CISSP AIO7 学习笔记 - 第四章 通信与网络安全 4.8-4.14小节 附脑图

我也不知道时间去哪了，明明每天累得要死，到是又感觉啥都没干，虚度光阴，难顶。。。

---

4.8 内联网与外联网

• 当公司在其网络中采用基于互联网的技术时，它们就在使用内联网。
• 外联网向外扩展了公司网络的边界，使得两个或更多公司能共享通用的信息和资源。
  贸易伙伴都使用电子数据交换EDI)它可以为电子文档、订单、发票、采购订单和数据流提供结构和组织方式。
  EDI 发展为基于Web 的技术，以提供简单的访问方式和更方便的交流方法。

---

4.9 城域网

城域网MAN通常是一个主子网罗用于将LAN连接到LAN，将LAN连接到WAN、互联网和其他电信电缆网。

以太网己经使用了数年，几乎嵌入到每一个LAN 中。以太网可以连接到前面提及的MAN技术上，或者也可以扩展，覆盖大都市城区，称为城域以太网Metro Ethernet

4.10 广域网

LAN 技术在一个小的地域范围内提供了通信能力，而广域网WAN技术则在通信需要跨越一个更大的地域范围时使用。

专用链路(dedicated link)也称为租用线路(leased line)或点到点链路

• T载波
• E载波
• 光载波

WAN技术

• CSU/DSU
• 交换：电路交换和包交换
  1. 电路交换
     面向连接的虚拟链路
     流量按可预测的、恒定的方式流动
     固定的延迟
     通常运载面向语音的数据
  2. 包交换
     数据包可沿许多不同的动态路径到达同一个目的地。
     支持爆发式数据流量。
     可变的延迟。
     通常运载面向数据的数据。
• 帧中继
• 虚电路，SVC和PVC
• X.25
• ATM
• QOS
• SDLC、HDLC、LAP、LAPB
• PPP
• 多服务访问技术，将若干通信类别（数据、语音和视频）合并到一个传输线上，PSTN、VoIP
• H.232网关
• SIP

---

4.11 远程连接

• 拨号连接
• ISDN
• DSL
• 线缆调制调解器
• V-P-N：PPTP、L2F、L2TP
• IPSec
• SSL、TLS
• PAP、CHAP
• EAP

---

4.12 无线网络

CSMA/CA(冲突避免)，无线设备发送出一段广播，表明将要传输数据。共享介质中的其他设备收到这段广播后，会延迟自己发送信息的时间。这样做的目的是努力消除或减少冲突。

扩频，指的是以某种‘方式超出分配的频率给单独信号分配频率。
直接序列扩频DSSS，采用一种对消息应用子位的不同方法。
跳频扩频，跳频扩频FHHS利用整个带宽(频谱)并将其分割为更小的子通道。发送方和接收方在每个通道上工作一段时间，然后转移到另一个通道。

正交频分多路复用OFDM)可以通过无线频率信号，但是它不被认为j是一种官方的扩频技术，是一种数字多载波调制方案，它将几个调制的载波紧密结合在一起，从而减少数据传输所需的带宽。主要用于几个宽带数字通信类型中，如数字电视、音频广播、DSL 宽带互联网访问、无线网络和4G 移动通信。

802.11
AP可以通过两种方式对无线设备进行身份验证：开放系统身份验证OSA和共享密钥身份验证SKA，OSA不进行验证，使用SSID即可。SKA使用WEP协议进行验证。

802.11i
即为WPA2，WPA为802.11i的草案，WPA使用TKIP协议，WPA2使用CCMP协议。

802.1x
通过结合802.1X，新标准能够对用户进行身份验证，而仅使用WEP 则只能提供系统身份验证。

无线标准

• 802.11b
• 802.11a
• 802.11e
• 802.11f
• 802.11g
• 802.11h
• 802.11j
• 802.11n
• 802.11ac
• 802.16，城域以太网无线标准WiMAx，可以使用光无线技术
• 802.15.4 ，无线个人区域网络WPAN
• 蓝牙无线，是属于802.15的一部分。

保护WLAN的最佳实践

• 改变默认的SSID 。每个AP 都有一个预先配置的默认SSID 值。
• 实现另一层身份验证(例如: RADIUS 、Kerberos) 。在用户访问网络前，要求对其进行身份验证。
• 对每一类用户使用独立的VLAN ，就像在有线局域网中一样。
• 如果你必须支持未经身份验证的用户(如游客)，确保他们连接到位于网络外围的不可信的VLAN 。
• 部署无线入侵检测系统(WIDS) 。
• 将AP 安放在建筑物的中心位置。AP 只能覆盖特定的区域。
• 在逻辑上将AP 放在DMZ 中，在DMZ 和内部网络间安装一个防火墙。在流量进入有线网络之前，允许防火墙对其进行检查。
• 实现无线设备能够使用的VPN。这为传输的数据增加了另一层保护。
• 配置AP 以只允许巳知的MAC 地址进入网络。只允许对已知设备进行身份验证。不过需要记住的是，这些MAC 地址以明文形式发送，因此攻击者能够截获它们并把自己伪装成一个通过身份验证的设备。
• 在WLAN 上执行渗透测试。使用本节所介绍的工具来探测AP，尝试破解当前使用的加密方案。

卫星会使用一个称为微小孔径终端的系统罗通过由服务提供商运行的卫星网关设备将一个遥远的办公室连接到网络上。

蜂窝网络
广播电台使用的是提供单向传输的广播网络。移动无线通信也是无线电技术，但它的工作原理是在蜂窝网络内采用双向传输。无线电广播是通过在一定的频率范围内的电磁波信号发送的。蜂窝网络在划定的区域分发和传播无线电信号，这些区域称为蜂窝。每个蜂窝具有至少一个固定位置的无线电收发机(基站)，并且在大的地理区域中可以连接到其他蜂窝以提供连接。

• 频分多址FDMA，1G手机常用技术、高级移动电话系统AMPS、全接入通信系统TACS，北欧移动电话NMT
• 时分多址TDMA，2G手机常用技术、全球移动通信GSM，数字AMPS、个人数字蜂窝系统PDC
• 码分多址CDMA，3G手机常用技术
  
• 正交频分多址OFDMA，4G手机常用技术，LTE

---

4.13 网络加密

1.链路加密与端对端加密

2.电子邮件加密标准

• S/MIME
• PGP

3.互联网安全

• SSL
• TLS
• SSH

---

4.14 网络攻击

1.DOS

• 畸形数据包
• 洪泛攻击
• DDOS
• 勒索软件

2.嗅探

3.DNS劫持

• 基于主机
• 基于网络
• 基于服务器

4.偷渡下载