網(wǎng)絡(luò)安全技術(shù)期末復(fù)習(xí)總結(jié)

1、公鑰基礎(chǔ)設(shè)施：1 為什么引入PKI：PKI是一種比較完整的網(wǎng)絡(luò)安全解決方案，能夠全面保證信息的完整性，真實(shí)性，機(jī)密性和不可否認(rèn)性。2 什么是PKI：PKI是一種運(yùn)用弓公鑰密碼的概念與技術(shù)，是一種實(shí)施并提供安全服務(wù)的具有普適性的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。3 信任類型（服務(wù)）：(1) 身份認(rèn)證(2) 機(jī)密性(3) 完整性(4) 不可抵賴性(5) 支持密鑰管理4 PKI組成（系統(tǒng)結(jié)構(gòu)）5 認(rèn)證中心CA：CA是PKI 體系的核心，是PKI的主要組成實(shí)體，由可信第三方充當(dāng)，負(fù)責(zé)管理密鑰和數(shù)字證書的整個(gè)生命周期。6 CA的核心功能：（1） 證書審批：接收并驗(yàn)證最終用戶數(shù)字證書的申請(qǐng)，確定是否接收（2）證書頒發(fā)：向

2、申請(qǐng)者頒發(fā)、拒絕頒發(fā)數(shù)字證書。（3）證書更新：接收、處理最終用戶的數(shù)字證書更新請(qǐng)求。（4）證書查詢：接收用戶對(duì)數(shù)字證書的查詢；提供目錄服務(wù)，可以查詢相關(guān)信息。（5）證書撤銷：產(chǎn)生和發(fā)布證書吊銷列表，驗(yàn)證證書狀態(tài)；（6）證書歸檔：數(shù)字證書歸檔及歷史數(shù)據(jù)歸檔。（7）各級(jí)CA管理7 注冊(cè)中心RA：RA是PKI信任體系的重要組成部分，是用戶和CA之間的一個(gè)接口，是認(rèn)證機(jī)構(gòu)信任范圍的一種延伸。RA接受用戶的注冊(cè)申請(qǐng)，獲取并認(rèn)證用戶的身份，主要完成收集用戶信息和確認(rèn)用戶身份的功能。8 數(shù)字證書：數(shù)字證書是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來(lái)在網(wǎng)絡(luò)通訊中識(shí)別通訊各方的身份，即在Internet上解決“我是

3、誰(shuí)”的問(wèn)題。9 證書的操作流程圖P6210 證書管理（構(gòu)建PKI的核心工作）：ü1. 用戶申請(qǐng)ü2. 證書生成ü3. 證書發(fā)布ü4. 證書驗(yàn)證ü5. 證書撤銷ü6. 證書更新ü7. 證書歸檔ü8. 證書存儲(chǔ)ü9 .證書使用11 證書的申請(qǐng)方式：證書的申請(qǐng)有離線申請(qǐng)方式和在線申請(qǐng)方式兩種12 密鑰管理：密鑰管理也是PKI（主要指CA）中的一個(gè)核心問(wèn)題，主要是指密鑰對(duì)的安全管理，包括密鑰產(chǎn)生、密鑰備份、密鑰恢復(fù)和密鑰更新等。13 信任模型：1）實(shí)際網(wǎng)絡(luò)環(huán)境中不可能只有一個(gè)CA，2）多個(gè)認(rèn)證機(jī)構(gòu)之間的信任關(guān)系必

4、須保證:原有的PKI用戶不必依賴和信任專一的CA，否則將無(wú)法進(jìn)行擴(kuò)展、管理和包含。3）信任模型建立的目的是確保一個(gè)認(rèn)證機(jī)構(gòu)簽發(fā)的證書能夠被另一個(gè)認(rèn)證機(jī)構(gòu)的用戶所信任。14 常見的信任模型：1）嚴(yán)格層次結(jié)構(gòu)模型2）分布式信任結(jié)構(gòu)模型3）基于Web模型的信任模型4）以用戶為中心的信任模型15 層次結(jié)構(gòu)信任模型：圖P6616 層次結(jié)構(gòu)模型的建立規(guī)則：ü1）根CA具有一個(gè)自簽名的證書。ü2）根CA依次為其下級(jí)CA頒發(fā)證書。每個(gè)CA都擁有零個(gè)或多個(gè)子節(jié)點(diǎn)。上層的CA既可以認(rèn)證其他CA，也可以直接為終端實(shí)體頒發(fā)證書，但在實(shí)際應(yīng)用中，為了便于管理，用于認(rèn)證下級(jí)CA，不為用戶認(rèn)證終端實(shí)體。

