網(wǎng)絡(luò)安全復(fù)習(xí)筆記

1、學(xué)習(xí)必備歡迎下載第一章1信息安全是防止對(duì)知識(shí)、事實(shí)、數(shù)據(jù)或能力非授權(quán)使用、誤用、篡改或拒絕使用所采取的措施（量度）。2網(wǎng)絡(luò)安全是在分布網(wǎng)絡(luò)環(huán)境中，對(duì)信息載體（處理載體、存儲(chǔ)載體、傳輸載體）和信息的處理、傳輸、存儲(chǔ)、訪(fǎng)問(wèn)提供安全保護(hù)，以防止數(shù)據(jù)、信息內(nèi)容或能力被非授權(quán)使用、篡改或拒絕服務(wù)。3計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患1)IP安全:口令竊聽(tīng)、IP欺騙、路由攻擊：2)DNS安全3)拒絕服務(wù)（DenialofService,DoS）攻擊:發(fā)送SYN信息分組、郵件炸彈：4)分布式拒絕服務(wù)（DistributedDenialofService,DDoS）攻擊4網(wǎng)絡(luò)安全具有三個(gè)基本屬性1)機(jī)密性（保密性）是指保證

2、信息與信息系統(tǒng)不被非授權(quán)者所獲取與使用，主要防范措施是密碼技術(shù)2)完整性是指信息是真實(shí)可信的，其發(fā)布者不被冒充，來(lái)源不被偽造，內(nèi)容不被篡改，主要防范措施是校驗(yàn)與認(rèn)證技術(shù)3)可用性是指保證信息與信息系統(tǒng)可被授權(quán)人正常使用，主要防范措施是確保信息與信息系統(tǒng)處于一個(gè)可靠的運(yùn)行狀態(tài)之下5網(wǎng)絡(luò)安全模型為了在開(kāi)放網(wǎng)絡(luò)環(huán)境中保護(hù)信息的傳輸，需要提供安全機(jī)制和安全服務(wù)，主要包含兩個(gè)部分：一部分是對(duì)發(fā)送的信息進(jìn)行與安全相關(guān)的轉(zhuǎn)換，另一部分是由兩個(gè)主體共享的秘密信息，而對(duì)開(kāi)放網(wǎng)絡(luò)是保密的。在設(shè)計(jì)網(wǎng)絡(luò)安全系統(tǒng)時(shí)，該網(wǎng)絡(luò)安全模型應(yīng)完成4個(gè)基本任務(wù)：1)設(shè)計(jì)一個(gè)算法以實(shí)現(xiàn)和安全有關(guān)的轉(zhuǎn)換。2)產(chǎn)生一個(gè)秘密信息用于設(shè)計(jì)的

3、算法。3)開(kāi)發(fā)一個(gè)分發(fā)和共享秘密信息的方法。4)確定兩個(gè)主體使用的協(xié)議，用于使用秘密算法與秘密信息以得到特定的安全服務(wù)。6網(wǎng)絡(luò)訪(fǎng)問(wèn)安全模型黑客攻擊可以形成兩類(lèi)威脅：信息訪(fǎng)問(wèn)威脅、服務(wù)威脅7信息安全分成3個(gè)階段1)通信安全的主要目的是解決數(shù)據(jù)傳輸?shù)陌踩珕?wèn)題，主要的措施是密碼技術(shù)2)計(jì)算機(jī)安全的主要目的是解決計(jì)算機(jī)信息載體及其運(yùn)行的安全問(wèn)題，主要的措施是根據(jù)主、客體的安全級(jí)別，正確實(shí)施主體對(duì)客體的訪(fǎng)問(wèn)控制3)網(wǎng)絡(luò)安全的主要目的是解決在分布網(wǎng)絡(luò)環(huán)境中對(duì)信息載體及其運(yùn)行提供的安全保護(hù)問(wèn)題，主要的措施是提供完整的信息安全保障體系，包括防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)。8對(duì)稱(chēng)密鑰密碼技術(shù)從加密模式上可分為兩類(lèi)：序列

4、密碼和分組密碼。序列密碼：RC4分組密碼：DES、IDEA、AES公鑰算法：RSA第二章1.風(fēng)險(xiǎn)分析是對(duì)需要保護(hù)的資產(chǎn)及其受到的潛在威脅進(jìn)行鑒別的過(guò)程，險(xiǎn)是威脅和漏洞（脆弱性）的組合，正確的風(fēng)險(xiǎn)分析是保證網(wǎng)絡(luò)環(huán)境安全的極其重要的一步。2.資產(chǎn)的類(lèi)型一般可分成以下4類(lèi)：物理資源、知識(shí)資源、時(shí)間資源、信譽(yù)（感覺(jué)）資源3.網(wǎng)絡(luò)安全最終是一個(gè)折中的方案，需要對(duì)危害和降低危害的代價(jià)進(jìn)行權(quán)衡：用戶(hù)的方便程度、管理的復(fù)雜性、對(duì)現(xiàn)有系統(tǒng)的影響、對(duì)不同平臺(tái)的支持。4.安全屬性來(lái)看，攻擊類(lèi)型分為4類(lèi)：阻斷攻擊截取攻擊篡改攻擊偽造攻擊。從攻擊方式學(xué)習(xí)必備歡迎下載來(lái)看，攻擊類(lèi)型可分為被動(dòng)攻擊和主動(dòng)攻擊。從攻擊目的和效

