网络工程师辅导课完整版课件

网络工程系彭劲杰网络工程师考试辅导系统及网络安全基础

网络工程系彭劲杰网络工程师考试辅导系统及网络安全基础一、系统与数据安全基础二、网络安全技术与协议迎考知识点复习三、模拟试题及答题技巧一、系统与数据安全基础二、网络安全技术与协议迎考知识点复习三一、系统与数据安全基础1、系统安全基础知识2、信息加密技术3、认证技术4、数字证书5、密钥管理体制

一、系统与数据安全基础1、系统安全基础知识1、计算机安全主要是指计算机资产的安全，即要保证这些资产不受自然和人为因素的有害因素的威胁和危害。一、系统与数据安全基础1、计算机安全一、系统与数据安全基础2、安全的基本要素（5要素）分别是：机密性、完整性、可用性、可控性和可审查性。3、网络交易中的信息安全分别是：机密性、完整性和不可抵赖性。一、系统与数据安全基础2、安全的基本要素（5要素）一、系统与数据安全基础4、计算机系统安全等级（1）依据是美国国防部和国家标准局的《可信计算机系统评测标准》，将系统分为4类7级。（2）具体划分和实例A级（A1级）；B级（B1；B2；B3；）C级（C1；C2）；D级一、系统与数据安全基础4、计算机系统安全等级一、系统与数据安全基础A级：可验证的保护，拥有数学模型。B级：强制式保护级，由系统强制安全保护。B1级：标记安全保护级，对系统的数据进行标记，并对标记的主体和客体实施强制存取控制B2级：结构化安全保护级，建立形式化的安全策略模型，对系统所有主客体实施自主访问和强制访问控制。NT4.0以上版本。B3级：安全域，提供系统恢复工程。一、系统与数据安全基础A级：可验证的保护，拥有数学模型。BC级：自定义保护。UNIX为代表；NT4.0C1级：自主安全保护级，能够实现对用户和数据的分离，进行自主存取控制，以用户组为单位实施保护。C2级：受控访问级，实施更细致的自主访问，通过登陆规程、审计安全性相关事件隔离资源D级：级别最低，保护措施少，没有安全功能。一、系统与数据安全基础C级：自定义保护。UNIX为代表；NT4.05、常见的网络安全威胁（1）网络安全是指一种能够识别和消除不安全因素的能力。具有动态性、相对性和过程性。（2）常见网络安全威胁主要包括：窃听、假冒、重放、流量分析、破坏完整性、拒绝服务、资源的非授权使用、后门、木马、蠕虫、病毒等。一、系统与数据安全基础5、常见的网络安全威胁一、系统与数据安全基础

网络威胁系统密码被破解拒绝服务攻击网络偷票特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫流氓软件GPS跟踪网络色情间谍软件人肉搜索垃圾邮件网络威胁系统密码被破解拒绝服务攻击网络偷票特洛伊木马黑客攻（3）网络安全总结大都是针对“网络安全漏洞”，进行网络攻击。其中安全漏洞包括：物理安全隐患、软件安全漏洞、搭配的安全漏洞。一、系统与数据安全基础（3）网络安全总结一、系统与数据安全基础6、主要安全措施（1）内因：数据加密；制定数据安全规划；建立安全存取；进行容错数据保护和数据备份；建立事故应急计划和容灾措施；重视安全管理，制定管理规范。（2）外因：设置身份认证、密码、口令、生物认证等多种认证方式；设置防火墙；防止外部侵入；建立入侵检测、审计与追踪；计算机物理环境保护。一、系统与数据安全基础6、主要安全措施一、系统与数据安全基础7、主要安全技术（1）数据加密：重新组合信息，形成密文。（2）数据签名：发送者身份证明。（3）身份认证：多种方法鉴别用户的合法性。（4）防火墙：通过规则控制数据包的进出。（5）内容检查：对数据内容的安全性进行检查。一、系统与数据安全基础7、主要安全技术一、系统与数据安全基础数据链路层应用层表示层会话层传输层网络层物理层通过采用防窃听技术来加强通信线路的安全。通过采用通信保密机技术来进行链路加密，使用L2TP和PPTP来实现两层隧道通信。通过采用防火墙来处理信息内外网络边界的流动，利用IPSec建立透明的安全加密信道。可以使用SSL对低层安全服务进行抽象和屏蔽一、系统与数据安全基础数据链路层应用层表示层会话层传输层网络层物理层通过采用防窃听8、网络安全设计原则（1）木桶原则：避免瓶颈。