复 习 资 料
第一章网络安全概述
?
网络的安全隐患主要体现在下列四个方面:1.病毒、木马和恶意软件的入侵、2.黑客的攻击、3. 网上传输数据的不安全性、4. 非授权的访问
网络安全设计原则:1.综合性和整体性原则、2.需求、风险、代价平衡的原则、3.一致性原则、4.等级性原则、5.易操作性原则、6.分步实施原则、7.技术与管理相结合的原则
?
第二章病毒、蠕虫和木马的清除与预防
?
计算机病毒的主要特点:1.未经授权执行、2.隐蔽性、3.传染性、4. 潜伏性、5.破坏性、6.不可预见性 ?
病毒的生命周期可以分为如下四个阶段:(1)休眠阶段、(2)传播阶段、(3)触发阶段、(4)执行阶段 按照病毒存在的载体分类:(1)文件型病毒、(2)引导区病毒、(3)网络蠕虫病毒、(4)混合类病毒 ?
按照病毒传染的方法可分为四类:入侵型病毒、嵌入式病毒、外壳类病毒和病毒生产机
计算机病毒的发展趋势:(1)病毒与黑客技术结合、(2)蠕虫病毒更加泛滥、(3)病毒破坏性更大、(4)制作病毒的方法更简单、(5)病毒传播速度更快、(6)病毒的基础与查杀更困难 ?
蠕虫病毒是一种常见的计算机病毒,它传播的机理是利用网络进行复制和传播,传染的途径是通过网络、电子邮件以及U盘、移动硬盘的移动存储设备。 蠕虫病毒由两部分组成:一个主程序和一个引导程序。
木马的组成:1、硬件部分:包括服务器端(目标计算机)、控制端(攻击者的计算机)和连接服务器端与控制端的网络。2、软件部分:包括服务器端程序(隐藏安装于目标计算机中)、控制端程序(攻击者用来连接和控制服务器端行为的客户端程序)和木马配置程序(设置木马端口号、触发条件、隐藏方式等)三部分。3、网络连接:木马攻击的网络可以是局域网,也可以是Internet 之类的广域网。 ?
木马的攻击原理:1、配置木马、2、传播木马、3、运行木马、4、盗取信息、5、建立连接、6、远程运行
?
?
? ?
第三章黑客攻击及其防御
?
黑客是非法的入侵者,一般技术高超,熟悉系统漏洞,具有操作系统和保持方面的高级知识。黑客攻击的实质是利用被攻击计算机的系统漏洞,通过网络命令和专用软件进入
1
对方系统实施攻击。 ?
黑客攻击的类型主要有以下几种:1)利用监听嗅探技术获取对方网络上传输的有用信息。2)利用拒绝服务攻击,是目标网络暂时或永久性瘫痪。3)利用网络协议上存在的漏洞技术网络攻击。4)利用系统漏洞(如缓冲区溢出或格式化字符串),以获得目的主机的控制权。5)利用网络数据库存在的安全漏洞,获取或破坏对方的主要数据。6)利用计算机病毒传播的特性(传播快、破坏范围广等),开发合适的病毒破坏对方网络。 ?
黑客攻击的主要手段有:网络监听、拒绝服务攻击、源IP地址欺骗、源路由欺骗、缓冲区溢出、密码攻击、应用层攻击。
黑客攻击的基本步骤:1) 收集初始信息、2) 查找网络地址范围、3 )查找活动机器、4 )查找开发端口和人口点、5 )查看操作系统类型、6) 弄清每个端口运行的服务
?
第四章 防火墙
?
