計算機網絡安全總結

1.緒論

網絡安全的構成

1.1網絡安全的基本概念

（定義、屬性、模型、攻擊手段、攻擊方式、安全服務、安全機制）
▲網絡安全的定義：
（1）確保在計算機、網絡環境運行的信息系統的安全運行，以及信息系統中所存儲、傳輸和處理的信息的安全保護。
（2）網絡系統的軟件、硬件以及系統中存儲和傳輸的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，網絡系統連續可靠正常地運行，網絡服務不中斷。
▲屬性：
機密性：保證信息與信息系統不被非授權的用戶、實體或過程所獲取與使用
完整性：信息在存貯或傳輸時不被修改、破壞，或不發生信息包丟失、亂序等
可用性： 信息與信息系統可被授權實體正常訪問的特性，即授權實體當需要時能夠存取所需信息
可控性：對信息的存儲與傳播具有完全的控制能力，可以控制信息的流向和行爲方式
真實性：也就是可靠性，指信息的可用度，包括信息的完整性、準確性和發送人的身份證實等方面，它也是信息安全性的基本要素
其中，機密性、完整性和可用性通常被認爲是網絡安全的三個基本屬性（CIA三要素）

▲模型：

▲攻擊手段：

在最高層次上，ISO 7498-2將安全攻擊分成兩類，即被動攻擊和主動攻擊。
被動攻擊：
被動攻擊試圖收集、利用系統的信息但不影響系統的正常訪問，數據的合法用戶對這種活動一般不會覺察到。
被動攻擊採取的方法是對傳輸中的信息進行竊聽和監測，主要目標是獲得傳輸的信息。
有兩種主要的被動攻擊方式：（信息收集和流量分析。）
主動攻擊：
網絡攻擊是指降級、瓦解、拒絕、摧毀計算機或計算機網絡中的信息資源，或者降級、瓦解、拒絕、摧毀計算機或計算機網絡本身的行爲。

▲安全服務：
OSI安全體系結構將安全服務定義爲通信開放系統協議層提供的服務，從而保證系統或數據傳輸有足夠的安全性
OSI安全體系結構定義了5大類共14個安全服務

▲安全機制：
網絡安全策略是網絡安全系統的靈魂與核心，是在一個特定的環境裏，爲保證提供一定級別的安全保護所必須遵守的規則集合。
網絡安全防護體系的建立是基於安全技術的集成基礎之上，依據一定的安全策略建立起來的。
5大網絡安全策略：
物理安全策略
訪問控制策略
防火牆控制策略
信息加密策略
網絡安全管理策略

1.2.認識Internet上的嚴峻的安全形勢並深入分析其根源。

來自外部的不安全因素
來自網絡系統本身的不安全因素
網絡應用安全管理方面的原因
網絡安全協議的原因
薄弱的認證環節
系統的易被監視性
易欺騙性

2.網絡協議基礎

2.1瞭解網絡體系結構各層的功能

物理層：考慮用多大的電壓代表所傳輸的比特，以及接收方如何識別出這些比特
數據鏈路層：包括操作系統中的設備驅動程序和計算機中對應的網絡接口卡，負責處理與傳輸電纜的物理接口細節
網絡層：負責處理分組在網絡中的活動，例如分組的選路
傳輸層： 負責向兩個主機中進程之間的通信提供通用的數據傳輸服務
應用層：定義應用進程間通信和交互的規則,負責通過應用進程間的交互來完成特定網絡應用。應用層的協議有支持萬維網應用的HTTP協議，支持電子郵件的SMTP協議等

