证书更新：接收、处理最终用户的数字证书更新请求。（4）证书查询：接收用户对数字证书的查询；提供目录服务，可以查询相关信息。（5）证书撤销：产生和发布证书吊销列表，验证证书状态；（6）证书归档：数字证书归档及历史数据归档。（7）各级CA管理7 注册中心RA：RA是PKI信任体系的重要组成部分，是用户和CA之间的一个接口，是认证机构信任范 围的一种延伸。RA接受用户的注册申请，获取并认证用户的身份，主要完成收集用户 信息和确认用户身份的功能。8 数字证书：数字证书是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身 份，即在In

3、ternet上解决“我是谁”的问题。9 证书的操作流程图P6210 证书管理（构建PKI的核心工作）： 1. 用户申请 2. 证书生成 3. 证书发布 4. 证书验证 5. 证书撤销 6. 证书更新 7. 证书归档 8. 证书存储 9 .证书使用11 证书的申请方式：证书的申请有离线申请方式和在线申请方式两种12 密钥管理：密钥管理也是PKI（主要指CA）中的一个核心问题，主要是指密钥对的安全管理，包括 密钥产生、密钥备份、密钥恢复和密钥更新等。13 信任模型： 1）实际网络环境中不可能只有一个CA， 2）多个认证机构之间的信任关系必须保证:原有的PKI用户不必依赖和信任专一的CA，否 则将无

4、法进行扩展、管理和包含。 3）信任模型建立的目的是确保一个认证机构签发的证书能够被另一个认证机构的用户所 信任。14 常见的信任模型：1）严格层次结构模型2）分布式信任结构模型3）基于Web模型的信任模型4）以用户为中心的信任模型15 层次结构信任模型：图P6616 层次结构模型的建立规则： 1）根CA具有一个自签名的证书。 2）根CA依次为其下级CA颁发证书。每个CA都拥有零个或多个子节点。上层的CA 既可以认证其他CA，也可以直接为终端实体颁发证书，但在实际应用中，为了便 于管理，用于认证下级CA，不为用户认证终端实体。 3）终端实体就是PKI的用户，处于层次模型的叶子节点，其证书由其父节

5、点CA颁发。 对于终端实体而言，它需要信任根CA，中间的CA可以不必关心(透明的) 。 4）层次模型中，除根CA之外的每个节点CA上，至少需要保存两种数字证书。 向上证书：父节点CA发给它的证书； 向下证书: 由它颁发给其他CA或者终端实体的证书。17 层次结构例题：ppt18 优缺点：管理开销小减轻根CA的工作量层次结构与组织的内部结构比较吻合最终实体到信任锚的路径固定，可得在最终实体证书中传送路径可扩展性好世界范围内不可能只有单个根CA。商业和贸易等信任关系不必要采用层次型结构。根CA私钥的泄露的后果非常严重，恢复也十分困难。18 分布式信任模型：分布式信任结构把信任分散在两个或多个CA上

6、，每个CA所在的子系统构成系统的子 集，并且是一个严格的层次结构。19 交叉认证技术：所谓交叉认证就是通过在独立的CA间建立起信任关系，使得它们各自的终端用户建立 起信任关系。交叉认证可以是双向的，也可以是单向的。网络攻击技术1 攻击流程：2 主要攻击方法：1）获取口令2）www欺骗技术3）电子邮件攻击4）网络嗅探5）寻找系统漏洞6）DoS攻击7）缓冲区溢出攻击3 常用端口：TCP：序号 端口号 协议1 20 FTP数据连接2 21 FTP控制连接3 23 TELNET协议4 25 SMTP协议5 80 WWW协议UDP：DNS服务：53SNMP： 161QQ：8000和40004 TCP建立

7、连接和释放： 建立连接：三次握手 释放链接：四次挥手5 常用扫描技术：1、TCP Connect 扫描（全连接扫描）：1）实现原理：通过调用socket函数connect()连接到目标计算机上，完成一次完整 的三次握手过程。如果端口处于侦听状态，那么connect()就能成功返回。 返回-1，则表示端 口关闭。2）优点：稳定可靠，不需要特殊的权限3）缺点：扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录 ，并 容易被防火墙发现和屏蔽2、TCP SYN 扫描（半连接扫描）： 1）实现原理：扫描器向目标主机端口发送SYN包。如果应答是RST包，那么说明 端口是关闭的；如果应答中包含SYN

