网络安全复习资料

《网络安全》复习材料
1. 信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。

网络安全：计算机网络环境下的信息安全。

4. 网络安全目标
网络安全的目标主要表现在系统的可靠性、可用性、保密性、完整性、不可抵赖性和可控性等方面。

5. 网络检测工具
Windows NT操作系统中提供了ping、pathping、tracert、netstat等相
关的网络测试命令，灵活使用这些命令，实现对网络的检测和管理是比较方便的。

6. VLAN划分的原则
VLAN有5种划分原则，列举如下：
（1）基于端口划分
（2）基于MAC划分
（3）基于网络层协议划分
（4）基于IP组播划分
（5）基于用户划分
7. 因特网的脆弱性表现在以下几个方面：
（1）线路窃听。

（2）身份欺骗（IP地址欺骗）。

（3）数据篡改。

（4）盗用口令攻击。

（5）拒绝服务攻击。

（6）中间人攻击。

（7）盗取密钥攻击。

（8）Sniffer攻击。

（9）应用层攻击。

8. 黑客攻击的步骤
第一步，踩点－搜索相关信息：通过多种途径获得和目标系统有关的大量信息譬如域名、IP地址范围、邮件地址、用户帐号、网络拓扑、路由跟踪信息、系统运行状态等等；
第二步，扫描－探测漏洞：获取目标系统的直接信息，特别是目标系统的可被利用的缺陷。

这部分主要包括：端口扫描、操作系统类型扫描、针对特定应用以及服务的漏洞扫描（重点如Web漏洞扫描、Windows漏洞扫描、SNMP漏洞扫描、RPC漏洞扫描和LDAP目录服务漏洞扫描）；
第三步，嗅探－sniff技术：通过嗅探，获得大量的敏感信息。

王维明已经介绍过在同一冲突域里面的嗅探原理，我将重点介绍交换网络的嗅探技术。

第四步，攻击－直捣龙门：通过前面的刺探，开始真正的攻击。

一般的攻击方法：DoS攻击、DDoS攻击、口令破解攻击、网络欺骗攻击、会话劫持攻击等
9. 网络操作系统(NOS),是网络的心脏和灵魂，是向网络计算机提供网络通信和网络资源共享功能的操作系统。

它是负责管理整个网络资源和方便网络用户的软件的集合。

由于网络操作系统是运行在服务器之上的，所以有时我们也把它称之为服务器操作系统。

目前局域网中主要存在以下几类网络操作系统： Windows 类； NetWare类； Unix系统；Linux 。

10. 常见的网络攻击类型：
–数据报嗅探
–IP脆弱性
–口令攻击
–拒绝服务攻击
–“中间人”攻击
–应用层的攻击
–信任机制的利用
–端口重定向
–病毒
–木马
–Layer2 攻击
11. 目前，有二种主要的数据报嗅探工具类型
–通用的嗅探器，例如Sniffer Pro，Iris等
–特定嗅探攻击工具，例如Password Sniffer。