（2）整体性原则：综合考虑网络结构和网络应用需求进行体系化设计。（3）有效性和实用性原则：有效防范潜在威胁。（4）登记性原则：对网络区域、用户、应用划分等级。一、系统与数据安全基础8、网络安全设计原则一、系统与数据安全基础1、密码学（1）信息安全最核心的技术是密码学。（2）密码学包括：编码学、分析学、密钥密码学。（3）密码管理包括：密钥产生、分配、存储、保护、销毁等环节。（4）密码算法：理论上无解或虽可解但时间复杂。一、系统与数据安全基础1、密码学一、系统与数据安全基础2、对称密钥技术（1）原理：加密和解密密钥相同或可推导。（2）优点：具有很高的保密强度。（3）缺点：密钥的传输和保存。（4）分类：分组密码和序列密码。（5）常见的对称密钥技术：DES和IDEA算法。一、系统与数据安全基础2、对称密钥技术一、系统与数据安全基础（5）常见的对称密钥技术：DES：它是一种迭代的分组密码，输入输出都是64位，用一个56位的密钥和8位CRC位。目前攻击DES的主要技术是穷举，因此只要增加DES的密钥长度便可加强安全性，如：使用112位密钥对数据进行三次加密的算法，称为“3DES”。IDEA算法：其明文和密文都是64位，密钥长度128位。一、系统与数据安全基础（5）常见的对称密钥技术：一、系统与数据安全基础3、非对称密钥技术（公钥算法）（1）原理：加密和解密密钥完全不同，并且无法推导。（2）优点：适用开放性使用环境，用于数字签名和验证（3）代表：RSA，理论基础是数论中的大素数分解。（4）缺点：加密大量数据速度慢，用于密钥的分发。（5）特点：利用数学上无法破解的算法，如早期的背包算法、椭圆曲线算法、分解大数的困难度和以大素数为模算法等。一、系统与数据安全基础3、非对称密钥技术（公钥算法）一、系统与数据安全基础4、认证技术（1）认证技术主要解决通信双方的身份认可。（2）常用技术：帐户/口令；使用摘要算法；基于PKI数字证书认证三种。（3）信息摘要是一种数字指纹，可以用于数字签名。对某一特定文件，信息摘要是唯一的。其算法包括：MD5（in512分组，out28）和SHA（in512分组，out160）安全散列算法。一、系统与数据安全基础4、认证技术一、系统与数据安全基础4、认证技术（4）数字签名技术：通过一个单项函数对要传送的报文进行处理，得到一个字母数字串：认证报文来源，并核实是否发生变化。加密技术解决机密性，而数字签名解决“完整性和不可抵赖性”。一般采用公钥算法。一、系统与数据安全基础4、认证技术一、系统与数据安全基础4、认证技术（5）RADIUS协议：1）含义：“远程身份验证拨入用户系统”，是“通用的认证计费协议”，采用“基于挑战和应答的”认证方式。2）是一种C/S结构的协议，RADIUS服务器和用户接入NAS服务器通过UDP协议（同一局域网，更加快捷）进行通信，1812端口负责认证，1813端口负责计费。一、系统与数据安全基础4、认证技术一、系统与数据安全基础5、数字证书（1）采用公钥体制，即利用一对互相匹配的密钥进行加密和解密。（2）流程：发送方发送机密文件（用接收方的公钥加密）-接收方通过数字证书确认发送方的身份。一、系统与数据安全基础5、数字证书一、系统与数据安全基础6、密钥管理体制（1）指处理密钥自产生到销毁的整个过程中有关问题。（2）密钥管理体制：以传统密钥管理中心为代表的KMI机制（依赖于秘密信道），适用于封闭网；适用于开放网的PKI机制（解决分发密钥时依赖秘密信道的问题）；适用于规模化专用网的SPK机制（更好得地解决密钥管理问题，可实现多重公钥和组合公钥）。一、系统与数据安全基础6、密钥管理体制一、系统与数据安全基础二、网络安全技术与协议1、虚拟专用网（VPN）2、防火墙3、电子商务安全4、SSL/SET和SHTTP5、PGP技术6、Kerberos7、网络攻击与入侵检测技术8、病毒防护技术

