1、 网络安全的基本要素主要包括:保密性、完整性、可用性、可鉴别性和不可否认性。
2、 信息泄露与篡改:截获信息、窃听信息、篡改信息和伪造信息。
3、 在Internet中对网络的攻击可以分为2种基本类型,即服务攻击(造成拒绝服务Dos,典型的是SYN)与非服务攻击(对网络层等底层协议进行攻击)。
4、 信息的安全传输包括两个基本部分:(1)对发送的信息进行安全转换(如信息加密),实现信息的保密性。或者附加一些特征信息,以便进行发送方身份验证。(2)发送和接收双方共享的某些信息(如加密密钥),这些信息除了对可信任的第三方外,对于其他用户是保密的。为了信息的安全传输,通常需要一个可信任的第三方。第三方的作用是负责向通信双方发秘密信息,并在双方发生争议时进行仲裁。
5、 设计一个网络安全方案时,需要完成以下四个基本任务:(1)设计一个算法,执行安全相关的转换(2)生成该算法的秘密信息(如密钥)(3)研制秘密信息的分发和共享的方法(4)设定两个责任者使用的协议,利用算法和秘密信息取得安全服务。
6、 P2DR安全模型:策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)。
Add、可信计算机系统评估标准(TCSEC)将计算机系统安全分为4类7个等级,即D、C1、C2、B1、B2、B3、A1.其中D级系统的安全要求最低,A1级系统的安全等级最高。D级为非安全保护类,不能用于多用户环境下的重要信息处理,C类系统是用户能定义访问控制要求的自主保护类型,B级为强制型安全保护类型,用户不能分配权限,只有网络管理员可以为用户分配权限,A1有C3级系统基本一致,在安全审计、安全测试、配置管理等方面提出了更高的要求
7、 备份方法从备份模式来看,可以逻辑备份和物理备份,从备份策略来看可以分为完全备份、增量备份和差异备份。恢复速度由快到慢是完全备份,差异备份、增量备份。备份文件由多到少为完全备份、差异备份、增量备份。
8、 密码学分为密码编码学和密码分析学。
9、 在设计加密系统时,加密算法是可以公开的,真正需要保密的是密钥,对于同一个加密算法,密码的位数越长,破译的难度也就越大,安全性也就越好。
10、 对称加密技术使用相同的密钥对信息进行加密与解密,因此又被称为密钥密码学。当网络中有N个用户相互之间进行加密通信,则需要有N*(N-1)个密钥。数据加密标准DES是典型的对称加密算法,采用64位密钥长度,其中8位用于奇偶校验,用户可以使用其余的56位。
11、非对称加密技术对信息的加密与解密使用不同的密钥,用来加密的密钥是可以公开的,用来解密的私钥是需要保密的,因此又被称为公约加密技术。非对称加密技术可以大大简化密钥的管理,网络中n个用户之间进行通信加密,仅仅需要使用n对(2n个)密钥就可以了。常用的加密算法RSA、DSA、PKCS、PGP等。
12、计算机病毒的主要特征:非授权可执行性、隐蔽性、传染性、潜伏性、表现性或破坏性、可触发性。
13、计算机病毒分类:按寄生方式可以分为引导型病毒(磁盘引导区或主引导区)、文件型病毒和复合型病毒。按照破坏性可以分为良性病毒和恶性病毒。
14、与计算机病毒不同,蠕虫不需要吧自身附加在宿主程序上,而是一个独立的程序,能够主动运行。有两种蠕虫:宿主计算机蠕虫和网络蠕虫。
15、根据防火墙的实现技术,可以将防火墙分为包过滤路由器、应用级网关、应用代理和状态检测。包过滤规则一般是基于部分或全部报文的内容。包过滤路由器有时也被称为屏蔽路由器。
16、多宿主主机是具有多个网络连接口卡的主机,每个网络接口与一个网络连接。由于他具有在不同网络之间交换数据的“路由”能力,因此也被称为“网关”。但是如果将多宿主主机用在应用程序的用户身份认证与服务器请求合法性检查上,那么这一类可以起到防火墙作用的多宿主主机就叫做应用级网关或应用网关。
17、应用代理与应用级网关不同之处在于:应用代理完全接管了用户与服务器的访问,隔离了用户与被访问的服务器之间的数据包的交换通道。而应用级网关采用的是存储转发的方式。
18、防火墙的系统结构分为包过滤路由器结构、双宿主主机结构、屏蔽主机结构和屏蔽子网结构。
19、入侵检测技术可以分为异常检测、误用检测及两种方式的结合。