12. 防火墙的基本任务
(1)实现一个公司的安全策略
防火墙的主要意图是强制执行你的安全策略。

通过前面几章的学习我们认识到了网络安全中安全策略的重要性。

关键的问题是如何通过防火墙来实施这些策略。

(2)创建一个阻塞点
防火墙在一个公司私有网络和子网间建立一个检查点。

这种实现要求所有的流量都要通过这个检查点。

一旦这些检查点建立后，防火墙就可以监视、过滤和检查所有进来和出去的流量。

网络安全产业称这些检查点为“阻塞点”。

通过强制所有进出流量都通过这些检查点，网络管理员可以集中在一个地方来实现安全目的。

如果没有这样一个供监视和控制信息的检查点，系统或安全管理员则要在很多地方来进行监测。

检查点的另一个名字叫做“网络边界”。

(3)记录Internet活动
防火墙还能够强制日志记录，并且提供警报功能。

通过在防火墙上实现日志服务，安全管理员可以监视所有从外部网或互联网的访问。

一个好的日志策略是实现适当网络安全的有效工具之一。

防火墙对于管理员进行日志存档提供了更多的信息。

(4)限制网络暴露
防火墙在你的网络周围创建了一个保护的边界。

并且对于公网隐藏了你内部系统的一些信息以增加保密性。

当远程结点试图侦测你的网络时，他们仅仅能看到防火墙。

远程设备将不会知道你内部网络的布局以及存放的信息。

防火墙提高认证功能和对网络加密来限制网络信息的暴露。

通过对所有流量的检查，限制从外部发动的攻击。

13. 网络防火墙的主要作用
防火墙是一种非常有效的网络安全模型，通过它可以隔离内外网络，以达到网络中安全区域的连接，同时不妨碍人们对风险区域的访问。

监控出入网络的信息，仅让安全的、符合规则的信息进入内部网络，为网络用户提供一个安全的网络环境。

其主要作用是：
有效收集和记录Internet上活动和网络误用情况；
能有效隔离网络中的多个网段，能有效地过滤、筛选和屏蔽一切有害的信息和服务；
防火墙就像一个能发现不良现象的警察，能执行和强化网络的安全策略；
保证对主机的安全访问；
保证多种客户机和服务器的安全性；
保护关键部门不受到来自内部的攻击和外部的攻击，为通过Internet与远程访问的雇员、客户、供应商提供安全通道。

14. 防火墙的基本概念
防火墙是在两个网络间实现访问控制的一个或一组软硬件系统。

防火墙的最主要功能就是屏蔽或允许指定的数据通信，而该功能的实现又主要是依靠一套访问控制策略，由访问控制策略来决定通信的合法性。

防火墙是在两个网络通信时执行的一种访问控制手段，它能允许“经同意”的人和数据进入你的网络，同时将“未经不同意”的人和数据拒之门外，最大限度地阻止网络中的非法用户来访问你的网络，防止他们更改、复制和毁坏你的重要信息。

防火墙实质上就是一种过滤塞，只让经你允许的内容通过这个塞子，别的内容都统统过滤掉。

在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

15. 防火墙的发展趋势：
动态包过滤；
内核透明代理；
用户强认证机制；
加密技术；
智能日志、审计跟踪和实时报警；
内容和策略感知能力；
内部信息隐藏技术；
提高防火墙产品的集成性和采用分布式管理，加强防火墙之间的交互操作性。

16. 防火墙的类型：
包过滤防火墙
代理服务器
电路层网关
混合型防火墙
应用级网关
状态/动态检测防火墙
网络地址翻译NAT
个人防火墙
智能防火墙
17. 网络地址翻译NAT
网络地址翻译NAT(Netware Address Translation)协议是将内部网络的多个IP地址转换到一个公共IP地址与Internet连接。

当内部用户与一个公共主机通信时，NAT能追踪是哪一个用户所发出的请求，修改传出的包，这样包就像是来自单一的公共IP地址，然后再打开连接。

一旦建立了连接，在内部计算机和Web站点之间来回流动的通信就都是透明的。

当从公共网络传来一个未经请求的连接时，NAT有一套规则来决定如何处理它。

如果没有事先定义好的规则，NAT可丢弃所有未经请求的传入连接，就像包过滤防火墙所做的那样。

18. 地址翻译技术
(1)静态翻译
一个指定的内部主机有一个固定不变的地址翻译表，通过这张表，可将
内部地址翻译成防火墙的外网接口地址。

(2)动态翻译
为了隐藏内部主机的身份或扩展内部网络的地址空间，一个大的Internet客户群共享一组较小的Internet IP地址。

(3)负载平衡翻译
一个IP地址和端口被翻译为同等配置的多个服务器，当请求到达时，防火墙将按照一个算法来平衡所有联接到内部的服务器，这样向一个合法IP地址请求，实际上是有多台服务器在提供服务。