5、果將攻擊類(lèi)型分為：訪(fǎng)問(wèn)攻擊篡改攻擊拒絕服務(wù)攻擊否認(rèn)攻擊，拒絕服務(wù)攻擊主要是針對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)。否認(rèn)攻擊是針對(duì)信息的可審性進(jìn)行的5.風(fēng)險(xiǎn)管理：從本質(zhì)上講，安全就是風(fēng)險(xiǎn)管理，漏洞和威脅是測(cè)定風(fēng)險(xiǎn)的兩個(gè)組成部分。風(fēng)險(xiǎn)是威脅和漏洞的綜合結(jié)果，沒(méi)有漏洞的威脅沒(méi)有風(fēng)險(xiǎn)，沒(méi)有威脅的漏洞也沒(méi)有風(fēng)險(xiǎn)，風(fēng)險(xiǎn)的度量是要確定事件發(fā)生的可能性和造成的損失。第三章1.信息策略定義一個(gè)組織內(nèi)的敏感信息以及如何保護(hù)敏感信息。包括：識(shí)別敏感信息，信息分類(lèi)，敏感信息標(biāo)記，敏感信息存儲(chǔ)，敏感信息傳輸，敏感信息銷(xiāo)毀2.安全策略?xún)蓚€(gè)主要任務(wù)：確定安全的實(shí)施，使員工的行動(dòng)一致第四章1.機(jī)密性服務(wù)機(jī)密性服務(wù)提供信息的保密。機(jī)密性服務(wù)能對(duì)

6、抗訪(fǎng)問(wèn)攻擊。機(jī)密性服務(wù)必須和可審性服務(wù)配合工作。機(jī)密性服務(wù)應(yīng)考慮信息所在的形式和狀態(tài)2.完整性服務(wù)完整性服務(wù)提供信息的正確性。正確地使用完整性服務(wù)，可使用戶(hù)確信信息是正確的，未經(jīng)非授權(quán)者修改過(guò)。完整性服務(wù)必須和可審性服務(wù)配合工作。完整性服務(wù)應(yīng)考慮信息所在的形式和狀態(tài)。完整性服務(wù)可阻止篡改攻擊和否認(rèn)攻擊。3.可用性服務(wù)可用性服務(wù)提供的信息是可用的?？捎眯允购戏ㄓ脩?hù)能訪(fǎng)問(wèn)計(jì)算機(jī)系統(tǒng)，存取該系統(tǒng)上的信息，運(yùn)行各種應(yīng)用程序?？捎眯赃€提供兩個(gè)計(jì)算機(jī)系統(tǒng)之間可用的傳輸信息的通信系統(tǒng)?？捎眯苑?wù)可用來(lái)減少拒絕服務(wù)攻擊的影響，使系統(tǒng)得以在線(xiàn)恢復(fù)、正常運(yùn)行。4.可審性服務(wù)可審性服務(wù)本身并不能針對(duì)攻擊提供保護(hù)，必

7、須和其他安全服務(wù)結(jié)合?？蓪徯苑?wù)會(huì)增加系統(tǒng)的復(fù)雜性，降低系統(tǒng)的使用能力。如果沒(méi)有可審性服務(wù)，機(jī)密性服務(wù)和完整性服務(wù)也會(huì)失效。.身份認(rèn)證技術(shù)口令技術(shù)采用物理形式的身份認(rèn)證標(biāo)記進(jìn)行身份認(rèn)證的鑒別技術(shù)身份認(rèn)證協(xié)議身份認(rèn)證協(xié)議一般有兩個(gè)通信方，可能還會(huì)有一個(gè)雙方都信任的第三方參與進(jìn)行。身份認(rèn)證協(xié)議可分為以下幾類(lèi)：會(huì)話(huà)密鑰：傳統(tǒng)密鑰共享密鑰認(rèn)證公鑰認(rèn)證審計(jì)功能可審性的另一個(gè)重要功能是審計(jì)。審計(jì)提供歷史事件的記錄。數(shù)字簽名數(shù)字簽名是通信雙方在網(wǎng)上交換信息用公鑰密碼防止偽造和欺騙的一種身份認(rèn)證。學(xué)習(xí)必備歡迎下載數(shù)字簽名的作用：保證信息完整性；提供信息發(fā)送者的身份認(rèn)證。數(shù)字簽名的特征必須能夠驗(yàn)證