2.2認識TCP/IP協議族中一些協議的安全問題

（例如：ARP、TCP、HTTP、TELNET、SMTP等）
（對ICMP協議的利用：ping, traceroot）
▲APP
什麼是ARP協議？
利用ARP緩存表記錄IP地址與MAC地址的對應關係，如果沒有此項記錄，則通過ARP廣播獲得目的主機的MAC地址。（基於通信多方都是誠實的基礎上）
攻擊方式：（ARP欺騙，建立錯誤的ARP緩存表。）

eg：三臺計算機A（攻擊者），B，C，且B已有ARP表項
 A發出一個ARP請求報文如下：
源IP地址是C的IP地址，源物理地址是A的MAC地址
請求的目標IP地址是B的IP地址
 B發現ARP表項中的MAC地址與收到的請求的源物理地址不符，於是根據ARP協議，用A的物理地址更新自己的ARP表
 B的ARP緩存中就存在這樣的錯誤ARP表項：C的IP地址跟A的MAC地址對應
 這樣的結果是，B發給C的數據都被計算機A接收到

▲TCP
攻擊方式：SYN泛洪攻擊
SYN Flood是目前最流行的DDoS攻擊手段
SYN Flood利用了TCP/IP協議的固有漏洞。面向連接的TCP三次握手是SYN Flood存在的基礎。

▲HTTP
▲TELNET
▲SMTP

3.密碼學在網絡安全中的應用

3.1對稱密碼體制/非對稱密碼體制

3.2混合加密體制

3.3數字簽名

3.4密鑰管理

4.消息鑑別與身份認證

4.1認證分爲哪兩大類

（認證分爲身份認證和消息認證）
身份認證：
用戶與主機的認證
主機與主機的認證
消息認證：

4.2消息鑑別協議的核心——鑑別函數

4.3如何利用鑑別函數構造鑑別協議

4.4分析一個鑑別協議的安全問題*

4.5身份認證的概念、有哪些常用的身份認證方式，分析其優缺點

用戶名/口令方式
IC卡認證
生物特徵認證
USB Key認證
動態口令/動態密碼
數字簽名

5.Internet安全

5.1各層協議的安全

應用層：

傳輸層：

網絡層：

（1）ARP欺騙:
ARP協議是一種將IP地址轉換成物理地址的協議，以便設備能夠在共享介質的網絡（如以太網）中通信。
ARP欺騙就是一種通過虛假請求或響應報文，使得其它主機的ARP列表發生改變而無法正常通信的攻擊行爲。
主機發送虛假的請求報文或響應報文，報文中的源IP地址和源物理地址均可以僞造.
（2）IP欺騙：

數據鏈路層：
DNS欺騙：
DNS是TCP/IP協議體系中的應用程序，其主要功能是進行域名和IP地址的轉換
假如入侵者僞裝成DNS服務器提前向客戶端發送響應數據報，那麼客戶端的DNS緩存裏的域名所對應的IP就是它們自己定義的IP，同時客戶端也就被帶入入侵者希望的地方。

5.2IPSec的思想、實現的目的、工作過程（AH和ESP）、工作模式、功能、密鑰管理

IPSec的思想:使用IP封裝技術，對純文本的包加密，封裝在外層的IP數據報的首部裏，用來對加密的包進行路由。到達接收端時，外層的IP報頭被拆開，報文被解密。
IPSec的目的:使需要安全措施的用戶能夠使用相應的加密安全體制，且該體制與算法無關，即使替換了加密算法也不會對其他部分產生影響。
IPSec對於IPv4是可選的，對於IPv6是強制性的。

工作過程（AH和ESP）

工作模式:
(1)傳輸模式：用於端到端的應用時，僅對源點做鑑別和完整性，沒有提供保密性
(2)隧道模式：用於防火牆或其他安全網關，保護內部網絡，隔離外部網絡，不僅能提供AH提供的源點鑑別和數據完整性，還能提供保密性
功能:
保證數據來源可靠（認證）
保證數據完整性（驗證算法）
保證數據機密性（加密）
實現VPN（隧道模式）
密鑰管理:IPSec的安全服務要求支持共享密鑰完成認證和/或保密
手工管理
自動管理
Photuris
簡單Internet密鑰管理協議SKIP
Internet密鑰交換協議IKE
IPSec默認的協議
IKE

