网络安全复习资料(精)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全发展 安全攻击 安全服务 安全机制 安全协议 恶意代码 防火墙 入侵检测
VPN IPSec 漏洞扫描 黑客攻击
网络安全复习
一、信息安全的发展过程
1. 通信安全 1.1 通信安全 — 对称加密
算法基于替代和置换; 使用同一个密钥对信息进行加密和解密; 信息的保密性取决于密钥的保密性; 管理密钥、身份鉴别困难; DES、KDC、Kerberos; 速度快,安全性低; 多用于加密数据。 1.2 通信安全 — 非对称加密 算法基于数学函数(数论); 对方公钥加密,自己私钥签名; 信息的保密性取决于算法的复杂性; 管理密钥、身份鉴别方便; RSA、PKI、SSL; 速度慢,安全性高; 多用于加密会话密钥、实现数字签名。
应用程序。 工作在应用层,可以有效地防止恶意入侵和病毒,同时很容易记录
和审计入站流量。 每个连接都需要通过防火墙接入和转发,屏蔽了内部网络结构。 应用代理防火墙通常拥有高速缓存,保存了用户最近访问过的站点
内容,重复访问时,可以节约时间和网络资源。 6.4 应用代理防火墙的缺点
对每一个连接的双向流量进行检查和传送,产生额外的处理开销。 对数据包进行内部结构的分析和处理,使系统整体性能和处理效率 下降。 7. 状态监测防火墙 7.1 状态检测防火墙 状态检测防火墙采用了动态包过滤技术,因此也被称为动态包过滤防火 墙。 状态检测防火墙在继承了静态包过滤技术优点的基础上,建立状态连接 表,单独为各协议实现连接跟踪模块,进一步分析连接中的信息内容,保 证连接状态的正确性。 7.2 状态检测防火墙的工作流程
双宿主堡 垒主机
互联网
12
信息服务 器
专用主机
网络安全复习
8.2 屏蔽主机体系结构 屏蔽主机体系结构使用一个屏蔽路由器把内部网络和外部网络隔开。屏蔽 路由器上的包过滤策略被设计为: 1. 来自外部网络的通信,只允许发往堡垒主机的数据包通过。 2. 来自内部网络的通信,只允许经过了堡垒主机的数据包通过。 该体系结构的安全性主要由屏蔽路由器上的数据包过滤技术提供。
4. 信息安全
二、安全攻击
1. 针对信息传输的攻击
2
网络安全复习
2. 针对信息内容的攻击 被动攻击不涉及信息内容的更改,难以检测,但可以阻止。 主动攻击涉及信息内容的更改,难以绝对阻止,但可以检测,并从破坏中
恢复。
3. 针对不同目的的攻击 访问攻击(机密性) 窥探、窃听、截获 篡改攻击(完整性) 改变、插入、删除 拒绝服务攻击(可用性) 拒绝访问信息、应用、系统、通信 否认攻击(真实性、不可否认性) 假冒、否认
2. 计算机安全 2.1 计算机安全 — 橘皮书
1983 年,美国国防部。 可信计算机安全评价标准(TCSEC,橘皮书),将计算机系统划分为 4 个
等级 7 个级别。 1. D 类安全等级(D1) 2. C 类安全等级(C1,C2) 3. B 类安全等级(B1,B2,B3) 4. A 类安全等级(A1) 2.2 计算机安全 — 白皮书 1989 年,欧洲四国。
四、安全机制
数据加密; 流量填充; 报文鉴别; 数字签名; 认证、授权、审计(AAA)。
五、安全协议
1. Kerberos 1.1 Kerberos — KDC 的密钥管理
1. A KDC: IDA||IDB
2. KDC A: E(KA,[KS||E(KB,[KS||IDA])])
1
网络安全复习
信息技术安全评估准则(ITSEC,白皮书),首次提出 CIA 三元组安全模 型。
CIA 三元组 机密、完整、可用。 DAD 三元组 泄漏、篡改、破坏。
3. 网络安全 机密 完整 可用 真实 可控 不可否认 篡改 破坏 伪造 误用 纠纷
10
网络安全复习
7.3 状态监测防火墙的优点 与应用代理防火墙相比,状态监测防火墙不需要中断直接参与通信的两台 主机之间的连接,对网络速度的影响较小。 与包过滤防火墙相比,利用连接状态表,检查会话状态的逻辑性,同时实 时控制动态端口,避免了静态包过滤防火墙在需要使用动态端口时存在的 安全隐患。