二、网络安全技术与协议1、虚拟专用网（VPN）二、网络安全技术与协议1、虚拟专用网（VPN）（1）企业网在互联网上等公网上的延伸。（2）原理：通过一个私有通道在公网上创建一个安全私有连接。本质上是个虚信道，用来连接两个专用网二、网络安全技术与协议1、虚拟专用网（VPN）二、网络安全技术与协议1、虚拟专用网（VPN）（3）关键技术：VPN隧道技术、密码技术和服务质量保证技术。（4）隧道技术：是一种数据封装协议，即将一种协议封装在另一种协议中传输。常见的有：二层隧道技术PPP基础上的PPTP（点到点隧道协议）和L2F（二层转发协议）、L2TP（二层隧道协议）；“三层隧道技术”，主要代表有：IPSec（IP层安全协议）、移动IP协议和虚拟隧道协议（VTP）。二、网络安全技术与协议1、虚拟专用网（VPN）二、网络安全技术与协议1、虚拟专用网（VPN）（5）密码技术：加解密、身份认证、密钥管理等。（6）QOS机制：包括RSVP（资源预留协议）、SBM（子网带宽管理）。二、网络安全技术与协议1、虚拟专用网（VPN）二、网络安全技术与协议2、VPN网络的参考模型（1）虚拟租用线路（VLL）：仅使用点对点连接。（2）虚拟专用路由网络（VPRN）：通过公共IP网络进行VPN仿真，主要特点是：数据包在网络层转发。（3）虚拟专用拨号网（VPDN）：允许远程用户按需通过PSTN/ISDN接入另一个网络的某个站点，需要进行身份认证（如：RADIUS认证）。（4）虚拟专用LAN片段（VPLS）：利用公共IP资源进行局域网仿真，优点是协议透明，实现多协议传输。二、网络安全技术与协议2、VPN网络的参考模型二、网络安全技术与协议3、VPN的分类与应用（1）IntranetVPN：可在互联网上组建世界范围内的VPN网络，适合企业内部各分支机构互联。（2）AccessVPN：适合企业内部人员移动或远程办公。（3）ExtranetVPN：将供应商、合作伙伴连接到企业内部网络，提供B2B之间的安全访问服务。二、网络安全技术与协议3、VPN的分类与应用二、网络安全技术与协议4、防火墙（1）隔离外网与内网；隔离内部不同安全区域。（2）类别：包过滤（访问控制表ACL）；应用网关（实现协议过滤）；代理网关（不同协议需要不同的代理）；状态检测（自适应/动态包过滤）自适应代理。二、网络安全技术与协议4、防火墙二、网络安全技术与协议4、防火墙（3）组成：安全操作系统、过滤器、网关（提供中继服务，辅助控制业务流）、域名服务（将内部的域名与互联网隔离）、函件处理（进出函件必须经过防火墙）。（4）结构：屏蔽路由器、双穴主机、屏蔽主机防火墙、屏蔽子网防火墙。（见书本P190-191）二、网络安全技术与协议4、防火墙二、网络安全技术与协议4、防火墙分类（1）屏蔽（包过滤）路由器：对进出内部网络的所有信息进行分析，并按照一定的安全策略对进出的信息进行限制。优点是速度快，对用户透明；缺点是维护困难。适用场合：非集中化管理的机构，网络主机较少，没有使用DHCP，没有集中安全策略的机构。INTERNET二、网络安全技术与协议4、防火墙分类INTERNET二、网络安全技术与协议4、防火墙分类（2）双穴主机（双宿网关防火墙）：由一台至少装有两块网卡的堡垒主机作为防火墙，位于内外网络之间，分别与内外网络相离，实现物理上的隔开。优点是：安全性较高，缺点是：需要强大的身份认证系统。INTERNET二、网络安全技术与协议4、防火墙分类INTERNET二、网络安全技术与协议4、防火墙分类（3）屏蔽主机防火墙：强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连接。它由包过滤路由器和堡垒主机组成。安全性较高。INTERNET二、网络安全技术与协议4、防火墙分类INTERNET二、网络安全技术与协议4、防火墙分类（4）屏蔽子网防火墙：用两个屏蔽路由器和一个堡垒主机，也称“单DMZ防火墙结构”。二、网络安全技术与协议4、防火墙分类DMZ?E-Mail

