第10章 网络安全技术
考试说明:选择题33-36,综合题(2-4分,考查IPS防火墙)
常考知识点:
数据备份策略、磁盘阵列备份方式
加密技术——对称加密、非对称加密
入侵防护系统——IPS(入侵防护系统)
防火墙技术——PIX配置过程
网络版防病毒软件的安装与配置
考点1:数据备份策略、磁盘阵列备份方式
①从备份策略来看,可以分为完全备份、增量备份和差异备份;
②从备份模式来看,可以分为物理备份和逻辑备份;
③根据备份服务器在备份过程中是否可以接收用户响应和进行数据更新,又可以分为在线备份和离线备份(或者称为热备份和冷备份)。
1.数据备份策略
①完全备份(full backup):指对用户指定的所有数据文件或整个系统进行全面备份,是一种常用的数据备份方式。
②增量备份(incremental backup):只是备份那些自上次完全备份或增量备份后新创建的、被修改过的文件,即只备份所有发生变化的文件。
③差异备份(differential backup)与增量备份相似,只备份新创建的或被修改过的数据。但两者的区别在于,差异备份是积累的,一个文件只要自上次完全备份后被修改过或者是新创建的,则在以后每次进行差异备份时都会被备份,直到下一次完全备份为止。
=> 工作量:完全备份>差异备份>增量备份
数据恢复时使用备份数:增量备份>差异备份>完全备份
安全备份不会检查自上次备份后文件是否被改动过,只是机械地将每个文件读出、写入,而不管文件是否已被修改;增量备份没有重复的备份数据,备份数据量不大,所需时间很短;差异备份只备份新创建的或被修改过的数据。
2.磁盘阵列备份方式
廉价冗余磁盘阵列(RAID)是一种广泛使用的数据备份设备,同时也是一种数据备份技术。它是指将多个类型、容量、接口,甚至品牌一致的专用磁盘或普通磁盘连成一个阵列,使其能以某种快速、准确和安全的方式来读写磁盘数据,从而达到提高数据读取速度和安全性的一种手段。
磁盘阵列的最大特点是数据存储速度特别快,其主要功能是提高网络数据的可用性及存储容量,并将数据有选择性地分布在多个磁盘上,从而提高系统的数据吞吐率。
磁盘阵列有多种部署方式,也称RAID级别。不同的RAID级别,备份方式不同。目前主要有RAID0、RAID1、RAID3、RAID5等几种,也可以是几种独立方式的组合,如RAID10就是RAID0和RAID1的组合。
RAID1是需要通过磁盘数据镜像实现数据冗余,而RAID5可以在所有磁盘上交叉地存取数据及奇偶校验信息,相比较而言RAID5可靠性优于RAID1。
磁盘阵列需要有磁盘阵列控制器,有些服务器主板中就自带有这个RAID控制器,提供了相应的接口。而有些服务器主板上没有这种控制器,这样在需要配置RAID时,就必须外加一个RAID卡(阵列卡)插入服务器的PCI插槽中。
RAID控制的磁盘接口通常是SCSI接口,不过目前也有一些RAID阵列卡提供了IDE接口,使IDE磁盘也支持RAID技术。同时随着SATA接口技术的成熟,基于SATA接口的RAID阵列卡也非常多;有些阵列卡提供2个甚至4个磁盘接口通道。
考点2:加密技术——对称加密、非对称加密
1.加密与解密
①加密就是利用密码学的方法对信息进行伪装,使得未授权者不能识别和理解其真正的含义,也不能伪造、篡改和破坏数据;
②经过授权的接收者在收到密文后,进行与加密相逆的变换,去掉密文的伪装,恢复明文的过程称为解密;
③加密和解密组成加密系统,明文和密文统称为报文。将信息从明文加密成密文,再从密文转换会明文的整个系统称为密码系统。
2.对称密钥技术
对称加密技术(又称密钥密码技术):指加密系统的加密密钥和解密密钥相同,或者虽然不同,但可以从其中一个密钥推导出另一个密钥。使用对称加密方法,加密方和解密方必须使用同一种加密算法和相同的密钥。
①数据加密标准(DES)算法是最典型的对称密钥加密算法,DES算法使用64位的密钥长度,其中8位用于奇偶校验,用户可以使用其余的56位。
②国际数据加密(IDEA)算法是一个对称分组密码,明文和密文都是64位,密钥长度为128位,它的速度和能力类似于DES,但是更加安全。