系统资源根据系统性能规范所表现出来的可去性和可用性。即无论用户何 时需要,系统总能提供服务。 4. 可审性服务 可审性服务并不针对攻击提供保护,必须和其他安全服务结合使用。如果 没有可审性服务,机密性服务与完整性服务也会失效。 目的:合法用户在监控下做授权访问。 对象:访问实体;访问行为。 机制:认证;授权;审计 配合:机密性服务;完整性服务。
8.2.1 单宿主堡垒主机(1) 单宿主堡垒主机是外网主机能连接到的唯一的内网主机。单宿主堡垒主机 执行着验证和代理的功能。因此,单宿主堡垒主机要保持更高等级的主机 安全。 优点:实现了网络层和应用层的双层过滤,同时具有相当的灵活性。 缺点:安全性主要由屏蔽路由器上的数据包过滤技术提供,一旦屏蔽路由 器被攻破,外网主机即可和内网主机直接通信。 该体系结构以双宿主堡垒主机代替单宿主堡垒主机,在物理上解决了上一 种结构体系的安全漏洞,同时,某些需要为外部网络提供服务的主机(如 信息服务器)在安全策略的允许范围内可以和路由器直接通信。
7.4 状态监测防火墙的缺点 安全防护功能不如应用代理防火墙。 系统处理效率和网络吞吐能力不如包过滤防火墙。
11
被屏蔽子网体系结构
网络安全复习
单宿主堡垒主 机
互联网
屏蔽路由器
屏蔽路由器
专用网
信息服务器
8. 防火墙体系结构 单层防御体系结构 1. 屏蔽路由器 2. 双宿主堡垒主机 双层防御体系结构(屏蔽主机体系结构) 1. 单宿主堡垒主机 2. 双宿主堡垒主机 三层防御体系结构(屏蔽子网体系结构)
3. 防火墙的基本准则 默认禁止 置简单 默认允许 置困难
所有未被允许的都是禁止的。使用不便、安全性高、设 所有未被禁止的都是允许的。使用方便、安全性低、设
4. 防火墙的预期功能 必需功能 控制机制 • 服务控制 • 方向控制 • 用户控制 • 行为控制 日志与审计 附加功能 流量控制
8.3.2 DMZ 这种配置创造出一个独立的子网,充当内部网络和外部网络之间的缓冲 区,即所谓的非军事区(DeMilitarized Zone,DMZ)。 “非军事区”是为了解决安装防火墙后外部网络不能访问内部网络服务器 的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区 位于内部网络和外部网络之间,放置一些必须公开的服务器设施,如 Web
术阻断内、外网络之间的通信,对允许开放的服务类型,根据过滤规则决 定是否代理发送,同时达到屏蔽内部网络的目的。 不允许外部主机连接到内部安全网络。 允许内部主机使用代理服务器访问外部主机。 只有被认为可以信赖的代理服务才允许通过。 6.2 应用代理防火墙的工作流程
9
网络安全复习
6.3 应用代理防火墙的优点 无需判断大量的 TCP 和 IP 层上的连接,只需要细查少数允许通过的
13
网络安全复习
服务器、FTP 服务器和论坛等。 8.3.3 被屏蔽子网体系结构
单宿主堡 垒主机
互联网
专用网
Байду номын сангаас
屏蔽路由 器
屏蔽路由 器
信息服务 器 8.3.4 外部屏蔽路由器 外部屏蔽路由器由于只能向 Internet 告知 DMZ 区的存在,外部网络上的 系统没有路由器与内部网络相连,这就保证内部网络是“不可见的”。并且 只有在 DMZ 网络上选定的服务才能对外部网络开放。 内部屏蔽路由器做普适性数据包过滤,并将选定的服务请求直接引入 DMZ 区服务器,消除了堡垒主机双宿主的必要。 8.3.5 单宿主堡垒主机 为内网主机提供对外请求的代理服务和响应数据的应用层过滤功能。 由于内部屏蔽路由器只向内网告知 DMZ 区的存在,内网主机不能直接通 往外网,这就保证了内网主机必须通过驻留在堡垒主机上的代理服务才能 访问外网。 内部屏蔽路由器可以使用 NAT 避免在内部网络上重新编址或划分子网。 内部屏蔽路由器作为最后的防火墙,能够支持更大的数据吞吐量和更细致的数据 包过滤