5、ü3）終端實(shí)體就是PKI的用戶，處于層次模型的葉子節(jié)點(diǎn)，其證書由其父節(jié)點(diǎn)CA頒發(fā)。對(duì)于終端實(shí)體而言，它需要信任根CA，中間的CA可以不必關(guān)心(透明的) 。ü4）層次模型中，除根CA之外的每個(gè)節(jié)點(diǎn)CA上，至少需要保存兩種數(shù)字證書。向上證書：父節(jié)點(diǎn)CA發(fā)給它的證書；向下證書: 由它頒發(fā)給其他CA或者終端實(shí)體的證書。17 層次結(jié)構(gòu)例題：ppt18 優(yōu)缺點(diǎn)：管理開銷小減輕根CA的工作量層次結(jié)構(gòu)與組織的內(nèi)部結(jié)構(gòu)比較吻合最終實(shí)體到信任錨的路徑固定，可得在最終實(shí)體證書中傳送路徑可擴(kuò)展性好世界范圍內(nèi)不可能只有單個(gè)根CA。商業(yè)和貿(mào)易等信任關(guān)系不必要采用層次型結(jié)構(gòu)。根CA私鑰的泄露的后果非常嚴(yán)

6、重，恢復(fù)也十分困難。18 分布式信任模型：分布式信任結(jié)構(gòu)把信任分散在兩個(gè)或多個(gè)CA上，每個(gè)CA所在的子系統(tǒng)構(gòu)成系統(tǒng)的子集，并且是一個(gè)嚴(yán)格的層次結(jié)構(gòu)。19 交叉認(rèn)證技術(shù)：所謂交叉認(rèn)證就是通過(guò)在獨(dú)立的CA間建立起信任關(guān)系，使得它們各自的終端用戶建立起信任關(guān)系。交叉認(rèn)證可以是雙向的，也可以是單向的。網(wǎng)絡(luò)攻擊技術(shù)1 攻擊流程：2 主要攻擊方法：1）獲取口令2）www欺騙技術(shù)3）電子郵件攻擊4）網(wǎng)絡(luò)嗅探5）尋找系統(tǒng)漏洞6）DoS攻擊7）緩沖區(qū)溢出攻擊3 常用端口：TCP：序號(hào) 端口號(hào) 協(xié)議120 FTP數(shù)據(jù)連接2 21 FTP控制連接3 23 TELNET協(xié)議4 25 SMTP協(xié)議5 80 WWW協(xié)議U

7、DP：DNS服務(wù)：53SNMP：161QQ：8000和40004 TCP建立連接和釋放：n建立連接：三次握手n釋放鏈接：四次揮手5 常用掃描技術(shù)：1、TCP Connect 掃描（全連接掃描）：1）實(shí)現(xiàn)原理：通過(guò)調(diào)用socket函數(shù)connect()連接到目標(biāo)計(jì)算機(jī)上，完成一次完整的三次握手過(guò)程。如果端口處于偵聽狀態(tài)，那么connect()就能成功返回。返回-1，則表示端口關(guān)閉。2）優(yōu)點(diǎn)：穩(wěn)定可靠，不需要特殊的權(quán)限3）缺點(diǎn)：掃描方式不隱蔽，服務(wù)器日志會(huì)記錄下大量密集的連接和錯(cuò)誤記錄 ，并容易被防火墻發(fā)現(xiàn)和屏蔽2、TCP SYN 掃描（半連接掃描）：1）實(shí)現(xiàn)原理：掃描器向目標(biāo)主機(jī)端口發(fā)送SYN包