其他比DES更安全的对称加密算法,如RC2算法、RC4算法、Skipjack算法;
采用对称加密算法,网络中N个用户之间进行加密通信,需要密钥个数是N*(N-1)。
3.非对称密钥技术
非对称密钥技术对信息的加密与解密使用不同的密钥,用来加密的密钥[ 公钥 ]是可以公开的,用来解密的密钥[ 私钥 ]是需要保密的,因此又被称为公钥加密技术。
目前,常用的公钥算法包括:RSA算法、DSA算法、ECC椭圆曲线算法、PKCS算法与PGP算法等。
RSA公钥加密算法是目前因特网上进行保密通信和数字签名的最有效的加密算法之一,RSA体制多用在数字签名、密钥管理和认证等方面。
采用非对称密钥技术算法,网络中N个用户之间进行加密通信,需要2N个密钥。
考点3:入侵防护系统——IPS(入侵防护系统)
1.入侵检测系统(IDS)的概念
入侵检测技术就是对入侵行为进行检测的技术。通过收集、分析计算机网络或计算机系统中的一些关键信息,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。[ 工作在旁路模式 ] [ 具有嗅探功能 ]
①监视、分析用户和系统的行为;
②审计系统配置和漏洞;
③评估敏感系统和数据的完整性;
④对异常行为进行统计分析,识别攻击行为,并向网络管理人员报警;
⑤对操作系统进行审计、跟踪管理,识别违反授权的用户活动。
2.入侵检测系统的分类
根据数据来源和系统结构的不同,入侵检测系统可以分为基于主机的入侵检测系统和基于网络的入侵检测系统。
①基于主机的入侵检测系统(HIDS):通常在被重点检测的主机上运行一个代理程序,用于监视、检测对于主机的攻击行为,通知用户并进行响应。
②基于网络的入侵检测系统:一般通过将网卡设置成“混杂模式”来收集在网上出现的数据帧,可采用的基本识别技术包括:模式匹配、频率或阈值、事件的相关性、统计意义上的非正常现象检测。
3.分布式入侵检测系统
分布式入侵检测系统将数据收集和部分数据分析功能分布在网络中的不同主机运行,很大程度上解决了集中式入侵检测系统处理能力有限、容易单点失效等缺点。
分布式的入侵检测系统有层次式、协作式和对等式3种类型。
=> 对等式:对等模型的应用使得分布式入侵检测系统真正的避免了单点失效的发生。
4.入侵防护系统的基本概念
入侵防护系统(IPS)是将防火墙技术和入侵检测技术进行整合并采用In-line的工作模式的系统,该系统倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。
入侵防护系统主要包括:嗅探器、日志系统、检测分析组件、状态开关、策略执行组件和控制台6个部分。
【真题】如果该网络内服务器群的IP地址为10.10.33.11-10.10.33.25,并且采用一种设备能够对服务器提供如下保护措施:发送到服务器群的数据包将被进行过滤检测,如果检测到恶意数据包时,系统发出警报并阻断攻击。这种设备的名称是___[1]____。
[1]入侵防护系统(IPS)
解析:IDS只检测和发现可能存在的攻击行为,IPS才会发出警报、阻断攻击。
5.入侵防护系统的分类
入侵防护系统主要分为基于主机的入侵防护系统、基于网络的入侵防护系统和应用入侵防护系统。
①基于主机的入侵防护系统(HIPS):是安装在受保护的主机系统中,检测并阻挡针对本机的威胁和攻击,可以通过监视内核的系统调用来阻挡攻击并记录日志。
HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库或其他试图从操作系统夺取控制权的入侵行为,整体提升主机的安全水平。
②基于网络的入侵防护系统(NIPS):布置于网络出口处,一般串联于防火墙和路由器之间,网络进出的数据流都必须通过它[ 过滤与检测 ],从而保护整个网络的安全。
因为攻击的误报将导致合法的通信被阻断,导致拒绝服务,而性能不足会带来合法通信的延迟,甚至成为网络的瓶颈。[ 对入侵检测的性能和要求较高 ]
③应用入侵防护系统(AIPS):由基于主机的入侵防护系统发展而来,一般部署在应用服务器前端,进而保证了应用服务器的安全性。