8.2.2 双宿主堡垒主机(2)
双宿主堡 垒主机
互联网
屏蔽路由 器
专用主机
信息服务 器
8.3.1 被屏蔽子网体系结构 被屏蔽子网体系结构使用两个包过滤路由器。 一个在单宿主堡垒主机和 Internet 之间 一个在单宿主堡垒主机和内部网络之间。 入侵者必须突破三个不同的设备(外部路由器、单宿主堡垒主机和内部路 由器),才能入侵内部网络。
8.1.1 屏蔽路由器(1) 屏蔽路由器是一台具备包过滤技术的路由器,是防火墙最基本的构件。 屏蔽路由器作为内外网络连接的唯一通道,对所有流经的报文进行过滤检查。 8.1.2 双宿主堡垒主机(1) 双宿主堡垒主机是一台具备应用代理技术的防火墙。这样的主机至少有两个 网络接口,可以充当与这些接口相连的网络之间的路由器。 双宿主堡垒主机连接内外网络,并切断他们的直接联系。内外网络只能与双 宿主堡垒主机通信,由双宿主堡垒主机决定是否代理发送。 8.1.3 双宿主堡垒主机(2)
5.2 包过滤防火墙的工作流程
规则有 PERMIT DENY 5.3 包过滤防火墙的优点
设计简单。 实现成本低。 服务对用户透明。 处理数据包的速度快。 5.4 包过滤防火墙的缺点 不能防范针对应用层的攻击。 不能防范 IP 地址欺骗。 不能保留连接信息。 增加过滤条目困难。 6. 应用代理防火墙 6.1 应用代理防火墙 应用代理防火墙具有传统的代理服务器和防火墙的双重功能。使用代理技
7
网络安全复习
七、防火墙
1. 防火墙的概念 防火墙实现了内部网络和外部网络之间的隔离与访问控制,对内防止外来的
入侵和破坏,对外屏蔽内部结构、信息和运行状况,实现对网络的安全保护。
2. 防火墙的满足条件 防火墙是内网和外网之间唯一的出入口 。 防火墙只允许被授权的流量通过。 防火墙自身是免疫的。
三、安全服务
1. 机密性服务 目的:信息的保密。 对象:存储文件;传输信息;通信流量。
3
网络安全复习
机制:数据加密;流量填充。 针对:访问攻击。 配合:可审性服务。 2. 完整性服务 目的:信息的正确。 对象:存储文件;传输信息。 机制:消息摘要;数字签名。 针对:篡改攻击;否认攻击。 配合:可审性服务。 3. 可用性服务 目的:信息的可用。 针对:拒绝服务攻击。 可用性服务不能防范拒绝服务攻击,但可以减少此类攻击带来的影响,并使 文件、程序、系统和网络恢复正常。 可用性作为系统的安全性质,定义为:在接收到授权系统实体的命令时,
且能够自我复制的一组计算机指令或者程序代码。 宿主:寄生于宿主程序。 感染:感染文件、磁盘引导扇区。 传播:通过运行宿主程序传播。 功能:损坏信息。破坏计算机硬件、软件和数据。 2 蠕虫 以自身功能的拷贝或部分感染其他文件,并利用网络连接,快速、大量的
传播自身副本耗尽主机内存、阻塞网络通信。 宿主:无宿主。被感染文件本身被视为蠕虫。 感染:感染文件。 传播:利用网络大量复制、自我传播。 功能:流量攻击。主机瘫痪,网络阻塞。 3 木马 表面有用,实际功能则与所声称的不符,并且具有破坏性的应用程序。 宿主:依附在声称有用的文件、程序中。 感染:不自我复制、不感染文件。 传播:通过电子文件或程序下载传播。 功能:开启后门。泄露目标主机信息、配合攻击主机实现远程控制。
3. A B:
E(KB,[KS||IDA])
1.2 Kerberos — 工作流程
4
网络安全复习
2. SSL 2.1 SSL — PKI 的组成
2.2 SSL — X.509 证书
5
网络安全复习
2.3 SSL — 工作流程
6
六、恶意代码
网络安全复习
1 病毒 在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并
NAT
VPN
5. 包过滤防火墙 5.1 包过滤防火墙
包过滤防火墙采用最早的静态包过滤技术,因此也被称为静态包过滤防火 墙。
8
网络安全复习