8、。如果應(yīng)答是RST包，那么說(shuō)明端口是關(guān)閉的；如果應(yīng)答中包含SYN和ACK包，說(shuō)明目標(biāo)端口處于監(jiān)聽狀態(tài)，再傳送一個(gè)RST包給目標(biāo)機(jī)從而停止建立連接。由于在SYN掃描時(shí)，全連接尚未建立，所以這種技術(shù)通常被稱為半連接掃描n2）優(yōu)點(diǎn)：隱蔽性較全連接掃描好，一般系統(tǒng)對(duì)這種半掃描很少記錄n3）缺點(diǎn)：通常構(gòu)造SYN數(shù)據(jù)包需要超級(jí)用戶或者授權(quán)用戶訪問(wèn)專門的系統(tǒng)調(diào)用3、 TCP FIN掃描（秘密掃描）：打開的端口:數(shù)據(jù)包則被簡(jiǎn)單的丟掉，并不返回任何信息關(guān)閉的端口: 數(shù)據(jù)包會(huì)被丟掉，并且回返回一RST數(shù)據(jù)包4、分段掃描 原理：并不直接發(fā)送TCP探測(cè)數(shù)據(jù)包，是將數(shù)據(jù)包分成兩個(gè)較小的IP段，這樣就將一個(gè)TCP頭分成好

9、幾個(gè)數(shù)據(jù)包，從而包過(guò)濾器就很難探測(cè)到 優(yōu)點(diǎn)：隱蔽性好，可穿越防火墻 缺點(diǎn)：可能被丟棄，某些程序在處理這些小數(shù)據(jù)包時(shí)可能會(huì)出現(xiàn)異常5、 UDP ICMP端口不能到達(dá)掃描許多主機(jī)在用戶向一個(gè)未打開的UDP端口發(fā)送一個(gè)數(shù)據(jù)包時(shí)，會(huì)返回一個(gè)ICMP_PORT_UNREACH錯(cuò)誤，通過(guò)這個(gè)就能判斷哪個(gè)端口是關(guān)閉的。6、FTP代理掃描（FTP反彈掃描）n文件傳輸協(xié)議（FTP）允許數(shù)據(jù)連接與控制連接位于不同的機(jī)器上，并支持代理FTP連接。FTP代理掃描正是利用了這個(gè)缺陷，使用支持代理的FTP服務(wù)器來(lái)掃描TCP端口。這種掃描方式又被稱為FTP反彈掃描（FTP Bounce Attack）。n優(yōu)點(diǎn)：FTP代理掃

10、描不但難以跟蹤，而且可以穿越防火墻n缺點(diǎn)：一些ftp server禁止這種特性6 端口掃描的對(duì)策： 1）設(shè)置防火墻過(guò)濾規(guī)則，阻止對(duì)端口的掃描 2）使用入侵檢測(cè)系統(tǒng) 3）禁止所有不必要的服務(wù)，把自己的暴露程度降到最低7 網(wǎng)絡(luò)嗅探原理：利用計(jì)算機(jī)網(wǎng)絡(luò)接口在他方未察覺(jué)的情況下捕獲其通信報(bào)文或通信內(nèi)容的技術(shù)8 緩沖區(qū)溢出原理：構(gòu)建數(shù)據(jù)超出緩沖區(qū)大小，引起溢出，導(dǎo)致系統(tǒng)異常9 DoS攻擊技術(shù)：拒絕服務(wù)攻擊（Denial of Service，DoS ）攻擊是通過(guò)向服務(wù)器、主機(jī)發(fā)送大量的服務(wù)請(qǐng)求，用大量的數(shù)據(jù)包“淹沒(méi)”目標(biāo)主機(jī)，迫使目標(biāo)主機(jī)疲于處理這些垃圾數(shù)據(jù)，或造成程序緩沖區(qū)溢出錯(cuò)誤，而無(wú)法向合法用戶提

11、供正常服務(wù)的一種攻擊。10 直接攻擊：Ping Flood ,SYN Flood ,UDP Flood ,電子郵件炸彈，惡意訪問(wèn)攻擊，ping of death ； 反射攻擊：Smurf ,Land11 分布式拒絕服務(wù)攻擊：分布式拒絕服務(wù)攻擊是利用DoS攻擊方式，通過(guò)大量主機(jī)同時(shí)攻擊某一個(gè)目標(biāo)，造成目標(biāo)無(wú)法正常工作。計(jì)算機(jī)病毒：1、 計(jì)算機(jī)病毒的定義：指編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令后者程序代碼2、計(jì)算機(jī)病毒的特征：破壞性，隱蔽性，潛伏性，傳染性3、計(jì)算機(jī)病毒的三大機(jī)制：感染機(jī)制，觸發(fā)機(jī)制，破壞機(jī)制4、網(wǎng)絡(luò)蠕蟲的定義：可以獨(dú)立運(yùn)