应用入侵防护系统能够防止诸多入侵,包括SQL代码嵌入、缓冲区溢出、畸形数据包、cookie篡改、参数篡改、强制浏览、数据类型不匹配以及其他已知漏洞攻击。
应用入侵防护系统通常部署在面向互联网的应用系统之前,能够成为应用服务器的重要安全屏障。
考点4:防火墙技术——PIX配置过程
1.防火墙的基本概念
①防火墙是指一个由软件和硬件设备组合而成的,在内部网和外部网之间、专用网和公共网之间的界面上构成的保护屏障,是一种获取安全性的形象说法。
②防火防主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
③通常布置在企业内部网络和外部公共网络之间,企业中一些需要对外提供服务的服务器(如FTP、WWW、E-mail)通常部署在防火墙的DMZ区。
2.防火墙安装与配置
(1)防火墙的网络接口
①外部网络区域是指企业外部网络,也称为外网,如Internet、第三方网络等,是互联网络中不被信任的区域。当外部区域想要访问内部区域的主机和服务时,可以通过对防火墙进行设置实现外部网络的有限制访问。
②内部网络是指企业内部网络,或者企业内部网络的一部分,也称为内网。它是互联网络中的信任区域,应受到防火墙的保护。如企业内部的各个部门之间的局域网。
③DMZ(也称为停火区)是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器、Mail服务器等。
(2)PIX 525防火墙访问管理模式
①非特权模式
PIX防火墙开机自检后,就是处于非特权模式,系统显示为“pixfirewall>”
②特权模式
输入“enable”进入特权模式,可以改变当前配置,显示为“pixfirewall#”
③配置模式
输入”configure terminal“进入配置模式,绝大部分的系统配置都在这里进行,显示”pixfirewall(config)#“。
④监视模式
在PIX防火墙在开启或重启过程中,按住scape键或发送一个“Break”字符,即可进入监视模式。这里可以更新操作系统映象和进行口令恢复,显示为“monitor>”。
(3)PIX 525防火墙的基本配置
PIX防火墙有9个基本配置命令:nameif、interface、ip address、nat、global、route、static、conduit、fixup。
①nameif:用于配置防火墙接口的名字,并指定安全级别。
<span style="background-color:#f8f8f8"><span style="color:#333333">---配置示例
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50</span></span>
在默认配置中,以太网0端口被命名为外部接口(outside),安全级别是0;以太网1端口被命名为内部端口(inside),安全级别是100。
=> 安全级别取值范围为1~99,数字越大安全级别越高。
②nat:指定要进行转换的内部地址。nat作用是将内网的私有IP地址转换为外网的共有IP地址。nat命令总是与global命令一起使用,因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所制定的地址池进行访问。
③global:指定外部地址范围(地址池)。内网的主机通过防火墙要访问外网时,防火墙要使用这段IP地址池为要访问外网的主机分配一个全局IP地址。
④static:配置静态nat,static命令用于创建内部IP地址和外部IP地址之间的静态映射。
⑤conduit:管道命令。
<span style="background-color:#f8f8f8"><span style="color:#333333">---配置语句
Pix525(config)#conduit permit | deny global_ip port [-port] protocol foreign_ip [netmask]</span></span>
permit | deny:表示允许或拒绝访问。