包过滤防火墙根据事先设定的过滤规则表,对两个方向上(进入内部网络 和从内部网络发出)所有数据包的头部信息进行审查,按照匹配结果决定 是否允许该数据包通过。
VPN IPSec 漏洞扫描 黑客攻击
网络安全复习
一、信息安全的发展过程
1. 通信安全 1.1 通信安全 — 对称加密
算法基于替代和置换; 使用同一个密钥对信息进行加密和解密; 信息的保密性取决于密钥的保密性; 管理密钥、身份鉴别困难; DES、KDC、Kerberos; 速度快,安全性低; 多用于加密数据。 1.2 通信安全 — 非对称加密 算法基于数学函数(数论); 对方公钥加密,自己私钥签名; 信息的保密性取决于算法的复杂性; 管理密钥、身份鉴别方便; RSA、PKI、SSL; 速度慢,安全性高; 多用于加密会话密钥、实现数字签名。
应用程序。 工作在应用层,可以有效地防止恶意入侵和病毒,同时很容易记录
和审计入站流量。 每个连接都需要通过防火墙接入和转发,屏蔽了内部网络结构。 应用代理防火墙通常拥有高速缓存,保存了用户最近访问过的站点
内容,重复访问时,可以节约时间和网络资源。 6.4 应用代理防火墙的缺点
对每一个连接的双向流量进行检查和传送,产生额外的处理开销。 对数据包进行内部结构的分析和处理,使系统整体性能和处理效率 下降。 7. 状态监测防火墙 7.1 状态检测防火墙 状态检测防火墙采用了动态包过滤技术,因此也被称为动态包过滤防火 墙。 状态检测防火墙在继承了静态包过滤技术优点的基础上,建立状态连接 表,单独为各协议实现连接跟踪模块,进一步分析连接中的信息内容,保 证连接状态的正确性。 7.2 状态检测防火墙的工作流程
双宿主堡 垒主机
互联网
12
信息服务 器
专用主机
网络安全复习
8.2 屏蔽主机体系结构 屏蔽主机体系结构使用一个屏蔽路由器把内部网络和外部网络隔开。屏蔽 路由器上的包过滤策略被设计为: 1. 来自外部网络的通信,只允许发往堡垒主机的数据包通过。 2. 来自内部网络的通信,只允许经过了堡垒主机的数据包通过。 该体系结构的安全性主要由屏蔽路由器上的数据包过滤技术提供。
4. 信息安全
二、安全攻击
1. 针对信息传输的攻击
2
网络安全复习
2. 针对信息内容的攻击 被动攻击不涉及信息内容的更改,难以检测,但可以阻止。 主动攻击涉及信息内容的更改,难以绝对阻止,但可以检测,并从破坏中
恢复。
3. 针对不同目的的攻击 访问攻击(机密性) 窥探、窃听、截获 篡改攻击(完整性) 改变、插入、删除 拒绝服务攻击(可用性) 拒绝访问信息、应用、系统、通信 否认攻击(真实性、不可否认性) 假冒、否认
2. 计算机安全 2.1 计算机安全 — 橘皮书
1983 年,美国国防部。 可信计算机安全评价标准(TCSEC,橘皮书),将计算机系统划分为 4 个
等级 7 个级别。 1. D 类安全等级(D1) 2. C 类安全等级(C1,C2) 3. B 类安全等级(B1,B2,B3) 4. A 类安全等级(A1) 2.2 计算机安全 — 白皮书 1989 年,欧洲四国。
四、安全机制
数据加密; 流量填充; 报文鉴别; 数字签名; 认证、授权、审计(AAA)。
五、安全协议
1. Kerberos 1.1 Kerberos — KDC 的密钥管理
1. A KDC: IDA||IDB
2. KDC A: E(KA,[KS||E(KB,[KS||IDA])])
1
网络安全复习
信息技术安全评估准则(ITSEC,白皮书),首次提出 CIA 三元组安全模 型。
CIA 三元组 机密、完整、可用。 DAD 三元组 泄漏、篡改、破坏。
3. 网络安全 机密 完整 可用 真实 可控 不可否认 篡改 破坏 伪造 误用 纠纷
10
网络安全复习
7.3 状态监测防火墙的优点 与应用代理防火墙相比,状态监测防火墙不需要中断直接参与通信的两台 主机之间的连接,对网络速度的影响较小。 与包过滤防火墙相比,利用连接状态表,检查会话状态的逻辑性,同时实 时控制动态端口,避免了静态包过滤防火墙在需要使用动态端口时存在的 安全隐患。