8、作者及其簽名的日期時(shí)間必須能夠認(rèn)證簽名時(shí)刻的內(nèi)容簽名必須能夠由第三方驗(yàn)證，以解決爭(zhēng)議數(shù)字簽名分類(lèi)數(shù)字簽名的執(zhí)行方式直接數(shù)字簽名：數(shù)字簽名的執(zhí)行過(guò)程只有通信雙方參與，弱點(diǎn)：方案的有效性取決于發(fā)方私鑰的安全性仲裁數(shù)字簽名數(shù)字簽名算法：RSA，DSS/DSA，ElGamal9.消息摘要消息X和已簽名的消息摘要D(H)合在一起是不可偽造的，是可檢驗(yàn)的和不可否認(rèn)的。消息摘要算法常用的散列函數(shù)有MD5、SHA-1消息摘要算法是精心選擇的一種單向函數(shù)10.Kerberos鑒別是一種使用對(duì)稱(chēng)密鑰加密算法來(lái)實(shí)現(xiàn)通過(guò)可信第三方密鑰分發(fā)中心的身份認(rèn)證系統(tǒng)。提供網(wǎng)絡(luò)通信方之間相互的身份認(rèn)證手段。Kerberos使用兩

9、個(gè)服務(wù)器：鑒別服務(wù)器（AuthenticationServer,AS）、憑據(jù)授予服務(wù)器（Ticket-GrantingServer,TGS）。到目前共有5個(gè)版本。1、2、3版為實(shí)驗(yàn)室版。第4、5版得到廣泛應(yīng)用。第5版和第4版基本原理一致，只對(duì)第4版做了部分改進(jìn)。11.公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure,PKI）是在分布式計(jì)算機(jī)系統(tǒng)中提供的使用公鑰密碼系統(tǒng)和X.509證書(shū)安全服務(wù)的基礎(chǔ)設(shè)施。主要任務(wù)是在開(kāi)放環(huán)境中為開(kāi)放性業(yè)務(wù)提供基于公開(kāi)密鑰技術(shù)的一系列安全服務(wù)，包括身份證書(shū)和密鑰管理、機(jī)密性、完整性、身份認(rèn)證和數(shù)字簽名等。PKI提供的基本服務(wù)認(rèn)證：采用數(shù)字簽

10、名技術(shù)，簽名作用于相應(yīng)的數(shù)據(jù)之上完整性：數(shù)字簽名：既可以是實(shí)體認(rèn)證，也可以是數(shù)據(jù)完整性保密性：用公鑰分發(fā)隨機(jī)密鑰，然后用隨機(jī)密鑰對(duì)數(shù)據(jù)加密不可否認(rèn)性：發(fā)送方的不可否認(rèn)數(shù)字簽名，接受方的不可否認(rèn)收條+數(shù)字簽名12.訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制是確定來(lái)訪(fǎng)實(shí)體有否訪(fǎng)問(wèn)權(quán)以及實(shí)施訪(fǎng)問(wèn)權(quán)限的過(guò)程。訪(fǎng)問(wèn)控制表（AccessControlList,ACL）按行存儲(chǔ)矩陣。權(quán)利表（Capability）按列存儲(chǔ)矩陣。訪(fǎng)問(wèn)控制分類(lèi)根據(jù)能夠控制的訪(fǎng)問(wèn)對(duì)象粒度可以分為：粗粒度訪(fǎng)問(wèn)控制，中粒度訪(fǎng)問(wèn)控制，細(xì)粒度訪(fǎng)問(wèn)控制根據(jù)訪(fǎng)問(wèn)控制策略的不同，訪(fǎng)問(wèn)控制可以分為：自主訪(fǎng)問(wèn)控制，強(qiáng)制訪(fǎng)問(wèn)控制，基于角色的訪(fǎng)問(wèn)控制學(xué)習(xí)必備歡迎下載第五章1.系

11、統(tǒng)安全體系結(jié)構(gòu)可信系統(tǒng)體系結(jié)構(gòu)要素包括定義主體和客體的子集、可信計(jì)算基、安全邊界、基準(zhǔn)監(jiān)控器和安全內(nèi)核、安全域、資源隔離、安全策略和最小特權(quán)在計(jì)算機(jī)系統(tǒng)中全部保護(hù)機(jī)制的組合定義為可信計(jì)算基（trustedcomputingbase,TCB）。TCB涉及硬件、軟件和固件。2.網(wǎng)絡(luò)體系結(jié)構(gòu)的觀點(diǎn))ISO7498-2標(biāo)準(zhǔn)定義了5類(lèi)安全服務(wù)、8種特定的安全機(jī)制、5種普遍性安全機(jī)制OSI安全體系結(jié)構(gòu)的5類(lèi)安全服務(wù):鑒別（對(duì)等實(shí)體鑒別，數(shù)據(jù)原發(fā)鑒別），訪(fǎng)問(wèn)控制，數(shù)據(jù)機(jī)密性（連接機(jī)密性，無(wú)連接機(jī)密性，選擇字段機(jī)密性，通信業(yè)務(wù)流機(jī)密性），數(shù)據(jù)完整性(帶恢復(fù)的連接完整性，無(wú)恢復(fù)的連接完整性，選擇字段的連接完整性

