网络工程师证软考复习资料(软考网络工程师备考-14)
网络工程师证软考复习资料(软考网络工程师备考-14)防火墙的要求:所有进出网络的通信流量都必须经过防火墙、只有内部访问策略授权的通信才能允许通过、防火墙本身具有很强的高可靠性。防火墙的定义:来源于建筑物“防火墙”一词,位于两个或多个网络之间,执行访问控制策略,过滤进出数据包的一种软件或硬件设备。Kerberos(助记:刻薄肉丝):是一项认证服务,3A(AAA)认证有验证、授权和记账。防重放、保护数据完整性。V4版本使用时间戳,V5版本使用序列号。AS认证服务,TGS票据授权服务器,V应用服务器。(助记:无T加T,有T加1)Kerberos基于Kerberos的网关模型:用户初始登录以后,用户名和密码长期保存在内存中,用户登录新应用(申请新票据)时,系统会自动提取用户名和密码,用户不需要再输入。
应用层安全协议S-HTTP或SHTTP(Sec HTTP),安全超文本传输协议,是HTTP扩展,使用TCP的80端口。
HTTPS:HTTP SSL,使用TCP的443端口。TLS(传输层安全标准)是双胞胎。4.5层协议。
PGP:电子邮件加密软件包
- 是一款软件,把RSA公钥体系的高保密和传统加密体系的高速度巧妙结合起来,称为最流行的电子邮件加密系统。可以用来加密件防止非授权阅读,还能数字签名,防止篡改。
- PGP提供2种服务:数据加密和数字签名。使用RSA对公钥证书加密认证,IDEA(128位密钥)进行数据加密,MD5进行完整性验证。
- 加密算法:支持IDEA、CAST、3DES算法对消息进行加密;采用EIGamal或RSA算法用接收方的公钥加密会话密钥。
- 数据签名:采用SHA-1、MD5消息摘要算法计算消息的摘要值(散列码),用发送者的私钥按DSS或RSA算法加密消息摘要。
- PGP广泛应用的特点:
- 能够在各种平台上免费试用,众多厂商支持。
- 基于比较安全的加密算法(RSA、IDEA、MD5)
- 应用领域广泛,可加密文件,也可用于个人安全通信
- 不是政府或者标准化组织开发和控制的,网民普遍喜欢这种自由化的软件包
SET安全电子交易协议:保障购物安全,以信用卡为基础,在线交易的标准。安全性高,保证信息传输的机密性、真实性、完整性和不可否认性。
- SET是安全协议和报文格式集合,融合了SSL、STT、SHTTP、PKI等加密签名认证等。采用公钥密码体制和X.509数字证书。成为目前公认的信用卡网上交易的国际标准。
- SET提供3种服务:
- 保证客户交易信息的保密性和完整性
- 确保商家和客户交易行为的不可否认性
- 确保商家和客户的合法性
- 双重签名技术:消费者对订单信息和支付信息进行签名,商家看不到消费者账号信息,银行看不到消费者订购信息。但可确认是真实的。
Kerberos(助记:刻薄肉丝):是一项认证服务,3A(AAA)认证有验证、授权和记账。防重放、保护数据完整性。V4版本使用时间戳,V5版本使用序列号。AS认证服务,TGS票据授权服务器,V应用服务器。(助记:无T加T,有T加1)
Kerberos
基于Kerberos的网关模型:用户初始登录以后,用户名和密码长期保存在内存中,用户登录新应用(申请新票据)时,系统会自动提取用户名和密码,用户不需要再输入。
防火墙技术防火墙的定义:来源于建筑物“防火墙”一词,位于两个或多个网络之间,执行访问控制策略,过滤进出数据包的一种软件或硬件设备。
防火墙的要求:所有进出网络的通信流量都必须经过防火墙、只有内部访问策略授权的通信才能允许通过、防火墙本身具有很强的高可靠性。
防火墙的主要功能:访问控制功能、内容控制功能、全面的日志功能、集中管理功能、自身的安全功能。
防火墙的附加功能:流量控制、网络地址转换NAT、虚拟专用网VPN。
防火墙的局限性:关闭限制了一些服务带来不便、对内部的攻击无能为力、带来传输延迟、单点失效等;还有其他局限。