系统资源根据系统性能规范所表现出来的可去性和可用性。即无论用户何 时需要,系统总能提供服务。 4. 可审性服务 可审性服务并不针对攻击提供保护,必须和其他安全服务结合使用。如果 没有可审性服务,机密性服务与完整性服务也会失效。 目的:合法用户在监控下做授权访问。 对象:访问实体;访问行为。 机制:认证;授权;审计 配合:机密性服务;完整性服务。
8.2.1 单宿主堡垒主机(1) 单宿主堡垒主机是外网主机能连接到的唯一的内网主机。单宿主堡垒主机 执行着验证和代理的功能。因此,单宿主堡垒主机要保持更高等级的主机 安全。 优点:实现了网络层和应用层的双层过滤,同时具有相当的灵活性。 缺点:安全性主要由屏蔽路由器上的数据包过滤技术提供,一旦屏蔽路由 器被攻破,外网主机即可和内网主机直接通信。 该体系结构以双宿主堡垒主机代替单宿主堡垒主机,在物理上解决了上一 种结构体系的安全漏洞,同时,某些需要为外部网络提供服务的主机(如 信息服务器)在安全策略的允许范围内可以和路由器直接通信。
7.4 状态监测防火墙的缺点 安全防护功能不如应用代理防火墙。 系统处理效率和网络吞吐能力不如包过滤防火墙。
11
被屏蔽子网体系结构
网络安全复习
单宿主堡垒主 机
互联网
屏蔽路由器
屏蔽路由器
专用网
信息服务器
8. 防火墙体系结构 单层防御体系结构 1. 屏蔽路由器 2. 双宿主堡垒主机 双层防御体系结构(屏蔽主机体系结构) 1. 单宿主堡垒主机 2. 双宿主堡垒主机 三层防御体系结构(屏蔽子网体系结构)
3. 防火墙的基本准则 默认禁止 置简单 默认允许 置困难
所有未被允许的都是禁止的。使用不便、安全性高、设 所有未被禁止的都是允许的。使用方便、安全性低、设
4. 防火墙的预期功能 必需功能 控制机制 • 服务控制 • 方向控制 • 用户控制 • 行为控制 日志与审计 附加功能 流量控制
8.3.2 DMZ 这种配置创造出一个独立的子网,充当内部网络和外部网络之间的缓冲 区,即所谓的非军事区(DeMilitarized Zone,DMZ)。 “非军事区”是为了解决安装防火墙后外部网络不能访问内部网络服务器 的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区 位于内部网络和外部网络之间,放置一些必须公开的服务器设施,如 Web
术阻断内、外网络之间的通信,对允许开放的服务类型,根据过滤规则决 定是否代理发送,同时达到屏蔽内部网络的目的。 不允许外部主机连接到内部安全网络。 允许内部主机使用代理服务器访问外部主机。 只有被认为可以信赖的代理服务才允许通过。 6.2 应用代理防火墙的工作流程
9
网络安全复习
6.3 应用代理防火墙的优点 无需判断大量的 TCP 和 IP 层上的连接,只需要细查少数允许通过的
13
网络安全复习
服务器、FTP 服务器和论坛等。 8.3.3 被屏蔽子网体系结构
单宿主堡 垒主机
互联网
专用网
Байду номын сангаас
屏蔽路由 器
屏蔽路由 器
信息服务 器 8.3.4 外部屏蔽路由器 外部屏蔽路由器由于只能向 Internet 告知 DMZ 区的存在,外部网络上的 系统没有路由器与内部网络相连,这就保证内部网络是“不可见的”。并且 只有在 DMZ 网络上选定的服务才能对外部网络开放。 内部屏蔽路由器做普适性数据包过滤,并将选定的服务请求直接引入 DMZ 区服务器,消除了堡垒主机双宿主的必要。 8.3.5 单宿主堡垒主机 为内网主机提供对外请求的代理服务和响应数据的应用层过滤功能。 由于内部屏蔽路由器只向内网告知 DMZ 区的存在,内网主机不能直接通 往外网,这就保证了内网主机必须通过驻留在堡垒主机上的代理服务才能 访问外网。 内部屏蔽路由器可以使用 NAT 避免在内部网络上重新编址或划分子网。 内部屏蔽路由器作为最后的防火墙,能够支持更大的数据吞吐量和更细致的数据 包过滤
8.2.2 双宿主堡垒主机(2)
双宿主堡 垒主机
互联网