?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继安全隐患外部/个体外部/组织内部/个体内部/组织ModemDMZIntranet企业网络生产部工程部市场部人事部路由I二、网络安全技术与协议5、电子商务的安全需求（1）有效性：时刻、地点的有效。（2）机密性：预防非法的存取和非法的截取。（3）完整性：数据的一致性。（4）不可抵赖性：不能否认发生的交易行为。（5）审查能力：对数据审查的结果进行记录。相关的安全技术包括：VPN，SSL，电子邮件安全协议（PEM、S/MIME、MOSS）、电子支付安全等。二、网络安全技术与协议5、电子商务的安全需求二、网络安全技术与协议6、SSL/SET和SHTTP（安全通信信道）（1）SSL：安全套接字，工作在传输层的安全协议，结合了信息加解密、数字签名认证两大技术。它适合于所有的TCP/IP应用，采用443端口。（2）SHTTP：工作在应用层，确保商业贸易传输安全，仅限于Web应用。（3）SET：安全快捷的交易模式，最早支持各种信任卡的交易。在使用SSL时，只要求服务器端拥有数字证书；而使用SET时，还要求客户端拥有数字证书。二、网络安全技术与协议6、SSL/SET和SHTTP（安全通二、网络安全技术与协议7、PGP技术（1）应用：PGP—PrettyGoodPrivacy，是一个基于RSA公匙加密体系的邮件加密软件。可以用它对你的邮件保密以防止非授权者阅读，它还能对你的邮件加上数字签名从而使收信人可以确信邮件是你发来的。它是一种RSA和传统加密的杂合算法，用于数字签名的邮件文摘算法，有很快的速度。而且它的源代码是免费的。二、网络安全技术与协议7、PGP技术二、网络安全技术与协议7、PGP技术（2）原理：在不安全的通信链路上创建安全的消息和通信。PGP协议已经成为公钥加密技术和全球范围消息安全性的事实标准。；可以在文档中使用数字签名；任何人都可以用你的公钥加密写给你的信息，而不用担心信息被窃听。二、网络安全技术与协议7、PGP技术二、网络安全技术与协议8、Kerberos（1）原理：Kerberos是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下，Kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。其核心是使用DES加密技术。二、网络安全技术与协议8、Kerberos二、网络安全技术与协议9、常见网络攻击（1）原理：都是针对系统的安全漏洞采取的特定手段，以下我们按TCP/IP协议层逐层分析网络攻击。二、网络安全技术与协议9、常见网络攻击二、网络安全技术与协议应用层传输层网络层链路层MAC地址欺骗；ARP欺骗IP地址欺骗；泪滴攻击（多段数据包）；ICMP攻击（过大数据包）；RIP二、网络安全技术与协议应用层传输层网络层链路层MAC地址欺骗二、网络安全技术与协议应用层传输层网络层链路层伪造TCP数据包；TCP端口扫描；Land攻击（伪造SYN包，不断产生空连接）；TCP会话劫持；SYN洪流攻击（阻止三次握手的完成）；RST和FIN攻击（使被欺骗主机和目标主机正常通信突然中断）。二、网络安全技术与协议应用层传输层网络层链路层伪造TCP数据二、网络安全技术与协议应用层传输层网络层链路层1）电子邮件攻击：一是伪造IP地址或邮件地址发送大量垃圾邮件；二是伪装成系统管理员向用户发送邮件，要求用户修改口令。2）DNS欺骗：将用户要浏览的目标主机的DNS名称指向攻击者的服务器。3）缓冲区溢出攻击：往程序的缓冲区写入超长的内容，破坏程序的堆栈，是程序转去执行其它指令。二、网络安全技术与协议应用层传输层网络层链路层1）电子邮件攻二、网络安全技术与协议9、网络攻击（2）木马攻击：实质上是一个C/S程序，基于远程控制的黑客工具。（2）DoS攻击：消耗系统资源或网络带宽，导致网络不堪重负。二、网络安全技术与协议9、网络攻击二、网络安全技术与协议10、入侵检测技术（1）用途：监视或尽力阻止入侵者试图控制系统或网络资源的努力。力避损害系统机密性、完整性和可用性等行为的安全技术。（2）技术核心：可靠提取描述行为的特征数据；根据特征数据准确判断行为的性质。（3）组成：数据源、分析引擎、响应系统。二、网络安全技术与协议10、入侵检测技术二、网络安全技术与协议11、病毒防护技术（1）生命周期：潜伏期、繁殖期、触发和执行。