12、行，并能把自身的一個(gè)包含的所有功能的版本傳播到另外的計(jì)算機(jī)上，自我復(fù)制5、網(wǎng)絡(luò)蠕蟲的攻擊機(jī)制：信息收集，攻擊滲透，現(xiàn)場(chǎng)處理6、蠕蟲的特征：主動(dòng)攻擊造成網(wǎng)絡(luò)擁塞，消耗系統(tǒng)資源，反復(fù)性，破壞性7、木馬的定義：是非授權(quán)的遠(yuǎn)程控制程序，是一種惡意程序，是一種基于遠(yuǎn)程控制的黑客工具(無(wú)傳染性)8、木馬的特點(diǎn)：隱蔽性，自動(dòng)運(yùn)行，欺騙性，自動(dòng)恢復(fù)，功能的特殊性9、木馬的關(guān)鍵技術(shù)：植入技術(shù)，自動(dòng)加載技術(shù)，隱藏技術(shù)，監(jiān)控技術(shù)操作系統(tǒng)安全：1、 訪問(wèn)控制的三要素：客體，主體，訪問(wèn)策略2、 基本的訪問(wèn)控制策略：自助訪問(wèn)控制，強(qiáng)制訪問(wèn)控制，基于角色的訪問(wèn)控制3、 自主訪問(wèn)控制DAC：資源的所有者可以對(duì)資源的訪問(wèn)進(jìn)行控

13、制，任意規(guī)定誰(shuí)可以訪問(wèn)其資源，也可自主的直接或間接的將權(quán)限傳給其他體4、 強(qiáng)制訪問(wèn)控制(基于規(guī)則的訪問(wèn)控制)MAC：每個(gè)主體及客體都被賦予一定的安全級(jí)別，通過(guò)比較主體和訪問(wèn)客體的安全級(jí)別來(lái)決定主體是否可以訪問(wèn)改客體5、 基于角色的訪問(wèn)控制RBAC：將對(duì)象的訪問(wèn)權(quán)限分配給特定的角色，主體通過(guò)扮演不同的角色獲得該角色擁有的權(quán)限6、 基于角色的訪問(wèn)控制五個(gè)特點(diǎn)：角色作為訪問(wèn)控制的主體，角色繼承，最小特權(quán)原則，職責(zé)分離，角色容量限制7、 Lattice：主體的安全級(jí)別高于客體的安全級(jí)別才能訪問(wèn)，下讀下寫。BLP：Biba：數(shù)據(jù)安全：1、 存儲(chǔ)的核心技術(shù)：磁盤陣列2、 RATD優(yōu)點(diǎn)：更大容量，更高效率，

14、更高可靠性3、 存儲(chǔ)的三種模式：直接連接存儲(chǔ)DAS，存儲(chǔ)區(qū)域網(wǎng)絡(luò)SAN，網(wǎng)絡(luò)連接存儲(chǔ)NAS4、 備份的概念：備份就是針對(duì)應(yīng)用系統(tǒng)的一個(gè)或多個(gè)完整的數(shù)據(jù)拷貝當(dāng)應(yīng)用系統(tǒng)出現(xiàn)問(wèn)題時(shí)，可以隨時(shí)從備份中恢復(fù)需要的數(shù)據(jù)5、 備份的類型：全備份，增量備份，差異備份6、 備份的策略：完全備份，增量備份，差量備份，按需備份還原時(shí)，差異備份還原的時(shí)間消耗比增量少，但是備份時(shí)花的時(shí)間多。7、 RAID0 1 3 5 10 0+1RAID級(jí)別采用技術(shù)讀/寫速度最少硬盤磁盤利用率容錯(cuò)性能RAID0數(shù)據(jù)條帶化H/H21無(wú)RAID1磁盤鏡像H/L20.5有，允許單個(gè)出錯(cuò)RAID3數(shù)據(jù)條帶化加奇偶校驗(yàn)盤H/H3n-1/n有，