8、和ACK包，说明目标端口处于监听状态， 再传送一个RST包给目标机从而停止建立连接。由于在SYN扫描时，全连接尚 未建立，所以这种技术通常被称为半连接扫描 2）优点：隐蔽性较全连接扫描好，一般系统对这种半扫描很少记录 3）缺点：通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用3、TCP FIN扫描（秘密扫描）：打开的端口:数据包则被简单的丢掉，并不返回任何信息关闭的端口: 数据包会被丢掉，并且回返回一RST数据包4、分段扫描 原理：并不直接发送TCP探测数据包，是将数据包分成两个较小的IP段，这样就将 一个TCP头分成好几个数据包，从而包过滤器就很难探测到 优点：隐蔽性好，可穿越

9、防火墙 缺点：可能被丢弃，某些程序在处理这些小数据包时可能会出现异常5、UDP ICMP端口不能到达扫描许多主机在用户向一个未打开的UDP端口发送一个数据包时，会返回一个 ICMP_PORT_UNREACH错误，通过这个就能判断哪个端口是关闭的。6、FTP代理扫描（FTP反弹扫描） 文件传输协议（FTP）允许数据连接与控制连接位于不同的机器上，并支持代理FTP 连接。FTP代理扫描正是利用了这个缺陷，使用支持代理的FTP服务器来扫描TCP 端口。这种扫描方式又被称为FTP反弹扫描（FTP Bounce Attack）。 优点：FTP代理扫描不但难以跟踪，而且可以穿越防火墙 缺点：一些ftp s

10、erver禁止这种特性6 端口扫描的对策： 1）设置防火墙过滤规则，阻止对端口的扫描 2）使用入侵检测系统 3）禁止所有不必要的服务，把自己的暴露程度降到最低7 网络嗅探原理：利用计算机网络接口在他方未察觉的情况下捕获其通信报文或通信内容的技术8 缓冲区溢出原理：构建数据超出缓冲区大小，引起溢出，导致系统异常9 DoS攻击技术：拒绝服务攻击（Denial of Service，DoS ）攻击是通过向服务器、主机发送大量的服务请 求，用大量的数据包“淹没”目标主机，迫使目标主机疲于处理这些垃圾数据，或造成 程序缓冲区溢出错误，而无法向合法用户提供正常服务的一种攻击。10 直接攻击：Ping Fl

11、ood ,SYN Flood ,UDP Flood ,电子邮件炸弹，恶意访问攻击，ping of death ； 反射攻击：Smurf ,Land11 分布式拒绝服务攻击：分布式拒绝服务攻击是利用DoS攻击方式，通过大量主机同时攻击某一个目标，造成 目标无法正常工作。计算机病毒：1、计算机病毒的定义：指编制或在计算机程序中插入的破坏计算机功能或毁坏 数据，影响计算机使用，并能自我复制的一组计算机指令后者程序代码2、计算机病毒的特征：破坏性，隐蔽性，潜伏性，传染性3、计算机病毒的三大机制：感染机制，触发机制，破坏机制4、网络蠕虫的定义：可以独立运行，并能把自身的一个包含的所有功能的版本 传播到另

12、外的计算机上，自我复制5、网络蠕虫的攻击机制：信息收集，攻击渗透，现场处理6、蠕虫的特征：主动攻击造成网络拥塞，消耗系统资源，反复性，破坏性7、木马的定义：是非授权的远程控制程序，是一种恶意程序，是一种基于远程控制的黑客工具(无传染性)8、木马的特点：隐蔽性，自动运行，欺骗性，自动恢复，功能的特殊性9、木马的关键技术：植入技术，自动加载技术，隐藏技术，监控技术操作系统安全：1、访问控制的三要素：客体，主体，访问策略2、基本的访问控制策略：自助访问控制，强制访问控制，基于角色的访问控制3、自主访问控制DAC：资源的所有者可以对资源的访问进行控制，任意规定谁可以访问其资源，也可自主的直接或间接的将

13、权限传给其他体4、强制访问控制(基于规则的访问控制)MAC：每个主体及客体都被赋予一定的安全级别，通过比较主体和访问客体的安全级别来决定主体是否可以访问改客体5、基于角色的访问控制RBAC：将对象的访问权限分配给特定的角色，主体通过扮演不同的角色获得该角色拥有的权限6、基于角色的访问控制五个特点：角色作为访问控制的主体，角色继承，最小特权原则，职责分离，角色容量限制7、Lattice：主体的安全级别高于客体的安全级别才能访问，下读下写。BLP：Biba：数据安全：1、存储的核心技术：磁盘阵列2、RATD优点：更大容量，更高效率，更高可靠性3、存储的三种模式：直接连接存储DAS，存储区域网络SA