屏蔽路由 器
专用主机
信息服务 器
8.3.1 被屏蔽子网体系结构 被屏蔽子网体系结构使用两个包过滤路由器。 一个在单宿主堡垒主机和 Internet 之间 一个在单宿主堡垒主机和内部网络之间。 入侵者必须突破三个不同的设备(外部路由器、单宿主堡垒主机和内部路 由器),才能入侵内部网络。
8.1.1 屏蔽路由器(1) 屏蔽路由器是一台具备包过滤技术的路由器,是防火墙最基本的构件。 屏蔽路由器作为内外网络连接的唯一通道,对所有流经的报文进行过滤检查。 8.1.2 双宿主堡垒主机(1) 双宿主堡垒主机是一台具备应用代理技术的防火墙。这样的主机至少有两个 网络接口,可以充当与这些接口相连的网络之间的路由器。 双宿主堡垒主机连接内外网络,并切断他们的直接联系。内外网络只能与双 宿主堡垒主机通信,由双宿主堡垒主机决定是否代理发送。 8.1.3 双宿主堡垒主机(2)
5.2 包过滤防火墙的工作流程
规则有 PERMIT DENY 5.3 包过滤防火墙的优点
设计简单。 实现成本低。 服务对用户透明。 处理数据包的速度快。 5.4 包过滤防火墙的缺点 不能防范针对应用层的攻击。 不能防范 IP 地址欺骗。 不能保留连接信息。 增加过滤条目困难。 6. 应用代理防火墙 6.1 应用代理防火墙 应用代理防火墙具有传统的代理服务器和防火墙的双重功能。使用代理技
7
网络安全复习
七、防火墙
1. 防火墙的概念 防火墙实现了内部网络和外部网络之间的隔离与访问控制,对内防止外来的
入侵和破坏,对外屏蔽内部结构、信息和运行状况,实现对网络的安全保护。
2. 防火墙的满足条件 防火墙是内网和外网之间唯一的出入口 。 防火墙只允许被授权的流量通过。 防火墙自身是免疫的。
三、安全服务
1. 机密性服务 目的:信息的保密。 对象:存储文件;传输信息;通信流量。
3
网络安全复习
机制:数据加密;流量填充。 针对:访问攻击。 配合:可审性服务。 2. 完整性服务 目的:信息的正确。 对象:存储文件;传输信息。 机制:消息摘要;数字签名。 针对:篡改攻击;否认攻击。 配合:可审性服务。 3. 可用性服务 目的:信息的可用。 针对:拒绝服务攻击。 可用性服务不能防范拒绝服务攻击,但可以减少此类攻击带来的影响,并使 文件、程序、系统和网络恢复正常。 可用性作为系统的安全性质,定义为:在接收到授权系统实体的命令时,
且能够自我复制的一组计算机指令或者程序代码。 宿主:寄生于宿主程序。 感染:感染文件、磁盘引导扇区。 传播:通过运行宿主程序传播。 功能:损坏信息。破坏计算机硬件、软件和数据。 2 蠕虫 以自身功能的拷贝或部分感染其他文件,并利用网络连接,快速、大量的
传播自身副本耗尽主机内存、阻塞网络通信。 宿主:无宿主。被感染文件本身被视为蠕虫。 感染:感染文件。 传播:利用网络大量复制、自我传播。 功能:流量攻击。主机瘫痪,网络阻塞。 3 木马 表面有用,实际功能则与所声称的不符,并且具有破坏性的应用程序。 宿主:依附在声称有用的文件、程序中。 感染:不自我复制、不感染文件。 传播:通过电子文件或程序下载传播。 功能:开启后门。泄露目标主机信息、配合攻击主机实现远程控制。
3. A B:
E(KB,[KS||IDA])
1.2 Kerberos — 工作流程
4
网络安全复习
2. SSL 2.1 SSL — PKI 的组成
2.2 SSL — X.509 证书
5
网络安全复习
2.3 SSL — 工作流程
6
六、恶意代码
网络安全复习
1 病毒 在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并
NAT
VPN
5. 包过滤防火墙 5.1 包过滤防火墙
包过滤防火墙采用最早的静态包过滤技术,因此也被称为静态包过滤防火 墙。
8
网络安全复习
包过滤防火墙根据事先设定的过滤规则表,对两个方向上(进入内部网络 和从内部网络发出)所有数据包的头部信息进行审查,按照匹配结果决定 是否允许该数据包通过。