02-02-07 网络安全攻防

1. OSI安全体系结构
   OSI安全体系结构定义了系统应当提供的五类安全服务，以及提供这些服务的八类安全机制；五类安全服务是：鉴别、访问控制、数据机密性、数据完整性和抗抵赖性八类安全机制分别包括：加密、数字签名、访问控制、数据完整性、鉴别、流量填充、路由控制和公证。
2. 网络协议安全问题
   网络接口层安全问题常见的有：自然灾害、误操作、传输线路电磁泄露、ARP欺骗等；网络互连层安全问题常见的有：分片攻击、IP地址欺骗、窃听和IP数据包伪造传输层安全问题常见的有：SYN洪水攻击、TCP会话劫持、数据包伪造等应用层安全问题常见的有：跨站点脚本、钓鱼攻击、数据泄露等
3. 无线局域网安全问题
   安全问题：传输信道开放、容易接入、开放式认证系统、易于伪造的SID、无保护任意接入认证机制：开放式认证系统、共享密钥认证（使用WAP进行保护，手动管理密钥存在重大隐患）
4. 网络安全设备—防火墙
   防火墙是位于多个网络间，实施网络之间访问控制的一组组件集合防火墙功能：防火墙作用：能在网络连接点上建立一个安全控制点，对进出网络数据进行限制，将需要保护的网络与不可信任的网络进行隔离，隐藏信息，并对进出进行安全防护，以及对进出数据进行安全检查、记录相关信息。防火墙的局限性：只实现了粗粒度的访问控制，不能防范病毒
5. 入侵检测系统
   作用：启示防火墙重要补充，构建网络安全防御体系重要环节，能够克服传统网络防御体系的限制。功能：检测并分析用户系统活动，检测系统配置和漏洞，对操作系统进行日志管理，并识别违反安全策略的用户活动，针对已发现的攻击行为作出适当的反应。局限性：配置操作和管理使用较为复杂，高虚报警域。
6. 网络架构
   安全网络是新系统的基础支撑环境，网络架构安全核心是保护网络和基础设施，核心目的是通过增加系统的防御屏障或将各层之间的漏洞错开的方式防范差错方式，实现深度防御。即通过设置多次层次的安全防护系统而构成多道防线，即使某一防线失效也能被其他防线弥补或纠正。网络架构安全设计聚焦在合理规划网络安全区域、规划IP地址和VLAN设计、安全配置路由以及交换设备、网络边界访问控制策略、安全冗余配置等