12、，無(wú)連接完整性，選擇字段無(wú)連接完整性，抗否認(rèn)（有數(shù)據(jù)原發(fā)證明的抗否認(rèn)，有交付證明的抗否認(rèn)）普遍性安全機(jī)制：可信功能度，安全標(biāo)記，事件檢測(cè)，安全審計(jì)跟蹤，安全恢復(fù)特定的安全機(jī)制：加密機(jī)制，數(shù)字簽名機(jī)制，訪(fǎng)問(wèn)控制機(jī)制，數(shù)據(jù)完整性機(jī)制，交換鑒別機(jī)制，業(yè)務(wù)流量填充機(jī)制，路由控制機(jī)制，公證機(jī)制安全特性是基于ISO7498-2的5種安全服務(wù)，包括鑒別、訪(fǎng)問(wèn)控制、數(shù)據(jù)機(jī)密性、第六章數(shù)據(jù)完整性、抗否認(rèn)。1.物理網(wǎng)絡(luò)風(fēng)險(xiǎn)及安全攻擊包括：竊聽(tīng)回答（重放）插入拒絕服務(wù)（DoS）2.局域網(wǎng)LAN的安全攻擊類(lèi)型破壞干擾故意攻擊防御方法：防火墻特權(quán)區(qū)LAN連接DMZ：DMZ是在LAN和WAN之間的一個(gè)隔離的網(wǎng)段，DMZ對(duì)

13、網(wǎng)絡(luò)安全提供3個(gè)關(guān)鍵的好處：限制數(shù)據(jù)流、限制物理連接以及監(jiān)控訪(fǎng)問(wèn)點(diǎn)3.無(wú)線(xiàn)網(wǎng)絡(luò)安全無(wú)線(xiàn)網(wǎng)風(fēng)險(xiǎn)分組嗅測(cè)：無(wú)線(xiàn)網(wǎng)攻擊的最簡(jiǎn)單方式。無(wú)線(xiàn)網(wǎng)上的數(shù)據(jù)流本質(zhì)上是一總線(xiàn)結(jié)構(gòu)服務(wù)集標(biāo)識(shí)SSID信息：SSID通常設(shè)置為一個(gè)公司名、家庭名或街道地址。這種數(shù)據(jù)類(lèi)型能被潛在的攻擊者破壞假冒寄生者直接安全漏洞風(fēng)險(xiǎn)緩解的方法SSID打標(biāo)簽，不使SSID廣播，天線(xiàn)放置，MAC過(guò)濾，WEP，其他密碼系統(tǒng)，網(wǎng)絡(luò)體系結(jié)構(gòu)4.數(shù)據(jù)鏈路層風(fēng)險(xiǎn)及安全數(shù)據(jù)鏈路層風(fēng)險(xiǎn)隨意模式：隨意模式攻擊：隨意模式通常用于網(wǎng)絡(luò)分析和查錯(cuò)工具，但是攻擊者也能利用該模式進(jìn)行攻擊。隨意模式的檢測(cè)方法：使用ARP檢測(cè)連接隨意模式，使用ICMP檢測(cè)隨意模式，使用

14、DNS檢測(cè)隨意模式負(fù)載攻擊，地址攻擊，幀外數(shù)據(jù)，轉(zhuǎn)換通道，物理風(fēng)險(xiǎn)數(shù)據(jù)鏈路層風(fēng)險(xiǎn)緩解方法：硬編碼，數(shù)據(jù)鏈路身份鑒別，高層身份鑒別，分析器和工具5.PPP和SLIP的風(fēng)險(xiǎn)：身份鑒別，雙向通信，用戶(hù)教育學(xué)習(xí)必備歡迎下載6.MAC和ARP的風(fēng)險(xiǎn)：MAC的風(fēng)險(xiǎn)：硬件框架攻擊，偽裝攻擊，負(fù)載攻擊ARP受損的影響：資源攻擊，DoS攻擊，中間人攻擊（MitM攻擊）緩解ARP的受損：硬編碼ARP表，ARP過(guò)期，過(guò)濾ARP回答，鎖住ARP表交換機(jī)攻擊：交換機(jī)中毒攻擊，交換機(jī)淹沒(méi)攻擊7.網(wǎng)絡(luò)層風(fēng)險(xiǎn)及安全路由風(fēng)險(xiǎn);直接路由器攻擊,路由表中毒，路由表淹沒(méi)，路由度量攻擊，路由器環(huán)路攻擊地址機(jī)制的風(fēng)險(xiǎn)：假地址，地址攔截，