防火墙指隔离在内部网络和外部网络之间,控制介于网络不同区域的通信的一台或一套防御系统。
防火墙的主要功能:1、强化安全策略,保障网络的安全;2、控制存取;3、控制对特殊站点的访问;4、安全策略的检查和集中化的过滤;5、对网络访问进行记录和统计;6、隐藏用户站点或网络拓扑并防止内部信息的外泄;
按防火墙的软、硬件形式划分:1、硬件防火墙;2、软件防火墙。
按防火墙性能划分:1、个人防火墙;2、路由器防火墙;3、低端硬件防火墙;4、高端硬件防火墙;5、高端服务器防火墙 主要防火墙技术:
1、包过滤技术:防火墙的包过滤功能是在网络中的网络层和传输层中,根据过滤逻辑条件检查分组包的源/宿地址、端口号及协议类型等确定是否允许分组包通过,通过检查的数据包被转发到相应的目的出口端,其余的数据包被从数据流中丢弃。
2、应用代理技术:应用代理防火墙也叫应用网关,工作在应用层,是内部网络与外部网络的隔离点,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信的作用,将被保护的网络内部结构屏蔽起来,增强网络安全性能,同时可以用于实施数据流监控、过滤和报告等功能。
?
? ?
?
2
3、状态检测技术:状态检测技术采用一个在网关上执行网络安全策略的软件引擎,称之为检测模块,检查模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施检测,抽取部分数据,即状态信息并动态地保存起来。 ?
防火墙的体系结构:
1、双宿主堡垒主机体系结构:该双宿主堡垒主机位于互联网和内网之间,至少有两个网络接口,内网和外网都可以与之通信,而内网与外网之间不能之间通信,它允许用户登录到双宿主堡垒主机,进而服务外网。这种网络通信的安全性不是很高,用户服务外网的速度也较慢。
2、被屏蔽主机体系结构:被屏蔽主机体系结构防火墙使用一个路由器把内网与外网隔离开,堡垒主机体是外网唯一能连接到内网的主机系统,任何外网的系统要访问内网的主机和服务都必须连接到这台堡垒主机体上。
3、被屏蔽子网体系结构:被屏蔽子网体系结构将额外的安全层添加到被屏蔽主机体系结构。它通过添加一个充当内、外网的缓冲区即 “非军事区”(DMZ),这个周边网络更进一步把内网和外网隔离开。最简单的被屏蔽子网体系结构的形式是两个屏蔽路由器,一个连接到DMZ区和内网之间,另一个连接到DMZ和外网之间。
第五章 ISA SERVER 2006的应用配置
?
ISA Server是建立在 Windows Server 2003操作系统上的一种可扩展的企业级防火墙
和WEB缓存服务器。
ISA Server 2006的的主要功能:1、防火墙;2、虚拟专用网;3、Web缓存服务器 防火墙的设置种类和网络模板:1、边缘防火墙;2、三向外围网络防火墙;3、前端防火墙;4、后端防火墙;5、单一网络适配器;
ISA Server 2006内建立了5种网络类型:1)本地主机;2)内部网络;3)外部网络;4)VPN 客户端;5)被隔离的VPN 客户端;
? ?
?
第六章 IDS与IPS
?
入侵检测系统(Intrusion-Detection Syatem,IDS)是一种积极主动的安全保护技术,是防火墙的有益补充,但IDS只能检测攻击不能做到实时地阻止攻击。IDS是可以对网络传输进行即时监视,在发现可疑传输时发出警报或采取主动反应措施的网络安全技术,是入侵检测的软件和硬件的组合。
入侵检测系统的功能:1、监视用户和系统的运行情况,查找非法用户和合法用户的越权操作;2、对系统的构造和弱点进行审计;3、识别分析著名攻击行为特征并报警;4、对异常行为模式进行统计分析;5、、评估重要系统和数据文件的完整性;6、、对操作系统进行跟踪审计管理,并识别用户违法安全策略行为;7、容错功能。 ? ?
?
入侵检测系统的基本组件:事件产生器、事件分析器、事件响应单元和事件数据库。 入侵检测技术:主要有误用检测技术和异常检测技术两种大类。1)误用检测技术:即
3
基于知识的检测技术(入侵特征信息库)和模式匹配检测技术。2)异常检测技术:基于行为的入侵检测技术,是根据用户的行为和系统资源的使用状况判断是否存在入侵。 ?
入侵检测的流程主要包括两个步骤:信息收集和信息分析。
1、信息收集:入侵检测利用的信息一般来自以下4个方面:(1)系统和网络日志文件;(2)非正常的系统目录和文件改变;(3)非正常的程序执行;(4)物理形式的入侵信息。 2、信息分析:对于所收集的信息,一般通过3种技术手段进行分析:(1)模式匹配;(2)统计分析;(3)完整性分析。 ?