（2）病毒分类：寄生病毒；存储器驻留病毒；引导区病毒；隐形病毒；多形病毒。（3）反毒历程：简单的扫描程序；启发式扫描程序（启发式规则和完整性检查）；行为陷阱；全方位保护（扫描和行为陷阱）。类属解密和数字免疫系统。二、网络安全技术与协议11、病毒防护技术试题1两个公司希望通过互联网进行安全通信，保证从信息源到目的地之间的数据传输以密文形式出现，而且公司不希望由于在中间节点使用特殊的安全单元而增加开支，最合适的加密方式是（1），使用的绘画密钥算法应该是（2）。1：A.链路加密B.节点加密C.端-端加密D.混合加密2：A.RSAB.RC-5C.MD5D.ECC解析：1）加密可在通信的三个层次实现。网络层以下的链路加密；节点加密；网络层以上的端到端加密。2）RSA适用于数字签名和密钥交换，非常适合用于通过互联网传送的数据；RC-5是一种会话密钥算法；MD5散列算法。试题1两个公司希望通过互联网进行安全通信，保证从信息源到目试题2HTTPS是一种安全的HTTP协议，它使用（3）来保证信息安全，使用（4）来发送和接受报文。3：A.IPSecB.SSLC.SETD.SSH4：A.TCP的443端口B.UDP的443端口C.TCP的80端口D.UDP的80端口解析：1）HTTPS、SSL、SET是协议安全三剑客。2）SSL协议是解决传输层安全问题的重要协议，它是基于TCP协议之上提供可靠的端到端安全服务，应用SSL协议最广泛的是HTTPS，它为客户浏览器和Web服务器之间交换信息提供安全通信支持，它使用TCP的443端口发送和接收报文。试题2HTTPS是一种安全的HTTP协议，它使用（3）来保试题3窃取是对（5）的攻击，DDoS攻击破坏了（6）。5：A.可用性B.保密性C.完整性D.真实性6：A.可用性B.保密性C.完整性D.真实性解析：1）窃取就是绕过系统的保密措施得到真实的、完整的、可用的信息。2）可用性是得到授权的实体在需要时可访问的数据；保密性是确保信息不暴露给未授权的实体或进程；完整性是只有得到允许的人才能够修稿数据，并判断数据是否被篡改过。试题3窃取是对（5）的攻击，DDoS攻击破坏了（6）。5试题4数据加密标准DES是一种分组加密，将明文分成大小（7）位的块进行加密，密钥长度位（8）位。7：A.16B.32C.56D.648：A.16B.32C.56D.64解析：1）DES是一种对称密钥算法，明文分块64位，密钥为56位。2）原本密钥也为64位，因为美国当时垄断解密长度。试题4数据加密标准DES是一种分组加密，将明文分成大小（试题5以下用于在网络应用层和传输层之间提供加密方案的协议是（9）。9：A.PGPB.SSLC.IPSecD.DES解析：1）PGP是一个邮件加密协议，位于应用层；2）IPSec是一个网络层的安全标准协议；3）DES是一个数据加密的标准，而不是一个安全协议；4）在网络应用层和传输层之间提供加密方案的协议是SSL协议。试题5以下用于在网络应用层和传输层之间提供加密方案的协议试题6实现VPN的关键技术主要有：隧道技术、加解密技术、（10）和身份认证技术。如果需要在传输层实现VPN，可选的协议是（11）。10：A.入侵检测技术B.病毒防治技术C.安全审计技术D.密钥管理技术11：A.L2TPB.PPTPC.TLSD.IPSec解析：1）VPN采用四项技术：隧道技术、加解密技术、密钥管理技术和身份认证技术；2）隧道技术类似于点对点的专线连接技术，隧道是利用隧道协议建立的，隧道协议有二层协议（PPTP、L2TP和L2F），三层协议（IPSec和GRE），第二层协议基于第三层协议之上；3）数据通信的加解密技术成熟，VPN可直接对数据进行加密；4）密钥管理是如何在公网上传递密钥，目前主要有SKIP和ISAKMP/oakley两种。试题6实现VPN的关键技术主要有：隧道技术、加解密技术、试题6实现VPN的关键技术主要有：隧道技术、加解密技术、（10）和身份认证技术。如果需要在传输层实现VPN，可选的协议是（11）。10：A.入侵检测技术B.病毒防治技术C.安全审计技术D.密钥管理技术11：A.L2TPB.PPTPC.TLS