15、假釋放攻擊，假的動(dòng)態(tài)分配分段的風(fēng)險(xiǎn)：丟失分段攻擊，最大的不分段大小，分段重組網(wǎng)絡(luò)層安全：安全協(xié)議，網(wǎng)絡(luò)不兼容能力，體系結(jié)構(gòu)，安全過(guò)濾，防火墻和出口過(guò)濾IP風(fēng)險(xiǎn)：地址沖突，IP攔截，回答攻擊，分組風(fēng)暴，分段攻擊，轉(zhuǎn)換通道IP安全可選方案：禁用ICMP，非路由地址，網(wǎng)絡(luò)地址轉(zhuǎn)換NAT，反向NAT，IP過(guò)濾，出口過(guò)濾，IPSec，IPv6匿名：網(wǎng)絡(luò)匿名是阻止識(shí)別連接的參與者。網(wǎng)絡(luò)匿名有3個(gè)不同屬性：源匿名、目的匿名和鏈路匿名。第七章1.傳輸層核心功能傳輸層定義網(wǎng)絡(luò)層和面向應(yīng)用層之間的接口，從應(yīng)用層抽象連網(wǎng)功能，包括連接管理、分組組裝和服務(wù)識(shí)別，傳輸層有兩個(gè)核心成分，即傳輸層端口和序列。傳輸層風(fēng)險(xiǎn):緩

16、解對(duì)TCP攻擊的方法:改變系統(tǒng)框架,阻斷攻擊指向,識(shí)別網(wǎng)絡(luò)設(shè)備,狀態(tài)分組檢驗(yàn),入侵檢測(cè)系統(tǒng)（IDS）,入侵防御系統(tǒng)（IPS），高層協(xié)議UDP風(fēng)險(xiǎn):非法的進(jìn)入源,UDP攔截，UDP保持存活攻擊，UDPSmurf攻擊，UDP偵察2.安全套接字層SSLSSL分為兩層，上面是SSL協(xié)商層，雙方通過(guò)協(xié)商約定有關(guān)加密的算法、進(jìn)行身份鑒別等；下面是SSL記錄層，它把上層的數(shù)據(jù)經(jīng)分段、壓縮后加密，由傳輸層傳送出去。SSL采用公鑰方式進(jìn)行身份鑒別，但大量數(shù)據(jù)傳輸仍使用對(duì)稱(chēng)密鑰方式。通過(guò)雙方協(xié)商，SSL可支持多種身份鑒別、加密和檢驗(yàn)算法同網(wǎng)絡(luò)層安全機(jī)制相比，傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對(duì)進(jìn)程的（而不是

17、主機(jī)對(duì)主機(jī)的）安全服務(wù)和加密傳輸信道，利用公鑰體系進(jìn)行身份鑒別，安全強(qiáng)度高，支持用戶(hù)選擇的加密算法3.DNS風(fēng)險(xiǎn)及緩解方法直接風(fēng)險(xiǎn)無(wú)身份鑒別的響應(yīng)DNS緩存受損ID盲目攻擊破壞DNS分組技術(shù)風(fēng)險(xiǎn)DNS域攔截DNS服務(wù)器攔截：DNS攔截通常發(fā)生的兩種情況，即系統(tǒng)被破壞或IP攔截更新持續(xù)時(shí)間動(dòng)態(tài)DNS社會(huì)風(fēng)險(xiǎn)相似的主機(jī)名自動(dòng)名字實(shí)現(xiàn)學(xué)習(xí)必備歡迎下載社會(huì)工程域更新緩解風(fēng)險(xiǎn)的方法直接威脅緩解：補(bǔ)丁，內(nèi)部和外部域分開(kāi)，限制域的轉(zhuǎn)換，鑒別的域轉(zhuǎn)換，有限的緩沖間隔，拒絕不匹配的回答技術(shù)威脅的緩解：加固服務(wù)器，防火墻偵察威脅的緩解：限制提供DNS信息，限制域轉(zhuǎn)換，限制請(qǐng)求，去除反向查找，分開(kāi)內(nèi)部和外部域，去除

18、額外信息，隱藏版本社會(huì)威脅緩解：鎖住域，使用有效聯(lián)系，不間斷支持，自己主持優(yōu)化DNS配置確定可信的回答4.SMTP郵件風(fēng)險(xiǎn)偽裝報(bào)頭及垃圾郵件中繼和攔截SMTP和DNS低層協(xié)議E-mail的倫理問(wèn)題5.HTTP風(fēng)險(xiǎn)URL漏洞：主機(jī)名求解攻擊，主機(jī)偽裝，統(tǒng)一資源標(biāo)識(shí)符（URI）偽裝，剪切和拼接，濫用查詢(xún)，SQL插入，跨站腳本常見(jiàn)的HTTP風(fēng)險(xiǎn)：無(wú)身份鑒別的客戶(hù)，無(wú)身份鑒別的服務(wù)器，客戶(hù)端隱私，信息泄露，服務(wù)器定位輪廓，訪(fǎng)問(wèn)操作系統(tǒng)，低層協(xié)議，不安全的應(yīng)用程序第八章6.防火墻防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過(guò)濾封鎖機(jī)制，內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴(lài)的，而外部網(wǎng)絡(luò)（通常是Internet）被認(rèn)為是不安全