防火墙的技术分类:代理防火墙、状态化包过滤防火墙、包过滤防火墙。
防火墙的分类:个人防火墙:保护单个主机,有瑞星、天网、费尔防火墙等。
- 企业防火墙:对整个网络实时保护,有赛门铁克、诺顿、思科、华为、Juniper等。
- 软件防火墙:瑞星、天网、微软ISA Server、卡巴斯基等
- 硬件防火墙:思科防火墙、Juniper防火墙等。
防火墙的体系结构:
- 双宿主机模式:防火墙具有两个网卡接口,通过包过滤代理访问网络。一般可以根据IP地址和端口号进行过滤。
- 屏蔽子网模式:又叫过滤子网模式,两个包过滤路由器中间建立一个隔离的子网,定义为DMZ网络,也称为非军事化区域。
防火墙的工作模式:
- 路由模式:如果防火墙以第三层对外连接(接口具有IP地址),则认为防火墙工作在路由模式下。
- 透明模式:若防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下。
- 混合模式:若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP地址,某些接口无IP地址),则为混合模式下。
防火墙的访问规则:3种接口:内部接口(Inbound)连接内网和内网服务区;外部接口(Outbound)连接外部公共网络;中间接口(DMZ)连接对外开放服务区。
- Inbound可以访问任何Outbound和DMZ区域
- DMZ可以访问Outbound区域
- Outbound访问DMZ需配合static(静态地址转换)
- Inbound访问DMZ需要配合ACL(访问控制列表)
病毒:一段可执行的程序代码,通过其他可执行程序启动和感染传播,可自我复制,难以清除,破坏性强。
木马:一种潜伏在计算机里并且秘密开放一个甚至多个数据传输通道的远程控制程序。C/S结构,客户端也称为控制端。偷偷盗取账号、密码等信息。
恶意代码:又称恶意软件。也称为广告软件、间谍软件,没有作用却会带来危险。
常见病毒木马的特征分类:
- 文件宏病毒:感染office文件,前缀Macro或者word/excel等。
- 蠕虫病毒:前缀Worm通过系统漏洞传播。
- 木马病毒:前缀Trojan,黑客病毒前缀Hack往往成对出现。
- 系统病毒:前缀Win32、PE、Win95等。
- 脚本病毒:前缀Script,脚本语言编写的,通过网页传播。
黑客与骇客:黑客技术高超,帮助测试建设网络。骇客专门搞破坏或恶作剧。
黑客攻击:拒绝服务攻击、缓冲区溢出攻击、漏洞攻击、网络欺骗攻击、网络钓鱼、僵尸网络等。
预防攻击:安装杀毒软件、硬件防火墙和UTM统一威胁安全管理设备,合理设置安全策略,制定应急预案等。
IDS与IPS入侵检测系统IDS:位于防火墙之后的第二道安全屏障,是防火墙的有力补充。通过对网络关键点收集信息并对其分析,检测到违反安全策略的行为和入侵的迹象,做出诊断反应,在系统损坏或数据丢失之前阻止入侵者的进一步行动。
IDS安装部署位置:
- 服务器区域的交换机上
- Internet接入路由器之后的第一台交换机上
- 其他重点保护网段的交换机上
- 通常是并联、不断网。
入侵防御系统IPS:位于防火墙之后的第二道安全屏障,是防火墙的有力补充。通过对网络关键点收集信息并对其分析,检测到估计企图,就会自动将攻击包丢掉或采取措施阻挡攻击源,切断网络。通常是串联、会断网。
IPS/IDS和防火墙的区别:防火墙一般只检测网络层和传输层的数据包,不能检测应用层的内容。IPS/IDS可以检测字节内容。
IPS和IDS的区别:IPS是串接在网络中,会切断网络。IDS是旁路式并联在网络上,不切断网络。
IDS/IPS:连接在需要把交换机端口配置成镜像端口上,可以检测到全网流量。
以上是为准备网络工程师考试的学习大涛老师18年视频的笔记,在此记录以备复习。
#网络工程师# #软考中级职称# #网络安全# #黑客# #病毒#