5.3SSL/SET的思想

SSL（Secure Socket Layer，安全套接層）：用於在兩個通信應用程序之間提供保密性和數據完整性。
在發送方，SSL 接收應用層的數據（如 HTTP 或 IMAP 報文），對數據進行加密，然後把加了密的數據送往 TCP 套接字。
在接收方，SSL 從 TCP 套接字讀取數據，解密後把數據交給應用層。

SET:

SSL與SET兩種協議的區別在哪裏（C）。
A. 加密方法
B. 解密方法
C. 網絡中的層次
D. 信息傳輸的保密
[解析]SSL是基於傳輸層的協議，而SET則是基於應用層的協議。
SET協議運行的目標主要有（A.B）。
A．保證信息在互聯網上安全傳輸
B．保證電子商務參與者信息的相互隔離
C．提供商品或服務
D．通過支付網關處理消費者和在線商店之間的交易付款問題
SSL協議對於SET協議的劣勢主要是無法保證：（C）
A.信息的真實性
B.信息的完整性
C.信息的不可否認性
D.信息的保密性

6.防火牆技術

6.1防火牆實現主要包括 （過濾機制）和（安全策略）。

安全策略定義：
安全策略是按一定規則檢查數據流是否可以通過防火牆的基本安全控制機制。
規則的本質是包過濾。

6.2防火牆的分類，各自的特點。

包過濾路由器

應用層網關


電路層網關

6.3防火牆能否抵抗來自內網的攻擊？

防火牆不能抵抗來自內網的攻擊

7.VPN技術

7.1VPN是什麼，其實現的目的

VPN是什麼？
VPN是利用Internet或其它公共互聯網絡的基礎設施爲用戶創建隧道，來仿真專有的廣域網，並提供與專用網絡一樣的安全和功能保障。
虛擬出來的企業內部專線：通過特殊的加密的通訊協議在連接到Internet上的、位於不同地方的、兩個或多個企業內部網之間建立一個臨時的、安全的連接，是一條穿過公用網絡的安全、穩定的隧道
綜合了專用和公用網絡的優點，允許有多個站點的公司擁有一個假想的完全專有的網絡，而使用公用網絡作爲其站點之間交流的線路
其實現的目的？

資源訪問限制於某些IP地址
內部人員需要在外面訪問內部網
僱員可能在外地並需要訪問網絡
專有網太貴
外地的僱員也可能不是定點的

7.2有哪些類型

1.按照協議分
二層隧道：PPTP,L2TP
三層隧道：IPSec
2.按照應用分類
（1)Intranet VPN (內聯網 VPN)
（2)Extranet VPN (內聯網 VPN)
（3）Access VPN（遠程接入VPN）

7.3主要應用的技術

1.隧道技術:實質上是一種數據封裝技術，即將一種協議封裝在另一種協議中傳輸。數據在發送前被封裝在相應的隧道協議中，當到達另一端時被解包。

2.加解密技術:發送者在發送數據之前先對數據進行加密，當數據到達接收方時被解密。(加密算法由DES、3DES、IDEA等。)

3.用戶身份認證/訪問控制技術:主要用於遠程訪問的情況。當一個撥號用戶要求建立一個會話時，要對用戶的身份進行鑑定，確定該用戶是否是合法用戶以及可以使用哪些資源。
確定合法用戶對特定資源的訪問權限，實現對信息資源的最大限度的保護。
4.IPSec技術：
提供安全的網絡傳輸服務
主要適用於LAN間VPN（隧道模式）
IKE支持動態密鑰交換，採用預共享密鑰或公鑰機制認證身份，協商加密、認證密鑰
具有數據傳輸的完整性認證、加密功能
實現方式
VPN專用設備
將IPSec嵌入到防火牆軟件
將IPSec嵌入到路由器軟件
動態IP地址的IPSec VPN（利用動態域名服務器）
4.密鑰管理技術