19、和不可信賴(lài)的。防火墻的作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過(guò)邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全政策。防火墻的功能：訪(fǎng)問(wèn)控制功能內(nèi)容控制功能全面的日志功能集中管理功能自身的安全和可用性附加功能：流量控制，NAT，VPN防火墻的局限性不能防范不經(jīng)防火墻的攻擊。不能防止感染病毒的軟件或文件的傳輸。不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。不能防止內(nèi)部用戶(hù)的破壞。不能防備不斷更新的攻擊防火墻的分類(lèi)從實(shí)現(xiàn)技術(shù)方式，可分為包過(guò)濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻、代理防火墻和狀態(tài)檢測(cè)防火墻。從形態(tài)上，可分為軟件防火墻和硬件防火墻。包過(guò)濾技術(shù)是防火墻根據(jù)數(shù)據(jù)包中包頭信息有選擇地實(shí)施允許通過(guò)或阻斷。核心是安學(xué)習(xí)必備歡迎下載全

20、策略即過(guò)濾規(guī)則的設(shè)計(jì)。應(yīng)用網(wǎng)關(guān)技術(shù)是建立在應(yīng)用層上的協(xié)議過(guò)濾，針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過(guò)濾協(xié)議，且能夠?qū)?shù)據(jù)包進(jìn)行分析并形成相關(guān)的報(bào)告。代理服務(wù)器是運(yùn)行在防火墻主機(jī)上的專(zhuān)門(mén)的應(yīng)用程序或者服務(wù)器程序被屏蔽子網(wǎng)體系結(jié)構(gòu)的優(yōu)點(diǎn)入侵者必須突破3個(gè)不同的設(shè)備（而且外部網(wǎng)絡(luò)無(wú)法探測(cè)到）才能非法入侵內(nèi)部網(wǎng)絡(luò)、外部路由器、堡壘主機(jī)，還有內(nèi)部路由器。網(wǎng)絡(luò)管理員就可以保證內(nèi)部網(wǎng)絡(luò)是“不可見(jiàn)”的，并且只有在DMZ網(wǎng)絡(luò)上選定的服務(wù)才對(duì)Internet開(kāi)放。內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往Internet，保證了內(nèi)部網(wǎng)絡(luò)上的用戶(hù)必須通過(guò)駐留在堡壘主機(jī)上的代理服務(wù)才能訪(fǎng)問(wèn)Internet。包過(guò)濾路由器直接將數(shù)據(jù)引向D

21、MZ網(wǎng)絡(luò)上所指定的系統(tǒng)，消除了堡壘主機(jī)雙重宿主的必要。能夠支持比雙重宿主堡壘主機(jī)更大的數(shù)據(jù)包吞吐量。NAT（網(wǎng)絡(luò)地址變換）可以安裝在堡壘主機(jī)上，從而避免在內(nèi)部網(wǎng)絡(luò)上重新編址或重新劃分子網(wǎng)。在數(shù)據(jù)包過(guò)濾規(guī)則中有兩種基本的安全策略：默認(rèn)接受和默認(rèn)拒絕，默認(rèn)拒絕應(yīng)該是更安全的第九章1.VPNVPN有3種類(lèi)型：AccessVPN（遠(yuǎn)程訪(fǎng)問(wèn)VPN）、IntranetVPN（企業(yè)內(nèi)部VPN，網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN）和ExtranetVPN（企業(yè)擴(kuò)展VPN）VPN的優(yōu)點(diǎn)：降低成本，易于擴(kuò)展，保證安全密碼技術(shù)是實(shí)現(xiàn)VPN的關(guān)鍵核心技術(shù)之一隧道技術(shù)通過(guò)對(duì)數(shù)據(jù)進(jìn)行封裝，在公共網(wǎng)絡(luò)上建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過(guò)

22、這條隧道傳輸?shù)诙铀淼绤f(xié)議有以下幾種：L2F，PPTP，L2TP第三層隧道協(xié)議有以下幾種：IPSec,GRE無(wú)論何種隧道協(xié)議，其數(shù)據(jù)包格式都是由乘客協(xié)議、封裝協(xié)議和傳輸協(xié)議3部分組成的。根據(jù)隧道的端點(diǎn)是用戶(hù)計(jì)算機(jī)還是撥號(hào)接入服務(wù)器，隧道可以分為兩種：自愿隧道（VoluntaryTunnel）強(qiáng)制隧道（CompulsoryTunnel）自愿隧道是最普遍使用的隧道類(lèi)型,創(chuàng)建自愿隧道的前提是客戶(hù)端和服務(wù)器之間要有一條IP連接（通過(guò)局域網(wǎng)或撥號(hào)線(xiàn)路）?？蛻?hù)端計(jì)算機(jī)可以通過(guò)發(fā)送VPN請(qǐng)求來(lái)配置和創(chuàng)建一條自愿隧道強(qiáng)制隧道由支持VPN的撥號(hào)接入服務(wù)器來(lái)配置和創(chuàng)建。用戶(hù)端的計(jì)算機(jī)不作為隧道端點(diǎn)，而是由位于客戶(hù)