15、允許單個(gè)出錯(cuò)RAID5數(shù)據(jù)條帶化加奇偶校驗(yàn)盤，分布在各盤H/H3n-1/n有，允許單個(gè)出錯(cuò)RAID10數(shù)據(jù)條帶化加磁盤鏡像H/H40.5有RAID0+1H/H40.5有防火墻：1、 防火墻：防火墻是指設(shè)置在不同網(wǎng)絡(luò)之間，比如可信任的內(nèi)部網(wǎng)和不可信的公共網(wǎng)，或者不同網(wǎng)絡(luò)安全域之間的軟硬件系統(tǒng)組合。2、 NAT分類：靜態(tài)，動(dòng)態(tài)，PAT3、 防火墻的作用：1） 隔離不同網(wǎng)絡(luò)、2） 創(chuàng)建要塞點(diǎn)、3） 報(bào)警和審計(jì)、4） 強(qiáng)化網(wǎng)絡(luò)安全策略，5） 提供集成功能4、 防火墻的局限性：1) 不能抵御不經(jīng)過(guò)防火墻的攻擊、2) 不能防雨“穿墻技術(shù)”、3) 依賴于安全策略、4) 內(nèi)網(wǎng)瓶頸問(wèn)題、5) 無(wú)法控制對(duì)病毒文件

16、的傳輸5、 防火墻的技術(shù)與分類：1） 包過(guò)濾防火墻(簡(jiǎn)單包過(guò)濾和狀態(tài)監(jiān)測(cè)包過(guò)濾)2） 代理服務(wù)防火墻(電路級(jí)網(wǎng)關(guān)、應(yīng)用級(jí)網(wǎng)關(guān)、自適應(yīng)代理)6、簡(jiǎn)單包過(guò)濾原理： 1）管理員在防火墻設(shè)置的訪問(wèn)控制列表ACL中設(shè)置過(guò)濾規(guī)則 2）根據(jù)系統(tǒng)內(nèi)設(shè)置的過(guò)濾規(guī)則來(lái)檢查所有進(jìn)出防火墻的數(shù)據(jù)包包頭信息 3）根據(jù)檢查結(jié)果允許或者拒絕數(shù)據(jù)包通過(guò)7、狀態(tài)監(jiān)測(cè)包過(guò)濾原理： 1）對(duì)于新建立的連接，首先檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并記錄下該鏈接的相關(guān)信息，生成狀態(tài)表 2）對(duì)該鏈接的后續(xù)數(shù)據(jù)包，只要是符合狀態(tài)表的就可以通過(guò)8、 防火墻的體系結(jié)構(gòu)：1） 包過(guò)濾防火墻(組成：路由器)、2） 雙宿主機(jī)防火墻(雙宿

17、堡壘主機(jī))、3） 屏蔽主機(jī)防火墻(路由器與堡壘主機(jī))、4） 屏蔽子網(wǎng)防火墻(內(nèi)部路由器，外部路由器，堡壘主機(jī)，DMZ隔離區(qū))入侵檢測(cè)：1、入侵監(jiān)測(cè)系統(tǒng)IDS的定義：IDS是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種技術(shù)2、入侵檢測(cè)技術(shù)及分類：按數(shù)據(jù)來(lái)源分為：1）基于主機(jī)的入侵檢測(cè)系統(tǒng)HIDS2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)NIDS；按分析方法分為：1） 誤用檢測(cè)2） 異常檢測(cè)IPSEC&vVPN1、 定義：IPSec是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，特定的通信方之間在IP 層通過(guò)加密和數(shù)據(jù)摘要(hash)等手段，來(lái)保

18、證數(shù)據(jù)包在Internet 網(wǎng)上傳輸時(shí)的私密性、完整性和真實(shí)性。2. 3個(gè)協(xié)議1）IKE (Internet Key Exchange密鑰交換協(xié)議 2）AH (Authentication Header認(rèn)證頭3）ESP (Encapsulating Security Payload封裝安全載荷 )3. 兩個(gè)模式1）傳輸模式（對(duì)IP包載荷的保護(hù)）2）隧道模式（對(duì)整個(gè)IP包提供保護(hù)）4. 一個(gè)核心SA安全關(guān)聯(lián)：安全關(guān)聯(lián)（SA）是兩個(gè)IPSec實(shí)體之間經(jīng)過(guò)協(xié)商建立起來(lái)的一種協(xié)定。在雙方通信之前建立的一個(gè)安全信道， 即 ：認(rèn)證、加密算法及其參數(shù)、密鑰5、 典型隧道協(xié)議：層次典型隧道協(xié)議2層L2TP、PPTP、L2F2.5MPLS多協(xié)議標(biāo)簽交換3IPSEC、GRE高層SOCKS、SSL、TLS、SMIME6、 VPN的定義：VPN (Virtual