(4)网络冗余翻译
多个Internet联接被附加在一个NAT防火墙上，而这个防火墙根据负载和可用性对这些联接进行选择和使用。

19. 为了网络的安全可靠，防火墙必须满足以下要求：
防火墙应由多个构件组成，形成一个有一定冗余度的安全系统，避免成为网络的单失效点。

防火墙应能抵抗网络黑客的攻击，并可对网络通信进行监控和审计。

这样的网络结点，称为阻塞点。

防火墙一旦失效、系统重启或系统崩溃时，则应完全阻断内、外网络站点的连接，以防非法用户闯入。

防火墙应提供强制认证服务，外部网络站点对内部网络的访问应经过防火墙的认证检查，包括对网络用户和数据源的认证。

应支持E-mail、FTP、Telnet和WWW等服务。

防火墙对内部网络应做到屏蔽作用，并且隐藏内部网站的地址和内部网络的拓扑结构。

20. 防火墙的实现技术
(1)决定防火墙的类型与拓扑结构
针对防火墙所保护的系统安全级别作出定性和定量评估，从系统的成本、安全保护实现的难易程度以及升级、改造和维护的难易程度，决定该防火墙的类型和拓扑结构。

(2)制定安全策略
在实现过程中，没有被允许的服务是被禁止的，没有被禁止的服务都是允许的。

网络安全的第一策略是拒绝一切未许可的服务，即由防火墙逐项删除未许可的服务后，再转发信息。

在此策略的指导下，再针对系统制定各项具体策略。

(3)确定包过滤规则
一般以处理IP数据包包头信息为基础，包括过滤规则、过滤方式、源和目的端口号及协议类型等，它决定算法执行时顺序，因此正确的排列顺序至关重要。

(4)防火墙维护和管理方案的制定
防火墙的日常维护是对访问记录进行审计，发现入侵和非法访问，据此对防火墙的安全性进行评价，需要时进行适当改进。

管理工作要根据拓扑结构的改变或安全策略的变化，对防火墙进行硬件与软件的修改和升级。

通过维护和管理进一步优化其性能，以保证网络及其信息的安全性。

21. 应用系统架构的演变
单机、单用户（非网络环境）
文件/服务器（File/Server，F/S）
客户机/服务器（Client/Server，C/S）
浏览器/服务器（Browser/Server，B/S），并结合运用中间件（Middleware）技术
22. Internet应用分类
电子政务 eGovernment
–网上办事（受理）系统、投诉或举报、海关通关、拍卖（政府主导）、政府信息公开等
电子商务 eCommerce
–电子交易（E-Shopping）、电子银行（E-Bank）、远程教育（E-Learning）、远程医疗（E-Health）等
电子社区 eCommunity
–个人通信
电子邮件及邮件列表（Mail List）、即时通信系统（Instant
Messenger，IM）、聊天室（Chatting Room）、视频会议系统
（Video Conference）
–互动交流
公告牌（即论坛BBS）、博客（Blog，Blogger）及其博客圈、
播客（Podcaster）
–聚群渠道
同学会、同乡会、爱好者俱乐部、交友
–信息发布
邮件订阅、新闻订阅，等
23. 入侵检测系统的工作流程
入侵检测系统由数据收集、数据提取、数据分析、事件处理等几个部份组成。

(1) 数据收集
入侵检测的第一步是数据收集，内容包括系统、网络运行、数据及用户活动的状态和行为，而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集数据。

入侵检测很大程度上依赖于收集数据的准确性与可靠性，因此，必须使用精确的软件来报告这些信息，因为黑客经常替换软件以搞混和移走这些数据，例如替换被程序调用的子程序、库和其它工具。

数据的收集主要来源以下几个方面：系统和网络日志文件、目录和文件不期望的改变、程序不期望的行为、物理形式的入侵数据。

(2)数据提取
从收集到的数据中提取有用的数据，以供数据分析之用。

(3)数据分析
对收集到的有关系统、网络运行、数据及用户活动的状态和行为等数据通过三种技术手段进行分析：模块匹配、统计分析和完整性分析。

(4)结果处理
记录入侵事件，同时采取报警、中断连接等措施。

24. 入侵检测系统的分类
入侵检测系统(IDS)可以分成3类：基于主机型(Host Based) 入侵检测系统、基于网络型(Network Based) 入侵检测系统和基于代理型(Agent Based)
入侵检测系统。

25. Snort软件使用的技术有：
网络安全事件响应技术；
安全事件的定义；
事件响应的处理过程；
网络攻击的追踪；
应急处置与恢复技术；
远程备份技术；
安全事件的定义。

26. 事件响应的处理过程：
它包括6个阶段：准备、检测、抑制、根除、恢复和跟踪
27. 异常检测模型和误用检测模型的比较
异常检测系统试图发现一些未知的入侵行为，而误用检测系统则是检测一些已知的入侵行为。