23、計(jì)算機(jī)和隧道服務(wù)器之間的撥號(hào)接入服務(wù)器作為隧道客戶(hù)端，成為隧道的一個(gè)端點(diǎn)。能夠代替客戶(hù)端計(jì)算機(jī)來(lái)創(chuàng)建隧道的網(wǎng)絡(luò)設(shè)備包括支持PPTP協(xié)議的FEP（Front-EndProcessor，前端處理器）、支持L2TP協(xié)議的LAC（L2TPAccessConcentrator，L2TP接入集中器）或支持IPSec的安全I(xiàn)P網(wǎng)關(guān)。自愿隧道技術(shù)為每個(gè)客戶(hù)創(chuàng)建獨(dú)立的隧道，而強(qiáng)制隧道中FEP和隧道服務(wù)器之間建立的隧道可以被多個(gè)撥號(hào)客戶(hù)共享，而不必為每個(gè)客戶(hù)建立一條新的隧道。PPTP協(xié)議提供了PPTP客戶(hù)端和PPTP服務(wù)器之間的加密通信。PPTP客戶(hù)端和服務(wù)器之間的報(bào)文有兩種：控制報(bào)文負(fù)責(zé)PPTP隧道的建立、維護(hù)

24、和斷開(kāi)；數(shù)據(jù)報(bào)文負(fù)責(zé)傳輸用戶(hù)的真正數(shù)據(jù)學(xué)習(xí)必備歡迎下載L2TP主要由LAC和LNS構(gòu)成，LAC支持客戶(hù)端的L2TP，它用于發(fā)起呼叫，接收呼叫和建立隧道；LNS是所有隧道的終點(diǎn)。L2TP客戶(hù)端和服務(wù)器之間的報(bào)文也有兩種：控制報(bào)文和數(shù)據(jù)報(bào)文。這兩種報(bào)文均采用UDP協(xié)議封裝和傳送PPP幀。PPP幀的有效載荷即用戶(hù)傳輸數(shù)據(jù)，可以經(jīng)過(guò)加密和/或壓縮。在GRE中，乘客協(xié)議就是上面這些被封裝的協(xié)議，封裝協(xié)議就是GRE，傳輸協(xié)議就是IP。GRE只提供封裝，既不進(jìn)行加密，也不進(jìn)行驗(yàn)證，因此通常與其他安全協(xié)議結(jié)合使用。第十章1.IPSec安全體系結(jié)構(gòu)IPSec不是一個(gè)單獨(dú)的協(xié)議，而是一組協(xié)議。IPSec在IPv6

25、中是必須支持的，而在IPv4中是可選的。IPSec的功能：作為一個(gè)隧道協(xié)議實(shí)現(xiàn)了VPN通信，保證數(shù)據(jù)來(lái)源可靠，保證數(shù)據(jù)完整性，保證數(shù)據(jù)機(jī)密性IPSec包含了3個(gè)最重要的協(xié)議：AH、ESP和IKE。AH為IP數(shù)據(jù)包提供3種服務(wù)：無(wú)連接的數(shù)據(jù)完整性驗(yàn)證、數(shù)據(jù)源身份認(rèn)證和防重放攻擊。ESP除了為IP數(shù)據(jù)包提供AH已有的3種服務(wù)外，還提供另外兩種服務(wù)：數(shù)據(jù)包加密、數(shù)據(jù)流加密。IKE協(xié)議負(fù)責(zé)密鑰管理，定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會(huì)話(huà)密鑰的方法。IKE將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟（SA）中，供AH和ESP以后通信時(shí)使用。SA（SecurityAssociation，安全聯(lián)盟）

26、是兩個(gè)IPSec實(shí)體（主機(jī)、安全網(wǎng)關(guān)）之間經(jīng)過(guò)協(xié)商建立起來(lái)的一種協(xié)定。SA是單向的，進(jìn)入（inbound）SA負(fù)責(zé)處理接收到的數(shù)據(jù)包，外出（outbound）SA負(fù)責(zé)處理要發(fā)送的數(shù)據(jù)包。每個(gè)SA由三元組唯一標(biāo)識(shí)IPSec有兩種運(yùn)行模式：傳輸模式（TransportMode）和隧道模式（TunnelMode）。AH和ESP都支持這兩種模式，因此有4種可能的組合：傳輸模式的AH、隧道模式的AH、傳輸模式的ESP和隧道模式的ESP。傳輸模式要保護(hù)的內(nèi)容是IP包的載荷，傳輸模式為上層協(xié)議提供安全保護(hù)。通常情況下，傳輸模式只用于兩臺(tái)主機(jī)之間的安全通信隧道模式保護(hù)的內(nèi)容是整個(gè)原始IP包，隧道模式為IP協(xié)議