global_ip:指先前由global或static命令定义的全局IP地址。
port:指服务所作用的端口号。
protocol:指连接协议(如TCP、UDP、ICMP等协议)。
foreign_ip:表示可访问global_ip的外部IP地址。
<span style="background-color:#f8f8f8"><span style="color:#333333">---例:配置允许任何外部主机对全局地址192.168.0.8的这台主机进行HTTP访问。
Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any</span></span>
⑥fixup:配置FIXUP协议。fixup命令的作用是启用、禁止、改变一个服务或协议通过PIX防火墙的端口,由fixup命令指定的端口是PIX防火墙要侦听的服务。
<span style="background-color:#f8f8f8"><span style="color:#333333">---例1:启用FTP协议,并指定FTP的端口号为21。
Pix525(config)#fixup protocol ftp 21
---例2:禁用SMTP协议
Pix525(config)#no fixup protocol smtp</span></span>
【真题】防火墙FW为Cisco PIX 525,若允许内网的FTP服务器向外网提供服务,需要使用的配置命令是___[1]____;若部分内网需要访问外网,需要使用的两个配置命令依次是___[2]____和___[3]____。
[1]Fixup 或 fixup protocol ftp
解析:本题理解为FTP协议通过防火墙,需使用fixup命令。
[2]nat
[3]global
解析:内网访问外网,肯定需要先要经过nat技术进行地址转换,将内部地址转换成可访问外网的全局IP地址,而全局IP地址还需要通过global命令进行制定。
考点5:网络版防病毒软件的安装与配置
1.网络版防病毒系统结构
网络版防病毒软件采用分布式的体系结构,整个防病毒体系是由4个相互关联的子系统组成:系统中心、服务器端、客户端、管理控制台。各个子系统协同工作,共同完成对整个网络的病毒防护工作。
系统中心:远程杀毒、网络管理、自动升级、远程报警。
服务器端:查杀病毒、实时监探、自动升级、远程安装。
客户端:查杀病毒、实时监控、自动升级。
管理控制台:控制、管理、设置。
2.网络版防病毒系统安装
①安装系统中心时,安装程序将在该服务器上同时安装一套服务器端系统和一套管理控制台系统。安装系统中心的计算机应具备全天候开机、可以方便地连接Internet条件。
②对于绝大多数网络版防病毒系统,服务器端和客户端都可以采用本地安装、远程安装、Web安装和脚本安装这几种方式进行安装。
本地安装:直接利用安装程序在本地完成安装的方法。
远程安装:需要系统管理员通过管理控制台给指定的系统客户端执行远程安装的操作。
Web安装:通过浏览器在指定位置的网页实现网络版防病毒软件的安装。
脚本安装:快速实现网络版防病毒软件的安装。
③控制台的安装有通过光盘安装和远程安装两种方式,无论采用何种方式系统管理员都可以将管理控制台安装在其他计算机上。
=> 管理控制台是根据系统管理员的需要进行安装的,可以安装在服务器端或客户端。
3.网络版防病毒系统的主要参数设置
(1)系统升级设置
①从网站升级:系统中心直接通过Internet从其官方网站上获取升级文件。
②从上级中心升级:下级中心从上级中心获取升级文件。
③手动升级:从防病毒系统的官方网站下载升级包,将其复制到系统中心服务器上手动进行安装。
(2)系统的数据通信端口可以设定 [ 非固定的 ]
第10章 网络安全技术相关推荐
- 第六章网络安全技术与产品考试要点及真题分布
第六章网络安全技术与产品 6.1网络安全需求分析与基本设计 6.2网络安全产品的配置与使用 6.3网络安全风险评估实施 6.4网络安全防护技术的应用 网络安全技术与产品真题分值统计 2016年下半年 ...