入侵检测技术又可分为:
1、基于主机的入侵检测系统:基于主机的入侵检测系统一般运行在重要的系统服务器、工作站或用户主机上,监视操作系统或系统事件的可疑活动,寻找潜在的可疑活动。 2、 基于网络的入侵检测系统:基于网络的入侵检测系统(Network Intrusion Detection System, NIDS)一般被动地在网络上监听整个网络的信息流,通过扑火网络数据包,进行分析,检测该网段上发生的网络入侵。
3 、混合型入侵检测系统: 混合型入侵检测系统结合了基于主机和基于网络的两种结构特点,既可以分析网络中攻击信息,也可以从系统日志中发现异常情况,是一套完整的、立体的的主动防御系统。
第七章 网络安全隔离
?
对需要保护的网络进隔离行的常用解决方案:
1、通过子网掩码划分子网对网络进行隔离,实施步骤:1)确定子网掩码;2)确定并分配子网及IP 地址范围;3)搭建网络环境,配置路由器;4)配置各PC;5)测试子网之间的连通性。
2、通过划分VLAN网段对网络进行隔离,实施步骤:1)命名、设密码并登录;2)显示VLAN的配置信息;3)创建VLAN;4)划分VLAN端口;5)保存配置;6)测试。 3、通过构建网络隔离系统对网络进行隔离; ?
物理隔离是指内部网络不得直接或间接地连接外部网络。
第八章 PKI与加密技术
?
公钥基础设施(Public Key Infrastructure, PKI)基于非对称公钥体制,采用数字证书管理机制,可以透明地为网上应用提供安全服务,极大的保证了网上应用的安全性。 数字证书:一种权威的电子文档,由CA发放并经CA数字签名。
数字证书的作用:(1)身份认证、(2)数据完整性、(3)数据保密性、(4)不否认性。 PKI系统的基本组成:一个典型的PKI系统包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。
? ? ?
4
?
PKI的应用:1、虚拟专网(Virtual Private Network,VPN)、2、安全电子邮件、3、Web安全、4、电子商务的应用、5、应用编程接口API。 密码技术大致分为三类:
?
1、 对称密钥算法:对称密钥算法是指加密解密数据使用同一个的密钥。典型的对称密钥算法有:DES、IDEA和RC等算法。
2、非对称密钥算法:加密密钥是公开的,解密密钥是保密的,加密和解密算法都是公开的,但是要从加密密钥求解密密钥却非常困难。典型的非对称算法有:RAS、ECC和DSA等。
3、单向散列函数:单向散列(Hash)函数就是这类单向加密数据的函数,它对不同长度的输入信息产生固定长度的输出,称为原输入消息的“散列”或“消息摘要”,其长度取决于所采用的算法,通常在128—256位之间。 ?
EFS(Encrypting File System,加密文件系统)是Windows系统中特有的一个实用功能,对NTFS分区的文件和文件夹可以直接加密保存。
第九章 Windows Server 2003 安全配置
?
NFTS(New Technology File System)是特别为网络和磁盘配额、文件加密等管理安全
特性设计的磁盘格式。具有以下特点:(1)支持更大的磁盘容量;(2)设置访问权限;(3)支持对分区、文件夹和文件的压缩;(4)支持文件加密;(5)支持数据恢复;(6)磁盘配额管理;(7)AD需要使用NTFS; ?
NTFS权限是系统管理员或文件拥有者赋予用户或组对某个文件和文件夹的访问权限,通过允许或禁止某些用户或组访问文件或文件夹,实现对资源的保护。 ?
NTFS文件和文件夹的权限类型包括读取、写入、列出文件夹内容、读取和运行、修改和完全控制。 ?
本地安全策略主要包括帐户策略和本地策略。如一台服务器升级为域服务器,则在域控制器中,本地安全策略被域控制器安全策略代替,同时增加了可以控制整个域安全的域安全策略。
账户策略包括:密码策略和账号锁定策略。
本地安全策略包括:审核策略、用户权限分配和安全选项。
? ?
第十章 系统安全风险评估(略)
5