20、异常检测主要包括基于统计异常检测、基于数据挖掘的异常检测、基于神经网络入侵检测等。
21、按照检测的数据来源,入侵检测系统可以分为:基于主机的入侵检测系统和基于网络的入侵检测系统。
22、入侵防护系统的分类:基于主机的入侵防护系统、基于网络的入侵防护系统(一般串联在防火墙与路由器之间)和应用入侵防护系统。
23、在运行中输入“ntbackup”开启备份使用程序。Windows2003的五种备份方法:副本备份、每日备份、差异备份、增量备份、正常备份。
24、网络版防病毒系统的基本安装对象包括系统中心的安装、服务器端的安装、客户端的安装和管理控制台的安装。安装方式主要有本地安装、客户端安装、Web安装和脚本登录安装。
25、扫描设置通常包括文件类型、扫描病毒类型、优化选项、发现病毒后的处理方式、清除病毒失败后的处理方式、杀毒结束后的处理方式和病毒隔离系统的设置。
26、Cisco PIX 525型防火墙的访问模式:非特权模式(几乎什么都做不了),特权模式(基本信息配置和大部分信息的查看),配置模式(大部分信息的配置),监视模式(系统影像更新、口令恢复等。)
27、outside为外部端口,安全级别为0,inside为内部端口,安全级别为100,安全级别的取值范围为1-99,值越大越安全。
26、入侵检测系统的探测器可以通过三种方式部署在被检测的网络中:(1)网络接口卡与交换设备的监控端口连接,通过交换设备的Span/Mirror功能将流向个端口的数据包复制一份给监控端口,入侵检测传感器从监控端口获取数据包进行分析和处理(流量镜像)。(2)在网络中增加一台集线器改变网络的拓扑结构,通过集线器获得数据包。(3)入侵检测传感器通过一个TAP(分路器)设备对交换式网络中的数据包进行分析和处理。
√ 第十一章 网络管理技术
1、 网络管理系统一般由管理进程(Manager)、被管对象(MO)、代理进程(Agent)、管理信息库(MIB)和网络管理协议(SNMP和CMIP)五部分组成。
2、 网络管理被分为五大部分:配置管理、性能管理、记账管理、故障管理和安全管理。
3、 OSI管理模型由ISO发布,管理站和代理之间通过CMIP相互交换管理信息,通过GDMO标准定义被管对象提供的服务,在这个模型中每一层中都定义有相应的管理功能,它们由层管理实体(LME)来完成。系统管理应用进程(SMAP)通过系统管理接口(SMI)与管理信息库(MIB)与各层的管理系统相联系。CMIP采用面向对象的模型来组织管理信息。这样会形成一个树形结构,其中的每一个结点可以用对象标识符OID描述。CMIP还规定了管理站与代理之间的通信机制。他们之间的信息交换通过发送“协议数据单元(PDU)”完成。通信方式主要有两种:轮询(polling)和事件报告。
4、 SNMP有三个基本组成部分:管理站、代理和MIB,其管理模块是一个Manager/Agent模型。Manager通过SNMP定义的PDU向Agent发出请求,而Agent将得到MIB值通过SNMP协议传送给Manager。与OSI的定义不同之处是,SNMP模型的定义比较简单,并不在每层都定义有管理实体,只在TCP/IP协议层上进行定义。
5、 SNMP有三个版本版本1是最基本最简单也是当前最主要的。版本2不完善。版本3刚推出还没有完全推广。SNMP采用一种分布式的结构。一个管理站可以管理控制多个代理;反之,一个代理也可以被多个管理站所管理、控制、为此,SNMP采用了“团体”这个概念来实现一些简单的安全控制。一个团体由一个代理和若干个管理控制该代理的管理站,它们之间发送、接收报文时必须用团体名进行认证,只有团体名正确、认证通过,报文才能接收。SNMP的管理信息库被称为MIB-2.,其管理对象可以分为两大类:标量对象和表对象。其数据类型中简单类型包括整数(32位)、八个一组的字符和对象标识符。
6、 SNMP的主要操作有获取(get)、设置(set)、通知(notifications)
7、 SNMP与CMIP的比较:
SNMP优点:简单,易于实现、支持广泛、操作原语简捷、性能高。缺点:SNMP建立在无连接的传输协议之上,另外它是非面向对象的,不支持分布式管理。
