网络技术——网络安全技术
考点1:数据备份与还原
考点2:加密技术
考点3:防火墙技术——PIX
考点4:入侵检测技术(选择题+应用题)
考点5:计算机病毒防范
考点6:网络安全评估
一、网络安全的基本要素
1.机密性
2.完整性
3.可用性
4.可鉴别性
5.不可抵赖性
P2DR模型
③检测(Detection)检测功能使用漏洞评估、入侵检测等系统检测技术,当攻击者穿透防护系统时,发挥功用。
④响应(Response)响应包括紧急响应和恢复处理,而恢复又包括系统恢复和信息恢复,响应系统在检测出入侵时,开始事件处理的工作。
二、网络安全规范
可信计算机系统评估准则(TCSEC)将计算机系统安全等级分为A.B.C.D这4类,共有7级。即D.C1、C2、B1、B2、B3与A1。其中,D级系统的安全要求最低,A1级系统的安全要求最高。
D级系统属于非安全保护类,它不能用于多用户环境下的重要信息处理。C类系统是用户能定义访问控制要求的自主保护类型。B类系统属于强制型安全保护系统,即用户不能分配权限,只有管理员可以为用户分配。一般的UNIX系统通常能满足C2标准。
数据备份方法
基于策略(必考!)
1.完全备份
将用户指定的数据甚至是整个系统的数据进行完全的备份。
2.增量备份
针对完全备份,在进行增量备份,只有那些在上次完全或者增量备份后被修改了的文件才会被备份。
3.差异备份
将最近一次完全备份后产生的所有数据更新进行备份。差异备份将完全恢复时所涉及到的备份文件数量限制为2个。
| 空间使用 |
备份速度 |
恢复速度 |
|
| 完全备份 |
最多 |
最慢 |
最快 |
| 增量备份 |
最少 |
最快 |
最慢 |
| 差异备份 |
少于完全备份 |
快于完全备份 |
快于增量备份 |
磁盘阵列部署方式,也称RIAD级别。主要有RAID0、RAID1、RAID3、RAID5等级别。 RAID10是RAID0和RAID1的组合
磁盘阵列需要有磁盘阵列控制器,有些服务器主板中自带有这个RAID控制器,有些主板没有这种控制器,就必须外加一个RAID卡,RAID卡通常是SCSI接口,有些也提供IDE接口和SATA接口。
非对称密码体制
非对称加密技术中N个用户之间进行通信加密,仅需要n对密钥就可以了。常用的加密算法有RSA算法、DSA算法、PKCS算法与PGP算法。
计算机病毒
计算机病毒是指计算机程序中的一段可执行程序代理,它可以破坏计算机的功能甚至破坏数据从而影响计算机的能力。
1.计算机病毒的特征
(1)非授权可执行性
(2)隐蔽性
(3)传染性
(4)潜伏性
(5)破坏性
(6)可触发性
2.计算机病毒分类
(1)按寄生分类
(2)按破坏性分类
二、网络病毒
网络病毒的特征:
(1)传播方式多样,传播速度更快。
(2)影响面更广
(3)破坏性更强
(4)难以控制和根除
(5)编写方式多样,病毒变种多样
(6)病毒智能化、隐蔽化
(7)出现混合病毒
木马
“木马”通常寄生在用户计算机系统中,盗用用户信息,并通过网络发送给黑客。与病毒不同之处在于没有自我复制功能。
传播途径:电子邮件、软件下载、会话软件。
网络版防病毒系统结构
管理控制台可以集中管理网络上所有已安装的防病毒系统防护软件的计算机。
管理控制台既可以安装到服务器上也可以安装在客户机上,视网络管理员的需要,可以自由安装。
网络版防病毒系统安装
对于大多数的网络版的防病毒系统,服务器端和客户端通常可以采用本地安装、远程安装、Web安装、脚本安装等方式进行安装。
网络版防病毒系统的主要参数配置
1.系统升级
从网站升级、从上级中心升级、从网站上下载 手动数据包。
2.扫描设置
3.黑白名单设置
4.端口设置
为了使网络版防病毒软件的通信数据能顺利的通过防火墙,通常系统都会提供用于数据通信端口设置的界面。(非固定端口)
防火墙技术
一、防火墙的主要功能:
1.所有的从外部到内部的通信都必须经过它。
2.只有有内部访问策略授权的通信才能被允许通过。
3.具有防攻击能力,保证自身的安全性。
二、防火墙的分类:
防火墙在网络之间通过执行控制策略来保护网络系统,防火墙包括硬件和软件两部分。防火墙根据其实现技术可以分为:包过滤路由器、应用网关、应用代理和状态检测4类
△防火墙的配置方法
三、基本配置方法(以cisco PIX525为例)必考
1.访问模式
①非特权模式。 PIX防火墙开机自检后,就是处于这种模式。系统显示为 pixfirewall>
②特权模式。 输入enable进入特权模式,可以改变当前配置。显示为 pixfirewall#
③配置模式。 输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为 pixfirewall(config)#
④监视模式。 PIX防火墙在开机或重启过程中,按住Escape键或发送一个“Break”字符,进入监视模式。这里可以更新操作系统映象和口令恢复。显示为 monitor>
2.基本配置命令
①nameif:配置防火墙接口的名字,并指定安全级别
Pix525(config)#nameif ethernet0 outside security 0
//设置以太网口1为外网接口,安全级别为0,安全系数最低。
Pix525(config)#nameif ethernet1 inside security 100
//设置以太网口2为内网接口,安全级别为100。安全系数最高。
Pix525(config)#nameif ethernet2 dmz security 50
Conduit(管道命令)掌握概念与作用
conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。
fixup掌握概念与作用
fixup命令作用是启用、禁止、改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。
入侵检测技术
入侵检测系统(IDS)是对计算机和网络资源的恶意使用行为检测的系统。
入侵检测系统分类
按照检测的数据来源,入侵检测系统可以分为:基于主机的入侵检测系统(系统日志和应用程序日志为数据来源)和基于网络的入侵检测系统(网卡设置为混杂模式,原始的数据帧是其数据来源)。
分布式入侵检测系统
分布式入侵检测系统的三种类型为层次型(存在单点失效)、协作型(存在单点失效)和对等型(无单点失效)
入侵防护系统的基本分类(应用题可能考1小题)
基于主机的入侵防护系统(HIPS):安装在受保护的主机系统中,检测并阻拦正对本机的威胁和供给。
基于网络的入侵防护系统(NIPS):布置于网络出口处,一般串联与防火墙与路由器之间,网络进出的数据流都必须通过它,从而保护整个网络的安全。如果检测到一个恶意的数据包时,系统不但发出警报,还将采取响应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。NIPS对攻击的误报会导致合法的通信被阻断。
应用入侵防护系统(AIPS):一般部署于应用服务器前端,从而将基于主机的入侵防护系统功能延伸到服务器之前的高性能网络设备上,进而保证了应用服务器的安全性。防止的入侵包括cookie篡改、SQL注入等漏洞。
网络入侵检测系统常用部署方法
①网络接口卡与交换设备的监控端口连接,通过交换设备的Span/Mirror功能将流向个端口的数据包复制一份给监控端口。
②在网络中增加一台集线器改变网络拓扑结构,通过集线器(共享式监听方式)获取数据包。
③入侵检测传感器通过一个TAP(分路器)设备对交换式网络中的数据包进行分析和处理。
TAP是一种容错方案,它提供全双工或半双工
10/100/1000M网段上观察数据流量的手段,其优点为:
TAP是容错的,如果发生电源故障,原先监控的网段上的通信部受影响。
TAP不会影响数据流
TAP阻止建立于入侵检测系统的直接连接,从而保护它不受攻击
网络安全评估分析技术
1.基于应用的技术(被动)
2.基于网络的技术(主动)
网络安全风险评估技术通常用来进行穿透实验和安全审计。
网络安全评估分析系统结构
通常采用控制台和代理相结合的结构。