异常检测指根据使用者的行为或资源使用状况来判断是否入侵行为的发生，而不依赖于具体行为是否出现来检测；而误用检测系统则大多是通过对一些具体的行为的判断和推理，从而检测出入侵行为。

异常检测的主要缺陷在于误检率很高，尤其在用户数目众多或工作行为经常改变的环境中；而误用检测系统由于依据具体特征库进行判断，准确度要高很多。

异常检测对具体系统的依赖性相对较小；而误用检测系统对具体的系统依赖性很强，移植性不好。

28. 计算机环境安全的内容有：计算机机房场地、温度、湿度、洁净度、静电、电磁干扰、采光照明、噪声等的安全技术，
29. 多媒体应用系统
网络电话 Internet Phone－IP
数字广播 Digital Broadcasting
视频点播 Video on Demand－VoD
视频会议 Network Meeting
网络电视 IPTV
对等传输 P2P Transmission
网络播客 Podcaster
30. 多媒体系统的应用领域
远程会议 Remote Conference
远程教育 Remote Education/E-Leaning
远程医疗 Remote Medicine&Diagnosis
远程监控 Remote Surveying
远程协作 Remote Collaborating
网络会展 Internet Exhibition
31.冗余技术分类
路径冗余Path Redundancy
–线路冗余Line Redundancy
–路由冗余Route Redundancy
协议冗余Protocol Redundancy
设备冗余Equipment Redundancy
数据冗余Data Redundancy
32.常用的病毒预防措施如下：
（1）使用比较强壮的密码。

尽量选择难于猜测的密码，对不同的账号选用不同的密码。

（2）经常备份重要数据。

（3）不要打开来历不明的电子邮件。

（4）正确配置系统，减少病毒入侵。

（5）定期检查敏感文件。

（6）慎用软盘、光盘等移动存储介质。

（7）定义浏览器安全设置，浏览网页时要谨慎，不要轻易下载ActiveX控件或Java脚本。

（8）安装最新的操作系统、应用软件的安全补丁程序。

（9）选择安装优秀的防病毒软件和防火墙，定期对整个硬盘进行病毒检测、清除工作。

（10）当计算机不使用时，不要接入互联网，一定要断掉连接。

（11）重要的计算机系统和网络一定要严格与互联网物理隔离。

33. 计算机病毒的处理包括防毒、查毒、杀毒三个方面。

34. 常用的防病毒设置
1. 禁止Windows的Scripting Host功能
2. 设置文件和文件夹的查看方式
3. 设置IE的安全级别
4. Outlook安全设置
5. 宏病毒保护设置
6. 安装最新系统安全补丁
7. 设置安全密码
35.IPv6（Internet Protocol Version 6）
–下一代互联网（Next Generation Internet，NGI）协议改进：
简化的报头和灵活的扩展
层次化的地址结构
即插即用的连网方式
网络层的认证与加密
服务质量（QoS）的满足
对移动通信更好的支持（Mobile IPv6）
36.节点加密
为了解决在节点中数据是明文的缺点，在中间节点里安装用于加、解密的保护装置，即由这个装置来完成一个密钥向另一个密钥的变换，这就是节点加密。

37.网络管理软件的主要技术
1.Portal技术
Portal是一个基于浏览器的、建立和开发企业信息门户的软件环境，具有很强的可扩展性、兼容性和综合性。

它提供了对分布式软件服务和信息资源的安全、可管理的框架。

便于使用的Portal界面为每个用户提供其所需要的信息和Web内容，同时也保证每个用户只能访问其所能访问的信息资源和应用逻辑。

2.RMON技术
RMON即远程网络监控。

RMON的目标是为了扩展SNMP的MIB II （管理信息库），使SNMP更有效、更积极主动地监控远程设备。

3.Web网络管理技术
由于Web有独立的平台，且易于控制和使用，因而常被用来实现可视化的显示。

Web化网络管理是网络管理软件发展的新特征。

4.XML技术
XML是The Extensible Markup Language（可扩展标识语言）的简写，目前推荐遵循的是W3C组织发布的XML 1 0版本。