CMIP 优点:每个变量不仅传递消息,而且还完成一定的网络管理任务,这样可减少管理者的负担并减少网络负载;安全性高,它拥有验证、访问控制和安全日志。缺点:占用资源多、MIB过于复杂,在CMIP之上缺少可一直使用的API以及相应的产品价格高。
两者MIB的定义都采用ASN.1,但是两者的不同点是:(1)SNMP使用广泛,适用于小型设备时成本低、效率高,一般用于计算机网络管理;CMIP适用于大型系统,一般用于电信网络管理。(2)、SNMP采用轮询方式获取信息,而CMIP则采用报告方式。(3)、对传输服务的要求方面,SNMP基于无连接的UDP协议,而CMIP使用面向连接的传输。(4)CMIP采用面向对象的信息建模方式,而SNMP则是用简单的变量表示管理对象。
8、 ICMP工作在网络层,是一种管理协议。当某个源节点发送一个IP数据包,但是目标主机或其所属的网络不可达,或是目标主机虽然可达但协议不可到达,或者端口不可到达,相关路由器或主机上的ICMP会向源节点发出一个“目标不可达(destination unreachable)”的ICMP报文。当某一个源节点发出一个IP数据包,但是目标主机或路由器的缓存已满,只能讲数据包丢弃,则每丢弃一个包的同时,ICMP便向源节点发送一个“源抑制”的ICMP报文。ICMP支持Echo(回送)功能。每一个IP包的包头部分有一个生存期(TTL)字段,如果减少为0则发送(time exceeded)的ICMP报文。当一个主机向自己的缺省网关路由器发送一个IP报文,如果路由器发现有更好的路由,就像源主机发送“重定向”ICMP报文。包头值错误,向源主机发送“参数错误”的ICMP报文,一台主机可以发出一个包含“掩码请求报文的广播报文,缺省路由就发送一个”掩码应答“报文,把子网掩码通知它。
9、 漏洞扫描技术通常也分为基于主机和基于网络的的两种扫描器。公共漏洞和暴漏(CVE)是个行业标准。
10、ipconfig 显示当前TCP/IP网络设置 ;hostname显示当前主机名称;arp 显示和修改arp表;NBTSTAT显示本机与远程计算机的基于TCP/IP的NetBIOS的统计及连接信息;Net 管理网络环境、服务、用户、登录等本地信息;NETSTAT 显示活动的TCP连接、侦听端口、以太网统计信息、IP路由表与IP统计信息。Ping通过发送ICMP报文并监听回应来检查与远程或本地计算机的连接。Tracert通过发送包含不同TTL的ICMP报文并监听回应报文,来探测到达目标计算机的路径。Pathping,结合了ping和tracert的功能,将报文发送到经过的所有路由器,并根据每跳返回的报文进行统计。Route 显示或修改本地IP路由表的条目。
11、设置SNMP服务最重要的是创建或修改对SNMP一个团体的访问控制,它在全局配置模式下执行:(config)#snmp-server community <团体名> [view <视阈名>] [ro|rw] [<访问控制号>]
其中访问控制号为1-99的整数。
12、常见的Dos攻击包括:
(1)smurf攻击:攻击者冒充受害主机的IP地址,向一个大的网络发送echo request的定向广播包,此网络很多主机都会做出回应,受害主机会受到大量的echo reply。
(2)SYN Flooding:利用三次握手过程进行攻击,攻击者主机使用无效的IP地址,与受害主机进行TCP三次握手。在完成第二步后,受害主机就会处于开放会话请求之中,但会话并未真正完成。会话主机必须等待连接超时,之后才清除未完成的会话,在此期间,受害主机将会连续接到这种会话的请求,最终因耗尽用来管理会话的资源而停止响应。
(3)Ddos(分布式拒绝服务攻击):攻击者攻破多个系统,并利用这些系统去几种攻击其他目标。成千上百的主机发送大量的请求,受害设备因为无法处理而拒绝服务。
(4)Ping of Death:通过构造出重组缓冲区大小的异常的ICMP包进行攻击。
(5)TearDrop:通过OS处理分片重叠的漏洞进行攻击
(6)Land攻击:向某个设备发送数据包,并将数据包的源IP和目的IP都设置成攻击目标的地址。
,