14、N，网络连接存储NAS4、备份的概念：备份就是针对应用系统的一个或多个完整的数据拷贝当应用系统出现问题时，可以随时从备份中恢复需要的数据5、备份的类型：全备份，增量备份，差异备份6、备份的策略：完全备份，增量备份，差量备份，按需备份还原时，差异备份还原的时间消耗比增量少，但是备份时花的时间多。7、RAID0 1 3 5 10 0+1RAID级别采用技术读/写速度最少硬盘磁盘利用率容错性能RAID0数据条带化H/H21无RAID1磁盘镜像H/L20.5有，允许单个出错RAID3数据条带化加奇偶校验盘H/H3n-1/n有，允许单个出错RAID5数据条带化加奇偶校验盘，分布在各盘H/H3n-1/n有

15、，允许单个出错RAID10数据条带化加磁盘镜像H/H40.5有RAID0+1H/H40.5有防火墙：1、防火墙：防火墙是指设置在不同网络之间，比如可信任的内部网和不可信的公共网，或者不同网络安全域之间的软硬件系统组合。2、NAT分类：静态，动态，PAT3、防火墙的作用：1）隔离不同网络、2）创建要塞点、3）报警和审计、4）强化网络安全策略，5）提供集成功能4、防火墙的局限性：1)不能抵御不经过防火墙的攻击、2)不能防雨“穿墙技术”、3)依赖于安全策略、4)内网瓶颈问题、5)无法控制对病毒文件的传输5、防火墙的技术与分类：1）包过滤防火墙(简单包过滤和状态监测包过滤)2）代理服务防火墙(电路级网

16、关、应用级网关、自适应代理)6、简单包过滤原理： 1）管理员在防火墙设置的访问控制列表ACL中设置过滤规则 2）根据系统内设置的过滤规则来检查所有进出防火墙的数据包包头信息 3）根据检查结果允许或者拒绝数据包通过7、状态监测包过滤原理： 1）对于新建立的连接，首先检查预先设置的安全规则，允许符合规则的连接 通过，并记录下该链接的相关信息，生成状态表 2）对该链接的后续数据包，只要是符合状态表的就可以通过8、防火墙的体系结构：1）包过滤防火墙(组成：路由器)、2）双宿主机防火墙(双宿堡垒主机)、3）屏蔽主机防火墙(路由器与堡垒主机)、4）屏蔽子网防火墙(内部路由器，外部路由器，堡垒主机，DMZ隔

17、离区)入侵检测：1、入侵监测系统IDS的定义：IDS是通过计算机网络或计算机系统的若干关键点收集信息并对其进行分析从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种技术2、入侵检测技术及分类：按数据来源分为：1）基于主机的入侵检测系统HIDS2）基于网络的入侵检测系统NIDS；按分析方法分为：1）误用检测2）异常检测IPSEC&vVPN1、定义：IPSec是一种开放标准的框架结构，特定的通信方之间在IP 层通过加密和数据摘要(hash)等手段，来保证数据包在Internet 网上传输时的私密性、完整性和真实性。2. 3个协议1）IKE (Internet Key Exchang

18、e密钥交换协议 2）AH (Authentication Header认证头3）ESP (Encapsulating Security Payload封装安全载荷 )3. 两个模式1）传输模式（对IP包载荷的保护）2）隧道模式（对整个IP包提供保护）4. 一个核心SA安全关联：安全关联（SA）是两个IPSec实体之间经过协商建立起来的一种协定。在双方通信之前建立的一个安全信道， 即 ：认证、加密算法及其参数、密钥5、典型隧道协议：层次典型隧道协议2层L2TP、PPTP、L2F2.5MPLS多协议标签交换3IPSEC、GRE高层SOCKS、SSL、TLS、SMIME6、VPN的定义：VPN (Virtual Private Network，虚拟专用网)就是利用开放的公众网络建立逻辑的专用数据传输通道，将远程的分支机构或合作伙伴、移动办公人员等连接起来。7、隧道技术：隧道技术通过对数据进行封装，在公共网络上建立一条数据通道，让数据包传输。3. VPN 中的角色： CE (Custom Edge Router)，用户边缘路由器，直接与运营商网络相连 PE (Provider Edge Router)，运营商边缘路由器，与CE相连，主要负责VPN业务的接入。 P (Provider Router)：运营商核心路由器，主要完成路由和快速转发功能