采用XML技术，系统提供了标准的信息源，可以与企业内部的其他专业系统或外部系统进行数据交互，这是网络管理软件的新发展趋势。

5.CORBA技术
CORBA是OMG（Object Management Group）为解决不同软硬件产品之间互操作而提出的一种解决方案。

简单地说，CORBA是一个面向对象的分布式计算平台，它允许不同的程序之间可以透明地进行互操作，而不用关心对方位于何地、由谁来设计、运行于何种软硬件平台以及用何种语言实现等，从而使不同的网络管理模式能够结合在一起。

38.动态端口的范围是从1024到65535。

之所以称为动态端口，是因为它一般不固定分配某种服务，而是动态分配。

动态分配是指当一个系统进程或应用程序进程需要网络通信时，它向主机申请一个端口，主机从可用的端口号中分配一个供其使用。

当这个进程关闭时，同时也就释放了所占用的端口号。

39. Windows 2000 Server操作系统安全分析
(1) 系统安装隐患
在一台服务器上安装Windows 2000 Server操作系统时，存在以下安全隐患：
将服务器接入网络进行系统安装。

Windows 2000 Server操作系统在安装时存在一个安全漏洞，当输入Administrator密码后，系统就自动建立了ADMIN$的共享，但是并没有用刚刚输入的密码来保护它，这种情况一直持续到再次启动计算机，在此期间，任何人都可以通过ADMIN$进入这台机器；同时，只要安装一结束，各种服务就会自动运行，而这时的服务器是满身漏洞，计算机病毒非常容易侵入。

因此，若将服务器接入网络后再进行操作系统的安装是很不安全的。

操作系统与应用系统共用一个磁盘分区。

在安装操作系统时，将操作系统与应用系统安装在同一个磁盘分区，会导致一旦操作系统文件泄露时，攻击者可以通过操作系统漏洞获取应用系统的访问权限，从而影响应用系统的安全运行。

采用FAT32文件格式安装。

FAT32文件格式不能限制用户对文件的访问，会导致系统的不安全。

采用缺省安装。

缺省安装操作系统时，会自动安装一些有安全隐患的组件，如：IIS、DHCP、DNS等，导致系统在安装后存在多种安全漏洞。

系统补丁安装不及时不全面。

在系统安装完成后，不及时安装系统补丁程序，导致病毒侵入。

（2）运行隐患
在系统运行过程中，主要存在以下隐患：
默认共享。

系统在运行后，会自动创建一些隐藏的共享。

一是C$ D$ E$ 每个分区的根共享目录。

二是ADMIN$ 远程管理用的共享目录。

三是IPC$ 空连接。

四是NetLogon共享。

五是其它系统默认共享，如：FAX$、PRINT$共享等。

这些默认共享给系统的安全运行带来了很大的隐患。

默认服务。

系统在运行后，自动启动了许多有安全隐患的服务，如：Telnet Services、DHCP Client、DNS Client、Print spooler、Remote Registry services、SNMP Services 、Terminal Services 等。

这些服务在实际工作中如不需要，可以将其禁用或关闭。

安全策略。

系统运行后，默认情况下，系统的安全策略是不起作用的，这降低了系统的运行安全性。

管理员账号。

系统在运行后，由于Administrator用户账号是不能停用的，导致攻击者可以一遍又一遍的尝试猜测这个账号的口令。

此外，设置简单的用户账号口令也会给系统的运行带来安全隐患。

页面文件。

页面文件是用来存储没有装入内存的程序和数据文件部分的隐藏文件。

页面文件中可能含有一些敏感的资料，有可能造成系统信息的泄露。

共享文件。

默认状态下，每个人对新创建的文件共享都拥有完全控制权限，这是非常危险的，应严格限制用户对共享文件的访问。

Dump文件。

Dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。

然而，它也能够给攻击者提供一些敏感信息，比如一些应用程序的口令等，造成信息泄露。

Web服务。

系统本身自带的IIS服务、FTP服务存在安全隐患，容易导致系统成为攻击对象。