27、提供安全保護(hù)。通常情況下，只要IPSec雙方有一方是安全網(wǎng)關(guān)或路由器，就必須使用隧道模式。MAC算法將一段給定的任意長(zhǎng)度的報(bào)文和一個(gè)密鑰作為輸入，產(chǎn)生一個(gè)固定長(zhǎng)度的輸出報(bào)文，稱(chēng)為報(bào)文摘要或者指紋。AH傳輸模式：被AH驗(yàn)證的區(qū)域是整個(gè)IP包（可變字段除外），包括IP包頭部，因此源IP地址、目的IP地址是不能修改的，否則會(huì)被檢測(cè)出來(lái)。AH在傳輸模式下和NAT是沖突的，不能同時(shí)使用，或者可以說(shuō)AH不能穿越NAT。AH隧道模式：在隧道模式中，AH插入到原始IP頭部字段之前，然后在AH之前再增加一個(gè)新的IP頭部。隧道模式下，AH驗(yàn)證的范圍也是整個(gè)IP包，因此AH和NAT的沖突在隧道模式下也存在。ESP協(xié)

28、議除了可以提供無(wú)連接的完整性、數(shù)據(jù)來(lái)源驗(yàn)證和抗重放攻擊服務(wù)之外，還提供數(shù)據(jù)包加密和數(shù)據(jù)流加密服務(wù)。ESP協(xié)議提供數(shù)據(jù)完整性和數(shù)據(jù)來(lái)源驗(yàn)證的原理和AH一樣，也是通過(guò)驗(yàn)證算法實(shí)現(xiàn)。ESP協(xié)議規(guī)定了所有IPSec系統(tǒng)必須實(shí)現(xiàn)的驗(yàn)證算法：HMAC-MD5、HMAC-SHA1、NULL。NULL認(rèn)證算法是指實(shí)際不進(jìn)行認(rèn)證。ESP的加密采用的是對(duì)稱(chēng)密鑰加密算法。ESP協(xié)議規(guī)定了所有IPSec系統(tǒng)都必須實(shí)現(xiàn)的算法：DES-CBC、NULL。NULL加密算法是指實(shí)際不進(jìn)行加密。ESP協(xié)議規(guī)定加密和認(rèn)證不能同時(shí)為NULL。學(xué)習(xí)必備歡迎下載傳輸模式保護(hù)的是IP包的載荷，ESP插入到IP頭部（含選項(xiàng)字段）之后，任何

29、被IP協(xié)議所封裝的協(xié)議（如傳輸層協(xié)議TCP、UDP、ICMP，或者IPSec協(xié)議）之前。如果使用了加密，SPI和序號(hào)字段不能被加密。如果使用了驗(yàn)證，驗(yàn)證數(shù)據(jù)也不會(huì)被加密，因?yàn)槿绻枰狤SP的驗(yàn)證服務(wù)，那么接收端會(huì)在進(jìn)行任何后續(xù)處理（例如檢查重放、解密）之前進(jìn)行先驗(yàn)證。SP的驗(yàn)證不會(huì)對(duì)整個(gè)IP包進(jìn)行驗(yàn)證，IP包頭部（含選項(xiàng)字段）不會(huì)被驗(yàn)證。因此，ESP不存在像AH那樣的和NAT模式?jīng)_突的問(wèn)題。除了ESP頭部之外，任何IP頭部字段都可以修改，只要保證其校驗(yàn)和計(jì)算正確，接收端就不能檢測(cè)出這種修改。ESP頭部包含SPI和序列號(hào)字段。ESP尾部包含填充、填充長(zhǎng)度和下一個(gè)頭字段ESP隧道模式：隧道模式保護(hù)

30、的是整個(gè)IP包，對(duì)整個(gè)IP包進(jìn)行加密。ESP插入到原IP頭部（含選項(xiàng)字段）之前，在ESP之前再插入新的IP頭部。ESP頭部含有SPI和序號(hào)字段；ESP尾部含有填充、填充頭部和下一個(gè)頭字段；如果選用了驗(yàn)證，ESP的驗(yàn)證數(shù)據(jù)字段中包含了驗(yàn)證數(shù)據(jù)。ESP頭部和ESP驗(yàn)證數(shù)據(jù)字段不被加密。在隧道模式中，內(nèi)部IP頭部被加密和驗(yàn)證。外部IP頭部既不被加密也不被驗(yàn)證，不被加密是因?yàn)槁酚善餍枰@些信息來(lái)為其尋找路由；不被驗(yàn)證是為了能適用于NAT等情況。隧道模式下對(duì)整個(gè)原始IP包進(jìn)行驗(yàn)證和加密，可以提供數(shù)據(jù)流加密服務(wù)；而ESP在傳輸模式下不能提供流加密服務(wù)，因?yàn)樵?、目的IP地址不被加密SAKMP只是為SA的屬性和協(xié)商、修改、刪除SA的方法提供了一個(gè)通用的框架，并