- 软考信息安全工程师备考笔记6:第六章网络安全技术与产品备考要点
第6章:网络安全技术与产品 网络安全技术与产品备考要点 https://www.moondream.cn/?p=1327 扫一扫加入信息安全工程师备考群 欢迎加入最棒的信息安全工程师社群,分享信息安全 ...
- 第10章* 网络 幂律分布
幂律是说节点具有的连线数和这样的节点数目乘积是一个定值,也就是几何平均(对各变量值的连乘积开项数次方根)是定值. 例:有10000个连线的大节点有10个,有1000个连线的中节点有100个,100个连 ...
- 第10章 网络与信息安全基础知识
目录 1,网络概述 ISO模型和TCP/IP模型 2,网络设备及网络协议与标准 网络设备 网络传输介质 重要协议 网络命令 3,网络安全 防火墙技术 病毒 网络攻击 1,网络概述 计算机网络是计算机技 ...
- 计算机安全技术 实验报告,网络安全技术实验报告(共10篇).doc
网络安全技术实验报告(共10篇) 网络安全技术实验报告(共10篇) 网络安全技术实验报告九 实验九 杀毒软件的使用 实验目的 1.了解杀毒软件的工作原理. 2.学习使用杀毒软件检测和清除病毒. 实验环 ...
- UESTC 计算机系统与网络安全技术 期末复习
目录 第 一 章 信息安全概述 信息安全体系(ISS)主要内容 安全服务的分层部署 1. 应用层 2. 传输层 3. 网络层 4. 数据链路层 第 二 章 TCP/IP协议族及其面临的安全威胁 计算机 ...
- [速记] 网络安全复习(二)网络安全技术基础
第2章 网络安全技术基础 1. 选择题 (1)SSL协议是( )之间实现加密传输的协议. A.物理层和网络层 B.网络层和系统层 C.传输层和应用层 D.物理层和数据层 (2)加密安全机制提供了数据的 ...
- 网络安全技术及应用第3版 主编贾铁军等——教材习题 期末重点 复习题 知识提炼(第1章 网络安全基础)
参考教材:网络安全技术及应用 第3版 主编贾铁军等 写此文是为了便于集中式 有重点 突击复习,可以打印出来,便于识记背诵. 第1章 网络安全基础 填空题 简答题 论述题 填空题 网络安全的目标 是在计 ...
- 【深度学习(deep learning)】花书第10章 序列建模:循环和递归网络 读书笔记
[深度学习(deep learning)]花书第10章 序列建模:循环和递归网络 读书笔记 第10章 序列建模:循环和递归网络 [深度学习(deep learning)]花书第10章 序列建模:循环和 ...
最新文章
- UI自动化测试中的页面定位问题,年薪50W软件测试工程师为你解答
- 数据预处理代码分享——机器学习与数据挖掘
- 饥荒自建服务器崩了之后没有记录了,请问一下为什么服务器建一次之后就再也成功不了了。。...
- cpu高 thread vm_阿里大佬总结,Java高并发必读!
- 1223: 输出汉诺塔问题的盘子移动步骤(Java)
- 线性时间复杂度求数组中第K大数
- 函数求值需要运行所有线程_精读《深度学习 - 函数式之美》
- Spring集成JavaMail并利用线程池发送邮件
- 怎样正确查看Linux的内存占用情况
- 点云上的卷积神经网络及其部分应用
- 利用MySQL存储过程分割字符串
- vue报错Invalid Host header
- “找个心动的人就辣么难嘛 _ ” 别灰心,试试用了AI的Tinder
- android jni javah,JAVAH找不到类(android ndk)
- Ribbon界面开发总结
- imagej得到灰度图数据_教你用免费软件Image J对WB结果进行灰度分析!
- 基于SSM+Mysql在线电影预定下单管理系统
- 396万奖金池!视觉特征编码、AI+无线通信两大赛道等你来战!助力元宇宙!
- Oracle数据库违反唯一约束条件
- 中小型项目请求限流设计